VEILIGHEID - EEN GEVOEL? ICT VERKENNINGEN VOOR HET ONDERWIJS

Transcriptie

1 VEILIGHEID - EEN GEVOEL? ICT VERKENNINGEN VOOR HET ONDERWIJS

2

3 VEILIGHEID - EEN GEVOEL?

4 Veiligheid - Een gevoel? Door een risico te nemen, en een gevaar te trotseren, kan een gewenst doel worden bereikt. Soms moét dat zelfs, en is risico een voorwaarde om doelen binnen handbereik te kunnen brengen. Staatssecretaris Van Geel, (VROM) 2006 Kennisnet Ict op School

5 ISBN Overname van teksten van deze uitgave is toegestaan, mits voorzien van bronvermelding en copyright Stichting Kennisnet Ict op School.

6 Veiligheid - Een gevoel? 5 Voorwoord Voor u ligt alweer de derde publicatie in de reeks Kamer van Morgen. Na eerdere publicaties over de onderwerpen Wireless en Games stond de afgelopen zitting Veiligheid en ICT centraal. En dat is niet verwonderlijk. Het onderwerp kan in toenemende mate rekenen op veel belangstelling. Ongemak door virussen, spam en zombienetwerken lijken op dit moment onlosmakelijk verbonden met het leven in het digitale tijdperk. De samenleving begint deze overlast inmiddels aardig zat te worden en realiseert zich steeds meer dat deze problemen bij het opgroeien van het medium horen. Totdat er structurele oplossingen gevonden zijn, rest haar niets anders dan zich zo goed mogelijk te wapenen tegen de digitale gevaren. Het opzetten van een deugdelijk beveiligingsbeleid is makkelijker gezegd dan gedaan. Een beveiliging zal alleen adequaat zijn als het rekening houdt met de specifieke kenmerken van de school en haar omgeving. Een centraal opgezette blauwdruk is niet te geven. Daarvoor verschillen de scholen te veel. Niet alleen in grootte, maar zeker ook in de keuze hoe ver het beleid doorgevoerd moet worden. Bij elke extra beveiligingsschil levert men immers een stuk vrijheid in. Een te ver doorgevoerde beveiliging creëert zodoende weliswaar rust en stabiliteit, maar beperkt het doen en laten. Bovendien zijn veel innovatieve toepassingen die het onderwijs zo uitdagend en motiverend kunnen maken, vaak niet te realiseren in een volledig afgesloten digitale vesting. Ook in het onderwijs komt het beveiligingsvraagstuk steeds centraler op de agenda te staan. Enkele scholen blijven zich afvragen of er überhaupt aspecten te vinden zijn die een uitgebreide beveiliging rechtvaardigen. Als men echter nagaat dat de digitalisering van het onderwijs zich alleen maar zal doorzetten, is het duidelijk dat ook de school niet aan een goed beveiligingsbeleid ontkomt. Zo moet men er bijvoorbeeld toch niet aan denken dat het totale netwerk seconden voor de start van een digitaal examen door een infectie van een virus niet meer te bereiken is? En denk ook aan de grote hoeveelheid persoonlijke informatie die elke school tegenwoordig in haar systemen heeft opgeslagen of aan de vele kwetsbare verbindingen met de buitenwereld. Met deze publicatie hopen wij u een eerste inzicht te geven in de verschillende facetten van het thema. Hopelijk brengt het u een stap dichterbij de verdere professionalisering van uw eigen beveiligingsbeleid. Wij wensen u veel leesplezier! Toine Maes, algemeen directeur Marianne Mulder, directeur dienstverlening

7 6 Veiligheid - Een gevoel? Inhoudsopgave Voorwoord 5 1 De Kamer van Morgen 7 De technologie van morgen 7 De vierde Kamerzitting 7 2 Een inleiding 11 Acht seconden 11 Het ontstaan 13 Onbegrepen veiligheid 14 Een nieuw internet? 16 Leeswijzer 19 5 Het onderwijs 49 De rolverdeling in de sectoren 50 Nader bekeken 51 6 Kennisnet Ict op School 55 Veiligheidsdiensten en -producten 55 Maatschappelijke verantwoordelijkheid 57 Beveiliging van bestaande diensten 59 7 De praktijk 63 Computerbeveiliging in een school 65 Contentfiltering 67 3 De gevaren 23 Virus 23 Spam 25 Phishing 28 Pharming 31 Denial of Service 32 8 De toekomst 71 De komende jaren 72 De jaren erna 74 Bijlage A: Literatuurlijst 78 Bijlage B: Risicoanalyse 79 4 De mens 37 Van hacker naar cracker 37 De gebruiker 41 De voorzorgcultuur 44 Colofon 86

8 Veiligheid - Een gevoel? 7 1 De Kamer van Morgen Stichting Kennisnet Ict op School is de ICT-ondersteuningsorganisatie voor het onderwijs. Het stelt zich ten doel de mogelijkheden van ICT en internet voor het onderwijs maximaal te benutten. Hierbij wil ze niet de eerste gebruiker van nieuwe internetapplicaties zijn, maar wel een zogenaamde early adopter. Kennisnet Ict op School wil op dit terrein een gezaghebbende positie opbouwen en daardoor een belangrijke bijdrage leveren aan het ontwikkelen van gemeenschappelijke standaarden in het onderwijs. Dat hierbij de wensen van het onderwijsveld leidend zijn, spreekt voor zich. De bestaande ontwikkelprojecten en de dagelijkse gang van zaken vergen echter veel aandacht. Het gevaar bestaat dat het belang van bepaalde ontwikkelingen niet tijdig wordt onderkend. Kennisnet Ict op School besloot daarom voor de middellange termijnontwikkeling periodiek een bijeenkomst te wijden aan voortschrijdende technologische ontwikkelingen. Medio 2003 is deze intentie verwezenlijkt met de oprichting van de Kamer van Morgen. 1.1 De technologie van morgen De Kamer biedt een aantrekkelijke context voor deskundigen van verschillende pluimage om over, voor Kennisnet Ict op School, relevante ontwikkelingen van gedachten te wisselen. Het is een informeel gezelschap van mensen dat zich betrokken voelt bij de technologische vernieuwing van het onderwijs. Zij kunnen zo Kennisnet Ict op School een perspectief voor de langere termijn voorhouden. Het uitgangspunt hierbij is niet de technologie van vandaag, maar die van morgen. Voor elke Kamerzitting wordt een aantal deskundigen uitgenodigd. Hun expertisegebieden dekken de facetten horend bij de aan de orde zijnde technologie. Elke Kamerzitting worden tevens personen met zogenaamde interdisciplinaire expertise uitgenodigd. Niet alleen om zodoende de brug te slaan met het onderwijs, maar ook omdat veel nieuwe ontwikkelingen juist tussen verschillende disciplines ontstaan. De Kamer bestaat zo uit mensen uit het onderwijs, de omroep èn de internet- en telecomwereld. Zij worden allen verbonden door een zekere passie voor technologische ontwikkelingen en zijn zonder uitzondering zeer betrokken bij het onderwijs. 1.2 De vierde Kamerzitting De vierde Kamerzitting vond plaats op 18 oktober 2005 in Grand Hotel Karel V te Utrecht. Onder de inmiddels vertrouwde leiding van Rob Rapmund (partner Twijnstra Gudde) stond het thema Veiligheid en ICT centraal. Op deze zitting waren de volgende mensen aanwezig.

9 8 Veiligheid - Een gevoel? Samenstelling Kamer van Morgen zitting vier Naam De heer Harry Dubois Mevrouw Hedy van der Ende De heer Hans van Groningen De heer Jules Pieters De heer Hans Pronk De heer Don Stikvoort De heer Wim Veen Organisatie IT-medewerker Meerwegen Scholengroep Programmamanager GOVCERT.NL Accountmanager Filternet Hoogleraar faculteit Gedragswetenschappen aan de Universiteit Twente Principal consultant Verdonck, Klooster & Associates Directeur S-cure Hoogleraar Educatie en Technologie aan de Technische Universiteit Delft Internet is uitgegroeid tot een zeer belangrijk gebruiksmiddel in het dagelijkse leven. Zo blijkt uit de CBS publicatie De digitale economie dat bijna tachtig procent van de huishoudens in Nederland toegang heeft tot internet. Van dit totaal heeft ongeveer zeventig procent een breedband aansluiting. Het CBS hanteert een tweedeling in typen gebruik: eenvoudig en geavanceerd. De eerste groep gebruikers verstuurt alleen en surft op het internet. Deze groep is verreweg in de minderheid. Bijna driekwart van de gebruikers doet veel meer. Denk hierbij met name aan het downloaden van software, chatten en elektronisch winkelen. De verwachting is dat het aantal geavanceerde gebruikers in de komende jaren alleen maar zal toenemen. Ook al omdat het gebruik van internet door de overheid enorm gestimuleerd wordt. Een van de speerpunten hiervan is het kabinetsprogramma Andere overheid dat stelt dat in 2007 tweederde van alle dienstverlening ook via internet beschikbaar moet zijn. Het aan het begin van 2006 ingevoerde DigiD is hier als centrale toegangssleutel voor overheidsdiensten een herkenbare implementatie van. Al in het tweede kwartaal na invoering kon toenmalig minister Pechtold van Bestuurlijke vernieuwing en Koninkrijksrelaties de miljoenste DigiD uitreiken 2. Vergeet verder de inmiddels succesvolle implementatie van de elektronische belastingaangifte niet. In 2005 is het aantal mensen dat elektronisch aangifte doet met ongeveer vijfhonderdduizend gestegen. Dat brengt het totaal op bijna vijf miljoen digitale aangiftes, een enorm aantal, zeker als men het afzet tegen het resterende aantal van ongeveer één miljoen papieren aangiftes. Om de activiteiten op het internet zo effectief mogelijk uit te kunnen voeren, maken bijna alle huishoudens gebruik van anti-virussoftware en firewall applicaties. Ook het gebruik van authenticatie als pincode, wachtwoord of digitale handtekening komt regelmatig voor. Nederland loopt op dit vlak, samen met de Scandinavische landen, voorop. Dat wil echter niet zeggen dat de Nederlandse gebruiker gevrijwaard is van problemen. Zo geeft ongeveer

10 Veiligheid - Een gevoel? 9 de helft van de gebruikers aan veel last te hebben van spam en heeft iets meer dan dertig procent één of meerdere malen schade ondervonden door virussen. Dergelijke cijfers, tezamen met de bijna wekelijkse berichten van phishing, pharming en botnets 3 ondergraven het vertrouwen dat de samenleving in het internet heeft en staan vooralsnog een volledige digitalisering in de weg. Kortweg kan gesteld worden dat de veiligheid en betrouwbaarheid van het internet inmiddels onvoldoende zijn als het wordt afgezet tegen het belang voor de samenleving 4. Zie hier de aanwezige tegenstelling. Aan de ene kant de volledige vervlechting van internet in het dagelijkse doen en laten met een verwachting dat dit belang zal toenemen. Dwars op dit belang staat de notie dat internet minder fraaie aspecten kent en stilaan uitgroeit tot een apert onveilige omgeving waar gebruikers continu op hun hoede moeten zijn. Het is dit krachtenveld dat centraal stond op de vierde zitting van de Kamer van Morgen. Deze publicatie is te zien als één van de tastbare resultaten van de vele interessante invalshoeken, meningen en inzichten die tijdens deze zitting de revue hebben gepasseerd. 1 ) CBS (2006), De digitale economie ) Kennisland (2006), Elektronische belastingaangifte en DigiD populair! 3 ) Een verduidelijking van de genoemde begrippen treft u aan in hoofdstuk getiteld De gevaren. 4 ) VKA (2005), Kwetsbaarheid internet is een groot risico.

11 10 Veiligheid - Een gevoel? 2 Een inleiding

12 Veiligheid - Een gevoel? 11 2 Een inleiding Denkend aan internet zullen veel mensen gelijk onveiligheid zien. Het opgeroepen beeld zal in de verste verte niet zo rustiek zijn als de brede rivieren, ijle populieren en verzonken boerderijen als beschreven door Marsman in het beroemde gedicht Herinnering aan Holland 5. Eerder zal men denken aan bakken vol snel vermenigvuldigende virussen, aan kuddes briesende Trojaanse paarden en aan lange rijen tevreden ogende wormen die allen proberen stil en in het geniep onschuldige 2.1 Acht seconden Een ietwat gedramatiseerd beeld, zoveel is zeker, maar laat er geen misverstand over bestaan, een computer wordt wel degelijk geconfronteerd met grote gevaren als het zich op de digitale snelweg begeeft 6. Een ieder die durft wordt vroeger of later geconfronteerd met alle gevolgen van dien. En dan eerder vroeger dan later. Het programma Clickonline van de BBC toonde dit in 2005 nog eens aan. In het programma werd een ex-hacker uitgenodigd om met een standaard Windows XP machine volledig onbeschermd het internet op te gaan om uit vinden wat er zou gebeuren. De uitkomsten waren verontrustend. computers te hypnotiseren tot makke schapen op de digitale snelweg. En is het pleit beslecht en is de computer in hun macht, dan is de eerste tijd aan de buitenkant niets vreemds te zien aan het slachtoffer. Na acht seconden Helaas, dit is slechts schone schijn. Achter de schermen is de computer zeer druk met het uitvoeren van allerlei vreemde en soms zelfs illegale activiteiten. Om aan het eind van het verhaal gedwongen te worden de ongelijke strijd op te geven en moegestreden ineen te zakken. Na vijf minuten 5 ) Marsman, H. (1936), Herinnering aan Holland. 6 ) Geïnteresseerden kunnen op de website van de Waarschuwingsdienst ( een treffende animatie bekijken. De Waarschuwingsdienst is overigens een initiatief van het ministerie van Economische Zaken en waarschuwt computergebruikers en het klein bedrijf tegen gevaren van ICT. Na een half uur

13 12 Veiligheid - Een gevoel? Al na acht seconden was de computer te grazen genomen door de beruchte Sasserworm. Nadat deze worm zich behaaglijk in de computer had geïnstalleerd, ging hij vervolgens rustig maar efficiënt aan de slag. In no-time werden allerlei dubieuze programma's op de computer geïnstalleerd die de computer opdracht gaven zelf op het internet op zoek te gaan naar andere computers die net zo slecht beveiligd waren. Al vrij snel ontstond zo een zombienetwerk. De processor van de computer werd hierdoor overigens volledig belast, let wel, zonder dat het ook maar één van de eigenlijke taken uitvoerde. Deze continue belasting in opdracht van de Sasserworm werd de betreffende computer uiteindelijk fataal. Na een half uur gooide het de handdoek in de ring op en sloot het zichzelf af. Uiteraard is dit een extreem voorbeeld, gemiddeld duurt het minstens een kwartier tot twintig minuten voor een onbeschermde computer besmet wordt op het internet 7. Bovendien, wie is tegenwoordig nog zo naïef om volledig onbeschermd het internet op te gaan? Denk in dit licht ook aan de in het vorige hoofdstuk aangehaalde cijfers van het CBS. Anti-virussoftware en firewall applicaties zijn toch gemeengoed geworden? Allemaal waar, maar het gaat voorbij aan het feit dat er diverse stadia zitten tussen een onbeschermde situatie en een volledig beschermde én dat volledig beschermd zijn een voortdurende, lees minimaal dagelijkse, inspanning vraagt. Zo blijkt bijvoorbeeld uit recent onderzoek dat een gemiddelde computer dagelijks zestienhonderd aanvallen moet pareren 8. Een volledig beveiligde computer zal dit naar alle waarschijnlijkheid met glans doorstaan. De computer zal kwaadwillende applicaties herkennen en passende maatregelen nemen. Maar hoe lang duurt het voor één van de aanvallen succesvol is bij een computer die net niet helemaal de laatste beveiligingsupdates bevat? Echt erg wordt het als een computer eenmaal besmet is. Zo blijkt uit recent onderzoek van het kabelbedrijf Telewest dat een gemiddelde computergebruiker meer tijd kwijt is aan het herstel van een digitaal virus dan van een menselijke verkoudheid. Bovendien is bij het herstel van een digitaal virus bijna altijd hulp nodig van een professional. Tel hierbij de in de miljarden lopende kosten van het geheel op, en een ieder zal begrijpen dat een kwart van de respondenten van het onderzoek liever de gehele computer vervangt als deze eenmaal besmet is dan om ook maar één enkele poging te wagen het virus te bestrijden 9. Maar hoe heeft het zover kunnen komen? Om dit te begrijpen is enig historisch besef onontbeerlijk. De hedendaagse veiligheidsrisico's zijn namelijk voor een groot gedeelte ontstaan in dit verleden. 7 ) SANS-instituut (2006), Onderzoeksresultaten naar de overlevingstijd van computers. 8 ) Webwereld (2005), PC bestookt met 1600 aanvallen per dag. 9 ) Computable (2006), Computervirus is duurder dan verkoudheid.

14 Het ontstaan Het internet is geboren in de jaren zestig, al zullen de betrokken wetenschappers van de Advanced Research Projects Agency dit zich niet gerealiseerd hebben toen ze in 1969 slaagden de eerste verbinding tussen vier universiteitscomputers tot stand te brengen. Met deze verbinding was het nu zo vermaarde Arpanet een feit. Het lange voortraject om te pogen computers met elkaar te laten communiceren op een zo betrouwbare en continu mogelijke manier, betaalde zich hiermee ruimschoots terug. Geen kleine prestatie derhalve, maar bij lange na niet het eindpunt. Het Arpanet had een grotere toekomst. Dit bleek vooral na belangrijke doorbraken als het TCP/IP, DNS en het Hypertext Transfer Protocol in de zeventiger en tachtiger jaren 10. Hierdoor werden de eerste contouren van het hedendaagse internet langzaam zichtbaar. Niet alleen werd het zo mogelijk om het Arpanet uit te bouwen tot een veel groter netwerk, net zo belangrijk was het gegeven dat informatie nu op een zeer gebruikersvriendelijke en toegankelijke manier ontsloten kon worden. Dit proces werd vervolmaakt door de introductie van de eerste browsers in het laatste decennium van de twintigste eeuw. Een gebruiker kon zich nu simpelweg via muisbewegingen op een visueel aantrekkelijke manier over het internet verplaatsen. genoemde Arpanet. Het Centrum voor Wiskunde en Informatica en met name haar systeembeheerder Piet Beertema waren grote spelers in dit kamp. Hij was van mening dat het netwerk zoals het ministerie dat voorstond, gebruik zou maken van een veel zwaarder en duurder protocol. Bovendien bood het geen enkele garantie voor wereldwijde toegang. Het Arpanet had zich op deze vlakken allang en breed bewezen 11. Uiteindelijk gaven deze bewezen prestaties de doorslag en werd het CWI in 1988 als eerste Nederlandse instelling verbonden met het doorontwikkelde Arpanet, NSFnet hetend. Deze verbinding betekende een volgende stap naar een Nederland volgde al deze ontwikkelingen in die dagen met interesse, maar was verdeeld in twee kampen. Het ene kamp werd aangevoerd door het ministerie van Economische Zaken geholpen door enkele grote telecombedrijven. Zij geloofden in een netwerk gebaseerd op officiële standaarden. Het andere kamp had een meer pragmatische instelling en wees op de bewezen resultaten van het eerder 10 ) Het TCP/IP protocol verzorgt alle communicatie tussen twee computers en maakt hiermee een betrouwbaar datatransport mogelijk. Het DNS zorgt ervoor dat alle op internet aangesloten domeinen bereikbaar zijn. Het vertaalt de symbolische adressen naar IP-adressen. Door http is het mogelijk geworden op eenvoudige wijze html documenten over internet te versturen. 11 ) Extra! (2003), Nederland 15 jaar online.

15 14 Veiligheid - Een gevoel? open internet voor iedereen. Andere academische - en onderzoeksinstellingen in Nederland en de rest van Europa volgden het voorbeeld van het CWI en sloten zich aan. Hier bleef het bij, want de restrictie dat het netwerk alleen gebruikt mocht worden voor educatieve en wetenschappelijke doeleinden bleef bestaan. Commerciële activiteiten waren niet toegestaan. Als reactie hierop kwamen eind jaren tachtig in Amerika de eerste commerciële internetproviders met een eigen vergelijkbaar netwerk. Zij boden aan alle bedrijven en huishoudens de mogelijkheid zich aan te sluiten. Met de komst van XS4All in 1993 kregen ook Nederlandse gebruikers deze mogelijkheid. Niet veel later smolten dit commerciële netwerk en het NSFnet samen. Vanaf dat moment was sprake van het internet zoals we dat nu kennen en kon gewerkt worden aan het volwassen maken van dit medium. Iets meer dan een decennium later is het internet uitgegroeid tot hét medium voor informatie en communicatie. Sterker nog, internet is feitelijk niet meer weg te denken uit het dagelijkse leven en de vraag is dan ook gerechtvaardigd of er leven is zonder de digitale snelweg. Met driehonderdvijftig miljoen aangesloten systemen is internet namelijk te zien als het zenuwstelsel van de hedendaagse economie die mensen, instellingen en bedrijven onlosmakelijk met elkaar verbindt en laat samenwerken Onbegrepen veiligheid Terug naar het onderwerp van deze publicatie, veiligheid. Wat heeft deze voorgeschiedenis te maken met het onderwerp? Het korte antwoord luidt: alles. De oorzaken van de hedendaagse problematiek liggen namelijk in de jaren zestig toen het Arpanet werd opgezet. De opdracht aan de betrokken wetenschappers was om een netwerk op te zetten dat continu en zeer efficiënt de communicatie kon verzorgen tussen enkele honderden computers. Zij realiseerden dit door een systeem op te zetten dat een digitaal bericht vooraf slim opdeelt in kleine pakketten, deze afzonderlijk verstuurt en bij aankomst weer opbouwt tot het oorspronkelijke bericht. Om te zorgen dat de communicatie altijd tot stand kwam, werd het fysieke netwerk zo ingericht dat als één van de onderdelen uit zou vallen de andere onderdelen deze taak eenvoudig konden overnemen. Vergelijk het met een spinnenweb bestaande uit grotere en kleinere draden en verbindingen die tezamen een onverwoestbaar netwerk vormen. De focus lag hierbij op functionaliteit, niet op veiligheid. Ook al omdat veiligheid in die dagen helemaal geen issue was. Immers, op het Arpa- en het latere NSFnet werden alleen niet-commerciële instellingen toegelaten die bekendheid genoten en vertrouwen uitstraalden. Malafide partijen kregen simpelweg geen toegang. En mocht het in een uitzonderlijk geval misgaan, dan corrigeerden de aangesloten partijen zichzelf wel. Deze gedachte was lang houdbaar. De eerste scheuren ontstonden toen de academische studenten toegang kregen tot dit net. De mores en zeden van deze studenten, zo bleek al snel, was minder puur in vergelijking tot de professoren en onderzoekers. Men kreeg te maken met de eerste problemen en conflicten die veel tijd en aandacht vroegen. Het liep helemaal spaak toen het gesloten en het commerciële net samengingen tot het grote internet, zoals 12 ) Computable (2004), Een nieuw economisch zenuwstelsel.

16 Veiligheid - Een gevoel? 15 we dat nu kennen. Vanaf dat moment ontstond één grote jungle en werden de tekortkomingen van het internet op veiligheidsgebied volop zichtbaar. Het internet met al haar vertakkingen was door niemand meer te controleren, laat staan dat het nog mogelijk was elkaar aan te spreken op wangedrag. Kwaadwillenden kregen steeds meer vrij spel. Al vrij snel konden de eerste hackers verwelkomd worden, die zonder enige schroom inbraken op andermans computer. Toch bleef het in deze beginperiode vooral bij spelen en leek het meer op een kat-en-muis spel tussen de hackers en systeembeheerders. Een berucht Nederlands hacker uit die begintijd, Rop Gonggrijp, vergeleek het hacken in dit prille begin met radiopiraterij: Watching them watching us. Dat maakt het leuk. Als je bij de systeembeheerder inbreekt, weet je zeker dat hij de hele dag bezig is jouw inbraak op te lossen 13.'' cookie op het scherm. Indien de gebruiker door wilde werken, moest het woord cookie ingetypt worden. Weigerde een gebruiker dit, dan werd de tekst met steeds kortere tussenpozen herhaald, net zolang tot het werken feitelijk onmogelijk werd. Hoewel de toenmalige systemen nog niet via netwerken gekoppeld waren, was dit programma een dusdanig gewoon verschijnsel dat het tot en met de zwaar beveiligde systemen van het Pentagon aan toe actief was. Blijkbaar was er altijd voldoende aandrang om het koekkiemonster op het systeem van collega's te installeren. Hoewel het duidelijk is dat de makers geen eigen voordeel wilden binnenhalen, en dat de meeste gebruikers het intypen van het woord cookie na verloop van tijd heel normaal begonnen te vinden, moet het toch als een eerste vorm van digitaal vandalisme worden gezien. Alleen al vanwege de kosten voor de eigenaren van de systemen in de vorm van productieverlies en herstelkosten van de omgeving. Niemand dacht in die tijd aan het commercieel uitbuiten van eventuele zwaktes in het systeem. Gonggrijp had begin jaren negentig nog nooit iets op het internet gezien dat hij zou kunnen verkopen:,,wie geeft geld voor wachtwoorden? Wat moet je nu met de onderzoeksgegevens van een universiteit? De echt interessante dingen zijn toch goed beschermd. En bij de bedrijven zitten hoogstens de research afdelingen op het net, en dan nog alleen het deel dat voor publiek toegankelijk is. Nieuwe ontwikkelingen schermen ze af met firewalls, zwaar beveiligde computers Het koekkiemonster is een mooi voorbeeld van het niveau in die jaren. Dit programma spookte in de jaren zeventig in vele varianten rond. Gebruikers die werkten op besmette computers kregen op gezette tijden de tekst Give me a waar je echt niet doorheen komt.'' 13 ) NRC (1993), Hacken is de ultieme vorm van radiopiraterij.

17 16 Veiligheid - Een gevoel? Dit veranderde, niet alleen omdat steeds meer zaken op het internet te vinden waren, ook omdat het aantal naïeve gebruikers sterk toenam. De overheid greep in en introduceerde de Wet op de Computercriminaliteit. Een eerste moedige poging om paal en perk te stellen aan het steeds groter wordende wangedrag. De wet bestaat uit een verzameling artikelen die diverse vormen van computer gerelateerde misdrijven strafbaar stelt. Hierbij moet vooral gedacht worden aan het klassieke hacken waar het doel is binnen te dringen in het systeem. Ook de Wet Bescherming Persoonsgegevens hielp Justitie verder op weg 14. Deze ontwikkeling zorgde voor een eerste schifting. Het gedeelte 'goedwillende' hackers koos eieren voor haar geld en besloot dat de gevaren niet opwogen tegen het plezier van het spel. Hiertoe behoorde bijvoorbeeld de eerder geciteerde Gonggrijp die in 1993 samen met Felipe Rodriquez-Svensson internetprovider XS4All oprichtte. Wat overbleef waren diegenen die bewust doorgingen met hun illegale activiteiten. Feitelijk lag hier een economische gedachte aan ten grondslag. Zij gingen ervan uit, of hoopten althans, dat de verwachte opbrengsten veel hoger waren dan de eventuele lasten die men zou moeten dragen als men gepakt zou worden. En eerlijk is eerlijk, de kans gepakt te worden was zeker in die beginjaren extreem laag. Gepakt worden én een hoge straf krijgen was helemaal een uitzondering. De baten overstegen de lasten in bijna alle gevallen, de kwaadwillenden hadden vrij spel. de Amerikaanse overheid, nog niet zolang geleden dat cyberciminaliteit in omvang groter is dan de handel in heroïne en cocaïne 15. Nederland is geen uitzondering. Zo werd in 2005 één van de grootste zombienetwerken aller tijden ontdekt. Door middel van het Trojaanse paard Toxbot waren drie hackers in staat gebleken wereldwijd anderhalf miljoen computers in hun macht te krijgen Een nieuw internet? De noodzaak om internet vanuit de kern veiliger te maken, blijft dus wel degelijk aanwezig. Het probleem is dat niemand een passend antwoord heeft op de vraag hoe deze veiligheid is in te bouwen, het gaat om een medium dat al jarenlang werkt en inmiddels vele miljoenen gebruikers heeft. Het is of er onder een al jarenlang bewoonde Deze situatie is tot vandaag de dag gebleven. De aantrekkingskracht van internet voor schimmige figuren is onverminderd hoog. Zo stelde Valerie McNiven, een adviseur van 14 ) Voorheen de Wet op de Persoonsregistratie geheten. 15 ) Computable (2005), Cybercrime lucratiever dan drugshandel. 16 ) Nu.nl (2005), Computerkrakers hacken 1,5 miljoen computers.

18 Veiligheid - Een gevoel? 17 metropool alsnog heipalen geslagen moeten worden. Bovendien kan men niet volstaan met één grote reparatie. Iedere keer dat een nieuw beveiligingslek zichtbaar wordt, moet ingegrepen worden. Doet men dit niet, dan kunnen alle eerdere inspanningen als verloren worden beschouwd. Eén lek is immers al voldoende voor een kwaadwillende om toe te slaan. Een moeilijke uitdaging, maar men heeft geen keuze. Het vele reparatiewerk zorgt er voor dat het oorspronkelijke Arpanet stilaan is uitgegroeid tot een grote blackbox, die voor bijna niemand meer te begrijpen is, laat staan te beheersen. De hedendaagse mobiele manier van leven, met zich alsmaar verplaatsende computers die ook nog eens 'always on' zijn, maakt het niet makkelijker. Ze introduceert door haar eigen specifieke kenmerken een heel ander soort veiligheidsproblemen. U heeft hier in een eerdere publicatie van de Kamer van Morgen al het nodige over kunnen lezen 17. Helaas moet men dan ook concluderen dat ondanks de voortdurende inspanning, het internet er nauwelijks veiliger op is geworden. MIT's David D. Clark vergelijkt het hedendaagse internet met Times Square in de jaren tachtig. Ontzettend opwindend en uitdagend om te vertoeven, maar de willekeurige passant doet er goed aan naar beneden te blijven kijken en geen oogcontact te maken. Het zou anders maar zo kunnen dat men drugs krijgt aangeboden, wordt beroofd of simpelweg mishandeld door één of meerdere krankzinnigen 18. De wereldwijde marktleider in informatiebeveiliging Symantec schetst een vergelijkbaar beeld 19. Ze voorspelt een groei van alle mogelijke kwaadaardigheden die nu aanwezig zijn. Zo voorziet ze onder andere een toename van het gebruik van bots en botnetwerken voor financieel gewin, een verdere groei van kwaadaardige code gericht op mobiele apparaten en het gewoner worden van client-side aanvallen met wormen en virussen als transporterende verspreiders. Door alle problemen verliest het meer en meer één van de belangrijkste voedingsbodems, het vertrouwen van de gebruiker. De continue stroom berichten over misbruik, de niet rooskleurige toekomst en bovenal de eigen negatieve ervaringen zorgen ervoor dat het nog aanwezige vertrouwen snel slinkt. Dit is zichtbaar bij één van de belangrijkste toepassingen van internet, . Spam is hier de boosdoener. Wisten de eerste spamberichten, met onderwerpen als penisvergrotingen of potentiële erfenissen van tot nu toe nog onbekende familieleden in Afrika, nog wel een glimlach op het gezicht van de gebruiker te toveren, die glimlach is allang verdwenen. Tegenwoordig is de gemiddelde gebruiker meer tijd kwijt aan het verwijderen van spam dan aan het daadwerkelijk communiceren met medegebruikers. Dit is één van de oorzaken dat steeds meer gebruikers vervangen door andere communicatiekanalen. Dit is vooral bij de jongere generatie te zien. Het Amerikaanse onderzoeksbureau comscore registreerde in 2006 in deze groep een terugval van acht procent ten opzichte van de situatie in 2005, terwijl de tijd die ze 17 ) Geïnteresseerden in de eerdere publicaties Wireless & Mobile - Always on! en Games - Meer dan spelen kunnen deze gratis aanvragen bij Kennisnet door een te sturen naar promotie@kennisnet.nl. Ook zijn ze in pdf-vorm te downloaden op 18 ) Technology Review (2005), The Internet is broken. 19 ) Symantec (2005), Internet Security Threat Report.

19 18 Veiligheid - Een gevoel? online doorbracht met bijna 12 procent toenam. Deze trend was overigens al in 2004 in Zuid-Korea te zien 20. Een ander nadelig effect van de veiligheidsproblematiek is de vermindering van het innovatieve vermogen. Elk jaar daalt de snelheid waarmee nieuwe toepassingen worden geïntroduceerd. Partijen zijn voorzichtiger geworden, bang om de goede naam bij de gebruiker te verliezen als men een onveilig product introduceert. Neem bijvoorbeeld Microsoft dat jaarlijks een grote som geld besteedt aan onderzoek en ontwikkeling. Ongeveer éénderde van dit budget gaat op aan het onderwerp veiligheid. Bovendien wordt iedere medewerker specifiek getraind, zodat als het nodig is de gehele organisatie adequaat kan reageren. Toch zorgt deze grote investering niet dat de producten van Microsoft honderd procent veilig zijn. Volgens Steve Lipner, directeur Security Engineering Strategy, komt het zelfs voor dat Microsoft moet besluiten om een introductie van een nieuwe dienst uit te stellen, omdat deze dienst niet aan de eigen geldende standaarden voldoet 21. En dan nog is er geen volledige zekerheid. Al enkele dagen na de introductie van de nieuwe Windows Live Messenger in juni 2006 kwamen de eerste berichten dat het product niet veilig was. Een openstaande firewall zou het mogelijk maken toegang te krijgen tot identiteiten van andere gebruikers. Criminele chatters zouden hierdoor gestolen identiteiten kunnen gebruiken om zich voor te doen als een bekende 22. De vraag is hoe het beste gereageerd kan worden. Stoppen met het repareren van een bestaand systeem en helemaal opnieuw beginnen met het ontwerp van een nieuw en in de basis veilig internet is één van de opties. De eerder aangehaalde Clark is een voorstander van deze drastische aanpak. Hoewel genoeg argumenten Clark gelijk geven, is het opnieuw opzetten van het internet praktisch onmogelijk. Het vraagt simpelweg teveel tijd, geld en toewijding. Bovendien is een snelle reactie noodzakelijk. Wacht men te lang, dan is de gebruiker het gehele vertrouwen verloren en is er op het moment dat het nieuwe internet eindelijk gereed is, geen gebruiker meer te vinden die er behoefte aan heeft. Voor de komende jaren zit er dus niets anders op dan door te gaan op de huidige weg, het repareren van het huidige medium, met alle ongemakken van dien. Dit hoeft echter niet te betekenen dat de toekomst er treurig uitziet. Een groot deel van de problemen hoort ook bij het definitief volwassen worden van het medium. Een referentie naar het in de jaren zestig gepubliceerde boek Unsafe at any speed van Ralph Nader ziet men dan ook veel terug in de hedendaagse literatuur 23. In dit boek kaartte de consumentenadvocaat het ontbreken van veiligheid in de Amerikaanse auto's aan. Sterker nog, het boek was in feite een aanklacht tegen de industrie omdat ze het probleem totaal negeerden. Met het volgroeien van het medium zal het veiligheidsaspect automatisch een meer centrale rol krijgen. Dit is overigens al merkbaar, veiligheid heeft nog nooit zoveel aandacht gekregen als nu. Veel partijen zijn vanuit verschillende invalshoeken initiatieven gestart, ook in 20 ) Chigago Tribune (2006), The death of ? 21 ) Technology Review (2005), The Internet is broken. 22 ) Nu.nl (2006), Windows Live Messenger niet veilig. 23 ) Nader, R. (1965), Unsafe at any speed.

20 Veiligheid - Een gevoel? 19 zal worden gebruikt, wordt hier niet gedoeld op het containerbegrip veiligheid. Het onderwerp van deze publicatie is beter te duiden met het begrip beveiliging. De Engelse taal geeft hier meer houvast en spreekt over security ten opzichte van safety. Hoewel de verschillen triviaal lijken, zijn ze dat niet. Het containerbegrip veiligheid gaat veel verder dan hetgeen in deze publicatie genoemd wordt. Het begrip bevat in die zin een rijkere verzameling aan onderwerpen. In deze publicatie wordt dan ook wel ingegaan op de aspecten horend bij virussen en spam, Nederland. Zo richt de Vrije Universiteit van Amsterdam zich, zoals ze het zelf noemt, op het ontwikkelen van een medicijn voor het zieke internet. Het door hen ontwikkelde programma Argos vangt wormvirussen af. Het speurt continu naar vreemd gedrag en als het iets heeft gevonden, dan ontwikkelt het programma direct een vaccin. Het is zo mogelijk om binnen één minuut een nieuwe worm uit te schakelen. Het supersnelle netwerk van SURFnet nam Argos eind 2005 als eerste in gebruik en test nu de geavanceerde mogelijkheden. De eerste resultaten ervan zijn bemoedigend te noemen. Denk ook aan de verschillende abonnementsvormen die gebruikers kunnen afsluiten om altijd op de hoogte te zijn van de laatste virussen. De SMS-diensten van de Waarschuwingsdienst en het One Care Live concept van Microsoft zijn hier exponenten van. Daarnaast starten steeds meer campagnes om het bewustzijn van gebruikers te vergroten. Dit is wellicht cruciaal. 2.5 Leeswijzer Allereerst wordt opgemerkt dat bij het lezen van deze publicatie het van belang is één onderscheid goed voor ogen te houden. Hoewel het begrip veiligheid veelvuldig maar niet op het online pesten. Nogmaals, het gaat om security, niet om safety. Wat zijn nu de kenmerken van een goede beveiliging? Al eerder bleek dat een honderd procent beveiliging lang niet zo eenvoudig is te realiseren als het op het eerste gezicht lijkt. Ook omdat bij elke situatie moet worden gevraagd waar het beveiligingsoptimum ligt. Hoe ver gaat het beleid, zeker ook indien men zich realiseert dat bij elke extra beveiligingsmaatregel een stuk vrijheid wordt ingeleverd. Bovendien staan de kosten van de laatste procenten veiligheid in geen verhouding met de opbrengsten. Honderd procent veiligheid zal waarschijnlijk dan ook voor geen enkele situatie haalbaar blijken. Bij het bepalen van het beleid is inzicht in de omgeving van het grootste belang. Weten welke risico's er zijn en hoe hier mee omgegaan kan worden, zal een groot hulpmiddel blijken. Het eerstvolgende hoofdstuk begint dan ook met een uitleg van de vijf grootste gevaren die huizen op de digitale snelweg. Van computervirus tot DoS-aanval. Bij elk van deze gevaren wordt stilgestaan bij de betekenis, hoe groot de impact is en welke maatregelen getroffen kunnen worden.

21 20 In hoofdstuk vier wordt ingegaan op de menselijke hand in het geheel. Al worden miljarden geïnvesteerd in een veilige omgeving, één niet oplettende menselijke hand kan alles teniet doen. Naast inzicht in de beweegredenen van de kwaadwillende wordt stilgestaan bij het slachtoffer. Wat beweegt een gebruiker om een van een volstrekt onbekende te openen simpelweg omdat de titel IloveYou is? Zolang dergelijke personen bestaan, blijft het prijsschieten op het internet. Het is overigens opvallend hoe kwaadwillenden zich steeds professioneler gaan organiseren. Als ware het echte bedrijven zijn ze de hele dag op zoek naar beveiligingslekken en onwetende gebruikers, die overal oog voor hebben, behalve voor de eigen veiligheid. Maak niet de vergissing dat alleen zeer geavanceerde technieken garant staan voor succes. Één van de meest beruchte hackers aller tijden Kevin Mitnick gebruikte in zijn topjaren bijna altijd gladde praatjes om de menselijke zwakte uit te buiten. Nu de laatste tijd meer wordt geïnvesteerd in het veiliger maken van producten, kan gevreesd worden dat social engineering steeds vaker zal worden toegepast. De samenleving zal zich hiertegen moeten wapenen, het is opletten geblazen, al moet er voor gewaakt worden niet te ver door te schieten. In hoofdstuk vijf wordt gekeken naar de bijzondere kenmerken van het onderwijs. Niet alleen moet rekening gehouden worden met de grote verschillen tussen de scholen, het onderwijs heeft daarbij een sterk gediversifieerde gebruikersgroep als extra uitdaging. Er ontstaat een steeds groter wordende digitale kloof tussen de leerling en leraar. Op dit moment is deze vooral zichtbaar in het voortgezet onderwijs, maar gelet op het feit dat jongeren steeds

22 Veiligheid - Een gevoel? 21 eerder met computers gaan werken, is te verwachten dat deze digitale kloof zich ook door gaat zetten naar het primaire onderwijs. Stichting Kennisnet Ict op School staat centraal in hoofdstuk zes. Hoewel de verantwoordelijkheid voor het op een veilige manier omgaan met ICT en internet bij de school zelf ligt, voelt Kennisnet zich medeverantwoordelijk om het onderwijs bewust te maken van de risico's. Dit heeft geresulteerd in een groot aantal initiatieven en projecten, waarvan er in het hoofdstuk een aantal worden belicht. Daarnaast wordt stilgestaan bij het beveiligingsbeleid dat Kennisnet de afgelopen periode zelf heeft opgezet en toepast. Met name hulpmiddelen als de risicoanalyse methode met bijbehorende CIA-classificatie en de Kennisnet Security Policy staan centraal. Uiteindelijk geldt maar één ding: een gebruiker van een Kennisnet dienst moet blind kunnen vertrouwen dat het gebruik veilig en betrouwbaar is. Al eerder is aangestipt dat het ondoenlijk is één overall beveiligingsbeleid voor het onderwijs op te stellen. Voor elke organisatie zal het beveiligingsoptimum anders liggen. Dit betekent niet dat het leren van elkaar niet mogelijk is. In hoofdstuk zeven wordt daarom door kamergenoot Harry Dubois, IT-medewerker bij de Meerwegen scholengroep, een praktijkbeschrijving gegeven van het beveiligingsbeleid op één van de vestigingen. Het perspectief bij deze situatie wordt geschetst door de security officer van Kennisnet Jerry van de Leur. Tot slot wordt kort stilgestaan bij de voor- en nadelen van contentfiltering. Het afsluitende hoofdstuk in deze publicatie wordt traditiegetrouw gevormd door te kijken naar de toekomst. Klant wordt klant, leverancier wordt leverancier, zal het credo voor de komende jaren worden. Waarom werkt het in de ICT-branche zo anders dan in andere sectoren? En waarom wordt veiligheid niet tot het basispakket gerekend en met een gebruiker na aankoop van een nieuwe computer veiligheid nog apart inbouwen? Deze werkwijze is ontstaan in het verleden en is onwerkbaar geworden. Het wordt tijd dat het geheel doorgroeit en dat de branche uitgaat van een totaalgedachte waarin alle partijen de eigen verantwoordelijkheid moeten dragen. Wordt het blikveld uitgerekt naar een langere periode, dan is de verdere samensmelting van de fysieke en virtuele wereld van belang. Voor steeds meer mensen wordt het normaal een of meer virtuele identiteiten te bezitten die men al naar gelang de situatie daar om vraagt inzet. Naast het bestrijden van digitale ongemakken als virus en spam, zal het opzetten van een systeem waarin deze virtuele identiteiten beheerd kunnen worden in belangrijke mate bijdragen aan het volgroeien van het internet. Dit betekent niet dat er de komende jaren geen uitdagingen zijn die aandacht vragen. Ook in het onderwijs. Denk alleen maar aan de transformatie van de Nederlandse samenleving naar een meer kennis-georiënteerde. Dit heeft grote gevolgen voor de individuele leerroute die langer en breder wordt. Het meer formeel ingestelde onderwijs zal hier een antwoord op moeten vinden. Een eerste belangrijke stap is echter het brengen van rust en veiligheid op de digitale snelweg. Als angst als belemmerende factor in het denken verdwijnt, zal al gauw blijken dat de mogelijkheden eindeloos zijn.

23 22 Veiligheid - Een gevoel? 3 Gevaren

24 Veiligheid - Een gevoel? 23 3 De gevaren Al eerder is ingegaan op de veiligheidsparadox. Aan de ene kant herbergt het internet veel kansen en mogelijkheden voor de samenleving en heeft het in zich deze samenleving verder te brengen. Dwars hierop staat de notie dat het internet minder fraaie aspecten herbergt. Als rekening gehouden wordt met het gegeven dat het nog enige tijd zal duren voordat het internet veiliger is, wordt het duidelijk dat het voor een gebruiker van groot belang is om kennis te hebben van de karakteristieken van de digitale omgeving. Welke gevaren zijn er, hoe openbaren ze zich en wellicht het allerbelangrijkste, hoe kan een gebruiker zich wapenen tegen dit ongemak? Dit hoofdstuk gaat in op de belangrijkste en meest in het oog springende risico's van het medium. Hierbij is er een willekeurige volgorde aangehouden. 3.1 Virus Het computervirus viert in 2006 het vierde lustrum. Het was in 1986 toen de Pakistaanse broers Basit en Amjad Farooq Alvi het eerste echte PC-virus, genaamd Brain, loslieten op de wereld. Al snel bleek de kracht van dit virus. Het verspreidde zich razendsnel over Pakistan en niet veel later over de rest van de wereld. Goed voorbeeld doet snel volgen, het duurde dan ook niet lang voordat opvolgers kwamen van virussen met illustere namen als Jeruzalem, Cascade en Miami. Hoewel dergelijke virussen enorm hinderlijk waren, kon men niet spreken van geavanceerde varianten. Zo moesten deze virussen nog door een menselijke hand geïnstalleerd worden voordat ze actief werden. Deze zogenaamde bootsectorvirussen waren niet meer dan kleine programma's die zich in de opstartdisk of diskette van een computer nestelden. Zodra iemand het systeem startte, werd het virus automatisch actief en ging het op zoek naar andere nog niet besmette disks in het systeem. Omdat de overdracht via diskettes ging, duurde het vaak maanden voordat het virus over een groot gebied was verspreid. Dit veranderde toen het virus in staat was zichzelf aan bestanden te hechten. Hiermee kreeg het de beschikking over een nieuw transportmiddel. De virussen konden hierdoor simpelweg met bestanden via internet of de computer binnenkomen. Deze hedendaagse virussen zijn de menselijke hand allang ontgroeid. Zij zijn dusdanig besmettelijk dat ze zichzelf zonder hulp van buitenaf kunnen installeren, wat zorgt voor een enorme verspreidingssnelheid. Dit bleek goed in 1999 bij het IloveYou virus, één van de bekendste virussen ooit. Nadat een gebruiker de bijlage getiteld Love-letter-for-you had geopend, stuurde het virus zichzelf automatisch door aan het hele adresboek van die betreffende gebruiker waar de hele cyclus vaak herhaald werd. Omdat het virus bestanden op de computer vernielde, liep de totale economische schade van dit wormvirus al snel in de miljarden.

25 24 Veiligheid - Een gevoel? The Shockwave Rider De term worm komt uit een science fiction verhaal getiteld The Shockwave Rider van John Brunner (1975). Het verhaal gaat over een totalitair regime dat zijn burgers via een computer netwerk controleert. De goeden maken met een programma genaamd tapeworm dit netwerk onbruikbaar, waardoor het regime uiteindelijk zijn machtsbasis verliest. Een worm is een speciaal soort virus, horend tot de buitencategorie. Het IloveYou virus was niet de eerste worm. Het internet werd er al in 1988 mee geconfronteerd. Het was de toenmalige student Robert Morris, tegenwoordig een alom gewaardeerd professor op MIT, die een programma schreef dat gebruik maakte van fouten in het besturingssysteem. Het was zo in staat zichzelf van systeem naar systeem te verspreiden. Binnen een paar uur was het toenmalige internet praktisch onbruikbaar. Naast deze kleine ramp, werd pijnlijk duidelijk dat behoefte was aan een coördinatiepunt voor dergelijke incidenten. Eind jaren tachtig werd daarom het eerste Computer Emergency Response Team opgericht. Inmiddels is deze organisatie wereldwijd vertakt. Ook in Nederland zijn enkele van dergelijke CERT's actief, waaronder GOVCERT, die de belangen behartigt van overheidsinstellingen en de onderwijsgerelateerde SURFnet-CERT. Deze laatste onderzoekt en coördineert alle gevallen van beveiligingsinbreuken die afkomstig lijken te zijn van de SURFnet klanten of waarbij SURFnet klanten het slachtoffer zijn geworden. De brede verspreiding van internet aansluitingen in het nieuwe millennium zorgde dat grote aantallen systemen dag en nacht blootgesteld werden aan aanvallen via het internet. De volgende logische stap in de ontwikkeling van het virus was dan ook de transformatie naar netwerkwormen. Was het bij het IloveYou virus nog zo dat de eindgebruiker eerst een moest openen om daarmee het virus te starten, de netwerkwormen besmetten systemen via het internet zonder dat de gebruiker daarvoor een bepaalde handeling moet verrichten. Door gebruik te maken van fouten in de systeemsoftware kunnen dergelijke programma's vrij eenvoudig toegang tot de systemen krijgen. Omdat altijd voldoende onbeschermde computers met internet verbonden zijn, is dit een zeer effectieve manier om in korte tijd veel systemen te besmetten. Momenteel zijn meer dan honderdvijftig duizend virussen actief, een aantal dat nog dagelijks groeit. Wat hierin vooral zorgen baart, is niet het grote aantal of het type virussen, het is de verandering in motieven van de virusmakers. Mikko Hypponen van het beveiligingsbedrijf F-secure stelt dat de hobbyisten van weleer zich ontwikkeld hebben tot criminele bendes. Hij ziet vooralsnog geen verbetering, sterker nog, er zijn volgens Hypponen al indicaties dat virusschrijvers een nieuw doelwit hebben gekozen: op WLAN-netwerken aangesloten notebooks. Over de toekomst is Hypponen huiverig. "Wie weet over wat voor virussen we binnen twintig jaar spreken? Virussen die huizen besmetten, wellicht? ) ZDNet (2006), Het computervirus viert zijn twintigste verjaardag.

26 Veiligheid - Een gevoel? 25 Waar is een virus allemaal tot in staat nadat het een systeem besmet heeft? Een schijnbaar eenvoudige vraag, die niet makkelijk te beantwoorden is. Het is sterk afhankelijk van het type virus. Een grote groep virussen doet niet veel meer dan het infecteren van systemen waardoor deze trager en minder betrouwbaar worden. Ze pesten als het ware de gebruiker met irritante pop-ups of laten de homepage verwijzen naar gok- of sexsites. De meer kwaadaardige varianten wissen of veranderen ook data op systemen. Daarnaast zijn er virussen die data versleutelen en op deze wijze informatie gijzelen. Een gebruiker kan deze dan weer tegen een prijs vrijkopen. Meer en meer hebben de virussen tot doel computercapaciteit en netwerktoegang te stelen. Deze rekenkracht en toegang wordt grootschalig ingezet voor allerlei illegale activiteiten. Denk hierbij aan het versturen van spam, het aanvallen en afpersen van andere computersystemen en het verzamelen van wachtwoorden en creditcardinformatie. De virussen zijn op deze wijze verworden van een simpel middel tot pesten tot iets om systemen te rekruteren die zonder medeweten van de eigenaar voor criminele doeleinden gebruikt kunnen worden. is. Een dergelijke firewall is een op internet aangesloten machine die speciale software draait en aan de hand van een lijst met regels bepaalt of het internetverkeer wel of niet wordt doorgelaten. De firewall kan hiermee één PC, maar ook een heel netwerk tegen aanvallen van buitenaf beschermen. Het allerbelangrijkste wat een gebruiker tegen virussen kan doen, is het gezonde verstand niet te verliezen. Zo is het niet handig s van onbekenden te openen en moet men zich beseffen dat illegale software vaak allerlei wormen en virussen bevat. Alleen contact onderhouden met vertrouwde partijen is relatief veilig. 3.2 Spam Een van de grootste ergernissen van dit moment is spam. Op het moment dat de inbox van de toepassing wordt geopend wordt de gebruiker geconfronteerd met een enorme hoeveelheid ongevraagde s met een onzinnige inhoud. Het gebruik van spam heeft zodanige vormen aangenomen dat inmiddels meer dan zeventig procent van de ontvangen van eindgebruikers spamberichten zijn 25. Als maatregel tegen dergelijke virussen moet een gebruiker in elk geval een goede virusscanner installeren én deze dagelijks automatisch updaten met informatie over de nieuwste virussen. Daarnaast is het essentieel dat de gewone software van de computer als bijvoorbeeld browsers of mediaspelers ook zeer regelmatig geupdate wordt. Een andere noodzakelijke maatregel bestaat uit de installatie van software op de computer of op het apparaat waarmee de lokale computer met het internet verbonden 25 ) XS4All (2006), Actuele virus- en spamteller.