Ook Paul hekelt de vele beveiligingslekken van Microsoft:

Een nog sprekender voorbeeld is de functie 'TerminateProcess'. Deze 'doodt' alle processen - dus ook het afsluiten van programma's, zonder dat de pc-gebruiker dat merkt. Iconen in de taakbalk blijven functioneren als ware het desbetreffende programma nog steeds in gebruik. Waarom is deze functie van belang? Het antwoord is simpel: ook alle beveiligingsprogramma's (virusscanners, trojanscanners, firewalls etc.) kunnen middels deze functie worden uitgeschakeld. En voorgoed. Van deze 'constructiefout' in Windows wordt gebruik gemaakt door de gevaarlijkste 'trojan horse' van dit moment: Bionet (versies 3.12 en 3.13).

Aangezien deze TerminateProcess-functie wordt aangestuurd door de kernel, en deze door niemand toegankelijk is anders dan door Microsoft zelf, ligt het voor de hand dat Microsoft dit zeer gevaarlijke lek dicht. Ondanks vele verzoeken van diverse kanten onderneemt Microsoft geen actie - en daar komt geen wijziging in.

Paul concludeert hieruit dat het niet aan de gebruiker ligt als zijn systeem slecht beveiligd is. Security audits door providers vindt hij een goed idee:

In de USA gebeurt dit al. In een niet zover verleden hebben wij (www.wilders.org - security advisors) een Nederlandse provider al eens benaderd om in samenwerking een dergelijke actie uit te voeren, maar men voelde er weinig voor. Het argument dat een dergelijke poortscan niet legaal zou zijn, doet geen opgang; poortscanning is niet illegaal. Een eventueel vervolg, het daadwerkelijk binnnendringen van gevonden kwetsbare systemen, daarentegen wel.

Kortom: er bestaat geen enkel bezwaar tegen het uitvoeren van een dergelijke security audit, zolang deze door - of met toestemming van de desbetreffende ISP wordt uitgevoerd. Op grond van eigen ervaringsgegevens met betrekking tot besmette systemen voorzie ik in dat geval als resultaat een verbluffend aantal onveilige systemen.

Over het opzetten van een dergelijke audit:

Wat te doen met de ontdekte onveilige en wellicht al besmette systemen c.q. de eigenaren daarvan? (Ik onthoud me van de term 'passive abuser' die door Bloemen wordt gebezigd; 'abuse' veronderstelt in principe opzet, en in combinatie met de term 'passive' ontstaat er een contradictio in terminis.)

Er zijn meerdere benaderingswijzes mogelijk. Verwijzing naar een FAQ lijkt niet de aangewezen weg, protectie-programma's kunnen worden uitgeschakeld zoals eerder vermeld, en Windows opnieuw installeren lost lang niet altijd de problemen op; een memory-resident virus wordt op die wijze niet uitgeschakeld, en de MBR, zelfs hardware (harde schijf, cpu) kan blijvend zijn beschadigd.

Welke opties resteren vervolgens? Een ISP zou een overeenkomst kunnen aangaan met terzake kundige security consultants, ten behoeve van haar accounts. Verwijzing van accounts is dan de logische volgende stap. Daarbij komen eventuele kosten naar keuze voor rekening van de provider, die deze investering terugverdient middels minder bandbreedte-verbruik, het wegvallen van de noodzaak tot het besteden van tijd aan geïrriteerde klanten en andere ISP's, dan wel gedeelde kosten, of alle kosten voor het desbetreffende account.

Een dergelijk 'emergency team' kan door de provider ook intern worden opgezet; ook hier zal op termijn deze investering zichzelf terug betalen. Tenslotte zou een ISP zich kunnen beperken tot het verwijzen naar terzake deskundige security consultants.

Teneinde tot een zo optimaal mogelijk resultaat te komen voor zowel de provider als de desbetreffende account, komen de eerstgenoemde opties in aanmerking. Het proces wordt immers gestuurd en gevolgd. De laatstgenoemde optie is weliswaar de goedkoopste - vanuit de optiek van de provider - maar eveneens de meest vrijblijvende. Het is immers de vraag, of het enkele doorverwijzings-advies ook daadwerkelijk een vervolg krijgt.

Willem Boogers heeft enkele praktische tips om ShareSniffer-achtige programma's buiten de poort te houden. Ook hij beveelt de site van Gibson Research aan:

Om niet verzeild te raken in allerlei ondoorzichtige Windows-instellingen (NT in mijn geval), heb ik ZoneAlarm 2 geïnstalleerd. Is een persoonlijke firewall die, voor zover ik kan vaststellen, de rommel aardig buiten weet te houden. Voordeel dat het afzonderlijk product is, en redelijk eenvoudig in te stellen. En het beschermt zowel op het werk (LAN) als thuis (via dial-up).

Gibson Research heeft een heel aardige website waarmee je zelf je PC (door een server van hun) kunt laten testen (aanvallen) en zien wat de resultaten zijn. Het leek mij een betrouwbare bron.

grc.com/x/ne.dll?bh0bkyd2
om poorten etcetera te testen (speciale aandacht voor NetBIOS)

www.zdnet.com/downloads/partners/zonealarm/downloading.html
ZoneAlarm (free)

Nawoord: Microsoft lijkt zich alle beveiligingskritieken wel degelijk aan te trekken. Deze week kondigde ze aan dat Outlook 2002, de nieuwe versie van zijn e-mailprogramma, niet langer elk attachment automatisch zal kunnen openen. Meer dan 30 riskante bestandstypen (zoals .exe en .vbs) worden aanvankelijk geweigerd. Zo hoopt Microsoft de verspreiding van virussen tegen te gaan.

(13 april 2001)