Slechts één week na bekendmaking van de Plug and Play (PnP) kwetsbaarheden in Windows 2000 zijn er wormen verschenen die hier gebruik van maken. Het oude record - twee weken - staat op naam van Sasser. Het is dan ook niet verwonderlijk dat er slachtoffers zijn gevallen, ook onder de grote namen: CNN, ABC, New York Times.

Deze snelheid zal waarschijnlijk alleen maar toenemen: virusschrijvers gaan methodisch te werk bij het analyseren van nieuwe kwetsbaarheden en manieren om die uit te buiten. En er zijn goede bouwblokken waarmee het aanzienlijk minder complex is om een virus of worm te creëren.

De grootste vrees binnen de beveiligingswereld is dat er wormen ontwikkeld worden voor kwetsbaarheden die nog niet bekend zijn. Infiltreren in het milieu en het zorgvuldig in de gaten houden van de discussies in de donkere kamers van internet zijn enkele van de maatregelen waarmee Cybertrust dit doemscenario probeert te vermijden.

Bedrijven

Maar hoe kan het dat er toch nog slachtoffers vallen na de slachtpartij die Sasser heeft aangericht? Je zou immers verwachten dat bedrijven het probleem hebben opgelost. Thuisgebruikers worden immers snel beveiligd dankzij de automatische updates van Microsoft. Waarom is dit bij bedrijven, die zelfs een professionele it-staf hebben, dan niet het geval?

Allereerst is de situatie bij bedrijven aanzienlijk ingewikkelder. De nieuwe wormen zijn vooral gevaarlijk voor Windows 2000, een besturingssysteem dat vooral door bedrijven gebruikt wordt. Volgens sommige bronnen is het met 50 procent zelfs het dominante systeem. Bedrijven kunnen namelijk niet zomaar omschakelen naar bijvoorbeeld Windows 2003: zij willen eerst garanties dat alle toepassingen werken op het nieuwe platform. En een migratie kost veel tijd: per pc kan een upgrade en nieuwe beveiliging vier uur kosten. Voor een bedrijf met duizend computers is de tijdsinvestering dan ook enorm.

Ten tweede laten veel bedrijven automatische updates niet toe: ook in dit geval is het namelijk niet uitgesloten dat de bestaande programma's nog goed werken na zo'n aanpassing. Daarom gingen de meeste bedrijven ervan uit dat zij de nieuwe updates van Microsoft konden meenemen in hun volgende geplande aanpassingsronde, wat meestal neerkomt op maximaal zeven dagen na de laatste ronde. En hier komt de snelheid van virusschrijvers weer om de hoek kijken.

Webservers

Webservers behoren tot de categorie van kritische systemen en zijn noodzakelijk direct aanspreekbaar via het internet. Helaas gaan hier een aantal bedrijven in de fout. De nieuwe worm gebruikt een dienst die helemaal niet beschikbaar mag zijn via internet. Een eenvoudig filter dat alleen toelaat wat nodig is, stopt de aanval. Dit soort simpele maar doeltreffende oplossingen maakt deel uit van essentiele beveiligingspraktijken die organisaties zouden moeten opnemen in hun beveiligingsbeleid.

Een derde probleem waarmee bedrijven kampen, is de toegang tot het interne netwerk. Firewalls en virusscanners zijn noodzakelijk, maar niet langer voldoende. Tijdens en na de vorige worm was Cybertrust betrokken bij een aantal forensische analyses om de oorzaak van de infecties te onderzoeken. Besmetting door een laptop blijkt een klassieker te zijn. Laptops worden niet alleen op kantoor, maar ook thuis, in een hotel of op de luchthaven gebruikt. Al die omgevingen hebben hun eigen beveiliging en risico's, waardoor een besmetting snel is opgedaan. En als zo'n laptop weer aangesloten wordt op het bedrijfsnetwerk, is de kans op verspreiding van de infectie groot.

Dit is vooral het geval als een gebruiker zijn laptop niet volledig heeft uitgeschakeld, maar in slaapstand heeft gezet: alle toepassingen die actief waren bij het in slaapstand zetten, blijven actief zodat de gebruiker gelijk verder kan met zijn werk als hij de laptop weer inschakelt. Maar dit geldt dus ook voor eventuele kwaadaardige programma's die de laptop besmet hebben. Geen firewall of andere bescherming tussen netwerk en internet kan dit tegenhouden. Daarom moeten gebruikers op het gevaar gewezen worden, een hele simpele en effectieve maatregel. Daarnaast zijn er technische oplossingen die mobiele systemen eerst aan een aantal testen onderwerpen voordat zij toegelaten worden op het netwerk.

Maar zelfs met de beste bescherming moeten we aanvaarden dat er systemen besmet zullen worden. Het vierde probleem is dan ook te zorgen dat die besmetting zich niet verder verspreidt en verwijderd wordt. Een individueel systeem ontwormen is niet zo moeilijk: de antivirusbedrijven hebben meestal snel een oplossing, met eventueel nog een extra programma om geïnfecteerde pc's schoon te maken. Maar ook hier speelt de schaalfactor in het nadeel van grote bedrijven: het patchen en zuiveren van hun grote systemen kost veel tijd.

Vermijden

Het is daarom beter om de aandacht te richten op het vermijden van verspreiding. De technische oplossing is interne controle en isolatie van subsystemen. Niet alle computers hoeven toegang te hebben tot alle systemen – zorg er dan ook voor dat dat niet het geval is. Want als er geen interne beperkingen zijn, is het lastig om de bron van een infectie te vinden, en om herbesmetting te vermijden.

Wormen van deze soort zijn gevaarlijk en zullen dat ook blijven. Laat daarom van binnen naar buiten niet meer toe dan nodig. Beperk de interne communicatiekanalen. Verdeel uw netwerk in verdedigbare eenheden. Wijs uw gebruiker op de gevaren van mobiele toestellen en geef hun regels die eenvoudig op te volgen zijn.

André Mariën is director security consultancy bij Cybertrust.