Virussen krijgen vaste namen

Industrie moet wel blijven meewerken

Poly, Win32.Glieder.BI, Bagle.DA: het zijn drie verschillende namen voor hetzelfde virus. Elk beveiligingsbedrijf verzint namelijk zijn eigen namen. Om de zaak minder verwarrend te maken heeft het Amerikaanse overheidsorgaan CERT (Computer Emergency Readiness Team) een plan opgesteld voor een universele virus-naamgeving.

Het gebrek aan een algemeen aanvaard naamsysteem voor virussen is een probleem. Zowat elke virusbestrijder heeft een andere methodiek, wat vooral bij varianten op bestaande wormen voor verwarring zorgt. Zo is de ene Bagle.F de andere niet.

Voor computergebruikers is het soms heel moeilijk om te weten of er nu echt een epidemie plaatsvindt of dat er gewoon veel varianten circuleren. Gehoopt wordt dat veiligheidsexperts en systeembeheerders door een duidelijke naamgeving beter in staat zullen zijn om te reageren op nieuwe dreigingen.

Ook beveiligingsfirma's zijn zich bewust van de verwarring die ontstaat door de uiteenlopende naamgeving. Daarom doen ze mee aan het Common Malware Enumeration-initiatief (CME) van de CERT. Tot de deelnemers behoren onder andere McAfee, Symantec, Trend Micro, Computer Associates, F-Secure, Microsoft, MessageLabs en Sophos .

De brede ondersteuning door de industrie betekent dat het CME-initiatief een goede kans op slagen heeft. Al blijft het te nog zien of alle virusbestrijders zich aan hun goede voornemens zullen houden. Eerdere pogingen om een universeel naamgevingsysteem voor virussen op te zetten, liepen namelijk altijd uit op een mislukking.

CME verlaat momenteel de testfase en zal vermoedelijk volgende maand plechtig worden geïntroduceerd. Eerst zullen alleen de virussen die een groter risico vormen een CME-etiket krijgen; op termijn moet iedere computerbedreiging van een universele naam worden voorzien.

Er is gekozen voor een neutraal systeem, waarbij het CME-nummer willekeurig wordt gekozen. Het is dus niet zo dat een hoger cijfer een grotere bedreiging betekent.

Het nieuwe systeem betekent overigens niet dat de oude namen verdwijnen. Elke virusbestrijder zal nog altijd zijn eigen naam en beschrijving hanteren. Daarnaast zal echter voortaan het juiste CME-nummer worden gepubliceerd.

Met een bijdrage van Joris Evers, CNet.

Microsoft vervangt oude encryptietechnologieën in Windows

Microsofts Security Business & Technology Unit heeft een update uitgebracht van de Secure Development Lifecycle policy's die binnen het softwarebedrijf gebruikt worden. In deze documenten is te lezen dat programmeurs voortaan gebruik moeten maken van het SHA-256-algoritme en van AES-blokvercijfering. Verder is door het Redmondse softwarebedrijf besloten om het gebruik van enkele oudere encryptietechnologieën in verband met veiligheid sterk te beperken. Deze algoritmes raken namelijk 'creaky at the edges', aldus Michael Howard, senior security program manager bij Microsoft. De encryptie­technologieën die niet meer gebruikt mogen worden, zijn DES, MD4 en MD5. MD4 en MD5 zijn hashalgoritmes die gebruikt worden om de integriteit van data te verifiëren. DES is een vorm van blokvercijfering en wordt in netwerkprotocollen gebruikt voor de encryptie van informatie.

Wanneer ontwikkelaars binnen Microsoft ondanks dit nieuwe beleid toch nog gebruikmaken van de genoemde encryptietechnologieën, zal de relevante code automatisch gemerkt en de programmeur verzocht worden om de code aan te passen. In de toekomst is het ook de bedoeling dat oudere code aangepast zal worden om calls naar DES-, MD4- en MD5-functies zoveel mogelijk uit te bannen. Analist Bruce Schneier is erg te spreken over deze wijziging. Tegelijk meent hij echter dat hier al veel eerder mee begonnen had moeten worden, omdat (theoretische) aanvallen op de genoemde algoritmes al langere tijd bekend zijn. Microsoft heeft ook besloten om het gebruik van SHA-1 per geval te bekijken en zo na te gaan of dit algoritme veilig gebruikt wordt. Dat is volgens Schneier opvallend, omdat theoretische aanvallen op SHA-1 pas in februari dit jaar bekend zijn geworden.

Microsoft geeft politie cybertips

Den Haag, 12.50 - Microsoft komt met een website waarop trainingen, tips en materiaal worden geplaatst over het opsporen en aanpakken van cybercriminaliteit. LaMagna, directeur van de ‘law enforcement programs’ van Microsoft, heeft dat in een interview met CNet gezegd.

Hoe kun je zien of iemand op een bepaalde website is geweest? Waar zitten de cookies? LaMagna: "We willen de politie en FBI helpen met deze problemen om te gaan en cyberzaken zijn onze specialiteit. Vaak weten agenten niet hoe ze hiermee om moeten gaan." Ook zal de nieuwste wetgeving omtrent cybercriminaliteit op de website komen te staan.

Een nadeel van de site is dat die alleen over Internet Explorer gaat. Inmiddels zijn FireFox, Opera en andere browers bezig aan een inhaalslag. Het zoeken naar gegevens, zoals het herleiden van een bepaalde route, en of een URL is ingetypt of aangeklikt werkt daarbij anders dan in IE. (Jet Mok)