Alle
hens aan dek voor Code Red
Steekt
worm vannacht opnieuw de kop op? - 31-07-2001
Op
19 juli slaagde een nieuwe worm, Code Red, erin om in nauwelijks 14
uur meer dan 350.000 computers te infecteren. Na een mislukte aanvalspoging
op het Witte Huis, begon de worm vanaf 20 juli aan een korte winterslaap.
Maar er wordt verwacht dat hij in de nacht van 31 juli op 1 augustus
opnieuw zal ontwaken, voor de Amerikaanse overheid en tal van instanties
reden genoeg om een nooit geziene waarschuwingscampagne te lanceren...
Wormen
kunnen als een bepaald soort computervirus beschouwd worden, maar
hechten zich in tegenstelling tot virussen niet aan andere programma’s.
Bovendien zijn ze succesvoller dan doorsnee-virii: alle ‘virussen’
die recent de media haalden - I
Love You, Kournikova
en SirCam
- waren wormen. Maar Code Red is anders, want deze keer heeft de worm
geen argeloos mailende eindgebruikers nodig om zich over de aardbol
te verspreiden. Het is daarentegen gemodelleerd naar de eerste worm
die werd geschreven en die er in 1988 in slaagde 5% van het toen nog
embryonale web uit te schakelen. Zonder menselijke tussenkomst gaat
het programma op zoek naar computers waarvan het veiligheidslek nog
niet gedicht is, nestelt het zich op de kwetsbare machines en zet
het zijn tocht verder.
Code Red (CR) is dus niet de enige worm die momenteel het internet
vervuilt en voor eindgebruikers is het niet eens een erg belangrijke.
Windows 95, 98 en ME gebruikers zijn veilig, net als zij die voor
Linux of een Macintosh hebben gekozen. Dat betekent echter niet dat
de gewone gebruiker van de effecten gespaard zal blijven. Potentieel
legt CR aanzienlijke delen van het internet lam, alleen bleken de
ontwerpers van het programma enkele cruciale fouten te hebben gemaakt
en bleef de schade beperkt.
De geschiedenis van CR begint op 18 juni, als Microsoft
bekend maakt dat er een lek is gevonden in de Internet Information
Server (IIS) software van het bedrijf, programmatuur die gebruikt
wordt door meer dan 6 miljoen websites. Tegelijk wordt een patch
aangeboden, die geïnstalleerd kan worden om het lek weer te dichten.
Alle gebruikers van Windows NT, 2000 en de IIS software worden dringend
verzocht de patch te installeren, maar dat niet iedereen die goede
raad opvolgt wordt een maand later duidelijk. Dan wordt een worm gelanceerd
die in
een mum van tijd honderduizenden computers besmet.
De manier waarop CR te werk ging laat zich lezen als een science-fiction
verhaal. Naar schatting waren op 19 juli meer dan 359.000 computers
geïnfecteerd. Klokslag middernacht beëindigden de wormen op deze machines
hun pogingen zich voort te planten en richtten ze zich eensgezind
op één bepaalde webstek: de site van het Amerikaanse Witte Huis. Daarmee
werd een gedistribueerde Denial
of Service Attack ingezet, een sabotagetechniek waarbij wordt
getracht een website te overspoelen met nutteloze datastromen. Het
doelwit kan deze gegevensstroom niet meer aan, waardoor ook legitieme
gebruikers de pagina niet langer kunnen raadplegen. Eerder dit jaar
haalden dit soort aanvallen, die bovendien erg makkelijk op te zetten
zijn, het nieuws toen internetgiganten als Yahoo en Amazon er het
slachtoffer van werden.
CR was zo geprogrammeerd dat de worm het IP-adres van de Witte Huis-site
aanviel. Daardoor kon de aanval op een eenvoudige manier afgeslagen
worden, door de site ‘te verhuizen’ naar een ander IP-adres. Op 20
juli staakte de worm alle aanvallen, maar trachtte het zich opnieuw
te verspreiden. Vanaf 27 juli werd elke activiteit gestaakt en begon
CR aan zijn winterslaap.
Daarmee is het gevaar echter niet geweken, want er wordt verwacht
dat de worm weer actief zal worden als 1 augustus aanbreekt. Mogelijk
zal CR dan ook veel virieler zijn, want ook al gebeurde de verspreiding
razendsnel, toch zat in de manier waarop de worm zich voortplantte
een cruciale programmeerfout. In plaats van op een willekeurige manier
op zoek te gaan naar nieuwe slachtoffers, volgde elke worm precies
dezelfde weg. De verspreiding zou dan ook veel sneller kunnen gaan
als CR weer ontwaakt, want ondertussen is een nieuwe versie van CR
opgedoken waarin deze fout werd aangepakt.
De zichtbare schade bleef beperkt tot webpagina’s waarop tijdelijk
de boodschap ‘Welcome to http://www.worm.com Hacked by Chinese’
verscheen. Sommigen denken dat de worm inderdaad vanuit een Chinese
universiteit werd gelanceerd en kadert in de cyberoorlog die tussen
Chinese en Amerikaanse hackers werd uitgevochten na het incident met
het spionagevliegtuig.
Het zou dan wel om de meest succesvolle slag in deze oorlog gaan,
want voorlopig richtte geen van beide kampen veel schade aan. Het
is evenmin ondenkbaar dat er andere daders achter de worm schuilen,
want mede door de snelle verspreiding is het bijzonder moeilijk de
schuldigen op te sporen.
Het grootste gevaar van CR en soortgenoten ligt hem in de manier waarop
ze bandbreedte innemen. Door massieve datastromen op gang te brengen,
bedreigt CR delen van het internet te overspoelen en onbruikbaar te
maken. Experten noemen het één van de grootste veiligheidsproblemen
die al zijn opgedoken, precies omdat de voorradige bandbreedte door
de worm wordt opgesoupeerd. Dat hindert uiteraard ook het legitieme
verkeer op het internet en het is dus best mogelijk dat de gevolgen
daarvan zich op 1 augustus laten gevoelen.
Bovendien weet niemand precies hoe dit probleem aangepakt kan worden.
Eenvoudigweg de patch installeren lijkt voor de hand te liggen, maar
is volgens systeemoperatoren minder eenvoudig dan het lijkt. Patches
lossen de problemen dan wel op, maar creëren vaak ook nieuwe. Voor
systeemverantwoordelijken is het dan ook een hele opdracht de beveiliging
van het netwerk te garanderen, in het bijzonder omdat er vrij vaak
patches moeten worden geïnstalleerd. Microsoft heeft in het verleden
bovendien al foutieve reparaties aangeboden. Daarnaast maken ook heel
wat thuisgebruikers en KMO’s gebruik van de kwetsbare besturingssystemen,
maar hebben zij zelden de nodige kennis om de veiligheid van hun netwerkjes
te verzekeren. Er wordt dan ook gedacht dat CR vooral bij deze gebruikers
een vruchtbare voedingsbodem vond. Pittig detail is overigens dat
de CR-boodschap ook op enkele pagina’s van Microsoft is opgedoken,
een bewijs dat de firma haar eigen patch niet overal had geïnstalleerd.
Daarnaast schuilt er nog een probleem in de manier waarop dergelijke
dreigingen momenteel worden aangepakt. Door veiligheidspatches aan
te kondigen, geven de software-fabrikanten ook duidelijk aan waar
er zich lekken verschuilen. Dat is dan wel onvoldoende informatie
om een worm aan te maken, het maakt die taak wel flink wat makkelijker.
En veel meer dan basiskennis is evenmin vereist om een succesvolle
worm te maken, de maker van ‘I Love You’ deed het met een programmaatje
genaamd ‘Vbs Worm Generator’, te vinden op het net en al snel meer
dan 15.000 keer gedownload.
Sommige analisten zijn ervan overtuigd dat de dreiging nu wel is afgewend
en dat de waarschuwingen die door de overheid, media en gespecialiseerde
firma’s worden uitgevaardigd nutteloos zijn. Zij verwachten dat de
schade die de worm bij het ontwaken zal aanrichten miniem zal blijven.
Maar het gaat hier dan ook om een dreiging waarover uitgebreid werd
bericht en waaraan een nooit geziene waarschuwingscampagne werd gekoppeld.
Nu het internet een steeds grotere plaats inneemt in het dagelijkse
leven én een groeiend commercieel belang kent, zullen wormen en virussen
steeds meer schade kunnen aanrichten. Het is dan ook alarmerend dat
geen adequate manier bestaat om met dit probleem om te gaan. Of de
roep om veiliger software ook gehoord zal worden of überhaupt beantwoord
kan worden, is nog steeds een open vraag.
David
de Vaal
Aansluitende artikels:
Kournikova
is dood, leve Valentina – 14-02-2001
You’ve
got a mail – 25-07-2001
Related links:
Microsofts
Code Red pagina
Virus
beschermingsgids
Internet
Storm Center
Denial
of service Attacks
©
David de Vaal
