Nieuwste wormvirussen danken succes aan overbekende zwakheden

Internetters hardleers

Onwetende internetgebruikers en een rammelend beveiligingsbeleid zijn de belangrijkste ingrediënten voor het succes van Sobig.f en Blaster de afgelopen weken. De virusschrijvers proberen met de geïnfecteerde systemen wel nieuwe dingen uit.

Te laat De meeste anti-virussoftwareleveranciers reageerden laat op de verschijning van Blaster. Een aantal internet-aanbieders, waaronder KPN-dochters Xs4all en Planet Internet, hielden Blaster tegen door via de firewall het internetverkeer op poort 135 te blokkeren. Dit vertrouwen in de expertise van de internetsector blijkt niet altijd terecht. Zo stuurde UPC zijn Chello-gebruikers het bos in door hen te verwijzen naar Engelstalige Microsoft-patches. De waarschuwingsdienst van de Nederlandse overheid Govcert stuurde dinsdagmorgen 12 augustus om 02.12 uur pas een waarschuwing uit.

De nieuwste variant van het al maanden op internet rondwarende Sobig, Sobig.f, kan alleen zijn werk doen als internetters een bijlage met het virus openen van een hen toegestuurde e-mail. Het bericht afkomstig met een onbekende afzender en met teksten als 'Wicked screensaver', 'Approved' of 're: your application' in de onderwerpregel heeft alles weg van een mailvirus. "Je zou denken dat de meeste mensen onderhand wel weten dat je zo'n bericht beter ongelezen kunt weggooien. Toch is Sobig.f ook in Nederland wijdverspreid. De enige zwakheid in het ict-systeem is in dit geval de gebruiker, die ondanks deze kennis toch op de bijlage klikt", zegt Tom Welling, technical account manager bij Symantec. Door de bijlage te openen krijgt het virus de kans om software op de pc te installeren.
Ook bij Blaster zijn het overbekende gaten in de beveiliging en een slecht patchbeleid die de basis vormen voor het succes van dit wormvirus. Blaster maakte gebruik van een halverwege juli door Microsoft bekend gemaakte buffer overflow in de dcpm rpc-module, die gebruikt wordt voor communicatie tussen clients en servers. Blaster had het voorzien op computers met Windows XP en 2000 als besturingssysteem. Ook Windows Server 2003, NT 4.0 en NT 4.0 Terminal Server Edition kennen dezelfde fout, maar werden door Blaster met rust gelaten. Veel particulieren, maar ook bedrijven bleken de aanpassing van het besturingssysteem niet te hebben geïnstalleerd gezien het succes van het wormvirus op maandag 11 augustus, ruim twee weken terug. Wereldwijd raakten in korte tijd een half miljoen pc's besmet. "Ook in Nederland hebben veel bedrijven last gehad van Blaster", stelt Welling.

IJdele hoop

Het wormvirus viel op internet aangesloten Windows XP en 2000 computers aan zonder tussenkomst van de gebruiker. Het blindelings vertrouwen op de goede werking van anti-virus software bleek bij Blaster ijdele hoop. De meeste leveranciers van antivirus-software reageerden laat op de verspreiding van Blaster. Pas dinsdagmorgen 12 augustus vroeg hadden de meeste leveranciers hun software voorzien van de juiste definities voor detectie en neutralisatie van het virus. "Het probleem bij Blaster was dat het wormvirus zich door de bufferoverflow in het computergeheugen nestelt. Het is technisch niet te doen om dit geheugen voortdurend te scannen", vervolgt Welling. Bedrijven waren alleen immuun met de juiste patches op hun machines. Een andere mogelijkheid was het dichtschroeven van poort 135 op de firewall.
Menig Nederlands bedrijf liet deze voorzorgsmaatregelen na. Een middelgroot Haarlems uitgeefbedrijf zag dertig laptops met Windows XP en 2000 geïnfecteerd door Blaster, ook al had het zijn hele computerpark van Symantecs antivirus-software voorzien. Het kostte de ict-afdeling een kleine dertig uur om alle schade te herstellen. De getroffen schootcomputers bleken niet van de benodigde patches voorzien te zijn. De mogelijkheid om aanpassingen van het besturingssysteem automatisch te laten ophalen en installeren was bij alle machines uitgezet, vanwege de ervaringen met blauwe schermen in eerdere besturingssystemen van Microsoft. De computers zijn nu wel van de juiste patches voorzien en halen voortaan automatisch nieuwe aanpassingen op.
"Met een anti-virusoplossing alleen is het bedrijfsnetwerk simpelweg nog niet adequaat genoeg beveiligd", reageert Welling op het noemen van dit voorbeeld. Veel bedrijven zijn zich volgens hem niet bewust van de gevaren die ze lopen, ook al denken zij door hun investeringen in anti-virussoftware en firewall-technologie genoeg stappen te hebben ondernomen. Het ontbreekt aan een consistent en op de proef gesteld beveiligingsbeleid. Een goed werkende firewall wordt teniet gedaan door een laptop-gebruiker die het virus buiten de bedrijfsmuren oploopt en dit meeneemt naar het werk. Achter de firewall richt het virus dan alsnog zijn schade aan. Ook weten bedrijven met een complex netwerk vaak niet of zij vatbaar zijn voor zwakheden, omdat zij niet op de hoogte zijn van alle systemen die in het netwerk benaderbaar zijn. Een bedrijf dacht bijvoorbeeld gevrijwaard te zijn van Slammer, omdat het geen sql-toepassingen gebruikte. Toch werd het netwerk besmet door twee vergeten sql-testservers.

Impact

De impact van Blaster en Sobig.f op bedrijfsnetwerken is volgens Welling vooralsnog beperkt gebleven. Zo laat Blaster alleen een aanklacht tegen de slechte software van Microsoft lezen, hoewel de virusschrijver lees- en schrijfrechten heeft op besmette pc's. Nieuwe varianten zouden deze positie wel uit kunnen buiten. Sobig.f is volgens Welling met adequate anti-virussoftware goed op te vangen. Bedrijven vinden dit virus in de vorm van spammail in hun postbussen terug. Toch blijft het zaak om ook Sobig goed in de gaten te houden. Sobig.f is zo opgezet dat geïnfecteerde pc's via twintig door de virusschrijver gehackte machines met nieuwe code bestookt kunnen worden. Door een gezamenlijke inspanning van de Amerikaanse FBI en de internetsector is het verkeer naar deze machines vorig weekeinde stilgelegd. "Een nieuwe variant van Sobig zou ook de ip-adressen van deze machines variabel kunnen maken, zodat de virusschrijver zijn tegenstanders weer een stap voor is", zegt Welling. < BR>