ILOVEYOU: het virus dat van iedereen hield

We blikken terug op het verhaal van de ILOVEYOU-worm: een van de beruchtste virussen van 22 jaar geleden.

We gaan terug in de tijd, naar mei in het jaar 2000. Een typische dag op uw werk: uw zet de computer aan, maakt verbinding met het internet en downloadt de laatste e-mail in de Microsoft Outlook-client. U ziet meteen een vreemd bericht met als onderwerp “ILOVEYOU.” Iemand die u kent, bekent zijn of haar liefde voor u. Misschien een oude schoolvriend… Wacht, nee! Beter nog: uw oudere supervisor.

Wie het ook is, het is zeker in het oog springend, dus u klikt op het bijgevoegde bestand genaamd “LOVE-LETTER-FOR-YOU.TXT.VBS” en… er lijkt niets te gebeuren. Enige tijd later ontdekt u echter dat belangrijke documenten op uw harde schijf onherstelbaar zijn beschadigd, en dat er ook nog eens een heleboel soortgelijke liefdesbrieven namens u zijn verzonden – naar alle contactpersonen in uw adresboek.

Voorbeeld van een bericht met de ILOVEYOU-worm

Een e-mail met de ILOVEYOU-worm zag er in de oude Microsoft-e-mailclient ongeveer zo uit. Source

ILOVEYOU was niet de eerste malware die gebruikmaakte van een lek in de e-mailclient van Microsoft, maar het was wel een van de ernstigste virusuitbraken aan het begin van het nieuwe millennium. Laten we eens terugblikken op de geschiedenis ervan en bespreken hoe het onze perceptie van computersysteembeveiliging heeft veranderd.

Context: het internet is de meest trendy technologie

Het jaar 2000… Dat is alweer even geleden. In 2022 klinkt het bijna als een prehistorische tijd. Vandaag de dag kunt u gearchiveerde kopieën van websites uit die tijd bekijken of een oude Windows 98-laptop uit de kast halen om nog eens te kijken welke programma’s we toen eigenlijk gebruikten. Het was net het Stenen Tijdperk, nietwaar? Nou, nee. Natuurlijk was de technologie rond de millenniumwisseling primitief naar onze huidige maatstaven. De overgrote meerderheid van de gebruikers maakte via een modem verbinding met het internet, en dat was natuurlijk vreselijk traag. Maar prototypes van bijna alle moderne netwerkdiensten bestonden toen al.

Er was bijvoorbeeld geen videostreaming, maar wel radiostreaming. Er was een breed scala van online messengers beschikbaar. De handel via internet ontwikkelde zich razendsnel, hoewel het vaak toch nog makkelijker was om een winkel te bellen dan een bestelling op een website te plaatsen.

Over het algemeen kreeg in 2000 elke netwerktechnologie of elke dienst met het voorvoegsel “e-” (oftewel elektronisch!) veel aandacht en dus ook investeringen. Wat later, in 2001, was er enige teleurstelling toen veel startende internetbedrijven failliet gingen en de sector een beetje van de hype verloor, maar wel wat volwassener werd.

Een belangrijke indicator van hoe wijdverspreid het internet toen al was, is de release in 1998 van de populaire film You’ve Got Mail, half rom-com en half reclame voor de toenmalige gigant America Online.

Voor ons verhaal is het van belang dat het internet eind jaren negentig niet langer een plaats was voor de bevoorrechten: in 2000 waren er al honderden miljoenen mensen online. E-mail was toen al een belangrijk instrument voor communicatie en samenwerking in veel bedrijven en overheidsinstellingen, maar ook voor gewone thuisgebruikers.

Maar in mei 2000 werd deze “digitale transformatie”, zoals het later populair werd om het te noemen, plotseling gestopt door de ILOVEYOU-virusuitbraak. Veel bedrijven zagen zich genoodzaakt hun mailservers tijdelijk stil te leggen, omdat deze de stroom van tienduizenden liefdesberichten eenvoudigweg niet aankonden.

De voorgangers: Concept.B en Melissa

Strikt genomen moet ILOVEYOU worden geclassificeerd als een netwerkworm: het is een schadelijk programma dat zichzelf via het netwerk verspreidt. Een ander belangrijk kenmerk van ILOVEYOU was dat de initiële infectie werd uitgevoerd met een eenvoudig VBscript-programma. VBscript is op zijn beurt weer gebaseerd op het nog oudere idee van macro’s: in wezen eenvoudige programma’s waarmee je bepaalde handelingen kunt automatiseren, zoals bijvoorbeeld bij het werken met documenten.

Meestal worden er macro’s gebruikt om complexe berekeningen uit te voeren in spreadsheets, zoals Microsoft Excel. Van oudsher worden macro’s ook ondersteund in Microsoft Word, bijvoorbeeld om automatisch rapporten te genereren op basis van in een formulier ingevoerde gegevens.

In 1995 werd deze Word-functionaliteit misbruikt door het WM/Concept.A-virus. Dit macro-virus infecteerde Microsoft Word-documenten en gaf dit bericht weer wanneer het document werd geopend:

Bericht bij het openen van een document dat is geïnfecteerd met het macro-virus Concept.A

Dat is waar een infectie met het macro-virus Concept.A toe leidde.Source

En dat is alles. Er was geen sprake van een schadelijke functionaliteit als zodanig, alleen een nogal irritant venster dat steeds opdook. Voormalig Microsoft-medewerker Steven Sinofsky, die van 1998 tot 2006 verantwoordelijk was voor de ontwikkeling van de kantooroplossingen van het bedrijf, noemt Concept.A in zijn memoires het eerste signaal: op dat moment werd duidelijk dat de automatisering die in alle Microsoft-oplossingen was geïmplementeerd ook op nadelige wijze kon worden gebruikt. Daarom werd besloten om een waarschuwing weer te geven voordat er macro’s werden uitgevoerd: het document bevat een programma, weet u zeker dat u het wilt uitvoeren?

Zodra Microsoft beperkingen begon op te leggen aan het uitvoeren van macro’s, begonnen auteurs van malware te zoeken naar manieren om deze beperkingen te omzeilen. De volgende spraakmakende gebeurtenis vond plaats in maart 1999. Steven Sinofsky beschreef hoe het was: wanneer je je e-mail bekijkt, krijg je een bericht met een bijgevoegd bestand en de onderwerpregel “Belangrijk bericht van…”.

Bericht dat met het Melissa-virus is geïnfecteerd

Bericht dat met het Melissa-virus is geïnfecteerd. Source

En vervolgens nog een van een andere afzender. En nog een. En toen stopte e-mail met werken: zelfs mailserver van Microsoft kon zo’n lading e-mails niet aan. Dit was de Melissa-internetworm. Het bijgevoegde Microsoft Word-document bevatte schadelijke code die via Microsoft Outlook een bericht stuurde naar de eerste 50 contactpersonen in het adresboek.

Het draait allemaal om liefde

De ILOVEYOU-worm was een evolutie van de ideeën die in Melissa al werden gebruikt. Het maakte geen misbruik van een kwetsbaarheid in Microsoft-producten, maar gebruikte in plaats daarvan gewoon een standaardfunctionaliteit. De enige fout was dat er geen waarschuwing werd getoond wanneer het script werd gestart vanuit de Outlook-e-mailclient.

De functionaliteit van de worm was niet beperkt tot het versturen van liefdesberichten naar alle ontvangers. Naast e-mailspam die namens het slachtoffer werd verzonden, kon de worm zich ook verspreiden via de destijds populaire IRC-messenger. Bovendien downloadde de worm een trojan die de wachtwoorden voor e-mail en internettoegang naar de maker van de malware stuurde. Tot slot verwijderde, verborg of corrumpeerde de worm bestanden op de harde schijf: muziek in MP3-formaat, JPEG-afbeeldingen, diverse scripts en kopieën van webpagina’s.

Het meesterbrein achter de ILOVEYOU-uitbraak incorporeerde ontwikkelingen van eerdere macro-virussen, bedacht een ultieme social engineering-truc (hoe kan iemand een bestand met de naam “I love you” nou negeren?), voegde kwaadaardige functionaliteit toe en maakte optimaal gebruik van de automatische verspreiding van malware.

Aan de hand van rapporten van Kaspersky en de media uit die tijd, is het mogelijk om de opeenvolging van gebeurtenissen te reconstrueren. Al op de eerste dag, op 4 mei, werden er duizenden systeeminfecties gedetecteerd. Op 9 mei werden er 2,5 miljoen besmette computers gemeld, wat betekent dat er tientallen miljoenen e-mails over de hele wereld zijn verzonden.

De maker van het virus heeft niet eens geprobeerd om de schadelijke code te verbergen onder het mom van een kantoordocument. De bestandsnaam “LOVE-LETTER-FOR-YOU.TXT.VBS” maakte gebruik van het feit dat Microsoft- mailclients alleen het eerste deel van een lange naam lieten zien, zoals te zien is in de schermafbeelding aan het begin van het artikel. De code binnenin was in open formaat, en al snel maakten veel bekwame boosdoeners er dan ook gebruik van om verschillende variaties van de internetworm te maken. In plaats van ILOVEYOU kwamen er andere woorden in de onderwerpregel te staan, waaronder eigenwijze viruswaarschuwingen. De NewLove-variant, die op 19 mei werd gedetecteerd, verwijderde niet selectief bestanden, maar wiste alle informatie op de harde schijf volledig uit.

Definitieve schattingen van de impact van het ILOVEYOU-virus zijn als volgt: tot 10% van de met het internet verbonden computers werd geïnfecteerd, en de totale schade, inclusief de destructieve acties van de varianten, wordt geschat op ongeveer 10 miljard dollar. Het incident kreeg veel aandacht in de pers, en er werden zelfs hoorzittingen gehouden in de Amerikaanse senaat.

Er werden fouten gemaakt

Het hele verhaal van begin tot eind kennende, zou men zich in 2022 willen afvragen: had de uitbraak van zo’n onbeduidend virus niet meteen voorkomen kunnen worden? Pas op 8 juni 2000 bracht Microsoft een belangrijke beveiligingsupdate voor de Outlook-e-mailclient uit, die eindelijk serieuze beperkingen op het uitvoeren van scripts introduceerde. Alle e-mailbijlagen werden standaard niet vertrouwd, en er werden controles ingevoerd wanneer een externe toepassing toegang kreeg tot het Outlook-adresboek of probeerde meerdere e-mails tegelijk te verzenden.

Na een update in juni 2000 waarschuwde de Outlook-e-mailclient gebruikers voor een externe app die toegang had tot het adresboek en pogingen om meerdere berichten tegelijk te versturen.

Na een update in juni 2000 waarschuwde de Outlook-e-mailclient gebruikers voor een externe app die toegang had tot het adresboek en pogingen om meerdere berichten tegelijk te versturen. Bron

Ze hebben het niet eerder gedaan, omdat Microsoft bij de keuze tussen veiligheid en gemak de voorkeur gaf aan het laatste. En hetzelfde gold voor de gebruikers. Toen Microsoft in 1995 een eenvoudige waarschuwing in Microsoft Word introduceerde (“Dit document bevat macro’s”), kreeg het bedrijf negatieve feedback van klanten. In sommige bedrijven maakte deze extra erkenning een einde aan interne processen die op scripts waren gebaseerd. Daarom stond zelfs bij het ontwikkelen van een patch in het kielzog van ILOVEYOU de vraag “Gaat het iets kapot maken voor gebruikers?” op de agenda, maar deze keer was het al duidelijk dat de beveiliging verbeterd moest worden, en snel.

Oud virus, moderne problemen

De ILOVEYOU-epidemie heeft veel vragen opgeworpen die ook vandaag nog relevant zijn als we het over informatiebeveiliging hebben. De belangrijkste daarvan is: kunnen we patches niet sneller beschikbaar maken? Er waren zeker problemen mee: Microsoft bracht meer dan een maand nadat de uitbraak begon een patchkit voor Outlook uit. Ook waren de automatische afleveringsmechanismen voor deze updates rudimentair, zodat het lang duurde voordat lokale uitbraken van e-mailbesmetting ophielden.

De industrie voor beveiligingsoplossingen had zich in dit opzicht al zeer nuttig getoond. Zoals Eugene Kaspersky zich herinnert, was het niet moeilijk om de anti-virusgebruikers van het bedrijf te beschermen. Toen al werd in beveiligingssoftware een online leveringssysteem voor regelmatige updates geïntroduceerd, terwijl het nog vele jaren duurde voordat de ontwikkelaars van andere soorten programma’s een vergelijkbaar systeem voor snelle patchdistributie implementeerden. Iets later werden er heuristische analysemethoden ontwikkeld om zelfs onbekende schadelijke scripts automatisch op te sporen en te blokkeren.

Hoewel de beveiliging van populaire programma’s en besturingssystemen de afgelopen 22 jaar enorm is verbeterd, blijven makers van malware nieuwe mazen in de wet vinden voor succesvolle cyberaanvallen.

Kwaadaardige macro’s zijn ook niet verdwenen. In februari 2022 beloofde Microsoft de mogelijkheid om ze te verspreiden eindelijk te beperken door de uitvoering van scripts in Office-documenten die via het internet zijn verkregen, te verbieden. Begin juli 2022 werd dit verbod opgeheven. Het is niet gek om aan te nemen dat de vrees dat er iets kapot gaat bij de gebruikers waarheid werd. Later diezelfde maand juli besloot Microsoft opnieuw om macro’s standaard te blokkeren, dit keer met uitleg aan degenen die moesten weten hoe ze dit verbod konden omzeilen.

Er zijn minder grootschalige uitbraken waarbij een stuk malware zich verspreidt over tientallen of honderden miljoenen computers, maar we kunnen ze nog steeds niet volledig voorkomen. Wat zeker is veranderd, is de manier waarop cyberaanvallen geld opleveren, waarbij bedrijfs- en gebruikersgegevens worden gegijzeld en om losgeld wordt gevraagd.

Laten we ons verhaal afronden met een korte samenvatting van het lot van de maker van de ILOVEYOU-internetworm. Onel de Guzman was op het moment van de uitbraak een 24-jarige student. In 2000 konden FBI-agenten vaststellen dat de oorspronkelijke berichten met de worm waren verzonden naar populaire mailinglijsten voor gebruikers uit de Filippijnen, waar de Guzman nog steeds woont. In 2000 werd hij op de lijst van verdachte makers van ILOVEYOU geplaatst. Maar hij werd niet gestraft, en wel om twee redenen: een gebrek aan bewijs en het ontbreken van een strafartikel voor cybercriminaliteit in de lokale wetgeving op dat moment.

In 2020 werd de Guzman opgespoord door journalisten. Hij vertelde dat ILOVEYOU oorspronkelijk geen massamailing-functie voor het Outlook-adresboek had, en dat hij de worm had gemaakt om wachtwoorden voor internettoegang te stelen omdat hij het zich niet kon veroorloven daar voor te betalen. De Guzman is er nooit in geslaagd om zijn gevaarlijke talenten te gelde te maken. Op het moment dat het artikel werd gepubliceerd, werkte hij in een bescheiden telefoonreparatiebedrijf in Manilla.

Tips