In de oorlog van de it-sector tegen virusschrijvers zijn dit jaar met wisselend succes veldslagen geleverd. Een gesprek met Mikko Hypponen van de Finse beveiligingsspecialist F-Secure.
|
Een team van 11 ‘viruskrakers’ bij beveiligingsspecialist F-Secure waarschuwde de wereld als eerste voor de uitbraak van Sasser in mei dit jaar. Mikko Hypponen, directeur anti-virusresearch bij F-Secure, leidde ons vorige week rond in hun onderzoekslaboratoria en legde uit hoe ze te werk gaan. “Toen ik hier dertien jaar geleden begon, waren er slechts 300 virussen en ik denk niet dat iemand zich toen realiseerde hoe erg het zou worden”, zegt Hypponen. “En dit jaar wordt waarschijnlijk nog slechter dan vorig jaar.” Voorspellingen dat de grote virusaanvallen dit jaar bedrijven en consumenten wereldwijd 16,7 miljard dollar zullen kosten, bevestigen zijn vermoeden. “Daarom is het beste wat elk anti-virusbedrijf kan doen de consumenten in staat stellen zo snel mogelijk te reageren op virussen.”
Honey pots
Een van de eerste computers die met het Sasser-virus besmet raakte, was een zogenaamde ‘honey pot’ (‘honingpot-pc’) van F-Secure – een Windows-pc zonder firewall of anti-virusprogramma’s, zodat nieuwe virussen vrijwel direct zichtbaar worden zodra ze zich verspreiden. “We hebben overal ter wereld honingpotten staan om virussen op te sporen”, zegt Hypponen. Andere virusstalen worden toegestuurd door verschillende bronnen, zoals klanten, andere internetgebruikers en af en toe de virusschrijvers zelf. “Ze hebben soms maandenlang aan het virus geschreven, maar willen geen gevangenisstraf riskeren, en dus dekken ze zich in door het naar een anti-virusbedrijf te sturen. Maar wij ontcijferen het virus altijd en maken een patch, omdat er geen garantie is dat ze het virus niet zullen loslaten.”
F-Secure ontvangt en deelt ook informatie met zijn concurrenten. Meerdere medewerkers van zijn anti-virusonderzoeksteam zijn ook lid van de Computer Anti-Virus Researchers Organisation, een zeer hoog aangeschreven groep van virusbrekers. Zodra anti-virusbedrijven een nieuwe uitbarsting vaststellen, stellen ze een reeks processen in werking om de kenmerken van het virus te achterhalen en te zien hoe snel het zich verspreidt op het internet. “Je kunt een virtuele pc-omgeving creëren op een server en ze infecteren om te zien wat er gebeurt, of je kan echte computers nemen en er een netwerk mee bouwen.”, zegt Hypponen. “We zien echter alsmaar meer virussen die anders gaan reageren als ze vaststellen dat ze opgemerkt zijn. In plaats van het virus te laten draaien, kijken we daarom steeds vaker naar de code.”
Reverse engineering
Bij de Sasser-worm werd ‘reverse engineering’ gebruikt om het virus zorgvuldig te ontmantelen en zo zijn ontwerpkenmerken te ontdekken. Door de code te analyseren waren Hypponen en zijn team in staat om de sleutelkenmerken van Sasser te identificeren en na te gaan hoe het zichzelf kopieert in de Windows-map vóór het scannen om andere kwetsbare systemen te vinden op willekeurige ip-adressen. Vaak heeft dit een crash van de pc tot gevolg.
“Zodra een server geïnfecteerd is, begint hij willekeurige pakketten te verzenden naar plaatsen over het hele netwerk en het internet”, zegt Hypponen. “Uiteindelijk zal het virus elk afzonderlijk adres in de wereld dat op het internet is aangesloten scannen en alles vinden wat het kan infecteren.” Zodra een virus gekraakt is, creëert het bedrijf een ‘virushandtekening’ en brengt het klanten op de hoogte dat ze een patch kunnen downloaden. “Soms duurt het uren om een virus te ontcijferen, maar zodra we weten wat het is, waarschuwen we ook de overheid en werken we samen met isp’s en websites die het doelwit geweest kunnen zijn om te proberen de verspreiding van het virus te stoppen”, aldus Hypponen.
Virussen waren oorspronkelijk bedoeld om systemen schade toe te brengen, maar vandaag hebben vele een meer commercieel doel – namelijk de verspreiding van spam bevorderen, online bankgegevens opvragen en de normale dienstverlening door servers verhinderen. In januari 2004 werd Mydoom.A gelanceerd, de grootste e-mailworm ooit. Anti-virusexperts probeerden uit te vinden hoe de worm de websites van SCO en Microsoft probeerde lam te leggen door ‘denial of service’-aanvallen. De meesten hadden niet in de gaten dat een spamproxy was geïnstalleerd op miljoenen geïnfecteerde computers. Deze begonnen op hun beurt reclameboodschappen te sturen naar alle e-mailadressen die ze konden vinden. “De mensen hebben geleerd
| Schadelijkste virussen 2002-2004 In de afgelopen drie jaar hebben de volgende virussen het hardst toegeslagen: 2004 Sasser – 3,5 miljard dollar NetSky – 2,75 miljard dollar Bagel – 750 miljoen dollar MyDoom – 4,5 miljard dollar 2003 SoBig – 2,75 miljard dollar Nachi – 500 miljoen dollar Blaster – 1,5 miljard dollar Slammer – 2 miljard dollar 2002 Badtrans – 400 miljoen dollar BugBear – 500 miljoen dollar Klez – 1,5 miljard dollar |
Mobiele virussen
Hoewel het aantal virussen is toegenomen, zijn er in 2004 dankzij het werk van onder meer de National Hi-Tech Crime Unit en de premie van 250.000 dollar die Microsoft heeft uitgeloofd, meer virusschrijvers tegen de lamp gelopen dan ooit tevoren, aldus Hypponen. “We hebben de arrestatie gehad van Sven Jaschan, de ontwerper van Netsky en Sasser, en van Jeffrey Lee Parson, de schrijver van Blaster.”
Met de groeiende populariteit van nieuwe technologieën, zoals smartphones, richten anti-virusbedrijven zich nu ook in toenemende mate op mobiele virussen. “Laptops, handhelds met open besturingsystemen en gsm’s zijn allemaal voorbeelden van mobiele toestellen die beschermd moeten worden”, zegt Hypponen. In juni 2004 werd het eerste mobiele virus ‘Cabir’ aangetroffen dat zich via Bluetooth verspreidt. “Dat was iets wat we niet hadden verwacht”, zegt Hypponen. “We waren bedacht op massale mailings van tekstberichten of op virussen die naamkaartjes vernietigen, maar we hadden niet gerekend op een Bluetooth-virus. Dat verandert alles, want het verspreidt zich als een griepvirus en kan alles in zijn omgeving aantasten.”
Andere virussen, zoals Duts, zijn geschreven om mobiele pocket-pc’s te infecteren. Vorige maand werd Brador ontdekt, dat door een zwakke plek in het systeem cybercriminelen volledige en onzichtbare toegang geeft tot smartphones, waardoor ze op het internet kunnen surfen of telefoongesprekken voeren. Het is slechts een kwestie van tijd voordat tekstboodschappen en belvirussen schering en inslag worden, aldus Hypponen.
Door grotere samenwerking tussen de ontwikkelaars van mobiele toestellen en de anti-virussector hoopt Hypponen de mobiele virussen in de kiem te kunnen smoren. “Het virusprobleem bij pc’s stak 18 jaar geleden, in 1986, voor het eerst de kop op. Hadden we toen direct krachtdadig opgetreden, dan zouden we waarschijnlijk niet met de 100.000 virussen zitten die er vandaag circuleren. Als we dus nu al beginnen met mobiele telefoons, zullen we hopelijk niet dezelfde problemen krijgen”, zo besluit hij.
De financiële gevolgen van virusaanvallen
Grootschalige virusaanvallen als Sasser, MyDoom en Bagel zullen individuele pc-gebruikers en bedrijven dit jaar 16,7 miljard dollar kosten, volgens een raming van analist Computer Economics. Het meest geldverslindende virus tot dusver was LoveBug in 2000, dat naar schatting 8,75 miljard dollar schade toebracht.< BR>
