De grote schrik voor netwerk- en systeembeheerders heeft tegenwoordig vooral te maken met hackers en virussen. De meeste bedrijfsnetwerken hangen dezer dagen immers aan internet. En daar wemelt het van de vandalen…
Hackers proberen in te breken op computers. Die kunt u tegenhouden met behulp van een goede firewall. Virussen zijn een heel ander paar mouwen. Heeft u ook al ooit een e-mailbericht binnengekregen met als onderwerp “VIRUS WARNING” (viruswaarschuwing) of zoiets? Wij wel. Het hoeft zelfs geen onbekende te zijn: vaak zijn het e-mails van collega’s, vrienden of kennissen die denken u een dienst te bewijzen door een dergelijke waarschuwing aan u door te sturen. De waarschuwing zelf gaat meestal over een of ander verschrikkelijk nieuw virus waartegen met klem gewaarschuwd wordt. U mag e-mails met een bepaald onderwerp niet openen of u heeft prijs, aldus het bericht. Een of ander bekend bedrijf of Amerikaanse overheidsinstantie is er erg bezorgd over en heeft een algemene en dringende waarschuwing in de vorm van een nieuwsbericht uitgevaardigd. U wordt verzocht het waarschuwingsbericht bij wijze van dienst aan al uw vrienden, kennissen en collega’s verder te sturen.
Vals
Wellicht nam u zulke berichten serieus en heeft u ze zelfs verder gestuurd. Voelt u zich daar vooral niet schuldig over: we zijn er allemaal al eens ingetrapt. Zulke waarschuwingen zijn tot dusver altijd vals gebleken: het ging dus om een grap. Niet dat het zo grappig is: u verliest immers tijd en in heel wat gevallen dus geld met dergelijke waarschuwingen. Het verspreiden van valse informatie leidt ook tot verwarring en kan ertoe leiden dat échte informatie niet geloofd wordt. Vooral nu iedereen schrikt van de minste aanduiding omtrent een computervirus, zijn slachtoffers natuurlijk snel gemaakt met dit soort misplaatste grappen. Zelfs mensen die in het dagelijkse leven als computerexperts worden beschouwd, hebben zich al laten vangen. Ook journalisten, die zo’n waarschuwing dan zelfs in hun eigen nieuwsberichten durven herhalen. Hoe kunt u nu weten dat zo’n viruswaarschuwing vals is? Eigenlijk is dat niet eens zo moeilijk. Zowat al deze waarschuwingen hebben namelijk dezelfde vorm. Men begint met paniek zaaien: een of ander urgent virusprobleem wordt beschreven en men waarschuwt u bestanden of e-mails met een bepaalde naam niet te openen of te starten. Vervolgens haalt men een of ander gereputeerde instantie aan (staatsinstellingen, universiteiten, Microsoft en andere bekende software- en hardwareproducenten). Dat bedrijf zou “erg bezorgd” zijn en zelf al waarschuwingen hebben verspreid. Een kien oog zal opmerken, dat die gereputeerde instanties zelden of nooit iets te maken hebben met virussen. Men verwijst dus doorgaans niet naar een bekende producent van antivirussoftware. Integendeel: de meeste van de genoemde instanties hebben helemaal niks te maken met computervirussen en zullen het nooit in hun hoofd halen viruswaarschuwingen te verspreiden. De echte vingerwijzing staat onder aan het bericht: men verzoekt u de waarschuwing door te sturen aan iedereen die u maar kent. Dat zijn de drie vaste delen die u in al die valse viruswaarschuwingen terugvindt. De jongens die het echt kunnen weten, de producenten van antivirussoftware, hebben op hun eigen websites wel degelijk nieuwsberichten over nieuwe virussen staan. Er bestaan zelfs specifieke webpagina’s over valse viruswaarschuwingen. De volgende keer dat u zo’n waarschuwing krijgt, is het een goed idee eerst even op de websites van Symantec of F-Secure te gaan kijken alvorens in paniek te schieten of dat bericht ergens anders heen te zenden. Andere websites met dergelijke meldingen zijn het Virus Information Center van McAfee en het virusnieuws van Panda Software, dat u zich kan laten toesturen via e-mail of met behulp van Active Channels als u klant bent bij hen. Het BIPT waarschuwt tegenwoordig ook virussen.
Waar
De echte waarschuwingen zijn normaal altijd afkomstig van antivirusinstanties. Wantrouw dus alles wat niet rechtstreeks van deze antivirusproducenten afkomstig is. Die producenten hebben uw e-mailadres overigens niet en ook niet de middelen om persoonlijke waarschuwingen te gaan rondsturen. Bijgevolg vindt u officiële verwittigingen over nieuwe virussen uitsluitend op de websites van die producenten en normaal niet in e-mails, tenzij u zich op een of andere e-maildienst van zo’n producent geabonneerd had. Een goede échte waarschuwingssite vinden we ook bij Symantec of bij F-Secure. Wellicht is het ook interessant een oog te houden op de WildList: dat is een lijst van virussen die werkelijk pc’s geïnfecteerd hebben en gerapporteerd werden door virushulporganisaties (meestal afdelingen van antivirussoftwareproducenten) wereldwijd.
Feiten
Omdat er nog steeds heel wat misvattingen bestaan over virussen en het gevaar dat ze betekenen voor uw pc thuis of op kantoor en voor de informatieverwerking in uw bedrijf of waar u werkt, zetten we hier nog eens een paar dingen op een rijtje. Voor gemak noemen we, net zoals een bepaalde antivirussoftwareproducent van Israëlische oorsprong, alles wat de normale goede werking van uw pc en de informatieverwerking in uw kantoor of bedrijf probeert te onderbreken vandalisatie. Tegenwoordig komt de meeste vandalisatie van het internet, maar dat is zeker niet de enige bron. Virussen zijn stukjes programma die meestal verstopt zitten in normaal uitziende applicaties of documenten en die zichzelf kopiëren in andere tot dusver niet besmette applicaties of documenten op uw harde schijven of in uw netwerk. Deze actie noemt men de replicatie. Als de replicatie ontbreekt, spreken we van een Trojaans paard of kortweg trojaan. Zowel virussen als trojanen hebben een specifieke bedoeling: iets dat ze moeten doen op een systeem waarop ze binnengedrongen zijn. Deze taak noemt men ook wel de payload (lading). Meestal – doch niet altijd – is die van vernietigende aard. Om de replicatie én de lading te kunnen uitvoeren moeten er stukjes programmaroutines uitgevoerd worden. Dat betekent dat er ooit iets gestart moet zijn. Daar volgt meteen uit dat een gegevensbestand uit zichzelf nooit je pc kan besmetten met een virus. Zelfs als de code van een virus in een gegevensbestand opgeslagen zou zijn, dan nog moet een los programma die code laden en starten, anders lukt het nooit. Helaas heeft Microsoft in al zijn wijsheid het mogelijk gemaakt dat gegevensbestanden en documenten tegenwoordig uitvoerbare instructies kunnen bevatten. Denk maar aan de MS-Office macro’s of VBscript. Deze macro’s zijn ondertussen zo gesofisticeerd dat ook zij gebruikt kunnen worden om virussen en trojanen mee te fabriceren. Stel bijgevolg uw kantoorapplicaties bij voorkeur zo in, dat macro’s nooit uitgevoerd mogen worden tenzij met uw uitdrukkelijke toestemming. Als uw pc alleen maar met een virus besmet kan worden door het actief uitvoeren van een programma, macro of script, dan kan uw pc of netwerk ook niet geïnfecteerd raken alleen maar door verbonden te zijn met het internet. Ondanks hardnekkige mythes terzake moet u niet alleen verbonden zijn met het internet, maar eerst een besmet programma of document binnenhalen en dat dan nog starten ook. Als uw systeem alles automatisch opent, zult u natuurlijk even automatisch besmet raken door een eventueel virus.
Veilig
Een laatste mythe is dat een antivirusprogramma u tegen virussen beschermt. Dat proberen ze wel, maar honderd procent beveiliging kunnen ze u niet garanderen. De detectie is al niet perfect, dus moet allerlei geheugenresidente preventiemaatregelen verhinderen dat een doorgeglipt virus uw systeem of uw netwerk besmet. Als de infectie (de replicatie) niet verhinderd kan worden, dan probeert de antivirussoftware tenminste te verhinderen dat de viruslading zijn werk kan doen. Virusladingen die proberen uw harde schijf te overschrijven of te formatteren worden daarmee wel tegengehouden. Een virus dat op zoek gaat naar al uw DOC- en XLS-bestanden om die vervolgens met nullen te overschijven niet. Er is in allerlei artikels en op het internet genoeg tekst te vinden over wat u precies moet doen om zo veilig mogelijk te zijn voor virusinfecties. Het is dus belangrijk dat u die regels volgt en niet al uw vertrouwen vestigt op antivirussofware. Zoals de dokter het al eeuwen zegt: voorkomen is beter dan genezen!
Bedrijfsnetwerken
Eén pc – of dat nu een alleenstaand systeem, een werkstation of een server is – van antivirusmaatregelen voorzien is één zaak, maar hoe zit het met een heel netwerk? Als een virus op een werkstation door de mazen van het net glipt, is het vaak een koud kunstje om alle andere aangesloten systemen te besmetten. En als de server besmet raakt, is het hek helemaal van de dam. Antivirussoftware voor netwerken moet iets meer doen dan alleen alle werkstations en alle servers beschermen. Omdat het vaak om heel erg veel systemen kan gaan, moet er een mogelijkheid zijn om installatie, configuratie en allerlei andere werkzaamheden gecentraliseerd te regelen. Een centraal antivirusbeheer, als u wil.
Antivandaalsoftware
Als gewone antivirussoftware alleen maar effectief is voor virussen die al bekend zijn, dan heeft u iets nodig dat voorkomt dat uw systeem besmet raakt – ook door totaal nieuwe en onbekende virussen en ander gespuis. De gebruikelijke methodes hiervoor blokkeren vanalles, zowel aansluitpunten naar internet als het soort taken dat applicaties kunnen uitvoeren. Dat heeft echter allerlei andere nadelen. Met echte antivandaalsoftware beperkt u niet uw bewegingsvrijheid en die van uw gebruikers, maar wel de informatie die het bedrijf binnenkomt of buitengaat en verder scherp in de gaten houdt wat van buitenaf binnengehaalde software precies wil doen op uw pc of op uw netwerk. Zoals eerder aangehaald is de beste oplossing voor het probleem van kwaadaardige applicaties en routines het zogenaamde zandbaksysteem. Alle software, routines en scripts die op uw systeem gestart worden, komen in die softwarematige zandbak terecht. Dat is een speciaal voorziene afgeschermde ruimte in het werkgeheugen van de computer. Rechtgeaarde applicaties zullen braafjes in die softwarezandbak blijven tijdens de uitvoering. Kwaadaardig spul niet, want dat moet immers allerlei systeembestanden en -bronnen wijzigen in Windows. Het zandbaksysteem hoeft dus alleen maar te controleren of een programmataak probeert buiten de zandbak te komen. Zo ja, verhindert het dat en waarschuwt de gebruiker. Het klinkt eenvoudig, maar dat is het allesbehalve. De uitdagingen voor de antivandaalsoftwarebouwers hebben te maken met de afscherming van de zandbak zodat niets eruit kan glippen en tegelijk ervoor zorgen dat de uitvoeringssnelheid niet onder deze afscherming lijdt. Een heel goed werkend zandbaksysteem heet eSafe van Aladdin Knowledge Systems. Het bestaat in een desktop-, server- en gatewayvariant. Omdat de server- en gatewayvarianten nogal prijzig kunnen uitvallen terwijl de desktopsoftware gratis is, stellen we u nog een tweede product voor.
Secure4U Professional
Met een naam als Sandbox Security heb je natuurlijk een reputatie hoog te houden. Secure4U Professional controleert rigoureus alles wat in en uit uw bedrijfsnetwerk komt en reageert bikkelhard als er iets niet kosjer is. Het aardige aan dit product is, dat het vriendelijk voor u is of u nu veel afweet van uw pc of uw netwerk of juist weinig. De bediening gaat van een makkelijke schuifbalk waarmee u de beveiliging van laag tot hoog kunt regelen, tot schermen waar u voor groepen van applicaties kunt opgeven wat ze wel en niet mogen en wat Secure4U zoal moet bewaken. Nog interessanter: Secure4U heeft standaard al applicatiegroepen voorzien voor de twee grootste beveilingsgaten in Windows: Internet Explorer en Outlook Express. Sandbox Security heeft er bovendien aan gedacht dat we via Outlook zowat alles onder onze neus geschoven kunnen krijgen en dus bewaakt Secure4U letterlijk àlles, van gewone exe’s tot ActiveX-controls en VB-scripts. We lieten er alles op los wat we hadden, maar Secure4U gaf geen sjoege en onze Windows pc’s raakten nooit besmet of van slag. U krijgt er bovendien een ‘log analyzer’ bij waarmee u achteraf nauwkeurig kunt nakijken wat er wanneer gebeurd is. Sandbox Security heeft een heel gamma Secure4U producten voor beveiligingen van een enkele pc tot een heel netwerk. Een ééngebruikerlicentie kost $79. We vonden geen Belgische of Nederlandse verdeler, maar er is er wel een in Duitsland.
wat.kost.dat.
Comments are closed.