Henk de Boer pleit voor harde maatregelen tegen virusmakers:

Het virusprobleem is natuurlijk onderdeel van het totale begrip veiligheid, binnen en buiten het internet. Waar het je huis betreft doe je 's avonds de deuren op slot. Toch kan iedereen onder toepassing van enig geweld zich over het algemeen moeiteloos toegang verschaffen. Dat dit in verhouding niet zo vaak gebeurt is te danken aan zoiets vaags en complex als 'beschaving' of 'normen en waarden'.

Bij zoiets nieuws als de computer, en dan zeker in de 'cut-throat' competitie die daar omheenhangt, is dat bepaald onvoldoende ontwikkeld. Ongebreidelde zelfverrijking, loze beloften en misleiding, samen met bijna ongelimiteerd jatwerk (en dan bedoel ik niet alleen het kopiëren van een programmaatje) zijn hier de norm. Niet voor niets worden vaak begrippen als Wildwest en Cowboys gehanteerd.

Vergelijk een virus eens met een steen door je ruit - in het ernstigste geval mogelijk eerder een molotovcocktail. Ondanks de geringe pakkans zou er inderdaad veel meer werk van moeten worden gemaakt om de daders in de kraag te vatten. En vervolgens te laten bloeden voor wat ze hebben aangericht. Niet door een taakstraf en al helemaal niet de door imbeciele bestuurders voorgestelde beloning in de vorm van een mooie baan.

De logica gebiedt daarbij dat een straf de vorm krijgt van een boete die in verhouding staat tot de schade die werd aangericht. Daar kan dan de viruspolitie van worden betaald. Dat zoiets een vorm van levenslang kan inhouden is dan jammer voor de dader, afschrikwekkend werken doet het zo wel. En het is een incentive voor de politiek, bedrijven en dus indirect ook de computerbranche om het verschijnsel werkelijk serieus te gaan nemen.

Ik ben het met Maurice eens dat een firma als Microsoft hierin een grote verantwoordelijkheid draagt. Zij immers verzorgen het volstrekt ondeugdelijke hang- en sluitwerk van ons computerhuis. Daar behoren ze dan ook op aangesproken te kunnen worden. Door de monolithische opbouw van Windows is het bovendien voor anderen niet eenvoudig om adequate beveiligingen te verzorgen. Deze bedrijven wordt bovendien voortdurend concurrentie aangedaan. De ingebouwde firewall in Windows XP is daarvan alweer een voorbeeld.

Wilhelm Godschalk ziet de viruspolitie al in actie komen:

O, om 's hemelswil, hou de overheid er buiten! Die kunnen de burger nog niet eens beschermen tegen inbraken, oplichting, berovingen en geweld. Zodra ze hun neus in het emailverkeer gaan steken dient dat toch maar alleen om de gewone burger te bespioneren.

Wat dan wel?

Zelf oppassen voor virussen. Kwaad wordt zelden gestraft, maar domheid altijd. Als je zo dom bent om executables te openen die je zomaar door een onbekende worden toegestuurd, of je werkt zonder firewall en virusscanner, dan loop je risico. Als de ongein dan eens toeslaat, ja dan zit je er mee. Dan moet er een tijdje hard gewerkt worden om je systeem weer schoon te krijgen. Gelukkig komt dit niet echt vaak voor. Helaas zien veel computeraars hun eigen stomme fouten meestal voor een virusaanval aan.(altijd anderen de schuld geven, weet je...) Nee webbroederen en -zusteren: Wij zijn zelf verantwoordelijk voor al de rotzooi die er circuleert. Wijzelf moeten dit oplossen. En wie dat niet kan, die moet het maar leren.

Pelle Peters sluit zich daarbij aan:

In eerste instantie de pc-eigenaar of -gebruiker zelf natuurlijk. Basisbeveiliging van de computer goed instellen, eventueel nog een antivirusprogramma en/of firewall en verder gewoon opletten. Natuurlijk kan een ISP als service naar de klanten een virusscanner op diens apparatuur installeren, waarbij het liefst aan de klanten de keuze wordt gelaten of ze dat willen. (Ik kan me voorstellen dat zo'n scanner meer kan doen dan alleen virussen scannen en onschadelijk maken.)

Henk Elegeert wijst een beschuldigende vinger naar Microsoft:

De enige die met recht aansprakelijk kan worden gesteld is Microsoft. Zij is ook de producent van een ondeugdelijk product, en tracht (tot op heden met succes) de consequenties van het gebruik op de gebruiker of anderen af te wentelen.

Pogingen van anderen om de verantwoordelijkheid bij de gebruiker of de ISP'er te leggen zijn volkomen onterecht. De enige oorzaak voor het verzenden van de ongevraagde e-mails is Microsoft, zowel aan de verzendkant als de ontvangstkant. Een ISP'er kan niet aansprakelijk worden gesteld voor een probleem dat niet door hem veroorzaakt wordt.

Het betreft hier immers data die wordt verzonden. Het "verzenden" is hier echter de veroorzaker van het probleem, en ook dat blijkt weer een gevolg van het ontwerp van het product waarbij de werkelijke verzender(account) onkundig blijft van gevolgen van het ontwerp van het product en ten onrechte wordt aangemerkt als de maatschappelijk verantwoordelijke.

Wat heeft het voor zin om je tegen trojaanspaard trachten te beschermen als er al een als product wordt meegeleverd door de trotse fabrikant van je software?

Frans heeft een paar tips voor wie geen virusscanner heeft of wil gebruiken:

1 - Het is helemaal niet zo gemakkelijk om op een goed geconfigureerde Windows PC in te breken.
2 - Een beetje oplettendheid kan elk virus buiten je systeem houden.

Enkele simpele ingrepen om je windoze systeem wat beter dicht te timmeren tegen e-mail virussen: 1: Deactiveer de Windows Scripting Host: http://www.sarc.com/avcenter/security/Content/2000_05_12_iv_dWSH.html
2: Deactiveer VBS: http://www.sarc.com/avcenter/security/Content/2000_05_12_v_dVBS.html
3: Lees HTML e-mail in de 'restricted zone'; Outlook (Express) / Extra / Opties / Beveiliging - selecteer "Restricted Sites" (sites met beperkte toegang, het 'verboden in te rijden' symbool).
4: Verzwaar de beperkingen in deze 'restricted zone': Configuration / Internet Options / Security. Selecteer 'Restricted zones' (beperkte toegang), klik Custom Level en zet alle 'ActiveX' en 'Active Scripting' opties op disabled (uitgeschakeld).
Uitgebreidere informatie is te vinden op: http://www.sarc.com/avcenter/security/Articles.html
Met die maatregelen en een beetje oplettendheid bij het lezen van je e-mail (en met downloaden van programmaatjes) heb je naar mijn mening inderdaad geen virusscanner nodig en hoeven ISP's niet te filteren.
Jammer dat MS die instellingen niet standaard hanteert....

Leon Kuunders gaat in op de aansprakelijkheid van de softwarefabrikant:

Als we kijken naar de rol van de software fabrikant dan kunnen we de volgende scenario's verzinnen:

1) de fabrikant is zich bewust van de beveiligingsfouten die er in geleverde software zitten en doet er alles aan om deze op te lossen en het publiek daarvan op de hoogte te stellen, 2) de fabrikant verteld dat foutloze software niet bestaat en laat aansprakelijkheid juridisch oplossen door het opnemen van exoneratieclausules in licentieovereenkomsten, 3) fouten in software en problemen die daardoor mogelijk veroorzaakt kunnen worden, worden waar mogelijk verborgen gehouden voor gebruikers en slechts bij uitzondering gecommuniceerd

Mocht foutloze software een doel zijn (en misschien zelfs wel bestaan), dan is de fabrikant afhankelijk van de gebruiker alwaar het installeren van verbeterde software betreft. Als de fabrikant redelijkerwijze aan haar verplichting heeft voldaan (met betrekking tot het communiceren over software verbeteringen) en de gebruiker voert deze wijzigingen niet door dan ligt er een stuk verantwoordelijkheid bij de gebruiker

Mocht foutloze software niet bestaan (en het dus onmogelijk zijn om foutloze software te schrijven) dan vervalt een groot gedeelte van mogelijke aansprakelijkheid voor fabrikanten. Hieruit volgt dat een adequate bescherming doorvoeren (zoals een virusscanner en firewall) gebaseerd is op software die dus niet foutloos kan zijn, waardoor gebruikers die problemen veroorzaken ook niet aansprakelijk kunnen zijn.

Mocht foutloze software niet bestaan en er door de fabrikant niet worden gecommuniceerd over problemen met de software, dan blijft de verantwoordelijkheid bij de fabrikant en is deze dus aansprakelijk voor mogelijke gevolgen van beveiligingsincidenten.

In het geval van beveiligingsincidenten die niet te wijten zijn aan software fouten maar aan door de gebruiker uitgevoerde handelingen is deze laatste dus verantwoordelijk. Dus het type handeling bepaalt daarin de verantwoordelijkheid.

Dan het "verbeteringsschema" dat moet worden doorgevoerd. Is het plausibel dat van een gebruiker verwacht kan worden dat deze wekelijks meerdere malen zijn computer up-to-date brengt? En waar ligt dan de grens? Bij 1 update per week? Of 2? Of 10? Een grote fabrikant bracht meer dan 100 updates uit afgelopen jaar. Dat zijn er twee per week. Van één fabrikant.

Het BadTrans virus kon zich verspreiden doordat het gebruik maakte van een reeds langere tijd bekend probleem in de e-mail software die veel mensen gebruiken. Stel dat ik besmet raak met het BadTrans virus nadat ik voor de eerste maal aanlog op het internet. De computer is diezelfde middag gekocht. En met voorgeïnstalleerde software opgeleverd door de locale hardware boer. De locale hardware boer schuift alleen maar de doos door die vanaf de fabrikant verkregen is. De software is zes maanden geleden automatisch geïnstalleerd bij de fabricage van de computer. In Taiwan. En heeft dus niet de laatste, verbeterde, software versies. Wie is er dan verantwoordelijk? En wie is er de pineut?

Voorlichtingscampagnes (zoals Surf op Safe) zorgen hooguit voor een verschuiving van de verantwoordelijkheid van de fabrikant naar de eindgebruiker. Alleen als we aan kunnen tonen dat onze gebruikers een redelijke kennis op het gebied van beveiliging hebben en met een redelijke frequentie zorgen voor het bijwerken van hun software, dan pas kunnen we een beschuldigend vinger richting fabrikanten opheffen.

Tot die tijd is het ieder voor zich en God voor ons allen.

De complete thread is te vinden in het archief.
[10 januari 2002]