Computers met begrenzer minder kwetsbaar
Herbert Blankesteijn
Moderne virussen verspreiden zich door zichzelf in een razend tempo te mailen of door via internet te speuren naar computers met een bepaald gebrek in de beveiliging. In het laatste geval zijn ze niet afhankelijk van mensen die op attachments klikken en is er geen enkele rem op de vermenigvuldiging. Zo'n virus kan binnen een seconde zichzelf verspreiden naar honderden andere computers, en die weer... enzovoort. Binnen een paar seconden kan een heel bedrijf, binnen een minuut het hele internet zijn besmet. Een onderzoeker van Hewlett-Packard heeft een idee om dit soort virussen tegen te houden: laat computers trager werken dan ze zouden kunnen.
Het doet denken aan een snelheidsbegrenzer voor motorvoertuigen, om veilig rijden af te dwingen. De HP-onderzoeker, Matthew Williamson, wil trouwens maar een bepaald aspect van de werking van de pc vertragen. De rekensnelheid laat hij ongemoeid. Dus alle praktische werk, zoals het doorrekenen van spreadsheets, spelling- en grammaticacontrole, het afspelen van muziek, bewerking van geluid, video en plaatjes, blijft even snel. Normaal internetverkeer, zoals een flinke download, kan ongehinderd doorgaan.
De beperking geldt dát werk dat virussen extreem snel doen, in verband met hun eigen voortplanting: het zoeken van nieuwe verbindingen met de buitenwereld. Williamson stelt voor de frequentie hiervan te binden aan een maximum, bijvoorbeeld één per seconde, waar een virus makkelijk vijftig aanvragen per seconde de deur uit kan doen. Hij beperkt dit tot nieuwe verbindingen omdat sommige computers, bijvoorbeeld op bedrijfsnetwerken, intensief contact nodig hebben met computers op hetzelfde netwerk. Dat valt onder het normale gedrag. Virussen zoeken het ook, of juist, in de buitenwereld. Aanvragen voor nieuwe adressen worden dus vertraagd afgewerkt en zolang in een wachtrij gestopt. Deze wachtrij mag eventjes groeien. Tijdens normaal gebruik, bijvoorbeeld websurfen, kan het aantal aanvragen een tijdje boven het gemiddelde van één per seconde liggen (één webpagina bestaat uit tientallen onderdelen).
De lengte van een wachtrij krijgt van Williamson een maximum, bijvoorbeeld 200. Daarboven wordt alarm geslagen. Een virus dat 50 verbindingen per seconde probeert te leggen, laat zo binnen vier seconden het alarm afgaan. In die tijd heeft het zegge en schrijve vier aanvragen kunnen doen.
Williamson heeft maandenlang het surfgedrag van collega's bestudeerd en stelt dat een toegestane frequentie van één keer per seconde het internetverkeer niet serieus hindert. De verspreiding van virussen als Code Red en Nimda zou sterk zijn beperkt. Om te werken tegen mailvirussen als I love you moet de methode worden aangepast, maar ook daar zou een heilzaam effect kunnenworden bereikt.
De aanpak van de HP-onderzoeker is geen panacee. Een deel van het lokale netwerk geniet geen bescherming, omdat dat niet onder de 'nieuwe' verbindingen valt. Code Red zou bij een maximale wachtrij van 200 geen alarm doen afgaan omdat dit virus nooit meer dan 100 aanvragen tegelijk laat lopen. De verspreiding zou wel tot één poging per seconde beperkt worden. Je zou je zelfs toekomstige virussen kunnen voorstellen die opzettelijk niet meer dan één aanvraag per seconde doen, om niet ontdekt te worden. Antivirussoftware en gedragsregels blijven dus nodig.
Die grens van één per seconde is interessant. Als elke verbinding die het virus legt tot een besmetting zou leiden, zou elke seconde het aantal besmette computers verdubbelen. In 16 seconden besmet je dan 10 miljoen computers. Gelukkig werkt het meestal niet zo: het virus doet veel vergeefse pogingen. Maar intussen is de mogelijkheid bewezen van virussen die wél zo doeltreffend zijn, zogeheten Flash-virussen,. Daartegen staat de methode-Williamson machteloos.
Niettemin kan het een nuttig wapen zijn in de strijd tegen de huidige soorten virussen. Het is voorstelbaar dat het idee wordt toegepast in aparte filters, of wordt opgenomen in nieuwe versies van bestaande firewalls, waarbij je dan zelf de variabelen kunt instellen.