Computerbeveiliging is politieke kwestie
Herbert Blankesteijn
De computerwormen Blaster en Sobig F, die deze maand internet onveilig maken, laten zien hoezeer de beveiliging van computers tekortschiet. Geen van beide richten ze noemenswaardige schade aan op de computers die ze besmetten; toch ontwrichten ze dagenlang het internetverkeer. Het wordt tijd daar structureel iets tegen te doen, meent Herbert Blankesteijn.
Blaster en Sobig F illustreren een belangrijke ontwikkeling in de virustechniek. Virussen of wormen richten zelden nog zware schade aan op de besmette computer. In plaats daarvan wordt deze, zoals bij Blaster het geval is, dienstbaar gemaakt aan de virusmaker zonder dat de eigenaar dit merkt. De reikwijdte en het gevaar van besmettingen worden daardoor groter.
Dit is mogelijk dank zij vaste internetverbindingen via adsl of kabel. Wormen kunnen zich op eigen kracht verspreiden als ze het juiste lek in bijvoorbeeld Windows weten te vinden. Ze zijn niet meer afhankelijk van een onnadenkende klik op een attachment. Eenmaal besmet heeft de computer nog steeds verbinding met internet, zodat voor de schadelijke activiteiten de hele wereld openligt. Veel van deze ziekteverwekkers zetten zelfs een 'achterdeurtje' open, zodat de maker van het virus achteraf kan bedenken wat hij met de besmette computers gaat doen. Het tijdelijk uitschakelen van websites is maar één van de mogelijkheden.
Voorbeelden: de worm 'Webber' verandert de besmette pc in een open relay, die de mogelijkheid biedt anoniem mail (lees: spam) te versturen. 'Migmaf' richt zijn slachtoffer in als redirect, een station waar webpagina's vandaan lijken te komen, terwijl ze in werkelijkheid ergens anders staan. Beide stellen de makers in staat ongezien illegale activiteiten te ontplooien. Ze zijn niet virulent in hun verspreiding. Helaas, want daardoor krijgen ze weinig publiciteit en kunnen ze in de luwte hun gang gaan.
De afgelopen week zijn de schijnwerpers gericht geweest op systeembeheerders die bekende gaten in Windows niet dichten. Maar hoe zit het met de particulieren, die met honderdduizenden per jaar overstappen op adsl en kabel? Voeren zij die patches wel uit? Hebben ze een virusscanner? Zorgen ze dat die bij de tijd is? Installeren ze een firewall om kwaadaardige programma's buiten te houden? Stellen ze die correct in? Sobig F en Blaster tonen aan dat je hier niet pessimistisch genoeg over kunt zijn. En nu de modernste vandalensoftware doelwitten in de buitenwereld te lijf gaat in plaats van de besmette pc, kun je niet meer volhouden dat nalatigen zichzelf treffen. Integendeel; omdat besmette pc's in werking blijven, kan de ellende een grotere schaal bereiken dan ooit tevoren.
De gedachte dat voorlichting aan het publiek zal helpen, is een gevaarlijke illusie. Jarenlang is iedereen op mailvirussen blijven klikken. Providers kunnen de mail van de consument automatisch scannen en een firewall aanbieden - en gelukkig doen ze dat in toenemende mate - maar dat wordt óf voor de provider, óf voor de klant een kostenpost. Providers die niets doen, zijn goedkoop uit en kunnen de laagste prijzen aanbieden voor hun abonnement.
Bij een dergelijk 'prisoner's dilemma' ga je vanzelf denken aan de politiek. Dit najaar moet elk land van de EU wetgeving aannemen tegen spam. Het heeft jaren van Brussels en Straatsburgs overleg gekost om dit voor elkaar te krijgen. Maar zolang het voor spammers mogelijk is met slim geschreven wormen hun reclame ongezien te versturen, zal deze wetgeving geen enkel effect sorteren.
De politiek moet daarom het publiek dwingen tot een betere computerbeveiliging. Eén manier is een verplicht computerbewijs, te verkrijgen na een cursus en een examen. Wanneer je zonder kennis en vaardigheid een gevaar vormt voor de samenleving, kunnen deze verplicht worden gesteld. Zo doen we dat inzake motorvoertuigen op de openbare weg ook. Dit is vrij makkelijk te regelen, maar de vrijheid om fouten te maken blijft bestaan. Een andere mogelijkheid is providers te dwingen de beveiliging in handen te nemen, zoals de systeembeheerder dat doet in een bedrijf. Als iedere provider dezelfde verplichting heeft, is er geen concurrentievoordeel voor de nalatigen. Dit zou effectiever zijn dan een computerbewijs, maar een nadeel is dat de vrijheid van het publiek (bijvoorbeeld om de eigen apparatuur en software te kiezen) wordt beperkt.
Het is niet simpel en niet leuk, maar een internet dat voortdurend wankelt is dat ook niet. Er moet wat gebeuren.