-=Webwereld blikt de komende dagen terug op de belangrijkste ICT gebeurtenissen van het afgelopen jaar. Deze berichten zijn te herkennen aan '2007' in de kop=-

Als er één zaak was die dit jaar het security-nieuws beheerste, dan was het wel de Storm Worm. De Storm Worm dankt zijn naam aan de krachtige storm die op het moment van de eerste aanval over Europa raasde. De malware verleidde gebruikers via e-mails met onderwerpen als '230 Dead as storm batters Europe'.

De eerste reeks infecties in januari bleek de opmaat te zijn voor een maandenlang offensief, waarbij de makers van de Storm Worm probeerden om zoveel mogelijk pc's te infecteren. Met grote regelmaat kwamen ze met nieuwe versies van hun software en met nieuwe social engineering-trucs om computers te infecteren.

De auteurs van de Storm Worm maken gebruik van enkele innovatieve technieken. Om de geïnfecteerde computers aan te sturen, maakten ze bijvoorbeeld gebruik van een p2p-achtig systeem in plaats van aansturing via irc. "Er zijn een paar eerdere gevallen bekend van p2p-botnets, maar dat waren kleinschalige experimenten", vertelt Roel Schouwenberg, security-deskundige bij Kaspersky.

Supercomputer

Over de omvang van het Storm-botnet doen de meest wilde verhalen de ronde. Zo stelde hoogleraar Peter Gutmann eind augustus in een bericht op de Full Disclosure-mailinglijst dat de met Storm Worm geïnfecteerde pc's goed waren voor meer rekenkracht dan de tien beste supercomputers.

Schouwenberg: "Volgens de ene deskundige zou het botnet op het hoogtepunt uit 50 miljoen machines hebben bestaan, terwijl een andere het hield op één miljoen. Het werkelijke aantal zal daar wel ergens tussenin hebben gelegen. Het ging in ieder geval om een gigantische hoeveelheid machines."

Inmiddels is de omvang van het Storm-botnet weer teruggelopen. "De jongens achter de Storm Worm zijn de laatste tijd minder actief. Daarnaast speelt ook de media-aandacht een rol. Iemand die een e-card opent en een dag later leest dat hij daardoor wel eens besmet kan zijn, is eerder geneigd om zijn computer te scannen", denkt Schouwenberg.

Microsoft

Ook Microsoft heeft een bijdrage geleverd aan het indammen van de Storm Worm. Vanaf 11 september verspreidde het softwarebedrijf een 'malicious software removal tool' (MSRT) waarmee de Storm Worm automatisch werd verwijderd. Dat leidde er al binnen een week toe dat 274.372 geïnfecteerde pc's werden schoongemaakt.

De nadruk die Microsoft de laatste jaren legt op beveiliging - ingezet met het in 2002 gelanceerde 'trustworthy computing'-initiatief - begint zijn vruchten af te werpen. Schouwenberg: "We zien dat cybercriminelen hun aandacht beginnen te verleggen van Windows en Internet Explorer naar software van andere leveranciers, zoals Quicktime of Adobe Acrobat."

"Met service pack 2 voor XP en Vista is het uitermate lastig geworden om een lek te exploiteren", stelt Schouwenberg. "Veel gebruikers halen automatisch de updates voor Windows binnen. Het bewustzijn dat het ook bij andere applicaties nodig is om de laatste updates op te halen, bestaat bij veel eindgebruikers echter nog niet. Wanneer was de laatste keer dat iemand zei: 'Goh, ik moet mijn WinZip of Quicktime updaten, want er is een lek in ontdekt'?"

Mpack Toolkit

De makers van de Storm Worm komen hoogstwaarschijnlijk uit Rusland. Net zoals de makers van bijvoorbeeld de Mpack Toolkit. Deze gereedschapskist was het afgelopen jaar populair onder cybercriminelen en wordt verantwoordelijk gehouden voor honderdduizenden besmette computers.

De makers van de toolkit verdienden geld door hun gereedschap (voor 700 tot 1.000 dollar) te verkopen. Nieuwe modules kosten 100 dollar. Overigens was de handel in de gereedschapskist vermoedelijk maar van korte duur. Omdat de code vrij beschikbaar kwam, daalde de prijs snel. Inmiddels is de software op diverse fora al maanden gratis verkrijgbaar.

Hoewel Russische malware-makers dus nog altijd een belangrijke rol spelen, komt de meeste malware tegenwoordig uit China en in mindere mate Brazilië, stelt Schouwenberg op basis van Kaspersky-informatie. Rusland, twee jaar geleden nog dé bron voor malware, staat op de derde plaats. Malware-makers die zich in deze landen ophouden, hoeven zich over het algemeen weinig zorgen te maken over vervolging.

Russian Business Network

Met name Rusland kreeg er het afgelopen jaar flink van langs: makers van virussen, spammers, botnetbeheerders en kinderpornoverspreiders kunnen er gewoon hun gang gaan zonder dat de autoriteiten ze een strobreed in de weg leggen, zo luidt de klacht van westerse autoriteiten en securitybedrijven.

"Er is geen samenwerking met Rusland", stelde bijvoorbeeld Daan Molenaar, teamleider internetveiligheid bij de OPTA, eerder deze maand nog tijdens een persconferentie over het oprollen van een bende Nederlandse spyware-makers. "We doen ons best, maar in Rusland zijn er andere regels en andere prioriteiten." Daardoor hoeft de Russische botnet-beheerder die de Nederlandse spyware-verspreiders hielp, zich voorlopig geen zorgen te maken.

Het Russian Business Network (RBN), waarschijnlijk de belangrijkste hostingaanbieder voor cybercriminelen, staakte zijn activiteiten pas nadat westerse media, zoals The Economist en de Washington Post, er aandacht aan hadden besteed. De media-aandacht zorgde ervoor dat belangrijke upstream-providers van RBN, zoals de Britse vestiging van Tiscali, hun banden met het dubieuze bedrijf verbraken.

Op de valreep van het jaar bleek dat de Russische autoriteiten niet helemaal stil zitten. De FSB, de opvolger van de KGB, arresteerde de twee makers van Pinch, een trojan die het mogelijk maakt om wachtwoorden, gebruikersnamen en andere gevoelige informatie te stelen. Het moet nog blijken of de arrestaties de opmaat zijn naar strengere handhaving of slechts bedoeld is on westerse criticasters het zwijgen op te leggen.

Banking-trojans

Schouwenberg probeert het imago van Rusland enigszins te nuanceren. "Rusland zou misschien meer moeten doen om bepaalde personen aan te pakken, maar er bestaat daar in ieder geval nog regelgeving. In China zijn sommige vormen van cybercrime gewoon legaal. Dan ben je gewoon beschermd door de wet."

Chinese malware-auteurs leggen zich in toenemende mate toe op het maken van banking-trojans die uit zijn op bankinformatie. "Inmiddels is 40 procent van alle malware die we tegenkomen daaraan gerelateerd", aldus Schouwenberg. "Dat betekent niet dat die 40 procent allemaal banking-trojans zijn. Het kan bijvoorbeeld ook gaan om software die een banking-trojan probeert de downloaden."

Overigens ligt de kwaliteit van de Chinese malware nog niet op hetzelfde niveau als die van de voormalige malware-grootmacht Rusland. Schouwenberg: "De meest complexe malware komt nog altijd uit Rusland. Daar zitten goede programmeurs. Uit China komt meer de simpele massaproductie."

Massaproductie

Dat het produceren van malware voor een belangrijk deel lopendebandwerk is geworden, is een trend die alle anti-virusbedrijven signaleren. F-Secure verzamelde dit jaar ruim een kwart miljoen nieuwe malware-samples. Dat is evenveel als in de twintig jaar hiervoor.

Ook McAfee, Symantec en Kaspersky maken melding van een enorme stijging. "We gingen aanvankelijk uit van 1,2 miljoen nieuwe samples dit jaar, maar we hebben dat moeten bijstellen naar 1,5 miljoen", aldus Schouwenberg. "De anti-viruslaboratoria hebben het drukker dan ooit."

Het aanbod van nieuwe malware is zo groot dat het ondoenlijk is om de verschillende malware nog handmatig te analyseren. "Dat is niet meer te verhapstukken." Het grootste deel van de analyse gebeurt inmiddels automatisch.

Iframes

Terwijl de virussen enkele jaren geleden voornamelijk per e-mail binnenkwamen, richten de malware-makers zich nu in toenemende mate op het web. Voor de Britse virusmaker Sophos was deze ontwikkeling aanleiding om naast het maandelijkse overzicht van e-mailvirussen ook een toptien te maken van 'web-based threats'.

"Het toevoegen van Iframes op websites is dit jaar uitermate populair geworden", stelt Schouwenberg. "Dat gebeurt door middel van het hacken van sites en door het gebruik van malware die Iframes toevoegt aan html-bestanden. Legitieme websites en advertentieservers worden daar regelmatig het slachtoffer van."