De meer dan duizend werknemers van BP Alaska startten het nieuwe jaar zonder e-mail. Een onschuldig uitziende e-mail met een besmet zip-bestand legde BP’s e-mail bijna een volledige week lam. Het
virus wiste verschillende harde schijven en legde netwerkservers plat. "Dat gaf ons de kans meer face-to-face discussie te voeren, wat een mooie breuk betekende met de gewone routine," aldus een
woordvoerder van het bedrijf hopelijk met de nodige tongue-in-cheek. De virusbesmetting kostte BF Alaska ongetwijfeld pakken geld. Het merkwaardige is dat dit soort gebeurtenissen ondertussen gewone
kost zijn geworden. Ze behoren tot de "normale" risico’s van de hedendaagse bedrijfsvoering.
Mary Mallon
De wormen KLEZ en Bugbear waren de meest vernietigende virussen van 2002. Bugbear staat al drie maanden nummer één op de lijst van de tien meest verspreide virussen. KLEZ en zijn varianten staan elf
maanden op verschillende posities in diezelfde top tien. Toch zijn dit vrij simpele wormen, die met even simpele voorzorgsmaatregelen kunnen worden vernietigd. Waarom blijven KLEZ en Bugbear dan de
ronde doen? De reden is simpel: tal van gebruikers trekken zich geen zier aan van een eventuele virusbesmetting. In de computerwereld leven tal van Typhoid Mary’s.
Mary Mallon was een Ierse huishoudster die in het begin van vorige eeuw honderden New Yorkers besmette met tyfus. Mary was drager van de tyfusbacil, maar werd er zelf niet ziek van. Een
gezondheidsambtenaar kwam haar op het spoor en zorgde ervoor dat ze werd verbannen naar een afgelegen eiland. Uiteindelijk lieten de autoriteiten haar vrij, op voorwaarde dat ze geen werk meer zou
aannemen als huishoudster. Vijf jaar na de vrijlating van Mallon brak er opnieuw tyfus uit in Manhattan. Vijfentwintig mensen werden ziek, waarvan er twee stierven. Mary Mallon bleek haar naam te
hebben veranderd en opnieuw als kok aan de slag te zijn gegaan. Ze wilde niet geloven dat ze als een op het eerste zicht gezonde vrouw anderen kon besmetten met een dodelijke ziekte. Typhoid Mary
zoals ze ondertussen bekend stond, werd voor de rest van haar leven opgesloten op North Border Island. Ze stief in 1938, na 23 jaar eenzaamheid.
Tyfus
In het begin van vorige eeuw bestonden er nog geen vaccins tegen tyfus. Isolatie was de enige oplossing om herhaalde besmetting te voorkomen. Voor de bestrijding van computervirussen bestaan er
gelukkig antivirusprogramma’s, de vaccins van de IT. Lang geleden, in de tijd dat we nog met MS-DOS werkten, bundelde Microsoft een vereenvoudigde versie van het antivirusprogramma van McAfee met zijn
besturingssysteem. Met de introductie van Windows stopte die bundeling. Een antivirusprogramma werd een niet verplichte add-on. Tegelijk maakt Microsoft zijn software virusvriendelijker. Macro’s in
Office, ASP-code in Internet Exploreren scripts in MSN Messenger vergemakkelijkten het leven van de virusauteurs. Heel veel gebruikers installeren geen antivirussoftware of ze updaten de
virusdefinities niet. Sommigen doen dat uit onwetendheid, anderen zijn niet bereid jaarlijks 50 euro of meer te betalen puur om een virusbesmetting te voorkomen. Op die manier kunnen wormen zoals KLEZ
en Bugbear de ronde blijven doen. Dit veroorzaakt steeds nieuwe besmettingen, maar het zorgt ook voor nutteloos en kostelijk netwerkverkeer. De situatie is zo uit de hand aan het lopen dat harde
maatregelen nodig zijn. In plaats van onwillige gebruikers te verbannen naar een verlaten eiland, dienen we ze te verplichten een antivirusprogramma te gebruiken. Microsoft, dat 99 procent van de
particuliere markt in handen heeft, moet opnieuw simpele, maar afdoende antivirussoftware met automatische en verplichte updates bundelen met Windows. De virusfabrikanten kunnen zich dan concentreren
op het uitbrengen van add-ons en bedrijfssoftware.
Slammer
Twee weken nadat ik het bovenstaande schreef, was het opnieuw goed raak. De worm "SQL Hammer" – "Slammer" voor de vrienden – legde wereldwijd Microsoft SQL Servers plat. De hamer daalde wereldwijd
neer op meer dan een kwart miljoen systemen. Dertienduizend geldautomaten van de Bank of America waren een volledige dag buiten strijd. De worm veroorzaakte zoveel netwerkverkeer dat grote delen van
het internet soms bijna en soms helemaal (zoals in Zuid-Korea) tot stilstand kwamen.
Mijn welgemeende excuses aan de eindgebruikers die ik enkele weken geleden als enige verweet onvoldoende voorzorgsmaatregelen te nemen. Nu blijkt dat het bedrijfsleven in hetzelfde bedje ziek is. Al
in juli van vorig jaar vaardigde Microsoft een beveiligingsbulletin uit over het gat in SQL Server waarvan Slammer nu gebruik maakt. Installatie van SQL Server SP3 lost het probleem op.
Systeembeheerders kunnen eventueel ook alle netwerkverkeer op poort 1434 blokkeren. Meer dan een half jaar na die waarschuwing van Microsoft blijken dus honderdduizenden systeembeheerders niet de
moeite te hebben genomen om de noodzakelijke voorzorgsmaatregelen te nemen. Slammer maakte dankbaar gebruik van die nalatigheid, met alle gevolgen voor de werking van het internet. Nu blijkt dus dat
er ook typhoid mary’s ronddwalen bij mensen die professioneel met computers bezig zijn. Ben ik dan naïef te denken dat het als systeembeheerder je eer te na is om door zoiets simpels als Slammer
"gepakt" te worden? Als ik CEO was van een bedrijf waar Slammer succesvol servers had besmet dan zouden er in de IT-afdeling beslist koppen rollen.
Natuurlijk heb je als systeembeheerder méér om handen dan alleen maar alle patches voor Microsoft-producten te installeren. Ook daar heb ik het in het verleden al over gehad: Microsoft brengt zoveel
patches uit, dat je het als doordeweekse systeembeheerder niet meer kunt volgen. Software zoals SQL Server draait meestal op bedrijfskritische systemen. Vóór je daar nieuwe patches op installeert moet
je een en ander uiteraard uittesten. Doe je dat op de voorgeschreven manier, dan heb je daar een volledige dagtaak aan. Je andere werk blijft dan beslist liggen. Dus worden de patches en service packs
niet geïnstalleerd, totdat een of andere worm je op een dag pakt in het gapende gat dat je onder tijdsdruk of door slordigheid open hebt gelaten.
Slammer toont nogmaals aan dat je de beveiliging van computersystemen niet aan mensen kunt overlaten. Die hebben geen tijd, zijn te slordig of te onwetend om alle mogelijke gaten te dichten. Het wordt
zo onderhand tijd om de ganse ICT-infrastructuur te herdenken en de beveiliging tot de kern van die infrastructuur uit te roepen. Hoe dat technisch precies moet weet ik ook niet. Er zijn ongetwijfeld
briljante geleerden die hierover ideeën hebben. Laat die een voorstel doen en laten we hier niet te lang mee wachten.
Als Slammer één ding aantoont dan is het wel dat het internet (en dus bij definitie de ICT) veel kwetsbaarder is dan we tot nu toe dachten. Er wachten nog tal van beveiligingsgaten op exploitatie door
Slammer-achtige wormen. In afwachting van een fundamentele oplossing zou ik nu toch maar gauw alle mogelijke service packs en patches beginnen te installeren waar u nog niet aan toegekomen was. Doe
het gauw, voor het uw beurt is!
