Hackers uit China leveren vrijwel altijd de eerste exploits, maar echt goed zijn ze niet geschreven. Codejockeys uit de VS verbeteren vaak de code, zo stelt Chris Rouland, technisch directeur van Internet Security Systems (ISS).
China herbergt veel hackers, maar echt secuur werken ze volgens Rouland niet. De exploits steken slecht in elkaar en doen vaak de computer die ze aanvallen crashen. Pas nadat hackers uit de Verenigde Staten de code hebben verbeterd, boekt de exploit meer succes. Rouland is onder de indruk van de vaardigheden van de programmeurs: “In code van sommige wormen hebben we bewijs gevonden dat ze eerst grondig zijn getest in en pas daarna zijn vrijgelaten.”
Tot nu toe hebben we volgens Rouland nog geluk gehad met internet wormen. Ze zijn weliswaar lastig geweest en het heeft veel geld gekost om systemen schoon te maken, maar veel data is er niet verloren gegaan. “Dat gaat veranderen. We zullen snel een worm zien met een schadelijke lading.”
Daar kan ISS over mee praten. De indringersdetectiesoftware Blackice en Real Secure van het bedrijf werd afgelopen maart zelf slachtoffer van een venijnige, gerichte wormaanval. De Witty-worm wist twaalfduizend niet gepatchte systemen bij klanten van het bedrijf te besmetten met zijn schadelijk lading: data op schijven werd met willekeurige 64KB datablokken overschreven. De worm buitte een lek uit waarvoor ISS elf dagen eerder een patch had uitgebracht. Alle ongepatchte systemen (12.000 van de naar schatting 1,6 miljoen zakelijke installaties) werden het slachtoffer.
“Op die dag wist ik hoe het voelt om bij Microsoft te werken”, peinst Rouland.
Ceo Tom Noonan van ISS reageert verbeten op het Witty-debacel: “We worden net zo gehaat als we hadden verwacht.”
Het brein achter de Witty-aanval is nooit gepakt, het onderzoek loopt nog.< BR>