Sarah Gordon: een nuchtere kijk op virusbestrijding
Marie-José Klaver
(Informatiebeveiliging, december 2001)
Sarah Gordon is een van de bekendste virusdeskundigen ter wereld. Ze kent de cultuur van virusschrijvers, waar ze enkele belangwekkende artikelen over heeft geschreven, als geen ander. Gordon, die al sinds de jaren tachtig onderzoek doet naar virussen en hun makers, is onlangs benoemd tot senior research fellow bij Symantec Security Response. Daarvoor werkte ze bij het Thomas J. Watson Research Center van IBM. Opvallend aan Gordon is haar relativeringsvermogen. De virusdeskundige vindt niet dat alle virusschrijvers gevaarlijke criminelen zijn en heeft een nuchtere kijk op de risico's van virusaanvallen.
Wat vindt u van de vele nieuwe virussen en wormen zoals Code Red en NIMDA die veel intelligenter zijn en dus in potentie veel schadelijker dan oudere virussen?
Gordon "Computertechnologie is veel beter geworden de laatste tijd. De programma's zijn geavanceerder, besturingssystemen zijn geavanceerder. Dat virussen en wormen slimmer zijn is vooral een gevolg van de snelle ontwikkeling van de technologie. Veel gegevens die we nu in computers bewaren zijn belangrijker voor de bedrijfsvoering dan tien jaar geleden het geval was. Als een gevolg daarvan is een virusaanval veel gevaarlijker. Vergelijk de gevolgen van een virus dat nu gegevens van je harde schijf wist maar eens met de gevolgen die zo'n aanval tien jaar geleden zou hebben. Vandaag de dag zijn de gevolgen veel groter, hoewel de werking van het virus (data wissen) niet is veranderd. Ik denk dat virusschrijvers tegenwoordig minder destructief zijn dan vroeger, maar door het ontwerp van de infrastructuur en de functies van computerprogramma's is de impact van virussen veel groter."
Er verschijnen wekelijks nieuwe virussen. Is de strijd tegen virusmakers een verloren zaak?
Gordon "Ik denk dat we de strijd absoluut niet hebben verloren. We beschikken tegenwoordig over zeer goede technieken die het risico van virussen voor gebruikers tot een minimum beperken. We hebben ook vooruitgang geboekt op het gebied van voorlichting van computergebruikers. We moeten gebruikers blijven voorlichten om ze minder kwetsbaar te maken voor social engineering. Jonge mensen weten tegenwoordig ook dat virussen schrijven niet cool is. We moeten ze met deze boodschap blijven bestoken. De media vinden virussen ook niet meer acceptabel en schrijven veel objectiever over virusmakers dan vroeger. De media hebben het niet meer over virusschrijvers als over 'technische genieën' of 'onderzoekers die experimenteren met nieuwe vormen van kunstmatig leven'. Virusschrijven wordt niet meer verheerlijkt als een 'coole' bezigheid."
Waarom zijn er zoveel mensen die virussen schrijven?
Gordon "Het aantal virusmakers is de afgelopen jaren gestegen simpelweg omdat er meer mensen met toegang tot computertechnologie zijn. Er zijn dus meer mensen die dingen doen op hun computer, en een van die dingen is virussen programmeren. Er zijn echter niet zoveel mensen die virussen in het wild vrijlaten. Het probleem is dat de infrastructuur toestaat dat een virus zich zeer snel verspreid."
Wat voor motieven hebben virusmakers?
Gordon "De motieven variëren van nieuwsgierigheid, uitingen van 'liefde' of 'bewondering', de wens een politiek statement te maken, indruk maken op leeftijdgenoten tot provocatie. Virusmakers rechtvaardigen hun bezigheden door te veronderstellen dat ze met 'nieuw' onderzoek bezig zijn of dat ze het 'recht' hebben om te experimenteren met programma's die zichzelf vermenigvuldigen. Sommigen geloven dat ze niemand kwaad doen. Dit soort redeneringen waarmee virusschrijvers zich distantiëren van hun verantwoordelijkheid en de gevolgen van hun daden zijn heel gebruikelijk."
Heeft u door de jaren heen veranderingen waargenomen in de motieven?
Gordon "Nee, ze zijn niet veel veranderd. Virusschrijvers beëindigen hun activiteiten omdat ze vinden dat ze er te oud voor geworden zijn of een verantwoordelijke baan hebben. Maar er komen steeds weer nieuwe virusmakers bij, met dezelfde dromen, en die maken weer dezelfde cyclus door."
Dan verandert er dus nooit iets?
Gordon "De afgelopen jaren is de virusscene wel iets opener geworden. De bereidheid om te discussiëren over het maken van zichzelf vermenigvuldigende programma's is groter. Die openheid beperkt zich nu nog tot een kleine groep. Ik verwacht dat het nog een generatie duurt, of iets langer, tot er echt iets verandert. Virusbestrijders moeten dan wel door blijven gaan met voorlichting aan jonge mensen en blijven praten met virusmakers."
Helpt juridische actie tegen virusschrijvers?
Gordon"Er zijn al heel lang wetten die het maken en verspreiden van virussen verbieden, maar we zien geen positief verband tussen deze wetten en het aantal virussen dat problemen veroorzaakt. Er moeten natuurlijk wetten zijn tegen computercriminaliteit, maar ze weerhouden mensen er niet van om virussen te schrijven."
Veel virussen worden gemaakt met kant-en-klare virus construction kits die vrijelijk verkrijgbaar zijn op internet. Zou het helpen als die verwijderd zouden worden?
Gordon "In veel landen is het niet verboden om zulke programma's op het net te zetten. Het is juridisch niet mogelijk om alle virus construction kits te verwijderen. Wat wel helpt zijn sociale sancties. Laat internetaanbieders weten dat je het er niet mee eens bent dat zulke programma's voorkomen binnen een virtuele gemeenschap. Providers kunnen ook hun acceptable use policy zo opstellen dat klanten geen viruscreatieprogramma's online mogen zetten."
Hoe onderhoudt u contacten met de virusscene? Infiltreert u in chatrooms of nieuwsgroepen?
Gordon "Ik ben erg open over wie ik ben. Ik maak er geen geheim van dat virussen en het maken van virussen mij interesseren. Ik bezoek wel eens een chatroom, maar de meeste contacten vinden plaats via e-mail en de telefoon. Ik bezoek ook hackersconferenties en andere conferenties waar ik virusmakers persoonlijk ontmoet."
Hoe open moeten bedrijven en overheidsinstellingen zijn over virusaanvallen? Het Amerikaanse ministerie van Defensie heeft bijvoorbeeld onlangs bekend gemaakt dat tien procent van de computersystemen besmet was geraakt met Code Red. Is het wel verstandig om zo open te zijn?
Gordon "Dat hangt van het bedrijf of de instelling af, denk ik. Elk bedrijf moet die beslissing zelf maken. Veel bedrijven en overheidsinstellingen rapporteren virusuitbraken aan WildList, een organisatie die een databank van alle voorkomende virussen en oplossingen heeft. Op die manier wordt nuttige informatie over virussen en kwetsbare systemen wel openbaar zodat anderen voorzorgsmaatregelen kunnen treffen, maar blijven de besmette bedrijven anoniem."
Wat kan de antivirusindustrie doen om te voorkomen dat nieuwe programma's en netwerkprotocollen kwetsbaar zijn voor virussen?
Gordon"Virussen kunnen zich zo snel verspreiden door de functionaliteit in programma's, denk aan het adresboek van Outlook. Zo lang gebruikers die functionaliteiten willen, kunnen virussen in korte tijd veel computers besmetten. Kwetsbaarheden kunnen beperkt worden als applicaties zorgvuldiger worden geprogrammeerd."
Wat vindt u van 'agressieve virusjagers' zoals computerwormen die bugs in servers repareren of bots die virussen op het internet onschadelijk maken? Kunnen virusbestrijders gebruik maken van dezelfde technieken als virusmakers of is dat onethisch?
Gordon "Dit idee wordt om de zoveel tijd geopperd. Het is en blijft een slecht idee. Niet omdat virusschrijvers het ook doen. Tenslotte eten ze, slapen ze en luisteren ze ook naar muziek net als wij. Gedrag is niet onethisch omdat 'zij' het doen. Virussen onschadelijk maken met behulp van wormen of bots is een slecht idee omdat het een technologisch inferieure methode is om het probleem op te lossen. Er zijn veel geavanceerdere en veiliger oplossingen."
Kunnen virussen worden ingezet in een cyberoorlog? Is het mogelijk om een virus te ontwerpen dat alle processorcapaciteit in de hele wereld uitschakelt?
Gordon "Alle processorcapaciteit in de hele wereld? Dat is zeer onwaarschijnlijk. Virussen kunnen, theoretisch gezien, een deel van het internet tijdelijk platleggen. Maar internet is een erg robuust netwerk."
In hoeverre werken antivirusbedrijven samen om de dreigingen van virussen tegen te gaan?
Gordon "Antivirusbedrijven werken op verschillende manieren samen. De meeste rapporteren aan WildList en zijn lid van het ICSA Product Developers Consortium, een internationale organisatie die gezamenlijke doelen nastreeft zoals standaardisatie voor antivirusprogramma's en producttesten. Bedrijven ontmoeten elkaar regelmatig om informatie uit te wisselen op conferenties van het Virus Bulletin, het European Institute for Computer Anti-Virus Research (EICAR) en de Association of Anti-Virus Asia Researchers (AAVAR). Er wordt op alle fronten samen gewerkt. Ik sta daar heel positief tegenover."
Er zijn elke maand wel een paar angstaanjagende viruswaarschuwingen. Achteraf blijken de meeste virusssen minder schadelijk dan gedacht. Het gevaar is dat bedrijven door de bomen het bos niet meer zien en belangrijke waarschuwingen over het hoofd zien. Hoe kunnen managers een onderscheid maken tussen serieuze viruswaarschuwingen en minder belangrijke?
Gordon "Managers hebben betrouwbare bronnen nodig. Ze kunnen het beste een goede beveiligingsdeskundige aannemen en ervoor zorgen dat die voldoende middelen heeft om zijn of haar werk goed te doen. De beveiligingsdeskundige moet regelmatig overleggen met de leverancier van antivirussoftware. Hij moet de informatie van het antivirusbedrijf combineren met zijn kennis van het bedrijfssysteem en vervolgens besluiten wat voor risico een pas ontdekt virus vormt en welke actie hij moet ondernemen."
Is virusbescherming alleen een taak voor de technische staf of moet ook het hogere management zich bezighouden met virusdreigingen?
Gordon "Het management kan helpen door ervoor te zorgen dat het beveiligingsbeleid duidelijk is. Ieder bedrijf moet bijvoorbeeld een protocol hebben waarin staat wie de e-mails over virussen en hoaxes verstuurt. Dat voorkomt niet alleen verspilling van middelen en menskracht, maar ook de verspreiding van verkeerde informatie. De directie moet er ook voor zorgen dat de behoeftes van een bedrijf aan beveiligingssoftware en antivirussoftware in kaart worden gebracht en de beste oplossing wordt gekozen. Het is niet alleen belangrijk dat antivirussoftware 100 procent van de bekende virussen ontdekt en onschadelijk maakt, het product moet ook op de juiste wijze gebruikt worden. Er moeten voldoende technische medewerkers zijn die weten hoe ze het bedrijf moeten beveiligen."
Hoe ziet antivirussoftware er over vijf jaar uit?
Gordon Gordon "Ik denk dat virusbeschermingssoftware onzichtbaar wordt voor de gebruiker. Het doel is naadloze bescherming voor het hele bedrijf. Wat betreft de technologie, denk ik dat de heuristiek nog veel beter zal worden. Zowel de contentfiltering als het blokkeren van ongewenst gedrag worden steeds beter. Als alles werkt zoals het moet werken, is de gebruiker optimaal beschermd. Hij kan gewoon zijn werk doen en hoeft zich niet druk te maken om virussen."
Sarah Gordons onderzoek naar virusschrijvers is te vinden op haar homepage: www.badguys.org
(Verschenen in Informatiebeveiliging, december 2001)
