Onderstaande bijdrage is afkomstig uit het boek "Informatiebeveiliging". Uitgegeven door Weka Uitgeverij.
Virus en antivirus Ontwikkeling.
Er was eens een professor die onderzoek deed naar zichzelf reproducerende computerprogramma's, op grond van theorieën die eind jaren veertig waren opgesteld en met behulp van de eerste praktische ontwikkelingen uit de jaren zestig.
Deze professor, Fred Cohen, gebruikte in het begin van de jaren tachtig als eerste de term 'virus'. Zijn definitie van een virus is: 'Een programma dat andere programma's kan infecteren door deze zodanig te veranderen dat er een kopie van zichzelf in ondergebracht wordt.' De keuze voor de term virus is begrijpelijk, want het biologische equivalent heeft een analoge functie. De eerste virussen ontstonden door zuiver toeval. In de beginjaren van de computertechniek experimenteerden programmeurs met het gelijktijdig draaien van meerdere programma's op een enkele computer. Als gevolg van programmeerfouten werden gegevens op een willekeurige wijze vernietigd. Onderzoek wees uit dat ze 'toevallig' een virus hadden ontwikkeld, dat niet alleen zichzelf vermenigvuldigde, maar ook gegevens wiste of verminkte.
Publicaties.
Zoals dat in de wereld van de technologie gaat, volgden er publicaties over de achtergronden van deze problemen. Deze publicaties waren uitsluitend bedoeld om andere onderzoekers en programmeurs te ondersteunen in hun werk. Dat was in eerste instantie ook het geval, maar voor de grap werden er ook virussen ontwikkeld om binnen het bedrijf collega's de stuipen op het lijf te jagen met ongevaarlijke schermmeldingen. Die onschuldige schermmeldingen groeiden uit tot acties als het laten vastlopen van de computer van het slachtoffer, waarna een herstart noodzakelijk was om het systeem weer normaal te laten draaien, tot het wissen van alle gegevens op de vaste schijf.
Eerste virus.
Het eerste virus dat echt werd verspreid onder pc-gebruikers was een bootsector- en stealthvirus, dat in 1987 onder de naam Brain uitsluitend floppy's (toen alleen nog van 360 KB) aantastte. Het werd ontdekt in de universiteit van Delaware. Vrij kort daarna werd het Jeruzalem-virus in Israël ontdekt, dat tegenwoordig nog wel eens de kop opsteekt. In principe waren dit nog vrij onschuldige virussen. In de jaren daarna groeide het aantal virussen en de agressiviteit ervan gestaag en ontstond de vraag naar antivirussoftware. Er werd serieus onderzoek gedaan naar de oorsprong van de programmering van virussen, zoals dat ook tegenwoordig gebeurt. De bescherming van software op commerciële basis was hiermee ontstaan. Een van de pioniers op dit terrein was IBM, dat onderzoek deed ten behoeve van de beveiliging van de eigen systemen.
Trojaans paard.
De virusontwikkelaars zaten echter ook niet stil. Eind jaren tachtig ontstond het zogenaamde Trojaanse paard (Trojan horse), waarna al snel meer complexe virussen werden ontwikkeld, die zelf nieuwe stammen konden vormen. De nieuwe stammen waren ongevoelig voor de bestrijding door antivirussoftware van de oorspronkelijke stam. Met de toename van de aandacht voor virussen groeide ook de angst bij de computergebruiker. Een voorbeeld: in 1991 openbaarde zich het Michelangelovirus. Die naam had het virus te danken aan de ellende die het aanrichtte: op de verjaardag van Michelangelo, 6 maart, werden enkele honderdduizenden computers onbruikbaar gemaakt. Het is een van de eerste virussen die in de pers veel aandacht hebben gekregen. De niet geheel terechte paniek die het gevolg was, heeft voor de grote naamsbekendheid ervan gezorgd.
EICAR.
Begin jaren negentig waren er al enkele honderden virussen. Om voor de toekomst de krachten tegen al dit kwaad te kunnen bundelen werd in Hamburg het European Institute for Computer Antivirus Research, kortweg EICAR, opgezet. Door het uitwisselen van de broncode van virussen en strategieën voor de bestrijding probeert dit samenwerkingsverband een vuist te maken tegen de ontwikkelaars. Na het succes van het Michelangelo-virus deed het woord 'computervirus' of slechts 'virus' in de pers miljoenen computergebruikers al de angst om het hart slaan. In veel gevallen - dat geldt ook tegenwoordig nog - is het min of meer loos alarm. Van de vele duizenden virussen die er in de loop der jaren zijn verspreid, zijn er slechts enkele honderden echt gevaarlijk in de zin van bijvoorbeeld het vernietigen van gegevens.
Internet.
Met de groei van internet in de tweede helft van het laatste decennium van de vorige eeuw is het aantal virussen en het aantal slachtoffers ervan explosief gestegen. De mogelijkheid tot het aanbieden van informatiebestanden, programma's, afbeeldingen en muziek en het ongevraagd toezenden van e-mail was voor kwaadwillenden een ideale gelegenheid om hun praktijken uit te breiden. Een gemakkelijker verspreiding was haast niet denkbaar: je biedt op een internetsite iets 'leuks' gratis aan dat vrijwel iedereen wil hebben en het virus wordt als 'extraatje' verborgen meegestuurd. Virussen met duistere namen als Natas (satan), Junkie en Pathogen openbaarden zich. Naar aanleiding hiervan kwam de ontwikkeling en commercialisering van de antivirussoftware echt op gang.
Virussen en de opkomst van 32-bits besturingssystemen.
De introductie van het 32-bits besturingssysteem Windows 95 zorgde voor een nieuw type virus, het macrovirus. De eerste versies werden uitsluitend aangetroffen door gebruikers van Microsoft Word, maar deze werden al snel gevolgd door versies voor Microsoft Excel en andere applicaties. Zowel bestanden op de Mac als op de pc werden erdoor geïnfecteerd. In eerste instantie werden de ontwikkelaars van antivirussoftware voor een groot probleem gesteld: hoe konden ze onderscheid maken tussen 'echte' macro-instructies en virusinstructies? Na een aantal echte miskleunen van de producenten van antivirussoftware kon ook dit type virus met succes worden aangepakt. Er moest hard worden gewerkt, want in ruim een jaar tijd werden meer dan duizend nieuwe macrovirussen ontdekt. Ze behoren nog steeds tot de meest verspreide digitale kwelgeesten.
Een vrij recent type virus is de zogenaamde 'worm'. Dit type nestelt zich ergens in de computer en kan, al dan niet automatisch, gegevens uit de computer versturen - met name via internet - naar een adres dat door de ontwikkelaar van het virus in de worm is opgenomen. Eigenlijk valt de worm in het grijze gebied tussen virussen en hackergereedschappen. Samenvattend kunnen we stellen dat de ontwikkeling van virussen, van de eerste relatief onschuldige bootsectorvirussen tot de meest geavanceerde recente macro- en wormvirussen, even explosief is verlopen als de ontwikkeling van de computer en de bijbehorende applicaties. Alles bij elkaar zijn er al meer dan 50.000 typen bekend, die zoals gezegd voor het grootste deel vrijwel onschuldig zijn. Ongeveer 75 procent daarvan is tegen .exe-bestanden gericht. Bij zo'n 20 procent gaat het om macrovirussen en de rest bestaat uit bootsectorvirussen. Tegenwoordig komen er per dag ongeveer 25 nieuwe typen of varianten van bestaande virussen bij, waarvan bijna 90 procent macrovirussen zijn.
Hackers, crackers en scriptkiddy's: helden of criminelen?
Het is al meer dan 125 jaar geleden dat de eerste hackers werden gesignaleerd. Een groep tieners tapte ergens in de Verenigde Staten een gloednieuwe telefooninstallatie af. Dat is toch geen 'hacken?' zult u denken. Toch wel, want een moderne hacker doet in principe niets anders dan het aftappen van een informatiestroom om die eventueel te manipuleren.
Inbreken.
Het inbreken in computersystemen was voor de komst van bedrijfsnetwerken en internet nog vrij gemakkelijk te voorkomen door computers fysiek af te schermen en alleen geautoriseerde personen toegang te verlenen tot de gevoelige systemen. Met de komst van de netwerktechnologie werd het mogelijk om toegang tot een computer te krijgen zonder daadwerkelijk aan het toetsenbord daarvan te hoeven zitten. De in het begin nog vrij simpele beveiligingstechnieken met eenvoudige wachtwoorden konden gemakkelijk worden gekraakt, waarmee de hacker was geboren.
Hacker of cracker.
In het begin van het computertijdperk wordt alleen de term 'hackers' gehanteerd. Het zijn computerfreaks die proberen om programma's tot prestaties te dwingen die standaard niet beschikbaar zijn. Ze bezitten veel kennis van zaken en hebben dan bovendien nog een vrij positief imago. Hackers hebben in die periode ook zeker in positieve zin bijgedragen aan de ontwikkeling van software. Een hacker is dus echt een man van de praktijk. Een man, want uit onderzoek is gebleken dat er slechts bijzonder weinig vrouwen tot deze groep behoren. In de loop der jaren zijn de activiteiten van hackers nogal uiteen gaan lopen. De ene groep probeert informatie uit een computer te halen om daar op een af andere manier beter van te worden, bijvoorbeeld door het verkopen van bedrijfsgevoelige informatie aan de concurrent van het bedrijf waarvan de gegevens zijn gestolen. Hiervoor wordt tegenwoordig meestal de term 'crackers' gebruikt. De andere groep probeert juist in te breken om aan te tonen hoe onveilig een bepaald systeem is en werkt ook altijd onder de eigen identiteit. Alleen deze groep wordt nu nog als 'hackers' aangeduid.
Virus en antivirus : Zinvol werk.
Het verschil tussen hackers en crackers is dus vrij groot. In het algemeen beschikt de hacker over meer kennis op computergebied dan de cracker. Hij werkt vaak alleen en meestal op de grens van wat wettelijk is toegestaan. Toch verrichten hackers ook zinvol werk, zoals het lamleggen van sites met kinderporno of fascistische inhoud. De cracker daarentegen is meer een kuddedier dat in kleine groepen opereert, ideeën en crackhulpprogramma's uitwisselt en alle wettelijke grenzen overschrijdt. Crackers houden hun identiteit geheim en opereren onder de meest fantastische namen, zoals Legion of Doom, Acid Phreak en Fry Guy. De laatste heeft op het netwerk van MacDonalds ingebroken. Of hij toen zijn bijnaam al had, vertelt het verhaal niet.
Illegale markt.
Het inbreken op netwerken is slechts een van de bezigheden van crackers. Ook het kraken van sleutels voor software is een belangrijke activiteit. Met de gekraakte, vaak universele sleutel kan dure software gemakkelijk worden gekopieerd en vermenigvuldigd en tegen een spotprijs op de illegale markt worden aangeboden. Daar kan bijvoorbeeld het complete pakket met de nieuwste grafische producten van het softwarehuis Adobe, zoals Illustrator, PhotoShop en Acrobat, voor een bedrag van rond de 50 euro worden aangeschaft. De officiële versies van deze applicaties kosten samen meer dan het dertigvoudige. Veel van dergelijke 'cracks' zijn ook vaak gratis van speciale internetsites te downloaden, inclusief een passend registratienummer of een geschikte productsleutel. De aanbieders halen hun inkomsten dan uit betaalde reclame voor pornografie.
Dat crackers veel schade toebrengen aan computersystemen en de software-industrie ernstig benadelen, zal duidelijk zijn. Hun eerder genoemde 'goede werk' is slechts een kleine pleister op de wonde. Exacte cijfers over de omvang van de schade zijn niet bekend, omdat de gemiste verkoop als gevolg van illegale kopieën slechts is te schatten. Bovendien geven veel bedrijven geen informatie over eventueel (voor de cracker) succesvolle aanvallen. Hierbij speelt ongetwijfeld een belangrijke rol dat men zich schaamt voor de eigen kwetsbaarheid en er geen ruchtbaarheid aan wil geven dat de beveiliging heeft gefaald. Dat de economische schade over de hele wereld jaarlijks in de honderden miljoenen, zo niet in de miljarden loopt, is zeker. We hebben hier dus inmiddels te maken met een volwassen vorm van criminaliteit, die niets meer van doen heeft met de 'speelse' activiteiten van de eerste hackers en crackers, die nog als een veredelde vorm van kattenkwaad konden worden gezien en met een waarschuwing en een glimlach konden worden afgedaan.
Scriptkiddy.
Naast de hackers en crackers heeft zich de afgelopen jaren een nieuwe groep computercriminelen ontwikkeld: de scriptkiddy's. In tegenstelling tot de hackers en crackers, die meestal over veel kennis en ervaring op computergebied beschikken en in het algemeen gestructureerd te werk gaan, worden de tactieken van de scriptkiddy's - die nog het best te omschrijven zijn als 'digitale hangjongeren' - gekenmerkt door willekeur en chaos. Het gaat hen alleen om de 'kick van het kraken'. Hierdoor worden ook sites van particulieren en kleine ondernemingen bedreigd, die voor de echte hackers en crackers meestal niet interessant zijn. Een extra reden dus om op uw hoede te zijn!
Hackers, crackers, scriptkiddy's en virussen
Hackers.
Bovenstaand is het verschil tussen hackers, crackers en scriptkiddy's al kort ter sprake gekomen. Hackers beschikken in principe over veel computerkennis en passen die toe om zwakke plekken in bestaande computersystemen op te sporen en aan de kaak te stellen. Ze zijn niet bang om onder hun eigen naam te werken en houden zich aan een duidelijke 'beroepsethiek'. Afgezien van het feit dat veel van hun activiteiten wettelijk niet zijn toegestaan of op de grens van het toegestane balanceren, is er ook veel goeds uit voortgekomen. Zo is de huidige professionele UNIXomgeving voor een deel door inspanningen van hackers tot stand gekomen. Datzelfde geldt min of meer voor internet. Er worden tegenwoordig door bedrijven zelfs serieuze contracten met hackers gesloten om nieuwe software te ontwikkelen of bestaande (beveiligings)systemen te verbeteren. De gemiddelde computergebruiker hoeft zich dus geen zorgen te maken over de activiteiten van hackers. Ze kunnen er hooguit direct of indirect profijt van hebben. Binnen de 'hackers-familie' zijn enkele afsplitsingen te vinden, zoals de zogenaamde hacktivists, hackers die met een politiek of ethisch doel hun activiteiten ontplooien en daarmee soms opmerkelijke resultaten bereiken. Zo hebben hacktivists al een dag na de aanslagen op 11 september 2001 de site van de Afghaanse overheid lamgelegd. Verder heeft zich op initiatief van de Duitser Kim Schmitz een aantal hacktivists gegroepeerd onder de naam Yihat (Young Intelligent Hackers Against Terror) met het doel informatie te verzamelen over terroristen en hun geplande activiteiten en die door te geven aan de belanghebbende Amerikaanse instanties. Daarnaast zijn er de zogenaamde white-hats, hackers die heel bewust volledig binnen de grenzen van de wet werken.
Crackers
Waar de computergebruiker vooral voor op zijn hoede moet zijn, zijn de crackers. Dat zijn de inbrekers en dieven, die met name internet als hun werkterrein hebben. Maar niet alleen computergebruikers lopen gevaar het slachtoffer te worden van een cracker. Ook (mobiele) telefoonsystemen blijven niet gespaard voor hun dubieuze handelingen. Een echte hacker wil dan ook niets te maken hebben met een cracker. De cracker wordt door hem gestigmatiseerd als een lui en niet al te slim individu zonder enig verantwoordelijkheidsgevoel. Helaas worden in de pers hackers en crackers nogal eens verwisseld. Dat is begrijpelijk, want veel crackers geven zich uit voor hackers in de berichten die ze achterlaten na het uitvoeren van hun activiteiten. Scriptkiddy's doen vaak hetzelfde. Voor alle duidelijkheid: in relatie tot het hoofdonderwerp van deze uitgave, het beveiligen van de gegevens in de pc op de werkplek en in een netwerk, hebben we eigenlijk alleen met crackers en scriptkiddy's te maken. Voor het gemak scharen we ze hier allemaal onder de 'crackers'.
Doel van een aanval
Het doel van de cracker is in beginsel zoveel mogelijk schade toe te brengen aan zijn slachtoffer en daar zo mogelijk zelf beter van te worden. Die schade kan bestaan uit:
vernietigen van gegevens;
diefstal van gegevens;
sabotage van verbindingen;
een combinatie van de eerste drie.
Gegevens vernietigen.
Het inbreken en vervolgens uitsluitend vernietigen van gegevens heeft voor de cracker meestal weinig nut, afgezien van de kick die hij er ongetwijfeld van zal krijgen. Voor een weldenkend mens een onbegrijpelijke actie, die als 'zinloos computergeweld' kan worden betiteld. Voor het slachtoffer is het in de meeste gevallen uithuilen en hopen dat de back-up van de gegevens voldoende actueel is om te kunnen worden gebruikt voor het opnieuw opbouwen van het computersysteem. In de meeste gevallen is daarmee de kous af. Helaas komt deze crackersactiviteit in ons land het meest voor. Hoewel het midden- en kleinbedrijf er maar weinig mee wordt geconfronteerd, worden er in het criminele circuit opdrachten aan crackers verstrekt om in te breken en gegevens te vernietigen. Dergelijke acties komen meestal voort uit concurrentieoverwegingen.
Diefstal van gegevens.
Het stelen van gegevens uit een computer(netwerk) kan twee redenen hebben, namelijk chantage of misbruik door de cracker zelf of door een concurrent van de gedupeerde. In het geval van chantage worden de bestanden door de cracker uit het bestandssysteem van de aangevallen computer gehaald, waarna de gedupeerde de bestanden kan terugkrijgen na betaling van een bepaald bedrag. De cracker kan de betreffende bestanden in het systeem van het slachtoffer eventueel ook zodanig manipuleren dat ze alleen met een door hem ter beschikking gestelde sleutel - uiteraard na betaling - weer leesbaar zijn te maken. Terwijl chantage met gestolen gegevens in het midden- en kleinbedrijf in ons land niet of vrijwel niet voorkomt, zijn wel gevallen bekend van diefstal van gegevens, die vervolgens aan een concurrent werden doorgespeeld. Hiervan kunnen bijvoorbeeld bedrijven die een eigen ontwikkelingsafdeling hebben het slachtoffer worden. Het bewijs of dergelijke acties al dan niet in opdracht van de concurrent zijn uitgevoerd, is in de praktijk moeilijk te leveren. Diefstal van bijvoorbeeld creditcardnummers of pincodes komt wel regelmatig voor, met name via internetverbindingen. De cracker kan dan zijn inkopen op internet doen met het gestolen nummer, met als groot voordeel dat met name met creditcards wereldwijd kan worden betaald. Het slachtoffer merkt de diefstal meestal pas op wanneer er bedragen van zijn of haar rekening worden afgeschreven waarvoor hij of zij zelf geen opdracht heeft gegeven.
Sabotage van verbindingen.
Het saboteren van netwerkverbindingen kan met name in wat grotere bedrijven veel schade veroorzaken, omdat de continuïteit van het werk er meestal ernstig onder te lijden heeft. De cracker kan de verbindingen bijvoorbeeld verstoren door het softwarematig saboteren van routers in het netwerk. Dergelijke aanvallen komen meestal voort uit een verlangen tot ordinaire 'pesterij' bij de cracker en hebben zelden tot doel de gedupeerde oneerlijk te beconcurreren. Bedenk dat niet alleen bedrijven met netwerkverbindingen tussen meerdere computers hiervan het slachtoffer kunnen worden. Ook de relatief eenvoudige netwerkverbinding met internet in een stand alone-pc kan het doel van de aanval van de cracker zijn.
Combinatie.
Vanzelfsprekend zijn er diverse mogelijkheden om de twee hiervoor genoemde aanvallen te combineren. In combinatie met diefstal van gegevens kan bijvoorbeeld een wis- of herstart- en formatteringsopdracht worden gegeven. Dat heeft voor de cracker het voordeel dat mogelijke sporen van zijn handelen ook worden gewist en hij in de anonimiteit kan verdwijnen. Werkwijze en resultaat. De meeste systeembeheerders en pc-gebruikers op de werkplek gaan ervan uit dat een mogelijke aanval van crackers van buiten het bedrijf komt en dat die aanval ook daadwerkelijk van buitenaf, met name via de internetverbinding, wordt uitgevoerd. Dat is een ernstige misvatting, want de gevaren die van binnen het bedrijf op gevoelige gegevens loeren zijn zeker zo groot.
Mogelijkheid onderschat.
De mogelijkheid van een interne aanval wordt vaak onderschat, omdat het vertrouwen van de bedrijfsleiding en werknemers in hun collega's zo groot is dat ze niet verwachten dat die de bedrijfsgegevens waartoe ze normaal gesproken geen toegang hebben, zullen inzien, stelen of anderszins misbruiken. Toch kan de gewone menselijke nieuwsgierigheid gemakkelijk omslaan in een ongezonde nieuwsgierigheid als de verleiding erg groot wordt gemaakt. Wanneer bepaalde bedrijfsgegevens, zoals toekomstplannen die invloed kunnen hebben op de personeelsbezetting en die de reorganisatie of verhuizing van het bedrijf tot gevolg kunnen hebben, op het verkeerde moment bij het personeel bekend worden, kan dat onrust veroorzaken. Bovendien kan een onjuiste interpretatie van de gegevens nog eens voor extra onrust zorgen. Het kraken van gegevensbestanden hoeft dus zeker niet alleen informatie te betreffen die voor een concurrent of saboteur van belang kan zijn. Naast de eigen werknemers kunnen ook ingehuurde krachten, servicepersoneel van hard- en softwarebedrijven of schoonmakers potentiële crackers zijn. Vaak wordt hun gemakkelijk en zonder enige achterdocht de weg gewezen naar bepaalde ruimten waar pc's staan met gevoelige informatie of netwerktoegang. Ze kunnen dan in alle rust hun 'werk' doen.
Let op! Meer dan negentig procent van de schade als gevolg van diefstal of gegevensmanipulatie wordt veroorzaakt door interne aanvallers.
Kraken vrij eenvoudig.
In veel gevallen is het kraken van een pc vrij eenvoudig. Heeft de cracker fysiek toegang tot de pc waarop de gegevens zijn opgeslagen, dan kan het wachtwoord gemakkelijk worden omzeild door de betreffende computer op te starten met een opstartdiskette of cd-rom. Hierbij geldt als voorwaarde dat de BIOS-instellingen van die pc zodanig slordig zijn uitgevoerd dat het rechtstreeks booten vanaf diskette of cd-rom mogelijk is. Helaas is dat vaak het geval. Een andere methode van de kwaadwillige is het bespioneren van de invoer van het wachtwoord op het moment dat de betreffende pc wordt opgestart. De cracker kan dan met de verkregen informatie zelf de pc op de normale wijze opstarten als de geautoriseerde gebruiker afwezig is, bijvoorbeeld in de lunchpauze of na werktijd. Als de cracker een beetje geluk heeft, krijgt hij dan ook meteen toegang tot het netwerk. Gaat het om de pc van een gebruiker met toegangsrechten tot uiterst vertrouwelijke gegevens, dan is de ellende niet te overzien.
Let op! Het is dus zelfs zonder enig hulpprogramma of specialistische kennis mogelijk toegang tot een pc of netwerk te verkrijgen.
Via vrije aansluitingen.
In veel bedrijven is een vrij uitgebreide infrastructuur voor het netwerk gelegd. Tijdens de opbouw hiervan wordt rekening gehouden met mogelijke uitbreiding ervan. Er bevinden zich dus op allerlei plekken in het bedrijf vrije werkstationaansluitingen. Dat is heel handig, maar vanuit het oogpunt van de gegevensbeveiliging is deze flexibiliteit een groot bezwaar. Er kan ongemerkt een laptop worden aangesloten, waarmee het dataverkeer kan worden afgeluisterd en gemanipuleerd.
Via het bedrijfsnetwerk.
Heeft een aanvaller eenmaal toegang tot het netwerk, dan kan met eenvoudige hulpmiddelen het netwerkverkeer worden afgeluisterd. Dergelijke hulpmiddelen zijn vrij van verschillende internetsites te downloaden en worden vaak als gewone gereedschappen voor netwerkbeheer aangeboden. Tijdens het afluisteren van het netwerkverkeer kunnen dan wachtwoorden en gebruikersnamen worden genoteerd van gebruikers die toegang hebben tot de gewenste informatie. Wordt deze actie 's morgens uitgevoerd, als de meeste werknemers hun werkstation opstarten en hun gebruikersnaam en wachtwoord voor de aanmelding op het netwerk invoeren, dan heeft de aanvaller in een oogwenk een hele verzameling accountgegevens. Op een later tijdstip kan hij de gewenste informatie dan bekijken en eventueel kopiëren door in te loggen met een van de verkregen combinaties van gebruikersnaam en wachtwoord. Een andere methode van aanvallen is het (softwarematig) onderbreken van de communicatie tussen twee pc's om daar vervolgens als een soort doorgeefluik tussen te gaan zitten. De aanvaller kan dan actief bepaalde gegevens aan de onderschepte berichten toevoegen of wijzigingen aanbrengen en ze vervolgens doorsturen naar de geadresseerde ontvanger. Hiermee kan de ontvanger van het bericht op het verkeerde been worden gezet en worden aangezet tot de acties die de aanvaller wenst. Als bijvoorbeeld het bericht 'Koop geen nieuwe aandelen van ...' wordt veranderd in 'Koop honderd nieuwe aandelen van ...' kan dat voor de afzender van het oorspronkelijke bericht nadelige gevolgen hebben. Nog vervelender wordt het als er bijvoorbeeld met bankrekeningnummers kan worden gemanipuleerd. De aanvaller vult dan in een onderschepte betalingsopdracht een door hem beheerd nummer in, zodat de betreffende betaling daar naartoe wordt overgeschreven.
Denial of service.
Wordt de overdracht van de gegevens tussen afzender en ontvanger te veel vertraagd of wordt er een te grote hoeveelheid gegevens verzonden, dan kan het totale communicatiesysteem worden ondermijnd. Zo kan door een permanente verbindingsopbouw naar een server die server worden geblokkeerd. Er wordt in dat geval gesproken over een DoS-aanval, waarbij DoS staat voor 'denial of service' (dienstweigering). Een DoS-aanval heeft dus niets te maken met DOS, het besturingssysteem van Microsoft.
Maskeradeaanval of spoofing.
Een ander type aanval is de zogenaamde maskeradeaanval of spoofing. De naam zegt het eigenlijk al: de cracker houdt als het ware een masker voor en doet of hij iemand anders is. Op die manier kan de aanvaller opdrachten verstrekken aan een medewerker onder de naam van zijn superieur of toegang krijgen tot gegevens waarvoor die medewerker normaal gesproken geen toestemming heeft. Virussen : Hoe werkt een virus?
De werking van een virus.
Stel dat een bepaald bestand is geïnfecteerd. Dat kan ieder type bestand zijn, variërend van programmabestanden en gegevensbestanden tot onderdelen van het besturingssysteem. Laten we aannemen dat het standaard-documentsjabloon (normal.dot) van Microsoft Word is geïnfecteerd. Zodra Word wordt opgestart, zal normal.dot worden geladen. De programmacode van normal.dot is tijdens de infectie zodanig gewijzigd dat in plaats van de gebruikelijke functies die van het virus worden uitgevoerd. Meestal zijn daarvoor de eerste programmaregels van het geïnfecteerde bestand zodanig aangepast dat wordt verwezen naar de programmacode van het virus, dat meestal ergens anders in het bestandssysteem is opgeslagen. Het virus kan dan zijn werk gaan doen.
Verschillende acties.
Afhankelijk van de wijze waarop het virus is geprogrammeerd, zal het direct in actie komen en bestanden gaan zoeken die het kan infecteren, al dan niet aangevuld met voor de gebruiker van de pc zichtbare gevolgen, of het wordt in het geheugen geladen om later in actie te komen. De meeste typen virussen doen meteen hun werk. Het tweede type, de zogenaamde 'memory resident' (permanent in het geheugen aanwezige) virussen wachten op een bepaalde voorgeprogrammeerde voorwaarde voordat ze echt actief worden. Met name bootsectorvirussen gedragen zich zo. Voor dergelijke virussen moet de pc immers eerst worden opgestart voordat ze iets te doen hebben. Gedurende die wachtperiode worden ze daarom in het geheugen opgeslagen.
Bijverschijnselen.
Tot zover merkt de pc-gebruiker meestal niets van het virus. Pas als de 'bijverschijnselen' worden getriggerd - lang niet alle virussen zijn daarvan voorzien - zal de gebruiker iets merken. Die bijverschijnselen kunnen voorwaardenafhankelijk zijn. Dat wil zeggen dat ze zich pas openbaren als aan een voorwaarde, zoals een bepaalde datum (1 januari en vrijdag de 13de zijn erg populair) of een bepaald aantal keren opstarten van een programma, is voldaan. De bijverschijnselen kunnen variëren van het uitsluitend tonen van een venster met een tekst of afbeelding tot het wissen van bepaalde bestanden of zelfs het formatteren van de complete harde schijf.
Verspreiding.
Momenteel is de belangrijkste verspreidingsbron van virussen internet en de daaraan verbonden activiteiten. De enige manier om volledig te worden gevrijwaard van de nare gevolgen van een virusinfectie is de pc uitschakelen en nooit weer inschakelen. Het is echter niet nodig om zulke drastische maatregelen te nemen. Een pc - al dan niet als onderdeel van een netwerk - kan met enkele relatief eenvoudige ingrepen veilig worden gebruikt voor het doel waarvoor hij is ontwikkeld. Een klein deel van de verspreiding wordt veroorzaakt door de uitwisseling van bestanden via andere media, zoals diskettes en cd-roms. Ook vormen de vele gratis of bijna gratis cd's met share- en freeware, die bijvoorbeeld bij tijdschriften worden geleverd, nog steeds een bron van infectie. Controle met een goede virusscanner vóór het gebruik van dergelijke cd's is aan te bevelen. Het gevaar van een besmetting via deze weg is echter minder groot dan enkele jaren geleden. De gerenommeerde uitgevers doen hun best om hun goede reputatie niet te schaden door het aanbieden van geïnfecteerde media. Alertheid. Alertheid op de aanwezigheid van virussen is van belang, maar overbezorgdheid is onnodig. De alertheid kan voor een belangrijk deel in het gebruik van speciale beveiligingssoftware en antivirussoftware tot uiting komen. Hiermee kan worden voorkomen dat een heel bedrijfssysteem - ook al bestaat dat uit een enkele pc van een telewerker of freelancer - lamgelegd wordt. De tegenwoordige bedrijfsvoering is immers vrijwel altijd voor een belangrijk deel of zelfs volledig afhankelijk van een goed werkend computersysteem. Alvorens we uitleggen hoe u uw gegevens en programmatuur kunt beveiligen tegen de gevolgen van een virusaanval bespreken we eerst de meest voorkomende typen en hun eigenschappen. U zult dan tot de geruststellende conclusie komen dat slechts een fractie van de duizenden bestaande virussen echt schade kan aanrichten. Denk eraan dat u op deze website altijd de meest actuele virusinformatie kunt raadplegen. Vaak richten virussen nauwelijks echte schade aan. Indien er sprake is van een gevaarlijke outbreak dan kan de gratis nieuwsbrief van deze website u snel op de hoogte brengen.
Schade door menselijke fouten.
Wij zijn echter van mening dat er in de praktijk nog steeds veel meer gegevens verloren gaan en veel meer schade ontstaat door vergissingen van de gebruiker zelf, zoals het per ongeluk wissen van back-ups, het slordig omgaan met diskettes en andere media (zoekraken van verzonden media en geen back-up gemaakt hebben...), enzovoort, dan door virussen. Hieraan wordt in de pers, zelfs in de vakpers, minder aandacht besteed dan aan het opduiken van virussen.
Typen virussen en hun eigenschappen.
Virussen worden geclassificeerd in een aantal groepen, zodat de onderzoekers ze kunnen onderscheiden op hun activiteit. Er is geen officiële lijst met klassen, maar de onderstaande opsomming geeft een vrij compleet beeld van de bekende typen virussen.
Bootsectorvirus.
Het grootste deel van alle virussen, misschien wel meer dan 80 procent, behoort tot de groep van de (master-)bootsectorvirussen, meestal kortweg met mbr-virus aangeduid. Zoals bekend mag worden verondersteld heeft iedere diskette (die van 1,44 MB, maar bijvoorbeeld ook ZIP-diskettes) en harde schijf een bootsector. De bootsector wordt gebruikt voor het initialiseren van het besturingssysteem dat op de pc of het werkstation wordt gebruikt. In de bootsector staan de gegevens over het type schijf en de indeling ervan. Iedere keer als een pc wordt opgestart, wordt de masterbootsector van de harde schijf gelezen en wordt het master-bootsectorvirus in het RAM geplaatst.
Eenvoudig te maken.
Bootsectorvirussen zijn relatief eenvoudig te maken en vermenigvuldigen zich ook gemakkelijk. Afhankelijk van het type, maar wel in de meeste gevallen, wordt het virus automatisch naar de master-bootsector van de harde schijf gekopieerd als bestanden van een geïnfecteerde diskette worden gelezen of gekopieerd. Vervolgens wordt iedere diskette die in het diskettestation wordt gebruikt, geïnfecteerd door het virus dat zich reeds in de geïnfecteerde pc bevindt. Daarmee is het kringetje rond. De diskette zal de volgende pc waarin hij wordt gelezen eveneens infecteren, enzovoort. Sommige bootsectorvirussen zijn vrij hardnekkig en vragen om een agressief antivirusprogramma om te kunnen worden verwijderd.
File-virus.
Het file-virus, ook bekend onder de oorspronkelijke aanduidingen EXE- en COM-virus, hecht zich aan programmabestanden met de extensie .exe of .com. Zodra het betreffende programma wordt opgestart, voert het virus de dubieuze taak uit waarvoor het werd geschreven. Van sommige is de aanwezigheid niet eens te merken, maar andere kunnen het programmabestand aantasten en zelfs onbruikbaar maken. Dat betekent in veel gevallen dat na het verwijderen van het virus de betreffende applicatie opnieuw moet worden geïnstalleerd. Varianten. Het file-virus kan worden aangetroffen in met name programmabestanden onder alle versies van het Microsoft-besturingssysteem Windows, Macintosh, UNIX, inclusief de VxD-drivers van Windows. Daarnaast zijn er varianten van het file-virus die andere specifieke bestandstypen infecteren, zoals OVR-, OVL-, BAT-, SYS- en DLL-bestanden. Doordat er steeds meer geavanceerde programma's met onderdelen met uitvoerbare programmacode worden ontwikkeld, nemen de mogelijkheden voor de ontwikkelaars van file-virussen ook toe.
Stealth-virus.
Vrijwel iedereen heeft wel eens over de in de militaire industrie toegepaste stealth-technologie gehoord, waarmee vliegtuigen en schepen vrijwel onzichtbaar worden gemaakt voor radar. Hieraan is ook de naam van dit type virus ontleend. Het stealth-virus probeert zich namelijk voortdurend te verstoppen, zodat het niet door een virusscanner kan worden gedetecteerd. Het virus doet dat door zichzelf bijvoorbeeld tijdelijk uit het geheugen te verwijderen.
Varianten.
Bepaalde typen stealth-virussen zijn in staat om de aanduiding van de grootte van het bestand dat ze hebben geïnfecteerd zodanig aan te passen dat de oorspronkelijke grootte - dus zonder het virus erin - wordt weergegeven. Daarnaast zijn er nog vele varianten van het stealth-virus, die alle hun eigen methode hebben om zichzelf voor virusscanners te verbergen. Dat verbergen wordt onder andere gerealiseerd door instructies van de pc om te leiden. Een stealth-virus is bijvoorbeeld in staat om een geïnfecteerd bestand dat op het punt staat te worden geopend, te desinfecteren en meteen nadat het is geopend opnieuw te infecteren.
Combinatie.
De stealth-technologie wordt vaak in combinatie met andere virustechnieken gebruikt. Zo is bijvoorbeeld de groep bootsector-stealth-virussen ontstaan, buitengewoon hardnekkige versies van het bootsectorvirus.
Polymorf virus.
Het woord polymorf betekent 'in veel gedaanten optredend'. In de viruswereld houdt polymorf in dat het virus kan muteren, waarbij een volledig nieuwe viruscode ontstaat. Iedere keer als het virus een infectie veroorzaakt, volgt een dergelijke mutatie, waarbij de nieuwe versie echter dezelfde functie houdt als de oorspronkelijke gedaante. De uiterlijke kenmerken van het virus veranderen dus, wat het voor virusscanners erg moeilijk maakt om een dergelijk polymorf virus op te sporen en onschadelijk te maken. Virusscanners kijken namelijk naar de signature (handtekening of vingerafdruk), een vaste definitie van de karakteristieken van een virus.Polymorfe virussen komen in diverse combinaties met andere typen voor. Zo zijn er polymorfe bootsectorvirussen en polymorfe macrovirussen.
Principe. De polymorfe eigenschap komt in principe als volgt tot stand:
1. Het eigenlijke virus wordt samen met een vercijferingsroutine gecodeerd en aan een bestand gekoppeld.
2. Wordt het geïnfecteerde bestand opgeroepen, dan zal het eigenlijke virus worden gedecodeerd, waarna het zijn werk kan uitvoeren.
3. De vercijferingsroutine wordt samen met het virus in het geheugen gekopieerd, waarna het virus weer wordt vercijferd en aan een ander bestand gekoppeld.
4. Tijdens het vercijferen van het virus wordt een andere sleutel voor de vercijfering toegepast, zodat de uiterlijke kenmerken van het geheel veranderen.
Multipartitievirus.
Een multipartitievirus is een soort kruising tussen een bootsectorvirus en een file-virus. Dat betekent dat het zowel bepaalde bestandstypen aantast als de bootsector infecteert. Door deze eigenschap is dit type virus een stuk moeilijker kwijt te raken dan de afzonderlijke typen waaruit het is samengesteld.
Jokevirus.
Joke is hier geen eigennaam, maar de Engelstalige aanduiding voor 'grap'. Dit type virus is dus geen echt virus, maar alleen een bestandje dat de uiterlijke kenmerken van een virus heeft. Is een jokevirus ontdekt, dan hoeft de gebruiker van het systeem zich geen zorgen te maken, want het geeft niet de nare verschijnselen die aan een echt virus zijn verbonden. Alleen de melding kan als hinderlijk worden beschouwd.
BIOS-virus.
De laatste tijd manifesteren zich regelmatig virussen die het BIOS van de pc aantasten. Het virus overschrijft de BIOS-instellingen, waarna het systeem niet meer kan worden opgestart. In principe kunnen alleen moederborden met een flash-BIOS hierdoor worden geïnfecteerd, maar aangezien de meeste moderne moederborden hierover beschikken, wordt de kans op infectie steeds groter.
Tip
Dergelijke moederborden beschikken overigens vrijwel altijd over een jumper om BIOS-flashing in of uit te schakelen. Voor het eventueel upgraden van het BIOS moet flashing echter zijn ingeschakeld.
Macrovirus.
Het gebruik van macro's is de afgelopen jaren steeds populairder geworden, met name onder de gebruikers van Microsoft Word en Excel, de vergelijkbare Corel Office-pakketten en StarOffice. Aangezien met name de eerste twee programma's op vrijwel iedere stand alone-pc of elk werkstation aan te treffen zijn - Microsoft Office is langzamerhand een standaard in de kantooromgeving geworden - vormen juist deze toepassingen een ideale omgeving voor virusontwikkelaars. Zij programmeren macro's om de ongewenste acties uit te voeren zoals die van andere virussen bekend zijn. Meer dan tachtig procent van alle nieuwe virusmeldingen betreft macrovirussen. Blijkbaar wordt ook het macrovirus een standaard. Overigens vormen de voor Microsoft-producten geschreven virussen in principe geen gevaar voor de andere office-pakketten en omgekeerd. Een macro is in principe niets anders dan een opname van een reeks taken, zoals het wisselen van font, stijl of kleur van een tekst, het kiezen van een andere printer in het netwerk of automatisch bepaalde gegevens in een document plaatsen. Wordt een macro toegepast, dan worden de erin opgenomen functies exact uitgevoerd zoals ze tijdens de opname werden ingevoerd.
Verspreiding.
De verspreiding van macrovirussen is vrij eenvoudig. Macro's zijn opgeslagen in het document waarvoor ze worden toegepast. Het door de virusontwikkelaar gemaakte virus wordt in een macro opgenomen en vervolgens in een Word of Excel-bestand verwerkt. Opent u het bestand nietsvermoedend, dan zal dus ook het virus op de computer worden losgelaten. Ook hierbij variëren de gevolgen van het niet meer kunnen gebruiken van bepaalde menuonderdelen tot het formatteren van de harde schijf.
Platformonafhankelijk
Macro's zijn platformonafhankelijk, zodat het bereik van een macrovirus bijzonder groot is. Een geïnfecteerd Wordof Excelbestand dat op een Windows-pc is aangemaakt, zal ook een Mac besmetten als het bestand daar in Word wordt ingelezen. Het grootste gevaar schuilt dus in bijlagen bij e-mails, met name als ze door een collega via het bedrijfsnetwerk worden toegezonden. Juist dergelijke bestanden worden achteloos geopend. Dat neemt echter niet weg dat macrovirussen zich ook via het 'sneaker network' verspreiden, oftewel via bestanden op diskettes. De macrovirussen worden met name geschreven voor Microsoft Word en Excel, zodat bijvoorbeeld gebruikers van WordPerfect of Quattro Pro zich geen zorgen hoeven te maken bij het openen van een Word- of Excel-bestand. De macro's van Word en Excel worden immers niet ondersteund.
Tip In het algemeen geldt: als een programma geen macro's ondersteunt, hoeft u zich geen zorgen te maken over macrovirussen. Twijfelt u aan een macro-bestand? Open het dan eerst in Wordpad, alle macro-functies worden er dan uitgehaald en kunt u toch daarna via bijv. Word het document gebruiken en bewerken.
In principe kunnen macrovirussen goed worden bestreden met de gangbare virusscanners en met speciale scanners voor macrovirussen. Het is dus niet nodig om alle macrofuncties in de betreffende programma's te deactiveren uit angst voor een aanval.
Overige infecties en problemen
Naast de traditionele virussen zijn er nog een aantal infecties van bestanden die qua uiterlijke kenmerken op virussen lijken, maar niet tot die groep mogen worden gerekend.
Trojan horse.
Een Trojan horse of Trojaans paard heeft zijn naam te danken aan het gelijknamige bouwsel dat in Homerus' verslag van het beleg van Troje als vredesteken werd opgevat en gretig door de bewoners de stad in werd gesleept, waarna Troje werd ingenomen door de soldaten die in het grote houten paard verstopt zaten. Een Trojan horse in de computerwereld werkt op vergelijkbare wijze. Het lijkt een gewoon programma(atje), maar eenmaal opgestart doet het zijn meestal desastreuze werk. Een Trojan horse is in principe geen echt computervirus, omdat het zich niet vermenigvuldigt.
Dropper.
Een dropper is een programma dat een Trojan horse transporteert en installeert op het doelsysteem. De ontwikkelaars van droppers zijn uiterst grondig te werk gegaan. Een dropper kan worden gezien als een ei, waaruit echter geen vogeltje, maar een virus komt. Een gewone virusscanner kijkt in principe alleen naar specifieke eigenschappen van een door een virus geïnfecteerd bestand. De schaal van het ei, de dropper, schermt die specifieke kenmerken van het virus af, zodat het niet door de scanner als zodanig wordt herkend. Droppers komen weinig voor, dus er is geen reden voor ongerustheid.
Worm.
De uitdrukking 'worm' zal bij sommige computergebruikers misschien de associatie oproepen met de afkorting 'write once, read many', de basis van de opslagtechnologie van bijvoorbeeld cd-roms. Een worm in de pc-virologie heeft daar niets mee te maken. Een worm is namelijk een op zichzelf staand programma dat zich kan vermenigvuldigen, maar daarbij geen programma's of databestanden infecteert. Het is dus in principe geen echt virus.
Twee typen.
Er zijn twee typen worms, namelijk een bestands- en een netwerktype. Het bestandstype zal zich in een netwerk echt verplaatsen. Dat betekent dat het zichzelf verwijdert als het van het ene netwerkstation naar het andere gaat. Er bestaat in een netwerk dus meestal maar één enkele worm van het bestandstype.
De netwerk-worm gebruikt het netwerk niet alleen om zich te reproduceren, maar ook voor de communicatie tussen de klonen onderling. De infectie bestaat dan dus uit een heel netwerk van afzonderlijke wormen.
Virus-hoax.
Een virus-hoax, oftewel een vals virus, bestaat meestal uit een waarschuwing via e-mail dat er een nieuw type virus is gesignaleerd, aangevuld met allerlei waarschuwingen dat bepaalde bestanden niet moeten worden geopend of dat een andere specifieke handeling juist wel moet worden uitgevoerd, omdat anders infectie kan optreden. Dergelijke e-mailberichten komen meestal van goede bekenden van de ontvanger en worden dus vertrouwd. Het betreft echter een flauwe grap, want het vermelde virus bestaat niet. In feite is de hoax het virus! In de waarschuwing van de goede bekende staat bovendien vaak dat het lezen van een bepaald bericht al kan leiden tot het wissen van bepaalde bestanden of zelfs het formatteren van de harddisk. Bedenk dat alleen het lezen van een e-mailbericht in principe geen virusinfectie kan veroorzaken. Het gevaar schuilt in de bijlagen die worden meegestuurd. In het e-mailbericht wordt de lezer dan ook opgeroepen c.q. verleid om de bijlage te openen. Pas dan kan het virus uit zijn ei kruipen.
Het meest recente overzicht van hoaxes vindt u hier.
Tip
Als u een virus-hoax denkt te hebben ontvangen, controleer dan de naam van het erin vermelde virus op deze website, tevens vindt u hier standaard het meest actuele overzicht van hoax-berichten. Een hoax is standaard ook meestal te herkennen aan een zinsnede als "stuur dit bericht aan zoveel mogelijk mensen door". Dit is namelijk het uiteindelijke doel van een hoax: oneindig veel copies realiseren waardoor mailservers worden overbelast.
Cracker en Trojaans paard
Een ongeluk komt zelden alleen. Dat geldt ook in het dagelijkse computerleven. Om hun doel te bereiken maken crackers vaak gebruik van bijvoorbeeld een Trojaans paard. De cracker stelt een programma samen dat bijvoorbeeld automatisch bepaalde gegevens, zoals informatie over accounts, via e-mail naar de cracker stuurt. Dit programma wordt verpakt in een Trojaans paard, dat bijna op klassieke wijze wordt aangeboden als lokaas, bijvoorbeeld in de vorm van een handige utility. Wordt dit programma door het slachtoffer binnengehaald, dan zal het na opening door het slachtoffer de gevraagde informatie naar de cracker sturen. Voor het slachtoffer gebeurt dit volledig ongemerkt op de achtergrond. Met de verkregen informatie kan de cracker dan verder zijn activiteiten ontplooien op de pc of het netwerk van het slachtoffer.
Gerichte aanval.
Dergelijke aanvallen worden soms heel bewust op bepaalde personen of bedrijven gericht, maar vaak wordt een dergelijk Trojaans paard ook 'op goed geluk' via internet verspreid. Aan de hand van de informatie die vanuit verschillende pc's en netwerken wordt teruggestuurd naar de cracker kan die kiezen wie zijn eerstvolgende slachtoffer zal zijn.
Back Orifice.
Een bekend voorbeeld van een 'backdoor Trojan horse', een programma dat een 'achterdeur' in het systeem van het slachtoffer maakt, is het programma Back Orifice, een remote access tool dat werd gemaakt door de Cult of Dead Cow en dat momenteel in de versie 2000 circuleert onder de naam BO2K. Het programma bestaat uit twee delen, een client- en een serverdeel. Het serverdeel moet worden geïnstalleerd op het systeem waartoe toegang moet worden verkregen. Het clientdeel wordt door de cracker gebruikt om zijn werk te kunnen uitvoeren. Voor het serverdeel wordt bovendien een uitgebreide configuratiewizard meegeleverd, zodat de backdoor gemakkelijk kan worden geïnstalleerd. Met BO2K is het onder andere mogelijk systemen te herstarten en te vergrendelen, wachtwoorden uit het geheugen op te vragen, toetsenbordactiviteiten te bekijken, logbestanden te manipuleren, verschillende netwerkhandelingen uit te voeren, waaronder instellingen maken voor het delen van bestanden en directory's, en volledige toegang te verkrijgen tot registerbestanden en alle schijven. Bovendien kunnen grote bestanden die van het gekraakte systeem naar de client moeten worden gestuurd, worden gecomprimeerd, zodat de verzending sneller gaat. Kortom, een indrukwekkend en uiterst gevaarlijk stuk gereedschap in handen van crackers! Bronverwijzing:
Deze bijdrage is tot stand gekomen in samenwerking met Weka Uitgeverij en de auteur Otto H. Wegkamp. De bijdrage is afkomstig uit het boekwerk:
Informatiebeveiliging
Een praktische inleiding in desktop security Otto H. Wegkamp
Het boek "Informatiebeveiliging" is een praktisch naslagwerk bedoeld voor iedere ICT-beheerder en/of internetgebruiker.
