Niet alleen als u Peter heet en u een e-mailadres hebt met een bekend domein, was u de klos bij het MyDoom-virus. Ook velen die door hun ouders als Adam, Michael, Alex, Fred, Jerry, Alice, Kevin, Jim, Sandra, Linda, Matt, Mary, Brian, Stan, Sam, Anna, John, Debby, Ted, Jim, Dave, Julie, Steve, Helen, Julie, Bob, Robert, Bill, Jack, David, Mike, Stan, Ellis, Brenda, Dan, Jane of Leo op de wereld waren gezet, hebben zware dagen achter de rug. Of als ze pas zondag na een weekje wintersport hun postbus openen, worden ze alsnog onder een lawine bedolven.
Vorige edities van dit soort wormen namen nog e-mailadressen uit de adreslijsten van besmette Outlook-klanten om andere Windows-gebruikers aan te vallen. "Waarom zo moeilijk doen?", dachten de makers van Mydoom of NoVarg. "Adressen verzinnen we zelf wel." Ze gebruikten een 'dictionary run': koppel alle bekende voornamen aan alle bekende domeinen. En dat waren er veel.
De zelf gegenereerde adressen werden niet enkel als doelwit gebruikt, maar ook als afzender. Dus naast virusmeldingen van hun provider en/of scanner op de pc ontvingen ze ook nog eens klachten van personen die dachten van hen een virus te hebben gekregen, of meldingen van virusscanners van ontvangers. Zoiets als: "Ein Virus wurde in Ihrer Email gefunden. Dieser Email Scanner unterbrach die Versendung der Nachricht an den Empfaenger."
Onprettig gestoord
Virussen filteren en rapporteren gebeurt allerminst eenduidig. Zo heeft ondergetekende voor zijn e-mailadres op drie pc's McAfee draaien. Die gedraagt zich op elke pc anders. Dan weer krijgt de e-mail een rapportje als attachment bij een gefilterd bericht, dan weer flopt een pop-up rechts onderin het scherm. Die laatste onderbreekt het werk, je raakt er gestoord van.
Maar echt gekmakend is de methode van filterafhandeling van de provider. Die stuurt bij elk gevonden virus een bericht dat hij iets heeft verwijderd. En bij berichten die niet zijn besmet, staat ongevraagd onderaan de boodschap dat die e-mail is gescand. Dat heeft de marketingafdeling verzonnen: dat de klant goed moet beseffen dat zijn provider voor elke e-mail een (overigens door de klant zelf betaalde) inspanning levert.
Die boodschap staat overigens ook onder de vele tientallen berichten die nog met een virus binnenkwamen. Het ging om vele tientallen berichten. Elke provider wijst in de algemene voorwaarden de gevolgen van eventuele gebreken van de hand, net als Microsoft zich distantieert van de gevolgen van de lekken in Windows.
De provider draait Symantec, op de pc draait McAfee. Eigenlijk zou een provider zijn abonnees moeten vertellen welke scanner hij centraal gebruikt als filter. Dan kan de abonnee een ander nemen op zijn pc en vergroot hij daarmee de vangkans.
Ondergetekende had twee jaar geleden dagen met meer dan 500 spamberichten. Niemand kon dat aantal geloven, maar korte tijd werd spam alras, na overgewicht maar nog voor de hongersnood, wat betreft afkeer het tweede grootste welvaartsprobleem. Nu is er geen helder licht vereist om te beseffen dat straks, naast enkele Alices en Peters, veel meer mensen bedolven raken onder het viruspuin. De adresgenerator kan nog veel slimmer worden - ook om doelgericht aan te vallen, op Shell.com of tk.parlement.nl, en op personen.
Wat vinden providers ervan?
Het moederbedrijf KPN van de provider in kwestie, Planet Internet, wilde niet bevestigen dat virussen langs zijn centrale filter komen. Dat moet hij eerst onderzoeken. De provider mocht niet doorverbinden met een technicus met verstand van zaken, want dit is "de policy van het bedrijf... We hebben bij de helpdesk geïnformeerd en die hebben geen klachten van abonnees met zo veel virussen."
Het officiële antwoord luidt verder: "De virusscan van Planet Internet en Het Net wordt automatisch continue ge-update door Symantec, wereldleider op het gebied van internetveiligheid. Zodra zij een virus opneemt in haar systeem, wordt deze automatisch toegevoegd aan de virusscan van Planet en Het Net en gefilterd."
Op onze vraag of het updaten deze keer relatief laat plaatsvond, komt hetzelfde antwoord. Zowel Planet (samen met Het Net) als Xs4all, Tiscali en Zonnet zeggen dat hun virusdefinities kort na middernacht op die prille 27ste januari zijn bijgewerkt. Bij Planet doet Symantec dit op afstand, bij Xs4all vindt elk kwartier een update plaats, bij Zonnet vier keer per dag.
Technisch directeur Simon Hania van Xs4all: "Het was niet zozeer dat de update absoluut gezien laat was, maar door de razendsnelle verspreiding van het virus, waren er al veel virusmails in omloop voordat de nieuwe virusdefinities aangemaakt waren door de anti-virusleveranciers, en geactiveerd waren door de gebruikers. En er was een zichtbaar tijdsverschil in de snelheid waarmee de verschillende leveranciers hun update gereed hadden. Vervolgens waren de sites van sommige leveranciers overbelast door de grote toevloed aan update en informatieverzoeken."
Volgens de cijfers van Alexa was de site van Symantec de afgelopen dagen de drukst bezochte in Nederland en passeerde zelfs Google.
Betalen en gratis
Van de Planet Internet-klanten betaalt ongeveer 25 procent maandelijks 1,95 euro, of jaarlijks 23,40 euro, voor centraal filteren op virussen door Symantec. Bij Het Net heeft 15 procent van de klanten voor 22,20 per jaar een centrale virusfilter. Bij Zon is de centrale virusscan (van Vexira) gratis, bij Tiscali is de prijs afhankelijk van het soort abonnement. Leverancier is Trend Micro.
Bij Xs4all is het virusfilter sinds 1 januari gratis, maar de abonnee moet dat zelf activeren. Dat doen lang niet alle abonnees. Hania over MyDoom: "Op 27 januari ging werd ongeveer 30 procent van alle e-mail op virussen gescand, doordat abonnees hun scanner hadden geactiveerd. Van in totaal 568.575 op die dag gescande mail, bevatten 117.000 een virus. Hiervan waren 109.603 het MyDoom-virus. Op 28 januari was het aantal tegengehouden MyDooms 175180, ongeveer 25 procent van het totaal aan gescande e-mail."
Volgens Hania koos Xs4all, in tegenstelling tot het zusterbedrijf onder de groen-blauwe vlag, niet voor meldingen aan de ontvanger: "Xs4all wil zijn klanten graag een zo ruisvrij mogelijke mailbox bieden. Normaliter melden we alleen de verzender dat hij een virus stuurde, maar daar de adressen in dit geval automatisch zijn aangemaakt, hebben we dat niet gedaan."
Zon pragmatisch
Zonnet pakt het pragmatisch aan: bij het begin van filtering van virussen stuurde Zon aan zowel de verzender als de ontvanger een bericht van onderschepping. "Dat ging in het begin leuk, maar na verloop van tijd ontvingen we klachten van grote e-mailpartijen, zoals Yahoo. De postmaster daar werd krankjorem van alle e-mail. Daar zijn we toen mee gestopt."
Ook abonnees van Zon lieten de provider weten dat de vele virusmeldingen niet nodig zijn, zegt manager Operations Eric Nooter: "Er waren erbij die 50 meldingen per dag van onderschepte virussen ontvingen en daar waren ze niet blij mee. De afzenders kenden ze toch niet. Toen zijn we daarmee gestopt voor de bulk aan virussen. Maar als het om een incidenteel virus gaat, dan stellen we de ontvanger nog wel op de hoogte, want het kan om een bekende gaan die e-mail stuurt en dan de ontvanger wil waarschuwen."
Om tot deze wijsheid te komen heeft Nooter ongeveer een jaar aan ervaringen opgedaan. "Voor ons is een belangrijk uitgangspunt dat er uniform belang is van onze klanten en van ons met de belasting van de helpdesk. Hoe minder problemen en meldingen er zijn, des te beter en goedkoper is het voor beide partijen."
Zonnet had weinig abonnees met de genoemde voornamen in het e-mailadres, zodat weinigen direct door MyDoom zijn getroffen: "Een e-mailnaam voor het apenstaartje moet meer dan zes tekens hebben. De meeste van de getroffen namen hebben minder letters. Sommige medewerkers van Zon zelf hebben die regels omzeild en zijn daardoor slachtoffer geworden. Dat is dan hun straf", zegt Nooter, die een 'paar volgestorte adressen' heeft gezien, maar daarvan zijn de virussen gescand.
Koppen bij elkaar
Nooter denkt liever niet aan de mogelijkheden van de ultieme aanval met virussen die het internet kan verlammen. Wel heeft hij problemen met de gebrekkige opsporing: "Het is net terrorismebestrijding. Het gevaar kan voortdurend van alle kanten komen en je ziet de vijand niet naderen."
Nooter zegt dat het voortschrijdend inzicht van Zon als individuele provider en van de anti-virusbedrijven de basis vormt voor de bestrijding. Zo scant Zon nu ook de uitgaande mail van klanten. "Dat is al een hele vooruitgang."
Nooter's collega bij Tiscali in Utrecht, manager Operations Paul Gronland, bespeurt wel vooruitgang in de bestrijding, maar hij vreest dat die geen gelijke tred meer houdt met de toenemende bedreiging:
"Ik denk dat we als grote providers de koppen bij elkaar moeten steken, want we hebben hier een gezamenlijk belang. Zo kijkt iedereen in Nederland met respect naar de kennis die Xs4all heeft opgebouwd. Zij hebben het ook eenvoudiger, met louter betalende klanten. Bij ons hebben we gratis of bijna gratis abonnees die we gratis filtering gaan aanbieden."
Dat zou eigenlijk wel moeten, meent Gronland: "Ik redeneer vanuit het technisch oogpunt en zie het probleem snel groeien. En steeds meer klanten ontberen zelf de kennis voor bestrijding."
Daarover, oppert Gronland heel voorzichtig, heeft hij een verschil van mening met de marketing en verkoop, die de prijzen en inkomsten moeten bepalen. "Maar we komen nu dichter bij elkaar, en ik verwacht dat we op dit punt eensgezindheid bereiken."
...en God voor ons allen
Naarmate het probleem van virussen toeneemt, groeit de behoefte aan samenwerking tussen providers. Behalve wellicht bij de marktleider in kennis van veiligheid, Xs4all - waarvan overigens een klein deel van de klanten gebruik maakt van centraal filteren, wat een risico vormt voor internet als geheel.
Xs4all gebruikt wel twee virusfilters achter elkaar, en doet de meeste updates. Echter, nu is Zon relatief de veiligste provider, want die scant zonder voorbehoud alle inkomende en uitgaande e-mail, zij het met relatief onbekende software die iets minder frequent een update krijgt.
Het kan niet lang meer duren of elke provider scant centraal alle inkomende en uitgaande mail, zonder extra kosten voor abonnees, en biedt de mogelijkheid om van meldingen van virussen verstoken te blijven.
Wellicht dat er dan ook samenwerking tot stand komt met Waarschuwingsdienst en Virusalert, want ook de meeste providers negeren deze handige meldingsdiensten voor virussen.
Anders dan spam vormen virussen een collectief en ook een cumulatief gevaar voor internet en zijn gebruikers. Daarvan kun je de mate en aard van de bestrijding niet overlaten aan de willekeur van marketeers, zoals nu nog bij Planet en Tiscali.
En anders kan hun rekening wellicht naar Redmond...
[Peter Olsthoorn, 29 januari 2004]
Warning: include() [function.include]: open_basedir restriction in effect. File(/home/sites/www.netkwesties.nl/web/templates/artikel_kolomscheider.php) is not within the allowed path(s): (/home/netkwestie/:/tmp:/usr/local/lib/php/) in /home/netkwestie/domains/netkwesties.nl/public_html/editie80/artikel1.php on line 94
Warning: include(/home/sites/www.netkwesties.nl/web/templates/artikel_kolomscheider.php) [function.include]: failed to open stream: Operation not permitted in /home/netkwestie/domains/netkwesties.nl/public_html/editie80/artikel1.php on line 94
Warning: include() [function.include]: Failed opening '/home/sites/www.netkwesties.nl/web/templates/artikel_kolomscheider.php' for inclusion (include_path='.:/usr/local/lib/php') in /home/netkwestie/domains/netkwesties.nl/public_html/editie80/artikel1.php on line 94