Gemankeerde artiesten en vileine wormen

Computervirussen worden slimmer. Ze kruipen door de beveiliging bij bedrijven, draaien computers dol of vernietigen dossiers. Dat is handel voor de makers van tegengif....

C HENG ING-HAU had het niet zo kwaad bedoeld, zei de 24-jarige ex-student toen de politie in Taiwan hem eind april arresteerde als het brein achter een van de meest venijnige virussen die op Internet rondspoken. Zijn 'Tsjernobyl'-virus had meer dan een half miljoen computers beschadigd, en bedrijven van Korea tot Canada op de kast gejaagd. Niet zo bedoeld, zei Cheng, die slechts fabrikanten van anti-virus-software in hun hemd wilde zetten.

Juist dankzij whizzkids als Cheng - die vier jaar gevangenisstraf kan krijgen - is de anti-virus-industrie big business geworden. Bedrijven geven honderden miljoenen uit om hun netwerk te beveiligen tegen de vijftigduizend virussen die over Internet zwerven. En maandelijks komen er 'enkele honderden' bij, zegt René Visser van Symantec, een van de grootste makers van anti-virus-software.

Bij alle aandacht voor virussen als Tsjernobyl - naar de initialen van de maker ook wel 'CIH' genoemd - en onlangs het schadelijke WormExploreZip, is het vreemd dat Cheng maar een van de weinige gearresteerde virusschrijvers is. Een andere is de 30-jarige Amerikaan Richard Smith, die kort na Cheng werd ontmaskerd als de maker van Melissa, het virus dat zich razendsnel per elektronische post vermenigvuldigt en in april computers van een aantal Amerikaanse bedrijven lamlegde. Smith was zo dom zijn naam op het virus achter te laten.

Cheng en Smith zijn uitzonderingen. In Nederland heeft zelfs nog nooit een virusmaker voor de rechter gestaan, zoals - voor zover bekend - ook nog nooit aangifte is gedaan door een bedrijf dat zijn databestanden opgevreten zag. Dat wil niet zeggen dat er geen Hollandse pubers zijn - virussen worden vooral geschreven door jongens tussen de 14 en 18 jaar oud - voor wie virussen even cool zijn als graffiti.

Dat slechts zelden een virusschrijver tegen de lamp loopt, betekent vooral dat zij nog 'onontdekt' zijn. Zolang hun speeltjes sluimeren op het net, en niet aanslaan, zijn zij vergelijkbaar met gemankeerde kunstenaars. Want van alle Trojaanse paarden, wormen en bootsector-virussen slaagt maar een klein deel erin zichzelf breeduit voort te planten. Pas wanneer ze door de beveiliging weten te breken, is het doel van de makers - aandacht, erkenning - bereikt.

Zo'n 'succesvol' virus is de WormExploreZip. Op 6 juni dook het ineens op in Israël. Het bleek zich via e-mail bijna even snel te verspreiden als Melissa (dat e-mail-computers overbelastte, maar verder goedaardig was), terwijl het net als het Tsjernobyl-virus tekst- en andere bestanden vernietigt.

Eind vorige week sloeg de worm toe in de Verenigde Staten, waar telecombedrijf AT & T, vliegtuigbouwer Boeing en computerfabrikant Compaq zich moesten afsluiten voor e-mail. Ook bij de Symantec-vestiging in Leiden stond de telefoon een paar dagen roodgloeiend, maar Visser kent geen Nederlandse bedrijven die ook werkelijk getroffen zijn. Dat komt allicht doordat het virus verstopt zit in een elektronisch briefje, waarin - ogenschijnlijk door een bekende afzender - in het Engels wordt gevraagd of de ontvanger naar meegestuurde 'zip'-bestanden wil kijken. Wie dat doet, is de klos.

Omdat hij voor het eerst in Israël opdook, en er Hebreeuwse tekens in te vinden zijn, denken onderzoekers dat de worm van Israëlische makelij is. Maar virussen komen overal vandaan. Volgens Symantecs Visser werden ze tot voor enkele jaren vooral in Oostbloklanden gemaakt ('door mensen die wel een universitaire opleiding hadden, maar geen uitzicht op een goede baan'), en komen ze nu uit andere landen waar het economisch minder goed gaat. 'Aan de universiteit van Djakarta worden veel macro-virussen geschreven. Maar ze komen ook uit Zuid-Amerika, en gek genoeg uit landen als Duitsland, Oostenrijk en Zwitserland.'

De Israëlische worm maakt zoals veel macro-virussen gebruik van de gebrekkige beveiliging in software van Microsoft. Virusschrijvers zijn er dol op. Want met een 'macro' kan vrijwel onzichtbaar in een stuk tekst een programmaatje worden meegestuurd dat zichzelf verstuurt naar alle afzenders van elektronische post, en dat dat opnieuw doet zodra het aangekomen is. Wie kwaad wil, laat het virus ondertussen alle tekstbestanden en rekenvellen vervangen door lege documenten. Volgens Visser van Symantec is 15 procent van alle virussen destructief.

Het ligt voor de hand dat bijvoorbeeld advocatenkantoren schade kunnen oplopen. Zelfs als ze iedere nacht een back-up maken van alle pleitnota's, kan een simpel virus een dag werk van een heel kantoor vol dure juristen uitwissen. Zulke vernielingen komen bijna nooit in de publiciteit, al helemaal niet in Nederland. Dat kan erop duiden dat getroffen bedrijven liever hun mond houden. Maar ook is mogelijk dat Nederlandse bedrijven inderdaad zo massaal ('meer dan 90 procent') beveiligd zijn als Symantec zegt.

De echte schade die virussen aanrichten, lijkt mee te vallen. Het verklaart waarom Nederlandse verzekeraars nog amper werk maken van virusschade. Aegon laat weten geen virus-polissen te willen aanbieden 'omdat het risico absolut niet te overzien is'. Maar Delta Lloyd biedt wel een verzekering aan waarbij het verlies van databestanden gedekt is, ook als een virus de oorzaak is. 'Maar het is nog erg in ontwikkeling. We hebben tot nu toe een heel klein aantal polissen afgesloten. En er is nog nooit schade geclaimd.'

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden