Die voorspelling deed Jonathan Wignall van de Britse Data and Network Security Council afgelopen vrijdag op Hackers At Large ( HAL), de hackersbijeenkomst die van vrijdag tot en met zondag in Enschede werd gehouden. Om aan te tonen dat het maken van een webworm mogelijk is, heeft Wignall een 'proof of concept'-versie van zo'n worm op zijn site gezet. De worm maakt gebruik van een bug in de Internet Explorer versies 5 en 5.5. Via de mediaplayer en een Outlook-bestand kan de webworm vervolgens de computer van de gebruiker infecteren. De worm van Wignall doet niets, maar volgens de Brit is het vrij eenvoudig om wel een schadelijke variant te maken.

Verspreiding

Of een webworm ooit zoveel schade aan kan richten als serverwormen en e-mailwormen is overigens maar de vraag. Met name de verspreiding ervan lijkt een probleem. Het is op zijn minst onwaarschijnlijk dat de beheerders van drukbezochte sites – de meest voor de hand liggende beginplaatsen voor een succesvolle verspreiding – een dergelijke worm op hun site zouden zetten. Ook hoe de verspreiding van de worm verdergaat, nadat een gebruiker via zijn webbrowser besmet is, maakte Wignall niet duidelijk tijdens zijn lezing. André Post van het Symantec Antivirus Research Center (SARC), die de worm nog niet heeft gezien, heeft er dan ook niet al te hoge verwachtingen van. "Het gebeurt vaak dat er wordt gewezen op een zogenaamd veiligheidsprobleem dat bij nadere bestudering niet veel blijkt voor te stellen. Alleen onder omstandigheden die in werkelijkheid niet voorkomen, zou zo'n 'veiligheidsprobleem' werkelijk een gevaar kunnen worden."

Amateuristisch

Andere wormen blijven wel een bron van zorg. Wignall sprak tijdens zijn presentatie de verwachting uit dat het aantal wormen het komende jaar alleen maar zal toenemen. Tot nu toe is er geen enkele worm geweest die aan alle voorwaarden voldoet om echt een groot 'succes' te worden, zo hield hij zijn gehoor voor. "De meeste bestaande wormen zijn ontzettend amateuristisch. Wat we tot nu toe gezien hebben, is pas het topje van de ijsberg." "Een goede worm is klein, goed geschreven, richt zich op onervaren gebruikers en systeembeheerders, kan zichzelf eenvoudig reproduceren, komt in de publiciteit en heeft een payload die niet eenvoudig ongedaan gemaakt kan worden. Bovendien richt een goede worm zich op een grote populatie van bijvoorbeeld Windows-gebruikers en is de bron niet te traceren", aldus Wignall. Ook redelijk gevaarlijke wormen als Sircam en Code Red voldoen niet al deze voorwaarden. Sircam is te groot en zal daardoor minder snel door de onervaren gebruikers met een traag modem – de meest aantrekkelijke groep om te infecteren met een worm – opgehaald worden. Code Red kende aanvankelijk veel problemen bij het kiezen van nieuwe slachtoffers. Veel van de aanvallen gingen naar IP-adressen die helemaal niet bestaan. Lees ook de reportage over Hackers At Large.