McAfee-fout is alleen handmatig herstelbaar

Alleen Windows XP SP3-versies zijn vatbaar

De software update die antivirusbedrijf McAfee woensdagmiddag 21 april uitbracht, en die per abuis een essentieel Windows-systeembestand uitschakelt, is voorlopig alleen handmatig herstelbaar. Dat zegt beveiligingsadviseur Bart Schultink van 'McAfee-specialist' Medusoft. McAfee kwam vanochtend wel met een geautomatiseerde versie, die vanaf het netwerk uitrolbaar is. Deze tool moet alleen nog worden getest. De fabrikant zoekt organisaties die de tool willen testen.

De adviseur legt uit wat momenteel het probleem is: 'Machines die zijn beschadigd door de update blijven maar herstarten.'Dat maakt het heel moeilijk om ze vanuit het netwerk te repareren. Vaak is er niet genoeg tijd om het herstelbestand uit te voeren. Met gespecialiseerde beheersoftware van bijvoorbeeld Altiris is wel een deel van de machines op afstand te repareren.'

Maar dan nog is een deel van de machines momenteel niet op afstand te repareerbaar. 'Systeembeheerders moeten deze machines allemaal een bezoekje brengen, een DOS-venster openen en het rebooten onderbreken met het commando 'shutdown -a'. Vervolgens draait de beheerder het herstelbestand van McAfee, dat het Windows systeembestand svchost.exe terugzet, en de virusdefinitie van het w32/wecorl.a-virus zodanig aanpast, dat het niet meer svchost.exe onschadelijk maakt.'

Alleen Windows XP SP3-machine vatbaar

Een batch-bestand uitrollen dat hetzelfde doet vanuit het netwerk werkt niet, want timing is essentieel. 'De pc's die de problemen vertonen laten een aftelvenster zien, dat zestig seconden aftelt. Vanuit het netwerk is dat niet zichtbaar.'

Volgens Schultink zijn alleen Windows XP SP3-machines vatbaar voor het probleem. 'Dat heeft te maken met de hash value van het bestand. Die is voor XP SP3 net iets anders, waardoor de McAfee-update het systeembestand aanzag voor een virus.'

Een internettap is vergelijkbaar met een telefoontap. "Als je een telefoontap plaatst, krijgt de behoeftesteller ook niet een bepaald aantal woorden door, die krijgt het hele gesprek", zegt Alex Bik, voorzitter van de stichting Nationale Beheersorganisatie Internet Providers (NBIP). De stichting verzorgt internettaps voor 79 kleine en grotere providers die zelf niet de middelen hebben om internettaps te plaatsen.

Bij een internettap komt al het verkeer dat over de lijn gaat naar de provider terecht bij het Korps landelijke politiediensten (KLPD), de Algemene Inlichtingen- en Veiligheidsdient (AIVD) of de Militaire Inlichtingen- en Veiligheidsdienst (MIVD). Dit is inclusief voip-gesprekken, zodat de overheid internettelefonie kan monitoren. De internetverbinding wordt één op één doorgesluisd. Daarnaast bestaat er nog wel een e-mailtap, waarbij alleen het mailverkeer wordt getapt.

Taps op adresniveau

Verschillende voip-diensten versleutelen de gegevens van de telefoongesprekken. De encryptie is vaak zo sterk dat die heel lastig te kraken valt. Toch kan de tapper hier wat aan hebben, aldus Bik. "Je kunt natuurlijk niet direct de inhoud van het gesprek beoordelen. Maar je kan wel zien waar die packets heengaan." In het geval van Skype is dat niet aan de orde; die voip-dienst gebruikt naast encryptie ook peer-to-peer waardoor de versleutelde gesprekken via andere Skype-gebruikers lopen.

De analyse van packet-bestemming is wel weer aan de orde voor versleutelde e-mailberichten en chatgesprekken. Tenzij daarvoor gebruik wordt gemaakt van een Hotmail- of Gmail-adres waarbij de verbinding met die webdienst is beveiligd met SSL-encryptie (secure sockets layer).

Ip- of woonadres

De overheid kan taps plaatsen op ip-adressen of op adresniveau. Dat laatste gebeurt als het ip-adres niet bekend is. "Als iemand verdacht wordt van wietteelt dan is meestal niet van tevoren bekend wat het ip-adres is. Dan komt er een taplast op basis van naw-gegevens", legt Bik uit. Dan wordt al het verkeer getapt, ook als er gebruik wordt gemaakt van meerdere ip-adressen of steeds wisselende ip-adressen. Het is de wettelijke verplichting van de provider om alle gegevens door te zetten naar de overheid.

Dat betekent ook dat er niet één enkele persoon getapt kan worden. Alle verkeer van iedereen die gebruik maakt van de computer of een bepaald ip-adres, afhankelijk van de soort tap, wordt doorgesluisd naar de overheid. Ook dit is vergelijkbaar met telefoontaps; iedereen die dat toestel gebruikt, of belt naar het telefoonnummer van de getapte telefoon, wordt afgeluisterd.

Versleuteld tap-protocol

Providers tappen met een vastgesteld protocol. Conform dat protocol wordt het verkeer versleuteld afgeleverd bij de opsporingsinstanties. Het tappen verloopt via een zogenaamde tapdoos. Om die speciale hardware aan te sluiten op het netwerk van de provider wordt eerst een scan uitgevoerd bij iedere nieuwe provider die zich aanmeldt bij de NBIP.

De scan dient om de tactische punten te ontdekken waar de doos aangesloten kan worden. Als die eenmaal gevonden zijn, wordt de tapdoos aangesloten. "In de praktijk is dit een redelijk langdurig verhaal, daar kan wel een paar maanden overheen gaan", legt Bik uit.

Explosieve groei

Woensdag maakte de NBIP algemene tapcijfers bekend van de afgelopen jaren. Dit geldt voor de providers die zijn aangesloten bij de stichting, maar daaruit vallen de cijfers voor Nederland te extrapoleren. Hieruit blijkt dat het aantal taps explosief toeneemt.

Minister Ernst Hirsch Ballin heeft beloofd om het aantal internettaps te monitoren vanaf januari dit jaar. Volgens hem was het eerder onmogelijk om hier cijfers over bekend te maken. NBIP publiceert de cijfers mede om een tegenwicht te bieden voor de aanstaande overheidscijfers. "Dan kan Hirsch Ballin in ieder geval niet meer zeggen dat hij minder tapt."

Een internettap is vergelijkbaar met een telefoontap. "Als je een telefoontap plaatst, krijgt de behoeftesteller ook niet een bepaald aantal woorden door, die krijgt het hele gesprek", zegt Alex Bik, voorzitter van de stichting Nationale Beheersorganisatie Internet Providers (NBIP). De stichting verzorgt internettaps voor 79 kleine en grotere providers die zelf niet de middelen hebben om internettaps te plaatsen.

Bij een internettap komt al het verkeer dat over de lijn gaat naar de provider terecht bij het Korps landelijke politiediensten (KLPD), de Algemene Inlichtingen- en Veiligheidsdient (AIVD) of de Militaire Inlichtingen- en Veiligheidsdienst (MIVD). Dit is inclusief voip-gesprekken, zodat de overheid internettelefonie kan monitoren. De internetverbinding wordt één op één doorgesluisd. Daarnaast bestaat er nog wel een e-mailtap, waarbij alleen het mailverkeer wordt getapt.

Taps op adresniveau

Verschillende voip-diensten versleutelen de gegevens van de telefoongesprekken. De encryptie is vaak zo sterk dat die heel lastig te kraken valt. Toch kan de tapper hier wat aan hebben, aldus Bik. "Je kunt natuurlijk niet direct de inhoud van het gesprek beoordelen. Maar je kan wel zien waar die packets heengaan." In het geval van Skype is dat niet aan de orde; die voip-dienst gebruikt naast encryptie ook peer-to-peer waardoor de versleutelde gesprekken via andere Skype-gebruikers lopen.

De analyse van packet-bestemming is wel weer aan de orde voor versleutelde e-mailberichten en chatgesprekken. Tenzij daarvoor gebruik wordt gemaakt van een Hotmail- of Gmail-adres waarbij de verbinding met die webdienst is beveiligd met SSL-encryptie (secure sockets layer).

Ip- of woonadres

De overheid kan taps plaatsen op ip-adressen of op adresniveau. Dat laatste gebeurt als het ip-adres niet bekend is. "Als iemand verdacht wordt van wietteelt dan is meestal niet van tevoren bekend wat het ip-adres is. Dan komt er een taplast op basis van naw-gegevens", legt Bik uit. Dan wordt al het verkeer getapt, ook als er gebruik wordt gemaakt van meerdere ip-adressen of steeds wisselende ip-adressen. Het is de wettelijke verplichting van de provider om alle gegevens door te zetten naar de overheid.

Dat betekent ook dat er niet één enkele persoon getapt kan worden. Alle verkeer van iedereen die gebruik maakt van de computer of een bepaald ip-adres, afhankelijk van de soort tap, wordt doorgesluisd naar de overheid. Ook dit is vergelijkbaar met telefoontaps; iedereen die dat toestel gebruikt, of belt naar het telefoonnummer van de getapte telefoon, wordt afgeluisterd.

Versleuteld tap-protocol

Providers tappen met een vastgesteld protocol. Conform dat protocol wordt het verkeer versleuteld afgeleverd bij de opsporingsinstanties. Het tappen verloopt via een zogenaamde tapdoos. Om die speciale hardware aan te sluiten op het netwerk van de provider wordt eerst een scan uitgevoerd bij iedere nieuwe provider die zich aanmeldt bij de NBIP.

De scan dient om de tactische punten te ontdekken waar de doos aangesloten kan worden. Als die eenmaal gevonden zijn, wordt de tapdoos aangesloten. "In de praktijk is dit een redelijk langdurig verhaal, daar kan wel een paar maanden overheen gaan", legt Bik uit.

Explosieve groei

Woensdag maakte de NBIP algemene tapcijfers bekend van de afgelopen jaren. Dit geldt voor de providers die zijn aangesloten bij de stichting, maar daaruit vallen de cijfers voor Nederland te extrapoleren. Hieruit blijkt dat het aantal taps explosief toeneemt.

Minister Ernst Hirsch Ballin heeft beloofd om het aantal internettaps te monitoren vanaf januari dit jaar. Volgens hem was het eerder onmogelijk om hier cijfers over bekend te maken. NBIP publiceert de cijfers mede om een tegenwicht te bieden voor de aanstaande overheidscijfers. "Dan kan Hirsch Ballin in ieder geval niet meer zeggen dat hij minder tapt."