Wat te doen tegen malware
Herbert Blankesteijn
Het wordt een van de belangrijkste thema's in de IT voor de komende maanden, misschien wel jaren: de malware, verzamelbegrip voor virussen, trojaanse paarden, advertentiesoftware en spyware. De grenzen vervagen en functies worden gecombineerd. Een virus kan een trojaans paard installeren, dat een boef toegang geeft tot andermans pc. Dat opent de mogelijkheid spyware te installeren met behulp waarvan de betreffende persoon gebombardeerd wordt met gerichte advertenties. De gehackte pc kan spam gaan versturen, samen met duizenden op dezelfde manier besmette computers een website platleggen (met de dreiging daarvan kan deze website worden gechanteerd), of de besmette pc kan worden gebruikt voor opslag van kinderporno (en de eigenaar kan daarmee worden afgeperst).
Niets hiervan is verzonnen, het gebeurt al. En intussen verschijnen berichten over virussen en wormen voor smartphones - bellende zakcomputers dan wel telefoons met uitgebreide zakcomputerfuncties. Zodra een apparaat kan communiceren, kan het dienen als verspreidingskanaal van malware. Bluetooth, wifi, gprs, umts, geen techniek is veilig. Antivirussoftware voor zakapparaatjes staat in de kinderschoenen. IT-consultant Verdonck, Klooster & Associates stelde in augustus vast dat antivirussoftware voor smartphones problematisch is, vanwege de veelheid aan merken en modellen. De consument staat voorlopig machteloos en kan maar beter naast zijn smartphone ook een gewoon mobieltje bij de hand houden, zegt VKA.
Wat kan de overheid doen om deze ellende te voorkomen of te beperken? Even wat mogelijkheden langslopen.
De betreffende vormen van software verbieden. Op grond van de wet Computercriminaliteit zijn virussen en dergelijke al verboden. In Amerika worden pogingen gedaan om bovendien 'spyware' (hoe je dat ook definieert) te verbieden. Maar een wet in Utah is opgeschort omdat hij strijdig zou zijn met de grondwet. Het komt erop neer dat je bedrijven niet kunt verbieden vanaf internet iets op een pc te installeren. Ook het (automatisch) verzamelen van informatie over een pc heeft teveel nuttige toepassingen om buiten de wet te stellen. Het is een uitgestrekt grijs gebied waar je niet zomaar paaltjes in kunt slaan.
Je kunt voorschrijven dat de gebruiker voor van alles en nog wat toestemming moet geven, maar de gebruiker is sterk geneigd deze toestemming zonder nadenken te geven. Hoe meer dialoogboxen, hoe sneller hij op OK klikt. Je kunt eisen dat precies wordt meegedeeld wat bepaalde software doet (dat eiste de wet in Utah ook), maar dat gebeurt vaak al en niemand leest dergelijke verklaringen.
Je zou kunnen eisen dat software inherent veilig is. Dat schijnt theoretisch mogelijk te zijn, maar het zou alleen zinnig zijn als wereldwijde maatregel. Dit zou de techniek ver terugwerpen omdat veel software van nu inherent kwetsbaar is. Het zou neerkomen op een verbod op Windows. Leuk als gedachtenexperiment, maar geen praktische mogelijkheid.
Een computerrijbewijs, of althans een verplichte cursus in veiligheidsaspecten bij aanschaf van een apparaat of een internetverbinding. Dit lijkt mij buitengewoon gewenst omdat mensen met onveilig gedrag een gevaar zijn voor anderen. We kennen dergelijke educatie, in verschillende vormen, ook op het gebied van autorijden en seksueel verkeer. Het levert geen gegarandeerde, maar wel verbeterde veiligheid op.
Het meeste perspectief zit naar mijn idee in het aanwijzen van providers als beheerders van de machines van hun klanten, net zoals de systeembeheerder dat doet in een bedrijf. Dit betekent het einde van de privacy, maar tegenover de huisarts en de bank heeft de consument die privacy ook niet. Het betekent kosten, die op het publiek moeten worden verhaald. Daar staan gemak en zekerheid tegenover. Het betekent het einde van de volledige vrijheid om apparatuur en software te kiezen, maar die vrijheid heb je op de weg ook niet, om dezelfde reden: veiligheid.