Voorspelde problemen Code Red blijven uit

“Slechts enkele duizenden computers zijn besmet”, aldus André Post van het Symantec Antivirus Research Center (SARC). Marius van Oers van Network Associates bevestigt dat: “Tot nu toe is het rustig. Er is van tevoren zoveel voor gewaarschuwd dat het eigenlijk wel te verwachten was dat de worm niet zo hard zou toeslaan.”

Hoewel deskundigen in de Verenigde Staten waarschuwen dat de worm alsnog actief kan worden als de Amerikaanse werknemers later vandaag naar hun werk gaan, lijkt de schade die de worm deze keer aanricht in het niet te vallen bij de ellende die het virus aanrichtte op 19 juli, toen het voor het eerst opdook. Post: “Het zou me verbazen als er nu meer dan 50.000 computers besmet zouden raken.”

Virusdeskundigen van de FBI, Microsoft en vooraanstaande beveiligingsinstituten als CERT en SANS vreesden vooraf dat Code Red zou leiden tot grootschalige `bombardementen’ van websites. Als gevolg van het dataverkeer waarmee die aanvallen gepaard zouden gaan, zou bovendien het internet aanmerkelijk trager worden of zelfs platgaan.

Drankje

Code Red – genoemd naar een bij hackers populair drankje met veel cafeïne – werd voor het eerst gesignaleerd op 12 juli. Vervolgens duurde het echter nog een week voordat de worm op grote schaal toesloeg. Op 19 juli werden zo’n 350.000 computers geïnfecteerd – goed voor een schadepost van 1,2 miljard dollar volgens het onderzoeksbureau Computer Economics.

De worm is zo geprogrammeerd dat hij tussen de eerste en negentiende van de maand op zoek gaat naar kwetsbare systemen en zich zo verspreidt. In de week daarna voeren de geïnfecteerde computers vervolgens een aanval op de site van het Witte Huis uit.

Met name de gezamenlijke aanval die de geïnfecteerde computers op 19 juli uitvoerden op de website van het Witte Huis trok de aandacht. De beheerders van de site wisten de aanval af te slaan, door het zogeheten IP-adres van de site van het Witte Huis te veranderen. De snelle actie van de beheerders van de site van het Witte Huis kon echter niet voorkomen dat het internet door de aanval op sommige plaatsen trager werd.

De verwachting van de FBI en consorten was dat dat vannacht, toen het virus weer actief werd, opnieuw zou kunnen gebeuren. Het CERT sprak zelfs van een ‘reële bedreiging van het internet’: delen van internet zouden door de activiteit van de worm plat kunnen gaan.

De worm maakt gebruik van een in juni ontdekt veiligheidsgat in de Internet Information Server (IIS) van Microsoft. Deze software wordt met name gebruikt door professionele gebruikers, zoals bedrijven en organisaties die een website onderhouden. De particuliere internetgebruiker loopt alleen indirect gevaar, doordat internet trager wordt.

Overdreven

Diverse virusdeskundigen noemden de jobstijdingen al van tevoren overdreven. De afdeling van de FBI die verantwoordelijk is voor het bestrijden van computercriminaliteit en het waarschuwen voor virussen, ligt al enige tijd onder vuur.

De FBI is vaak veel te laat met het afgeven van viruswaarschuwingen. Vorige week verspreidde een medewerker van de organisatie bovendien zélf het Sircam-virus. Met het krachtdadige optreden tegen Code Red zou de organisatie de aandacht willen afleiden van de problemen.

Post denkt dat de waarschuwingen vooraf niettemin zin hebben gehad. “Systeembeheerders hebben massaal gehoor gegeven aan de oproep om de patch voor het veiligheidslek te installeren. Het bestand is meer dan een miljoen keer gedownload. De waarschuwingen hebben dus wel effect gesorteerd. Liever iets te veel aandacht dan een backbone die wordt platgelegd.”