Afgelopen tijd was het weer raak met de enge beestjes op internet. Een virus en een worm. En grote paniek natuurlijk, tot aan mooie plaatjes van een'virus war room' op CNN toe.
Computervirussen hebben nog steeds een tussengastheer nodig. Bij biologische virussen wordt deze taak meestal vervuld door een of ander insect. Bij computervirussen is het de 'klakkeloze dubbelklikker'.
Juist: een gebruiker die niet met zijn vinger van de muisknop kan afblijven. Het Sircam virus is de zoveelste telg in een lange dynastie van e-mail attachment virussen. De illustere voorgangers: Melissa, I-love-you, Homepage, Anna-Kournikova. En nog vele minder bekende telgen.
Ze hebben allemaal een ding gemeen: om zich verder te verspreiden is tussenkomst van een mens nodig die op de juiste plek dubbelklikt. Blijkbaar leert men er niets van: na iedere uitbraak wordt verkondigd dan men 'onbekende' attachments niet moet openen.
De virussen evolueren natuurlijk. De voedingsrijke bodem met een monocultuur van Micosoftprogramma's als Outlook en Windows, waar totale integratie van alle wat los en vast zit het toverwoord is bieden steeds weer nieuwe kansen aan de virusmakers.
De verleiding voor de klakkeloze dubbelklikker moet zo groot mogelijk zijn. De truc met het adresboekje is al wat langer bekend: het virus komt van een 'bekende'. Nu wordt het attachment zelf aantrekkelijker: een document uit de werkdirectory van het slachtoffer, waaraan hij (vermoedelijk) met meerdere personen werkt.
Dat het wel eens een 'confi' document kan zijn, dat is dan jammer. Ook helpt het als de naam lang genoeg is: het e-mail programma, zo zorgvuldig ingesteld om de extensies wel te laten zien, kapt de naam gewoon af.
Een tweede ontwikkeling is een zeer snelle verspreidingsmethode, om de antivirusmakers de voet dwars te zetten. De antivirusmakers doen hun best met early warning systemen, en laboratoria die snel met een antivirus aan kunnen komen.
Echter, die labs moeten natuurlijk eerst een kopietje van het virus krijgen, en hebben dan tijd nodig om met een oplossing te komen. Intussen heeft het virus vrij spel, al is het maar enkele uren.
Gevolg: een flinke uitbraak, veel publiciteit en paniekvoetbal. Een vast onderdeel van deze publiciteit lijkt de vraag te worden of providers dan maar preventief virussen moeten scannen. Afgezien van de privacy-aspecten geeft dit een vals gevoel van veiligheid.
'Virus? Hoef ik me niet druk om te maken, de virusscanner heeft dat toch al opgegeten' zal de klakkeloze dubbelklikker denken. En klikt er lustig op los, en het verse virus kan weer verder.
Virusscanners zullen nooit 100% zekerheid bieden. En virussen hebben ook nog steeds andere verspreidingsmethoden beschikbaar dan alleen maar e-mail, zodat ze gemakkelijk langs een e-mailscanner kunnen glippen.
De ware oorzaak van de virusproblemen, de klakkeloze dubbelklikker en de monocultuur van (Microsoft) softwareomgevingen wordt er niet door weggenomen.
Het klakkeloos rondsturen van kattebelletjes van 1 a4-tje groot als attachments vergroot de voedingsbodem voor klakkeloze dubbelklikkers in belangrijke mate. Kijk eens of de nieuwe virusscanner (natuurlijk met Sircam-module) niet een optie heeft om bepaalde documenttypen bij voorbaat te blokkeren. Stel deze (naast de voor de hand liggende extensies) ook maar in op .doc en .xls bestanden.
Nog beter is het om naast de bekende paperclip 'Clippy' uit Office ook zijn kleine broertje uit Outlook bij de Hoogovens ter omsmelting aan te bieden.
Phons Bloemen
(9 augustus 2001)
