Graag plaats ik enkele kanttekeningen bij het stuk van Jasper Bakker (Computable, 8 januari, pag. 9).
Ondanks het feit dat de strekking van het verhaal correct is, zijn enkele zaken niet geheel juist. Daar ik reeds enige tijd op de hoogte ben van Remote Explorer en de kracht van dit nieuwe virus, vind ik dat het correct inlichten van de lezers veel paniek of problemen kan voorkomen.
Remote Explorer is niet in staat zichzelf te installeren. Het maakt gebruik van de ‘beveiligingscontext’ van de huidige ingelogde gebruiker om een NT-service te installeren. De code hiervoor ‘hangt’ wel degelijk aan een normale ‘executable’, die door de ‘payload’ van het virus besmet, gecomprimeerd en gecodeerd is, en door een onwetende gebruiker gestart wordt.
Eenmaal geïnstalleerd kan Remote Explorer uitsluitend zijn werk doen op andere machines in het netwerk als de gebruiker die de initiële installatie uitvoerde, ook installaties kan uitvoeren op andere machines, danwel doordat het proces hierboven door een gebruiker met meer rechten herhaald wordt.
Remote Explorer bestaat in wezen uit drie componenten: een NT ‘service part’, een ‘infector’ en een ‘payload’. Laatstgenoemde twee componenten kunnen zich uitsluitend verspreiden via het NT-netwerk als de eerste component actief is. Een Win 95-machine kan dus wel besmet raken, maar nooit ‘ziek’ Hij kan uitsluitend dienen als host, daar de Win 95/98 service interface afwijkt van die van NT. Het hele principe van Remote Explorer is gebaseerd op de volgende feiten: de meeste NT-netwerken zijn niet of nauwelijks beveiligd, alle systeembeheerders zijn ook domeinbeheerders, en alle gebruikers hebben beheerdersrechten op hun eigen machine (en soms ook op die van anderen!). Voor al die bedrijven die losjes omspringen met desktopbeveiliging vormt Remote Explorer een potentieel gevaar.
Daarnaast moet beseft worden dat NT een open structuur heeft. Dit geldt niet alleen voor de werkstation-versie maar ook voor de server-versie. Een betere basisbeveiliging (niet standaard open voor iedereen) zou al veel ellende kunnen voorkomen. Evenals betere tools die rechten verdelen zonder dat volledige domeinbeheerrechten nodig zijn.
Erwin van Rens,
EDS Xerox Account,
Venray
