Virus, virus, waar ben je verstopt

Niet via de achterdeur, maar gewoon recht voor z'n raap via de e-mail blijkt het Internet nog steeds erg kwetsbaar voor de hobbyist, die z'n frustraties even wereldwijd wil afreageren. Zonder de hogeschooltrucs van de echte hacker, zonder kennis van interrupts of machinetaal blijkt een simpel Visual Basic programmaatje voldoende voor een forse klapper.
Geen vuurwerk dat detoneerde, maar wel een waarschuwing dat het Internet nog lang niet veilig is. Het is wel leuk, dat ik in m'n analyse van de New Economy van twee nummers geleden het gevaar van een virus expliciet heb genoemd en dat als een veel fundamenteler gevaar zag voor de toekomst van het Internet dan de onverantwoorde Bubble-koersen. En dat ik waarschuwde voor een forse deuk in het Internet in samenhang met de "grote conjunctie" van de planeten, zon en maan begin mei is ook nog uitgekomen, ik heb daar herhaaldelijk op gewezen. De vraag is nu alleen, of dit virus de fundamentele kwetsbaarheid van het Internet wel voldoende overtuigend heeft aangetoond. Ik vrees van niet, men wil blijkbaar niet geloven dat de wonderolie van de nieuwe economie wat giftige kantjes heeft. Giftige kantjes, die in mijn visie de ontwikkeling van e-commerce sterk zullen schaden, de groeiende afhankelijkheid van e-mail zal beperken en het opleuken van websites met cookies, java-grappen en het sneaky opvragen van gegevens van de gebruiker zal reduceren. In die visie dus een klap voor Internet, maar wel een die de massa (nog) niet wil accepteren.
Het liefdevirus deed begin mei de wereld even verstijven, maar na de eerste angst was business weer "as usual", al werd het geen beste week voor de Nasdaq. De grote klap bleef echter uit, er kwam geen "Red Monday" met Internet-bloed aan de paal, de investeerders hielden het hoofd koel en met behulp van veel media-aandacht heeft men de meeste PC-gebruikers weten te behoeden voor het verlies van hun multimedia files. Want daar bleek dit virus het in z'n eerste incarnatie vooral op te hebben gemunt, de MPG en JPG files gingen in digitale rook op, diepe schade aan b.v harddisks zat er deze keer niet in. Ondertussen is de opwinding alweer over, de media kregen het druk met het echte vuurwerk en behalve de anti-virusbedrijven zwijgt men er liever over. Zeker van de kant van Microsoft, dat voor de zoveelste keer is geconfronteerd met haar software-constructie die toch wel erg gammel in elkaar is getimmerd. Heeft Gates sinds hij Basic (van een ander) op een paper tape zette wel echt iets bijgeleerd? DOS was ook van een ander, Windows een Mac-namaak en als bij de zoveelste versie van een Microsoft Operating systeem cum applicaties, want je zit toch langzamerhand wel vast aan de MS staart van applicatiesoftware, in nog geen dag zo'n 5 tot 10% van de PC's door een virus bereikt is kun je toch nauwelijks over een betrouwbaar en bedrijfszeker OS spreken. Denk eens even in, als terroristen of kwaadwillende naties op zo'n manier de communicatie en economie van een paar continenten kunnen platleggen, wie heeft dan nog bommen nodig?

Elektronische oorlogvoering
Je kunt hele naties platleggen, en een paar extra regels om bijvoorbeeld PC's met een cyrillische of Arabische tekenset ongemoeid te laten kan iedere twaalfjarige PC-gebruiker er nog wel bijbedenken, en met echte schade als je bijvoorbeeld de harde schijf zichzelf laat opblazen, natuurlijk na het doorsturen van je virus naar zoveel mogelijk anderen.
Wie heeft nog legers nodig, als je de "vijand" op deze manier te pakken kunt nemen. En ik denk, dat er ondertussen wel hele divisies van "electronic warfare" specialisten zijn, offensief of defensief. Niet in Nederland natuurlijk, hier gebeurt alles 50 jaar later en geven we liever iedere burger weer een half gratis PC. Daarmee kan de achterstand op digitaal gebied in Suriname, Turkije, Marokko etc. snel worden opgelost, want wat gebeurt er anders met apparatuur, die iedereen met forse overheidssubsidie kan aanschaffen. En programmeren in Basic, dat staat in Nederland al jaren niet meer op het lesprogramma, hier denken we dat html-code het kennistoppunt van de "Lost-Boys" generatie zakkenvullers is. Nederland mag, in opdracht van andere "heren" wel de bommen op Joegoslavië gooien, waarmee achteraf wel ongeveer 14(!) tanks geraakt zijn in 3 maanden "sorties", maar onze Nato-partners doen vast geen beroep op Kok's muisvastheid als het gaat om de nieuwe generatie wapens, en er staat toch niks in de Geneefse accoorden over computervirussen? Dat je niet alleen de hele economie kunt platleggen, maar ook direct levensbedreigende virussen kunt gaan rondstrooien in b.v. medische computersystemen of milieurampen kunt veroorzaken door process-computers in de war te sturen zal ze in Den Haag vast nog niet duidelijk zijn. Daar komen ze ook de komende maand pas achter wat het voor 'n hete zomer gaat worden, iets waar de astrofysici (en Y2K angsthazen zoals ik) al jaren voor waarschuwden omdat de zonnevlekactiviteit dit jaar extreem hoog is.

Vriendelijk
Iloveyou was nog tamelijk onschuldig, ik heb zelfs het gevoel dat het eerder een goedbedoelde waarschuwing was dan een welbewuste poging om overal PC's op te blazen. Maar de boodschap is wel angstwekkend, via vrij normale e-mail kun je snel en effectief een epidemie veroorzaken.
Natuurlijk, eigen schuld van al die mensen die zomaar attachments activeren! Dat weet toch iedereen? Nou ja, ik krijg, vooral van de zogenaamde deskundige bedrijven, nog iedere dag persberichten met attachments. Apple is zo'n leuk voorbeeld, die hebben een echt achterlijk PR-bureau dat het maar niet wil afleren (ik heb ze al vele keren gemeld dat er betere manieren zijn om hun ellenlange PR-schrijfsel en leuke vondstjes te communiceren). Als binnen 'onze' industrie dit besef nog niet is doorgedrongen, kun je het dan de groenteboer, vliegtuigmaatschappij of ambtenaar kwalijk nemen (ook de CIA ging plat!).
En nu was Iloveyou nog enigermate verdacht, ik zou het met "uw elektronisch T-formulier" met de belastingdienst als afzender hebben gedaan. En niet vanaf een "bekende" computer in Manilla, maar gewoon in die Easy-tent in Amsterdam, 650 PC's bij elkaar. Daar zitten vast geen floppies in, maar je haalt je virusje even op via een anoniem mailadresje, laat het een paar dagen afkoelen en activeert het dan op een druk moment.
En van Iloveyou zijn we ook nog niet af. Wat men niet beseft is dat heel veel gebruikers wel braaf hun Iloveyou-email hebben weggegooid, maar dat de attachment nog rustig op hun harde schijf woont. Veel gebruikers hebben geen idee hoe ze die 'txt.vsb' file moeten opsporen of vergeten het gewoon, de e-mail is toch onschadelijk gemaakt? Welaan, wie schrijft een leuk Inter-cookie om het alsnog te activeren, of een stukje Java-code, dat je aan een Yahoo of Ilse pagina plakt (of op Startpagina.nl, als je je door de VNU genaaid voelt, Pim de Wit kocht zich daar een eind aan z'n carrière). Op die manier kan over een paar maanden alsnog de bal weer gaan rollen en een programmaatje om de achtergebleven virusresten te activeren kan erg kort zijn, je merkt niet dat je het binnen krijgt.

De les: de voordeur staat open
Grote bedrijven zullen het zich ondertussen gerealiseerd hebben, hun voordeur staat wagenwijd open als ze accepteren dat hun PC's code kunnen binnenhalen via e-mail en via Internetpagina's. Dat ze de achterdeur, het binnensluipen via inkiezen en direct contact met hun servers hebben afgeschermd via vuurwallen en zanddozen is mooi, maar hoe voorkom je dat een brave secretaresse de mail voor haar baas scant en allerlei rommel binnenhaalt.
In mijn bedrijf heb ik in ieder geval de Internet-functionaliteit maar van alle cruciale administratieve systemen af laten halen, als ze de AEX willen bekijken gaan ze maar bij iemand anders kijken. Misschien is de beste oplossing dan nog om speciale Internet-machines neer te zetten, maar wat is dan nog het verschil met een fax? Juist de intergratie van Internet met al die andere bedrijfsprocessen leek zo'n schone belofte. B-to-B, inkopen en verkopen, je catalogi interactief beschikbaar maken voor verkopers en klanten, de koppeling naar SAP, naar de onderliggende databases, hoe hou je dat veilig als iedere Internet-boodschap of e-mail een virus of andere ongein kan bevatten?
Daar ligt de grote en duidelijke boodschap van Iloveyou, de voordeur staat open en we weten nog niet hoe we die dicht kunnen houden. Iedere bericht scannen op virussen, roepen de toko's die daar geld aan verdienen, maar dat hield Iloveyou toch ook niet tegen. En in de weken ervoor waren er reeksen andere virussen en zijn we Melissa alweer vergeten?

Verantwoordelijkheid
Een van de factoren, die de verspreiding van Iloveyou in de hand heeft gewerkt was de 'slimme' actie van Ericsson om haar mobiele telefoontjes te promoten. Stuur een bepaald bericht, met het aanbod van een gratis mobieltje, naar 10 of 20 relaties (en naar Ericsson) en je maakt kans op etc. Net als Iloveyou heeft dat tientallen miljoenen mensen bereikt, op bepaalde dagen zaten er soms 20 of 30 van dergelijke berichten in onze e-mail. Ik heb toen al gewaarschuwd (en dat ook teruggemaild naar wie mij zo vriendelijk liet meedelen) dat zoiets indruist tegen de privacy en gevaarlijke kantjes had. Het Iloveyou-virus bewees dat op een wel erg harde manier, de eerste Iloveyou-berichtjes kwamen via de Ericsson-pyramide binnen. Leuke tip, bedankt lieve vrienden, jullie lapten dus eigenlijk al je bekenden erbij. Het zou me ook niet verbazen, als deze actie een deel was van de Iloveyou-strategie maar in ieder geval valt Ericsson hier heel wat te verwijten. Hun ludieke actie heeft aantoonbaar tot virus-besmette communicaties geleid, wie sleept ze eens voor de rechter? Pyramide-acties op het Internet zouden wettelijk verboden moeten worden en een forse claim tegen een bedrijf met "deep pockets" kan misschien helpen.

Zwakke fundering
Wat blijft is voor mij het besef, dat de fundering van het Internet, lekker open en zonder duidelijke verantwoordelijkheid voor e-mailer, provider of e-roerend goed bezitter, kwetsbaar is. Dat daarmee de rozige e-toekomst is aangetast, vooral voor bedrijven, die het juist moeten hebben van steeds ingewikkelder e-communicatie met steeds meer automatisch (en vaak ongemerkt) tweewegverkeer of toegang tot de computer van de gebruiker/surfer. Dat bijvoorbeeld elektronisch betalen voor de gewone gebruiker weer verder wegschuift, dat elektronische postcards en multi-media berichten niet meer geaccepteerd zullen worden en dat er binnenkort wel websites zullen komen, die aangeven "html 1.0 zonder cookies" en je daar als gebruiker ook op zult gaan selecteren.
Back to the dark-ages or what?

Luc Sala