Kwaad met kwaad bestrijden

Herbert Blankesteijn

Kun je programma's die zichzelf vermenigvuldigen gebruiken om virussen het gras voor de voeten weg te maaien? Anders gezegd, kun je goede virussen inzetten om kwade te bestrijden?

Het virus Lion had een tegenhanger genaamd Cheese, die automatisch computers opzocht en repareerde die door Lion waren besmet. De worm Nachi doet hetzelfde met besmettingen door Blaster. CRClean is een bijzonder geval. Deze worm verspreidt zich niet actief, maar luistert naar de signalen die met Code Red besmette computers uitzenden als ze zoeken naar nieuwe slachtoffers. Alleen naar die adressen stuurt CRClean kopieën van zichzelf, om de besmettingen ongedaan te maken en herbesmetting te voorkomen.

Weliswaar doen deze 'goede' virussen en wormen hun werk zonder medeweten of goedkeuring van de eigenaren van de betreffende computers, maar is daartegen? Het resultaat telt toch?

Beveiligingsdeskundige Cyrus Peikari publiceert hierover een artikel [LINK: http://www.informit.com/articles/article.asp?p=337309&seqNum=1] op de site Informit.com, dat Beet vond dankzij een link op Security.nl. Hij stelt vast, niet ten onrechte, dat bestaande antivirusmiddelen niet meer effectief zijn en hij heeft een aantal simulaties gedaan met zichzelf verspreidende 'vaccins'. Peikari bekijkt verschillende situaties: een vaccin loslaten nadat een virus is losgebroken, of tegelijkertijd, of zelfs preventief, meteen na het ontdekken van een lek. Het goedaardige virus is dan een soort gedwongen patch.

De resultaten zijn niet verrassend: een agressief vaccin helpt het snelst maar belast het netwerk blijvend even intensief als het eigenlijke virus doordat het blijft proberen zich te verrspreiden. Je drijft de duivel uit met Beëlzebub - alleen de kwalijke uitwerking op de besmette computers zelf ontbreekt. Dat verzacht je met een minder actief antigif, maar dat elimineert het virus langzamer en de besmetting bereikt dan ook een hogere piek. Preventief vaccineren helpt het best.

Het werk van Peikari roept veel vragen op. Hij claimt dat zijn vaccin bedacht is naar het model van vaccinatieprogramma's in de medische wereld. Maar vaccins voor mensen of dieren verspreiden zich niet zelf en veroorzaken dus geen overlast. Peikari's vaccin heeft een belangrijk symptoom gemeen met de oorspronkelijke ziekte, namelijk de netwerkbelasting. Stel dat er voor alle bestaande virussen antivirussen in het wild zouden circuleren. Het ligt voor de hand dat die zo geprogrammeerd moeten worden dat ze na gedane arbeid in een slapende toestand terechtkomen, alleen luisterend, zoals CRClean. Anders loopt internet vast door alle vaccins die nodeloze pogingen doen zichzelf te verspreiden. Maar op wiens computer zouden al die antivirussen eigenlijk moeten worden geparkeerd? Zomaar bij het publiek, of bij antivirusbedrijven? Wat gebeurt er met de prestaties van je pc als je een paar duizend van die semi-actieve geneesmiddeltjes op je schijf, of zelfs in je werkgeheugen hebt staan?

En wie moet dat betalen? Zichzelf verspreidende virussen zijn waarschijnlijk gratis - of ze zouden een lijst met betalende abonnees aan boord moeten hebben. Maar een van de problemen is juist dat mensen hun computers slecht beveiligen - dat verhelp je niet door juist deze mensen uit te sluiten. En Peikari stelt niet de vraag wat er gebeurt als virusschrijvers zich teweer gaan stellen tegen deze vaccins: wat doe je met resistentie? Veel huidige virussen schakelen de bekende antivirussoftware al uit.

En het belangrijkste bezwaar is: het is in de meeste landen tegen de wet in te grijpen op andermans computer zonder diens uitdrukkelijke toestemming. Het is moeilijk technisch of juridisch onderscheid te maken tussen ongevraagde vernielingen door een virus en ongevraagde beschermingsmaatregelen door een vaccin. Als het een niet mag, dan mag het ander ook niet.

Daarom is het waarschijnlijk het beste de antivirusvirussen over te laten aan de semi-illegale regionen van internet. Het is prima ze te bestuderen als natuurverschijnsel. Ze propageren als de nieuwe richting in antivirustechnieken, zoals Peikari doet, is teveel van het goede.