Studie bekostigd met anti-spyware
Spyware is het grootste internetonheil anno 2005. Net als bij anti-virusprogramma's zullen internetters waarschijnlijk moeten gaan betalen voor een schone computer. Eén Nederlandse student verdiende al geld aan spyware.
Vorig jaar juni was student Merijn Bellekom het zat. Zijn gevecht tegen een van de meest voorkomende spyware, CoolWebSearch, leek gedoemd te mislukken. Na twee jaar werken aan zijn programma CWShredder, de beste tool om van het schadelijke CoolWebSearch af te komen, gooide Bellekom de handdoek in de ring. Nieuwere, nog agressievere varianten van CoolWebSearch waren nauwelijks meer te pareren. Bellekom zou het bovendien te druk hebben met zijn universitaire studie Informatiekunde.
CoolWebSearch is een Trojaans Paard dat met behulp van een reeks lekken in Microsoft-programma's de browser van nietsvermoedende internetters kaapt. Vervolgens starten om de haverklap uit het niets voornamelijk pornosites op. Het programma vertraagt de pc ook nog eens aanzienlijk, tot aan crashes toe. Het verwijderen van CoolWebSearch is een lastige klus: de meeste anti-spywareprogramma's lukt het niet eens, zo hardnekkig is het.
Een nare bijkomstigheid voor Bellekom was ook nog eens dat de criminelen achter CoolWebSearch de door hen gemanipuleerde computers inzetten om aanvallen uit te voeren op websites die CWShredder hosten. CoolWebSearch leek aan het langste eind te trekken. Het bleef zijn slag slaan en bevindt zich inmiddels in de spyware top 10 van 2004 van beveiligingsbureau WebRoot.
Verrassend aanbod
Maar dit najaar keerde het tij voor Bellekoms geesteskind CWShredder. Tussen alle duizenden mailtjes die de student ontving na zijn bekendmakting te stoppen met het updaten van het programma, zat er eentje van het Amerikaanse softwarebedrijf Intermute, dat ook het anti-spywareprogramma SpySubstract maakt. "Ze benaderden mij of ze CWShredder konden kopen", vertelt Bellekom. Dat kon. En zo kent CWShredder uiteindelijk toch nog een 2.0-versie.
De 21-jarige student uit Utrecht heeft daarmee de opmerkelijke eer geld te hebben verdiend aan spyware. Hoeveel hij precies voor de licentie op CWShredder heeft gekregen mag Bellekom niet vertellen. "Maar laten we zeggen dat ik van het bedrag mijn hele studie kan betalen."
Toch niet slecht voor een hobbyprojectje? "Zeker, maar het heeft veel vrije tijd gekost. Ik begon er twee jaar geleden mee toen je de eerste spyware had, zoals CometCursor. Achteraf gezien was dat nog kinderspel vergeleken met de trucs die ze tegenwoordig toepassen met misbruik van drie of vier veiligheidslekken tegelijkertijd. Sommige programma's installeren zichzelf en je merkt niet eens meer dat je ze downloadt. Bepaalde spyware download je zo langzaam, met 0,1 kilobyte per seconde, dat je verbinding niet trager wordt."
Oost-Europese criminelen
Ook verontrustend is het dat spyware niet alleen meer op dubieuze sites staat. Bellekom: "Het klopt dat je op pornosites of sites waar je cracks of warez kan downloaden het meeste risico loopt. Maar vorig jaar werd nog het advertentiesysteem van Nu.nl getroffen door een Trojaans Paard. Dan wordt het wel eng."
Merijn Bellekom sleutelt intussen verder aan twee andere programma's, BugOff en HijackThis. De eerste dicht een aantal bekende gaten die browserkapers misbruiken en HijackThis is een veelgebruikt programma's om nieuwe spyware te vinden, die alle andere programma's nog niet kunnen detecteren. HijackThis houdt nauwkeurig bij wat er allemaal op de pc gebeurt en is daardoor vooral handig voor echte computerdeskundigen. De internetdatabase van HijackThis met analyses van kwaadaardige software werd ook diverse keren platgelegd door onbekenden.
Het blijft overigens speculeren wie er eigenlijk achter dat kwalijke CoolWebSearch zit. Bellekom: "Waarschijnlijk Oost-Europese criminelen, maar zeker weten doet niemand het." De internetsporen van de makers achter CoolWebSearch leiden inderdaad naar diverse Oost-Europese landen, vooral Rusland. CoolWebSearch, dat ook een zoekmachine exploiteert waarbij adverteerders per klik moeten betalen, heeft tegenover internationale media telkens volgehouden dat juist andere webmasters de software inzetten, om aan hén te verdienen. De meer dan duizend partners van CoolWebSearch krijgen namelijk vijftig procent commissie als ze verkeer naar de zoekmachine doorsturen. Dat is een praktijk die meerdere spywaremakers toepassen.
Diefstal
De naam doet anders vermoeden, maar spyware wordt meestal niet gebruikt om echt te spioneren of privé-gegevens van internetters te misbruiken, bijvoorbeeld identiteitsdiefstal. De makers van spyware zijn maar uit op één ding: geld.
Bellekom: "Bijvoorbeeld door advertenties te verkopen, of kliks te genereren of door bezoekers naar betaalde sekssites door te sluizen. Maar er zijn ook bedrijven die computerkracht verkopen op de geïnfecteerde pc's. In Kazaa zat een tijdje geleden nog het programam B3D, Brilliant Digital Enterprises, dat berekeningen doorvoerde op de computers van de gebruikers en de uitkomst vervolgens doorstuurde naar dat bedrijf."
Dat laatste beaamt systeembeheerder Mark Lohman in Almelo, die zich ook op bestrijding van spyware stortte: "Op basis van verkregen data over surfgedrag van internetters pushen ze advertenties."
Spyware wordt ook ingezet voor 'phishing', het ontfutselen van financiële gegevens. Lohman: "Spyware kan de host-file van Windows zo aanpassen dat je niet naar de echte site van een bank gaat maar naar de namaaksite. Zo kwam ik een tijdje geleden op een nep-Rabobank-pagina. Banken zeggen niet voor niks dat je op het adres in je locatiebalk moet letten."
Nog een slimme maker
Net als Bellekom maakte deze Almelose systeembeheerder in zijn vrije tijd een anti-spywareprogramma, HitManPro. Dat werkt als een soort Zwitsers zakmes, want het maakt om een vlugge wijze gebruik van allerlei bestaande anti-spywareprogramma's en trucjes. Vensters openen en sluiten zich automatisch achter elkaar, waardoor het lijkt alsof het anti-spywareprogramma de computer zelf heeft overgenomen. In tegenstelling tot Bellekom verwacht hij er niks mee te verdienen.
De Almeloër werkt nog aan een systeem waarmee de gebruiker zelf de rechten van programma's kunnen aanpassen. "Nu is het zo dat alles wat in Internet Explorer wordt gestart dezelfde rechten heeft. Met ons Serve Right-systeem kan een bestand waarop je per ongeluk klikt, spyware bijvoorbeeld, zich nog niet meteen installeren. Het wordt eerst opgeslagen."
Daar komt Microsoft
Lag de strijd tegen Spyware tot voor kort in handen van kleine softwarebedrijven zoals Intermute en het Duitse Lavasoft (bekend van Ad-Aware), daarin lijkt dit jaar verandering te komen. Drie weken geleden lanceerde Microsoft zijn eigen anti-spywaretool, gemaakt door het bedrijfje Giant dat Microsoft in december 2004 opkocht. Binnenkort is het schoonmaakprogramma al toe aan een nieuwe versie.
Microsoft overweegt bovendien om gebruikers ervan op termijn geld te vragen. "Dat is toch wel ironisch, want juist aan exploits in programmatuur van Microsoft heeft spyware zijn bestaan te danken", zegt Mark Lohman.
De Nederlandse spyware-busters zijn blij dat Microsoft zich nu ook in de strijd heeft gemengd. Bellekom: "Prima dat Microsoft eindelijk ook iets doet. Ik denk dat ze over twee jaar een goed programma kunnen hebben. Ja, zo lang zal het wel duren voor ze het echt op orde hebben."
Volgens Lohman zijn anti-virusbedrijven te laat begonnen met scanners tegen spyware. "Maar nu zullen ze zich er echt op storten. De anti-virusmarkt lijkt verzadigd. Kaspersky heeft al een goede spywarescanner.
Wettelijk verbod ontbreekt
Dat jongens als Merijn en Mark 'concurrentie' krijgen van grote partijen is logisch. Spyware begint nu echt de spuigaten uit te lopen. Een onderzoek van de grote Amerikaanse provider Earthlink en beveiligingsbedrijf Webroot toonde aan dat op elke pc gemiddeld 26 spyware-achtige bestanden staan. Ruim de helft van de Nederlandse internetters heeft er wel eens last van gehad, stelde de Nederlandse Safe Internet Foundation (SIF) eind 2004.
Spyware drukt zwaar op de arbeidsproductiviteit van de Nederlander: twaalf procent van de door SIF onderzochte internetters was een halve dag of langer bezig geweest met het verwijderen van de malafide software. Twintig procent slaagt daar uiteindelijk niet eens in. Dit leidt tot burgeracties als AntiSpywareoffensief.nl.
Op basis van de resultaten van het onderzoek riep SIF op tot een Europees verbod op spyware. Waar Nederland (en Europa) al wel een wettelijk verbod op spam heeft, ontbreekt een expliciet bevel tegen spyware.
In Amerika komt die er binnenkort wel. Over drie weken zal waarschijnlijk een grote meerderheid van de Amerikaanse parlementariers stemmen voor een wet die zware straffen op het maken en verspreiden van spyware zet. De boetes kunnen oplopen tot drie miljoen dollar.
Volgens deze SpyAct moeten consumenten voortaan vooraf toestemming geven voordat spyware informatie over hen mag vergaren.
De verspreiding van spyware zal zich echter moeilijk laten stoppen door wetten, zoals dat ook geldt voor virussen. Niet op de laatste plaats doordat consumenten moedwillig programma's installeren waarvan ze weten dat er spyware op zit. Kazaa bijvoorbeeld, een van de populairste programma's om bestanden van andere internetters te downloaden. Ook de beoogde opvolger van Kazaa, Exeem, heeft weer spyware in zich.
Zelfs bestanden die met Digital Rights Management van Microsoft zijn beveiligd vallen ten prooi aan de boosaardige programmaatjes. En alsof het nog allemaal niet erg genoeg is, zal in 2005 spyware ook nog 'mobiel' worden. Niet alleen mobiele telefoons zullen worden geïnfecteerd, ook boordcomputers in auto's zijn niet veilig.
Spywarebestrijders Merijn en Mark verwachten niet dat de geniepige programmaatjes ooit uit te roeien zijn. Mark: "Er blijven altijd trucjes bestaan om bij internetters op hun pc te komen."
Merijn: "Het is net als met spam. Dat zal ook altijd wel blijven bestaan...."
[Tonie van Ringelestijn, 27 januari 2005]
|
