In de security-industrie, althans, in het Nederlandse gedeelte van de security-industrie, ging het de laatste weken vooral over één ding: Dorifel. Het was lang geleden dat een malware-uitbraak tot zo veel ophef leidde. De reden daarvoor moet niet worden gezicht in het eventueel zeldzamer worden van malware-uitbraken. Dat is namelijk niet het geval. De publiciteit is vooral het gevolg van de merkbaarheid van de infectie.
Sinds jaar en dag probeert de security-industrie mensen te doordringen van het feit dat je niets meer merkt van een serieuze malware-infectie. De computer gaat niet stuk, alle functies blijven werken, er komen geen gekke piepjes uit de speakertjes, er verschijnen precies 0 pop-ups en je computer wordt *niet* merkbaar langzamer.
Hoewel mensen deze boodschap moeilijk te geloven vinden, is het eigenlijk een logisch gegeven. Zolang een computer geïnfecteerd kan blijven en deel kan uitmaken van een botnet, heeft de cybercrimineel er iets aan. Hij kan het botnet per uur verhuren, het inzetten om nog meer malware te verspreiden, DDoS-aanvallen doen, spam versturen, etc. Kortom: een aardige melkkoe. Dus waarom zou je dan willen dat de rechtmatige eigenaar van de pc iets van een infectie merkt? Het antwoord is: niet! En daarom is alles in het werk gesteld om malware-programma’s zo licht en onmerkbaar mogelijk te laten zijn en werken.
Hoe anders ging het de afgelopen weken met Dorifel. Hoewel de initiële infectie in de meeste gevallen al maanden eerder – volledig ongemerkt (!) – plaats vond (de besmette pc’s maakten al deel uit van het Citadel-botnet), heeft Dorifel de aandacht behoorlijk op zich gevestigd door bestanden te versleutelen.
Michel van Eeten, hoogleraar Technische Bestuurskunde aan de TU Delft, noemde de malware daarom ‘amateurwerk’. Immers: er zat geen (evident) verdienmodel achter de aanval en de ontdekking was binnen een dag een feit. Enkele uren na de ontdekking was er al een tool om de versleuteling van de bestanden ongedaan te maken, werd het Trojaanse paard door verreweg de meeste antivirus-software herkend en geblokkeerd en was het gevaar dus afgewend. Bovendien wisten nu tientallen gemeenten en overheidsinstellingen dat hun pc’s deel uitmaakten van een botnet, een situatie waar ook direct een einde aan is gemaakt.
Het is opvallend hoe defensief IT-professionals op de opmerking van Van Eeten hebben gereageerd. Eén reactie van een anonieme security-medewerker op Security.nl: “Voor een amateur niet gek gedaan gezien de impact. Het getuigd juist van amateurisme om een reactie te geven zoals deze zgn hoogleraar doet.” [sic!]. Ik denk dat hier de twee verschillende betekenissen van ‘amateur’ door elkaar worden gehaald. De hoogleraar bedoelde ‘amateur’ in de oorspronkelijke betekenis van het woord: iemand met een hobby. Hij beoefent die hobby niet om er geld mee te verdienen. Zelfs al is hij er heel erg goed en zou hij er wel geld mee kúnnen verdienen, hij kiest ervoor om dat niet te doen. De verontwaardigde reageerder, denkt aan de betekenis van ‘amateur’ die we kennen als een soort belediging. Een synoniem voor ‘prutser’. Maar kijkende naar de effectieve verspreiding van Dorifel binnen bijzonder mediagenieke organisaties, kan van dat laatste geen sprake zijn. De schrijver van Dorifel kan dus alleen als amateur van de eerste betekenis worden bestempeld. Tenzij de malware-schrijver in werkelijkheid een security-professional was, die het gevaar van malware weer eens goed op de kaart wilde zetten en wellicht eens wat gunstigere budgetten voor IT-security wilde bewerkstelligen. In dat geval kunnen we in het geheel niet spreken van een amateur. Maar of we daar dan blij mee zouden moeten zijn?
Jan van Haver, country manager Benelux & UK bij G Data Software
