Een jaar geleden, op 24 januari 1995, berichtte de New York Times over een spectaculair nieuw beveiligingslek op het Internet. Een dag later stond het nieuws ook in de Nederlandse dagbladen. Het effect van zo’n bericht is voorspelbaar: er klimt iemand op een zeepkist om het einde der tijden te prediken; voorbijgangers blijven even staan om te luisteren, maar halen dan de schouders op en vervolgen hun weg. Zo ook in dit geval.
Het zou snel afgelopen zijn met dat Internet, voorspelden diverse netwerk- en beveiligingsgoeroes. Die voorspelling is niet echt uitgekomen. Het aantal Internet-aansluitingen bleef zich gewoon elke acht maanden verdubbelen.
Nu denkt u misschien dat het allemaal wel meeviel met dat lek. Dat het minder erg was dan de kranten schreven. Dat de doorsnee Internet-aansluiting best veilig is. Dan zult u teleurgesteld zijn. Het krantebericht klopte van A tot Z. Op één woord na: ‘nieuw’. Want, zo blijkt, het bewuste lek is al langer dan tien jaar bekend.
Het bericht in de New York Times was gebaseerd op een urgente waarschuwing, een ‘advisory’, van het Amerikaanse Computer Emergency Response Team, één van de vele centrale meldpunten voor computercriminaliteit. De Cert-‘advisory’, met de spannende titel ‘IP Spoofing Attacks and Hijacked Terminal Connections’, verwees naar twee artikelen. Eén artikel uit 1985 van Robert Morris, de bedenker van de Internet-worm. En één artikel uit 1989 van Steven Bellovin, erkend Internet- en beveiligingsdeskundige. In die artikelen stond ongeveer het volgende.
A. Gegevens worden op het Internet in pakketjes vervoerd. Zo’n pakketje bevat niet alleen databits, maar ook een paar veldjes die worden gebruikt om het pakketje volgens een bepaald protocol (IP) door het netwerk te loodsen en bij de bestemming af te leveren. Eén van die veldjes is het adres van de afzender. Het adres wordt door sommige onveilige applicaties misbruikt om te verifiëren of een bepaalde handeling is toegestaan. Dat is een probleem, zegt Bellovin, omdat een pakketje relatief eenvoudig van een vals afzender-adres voorzien kan worden, zonder dat de applicatie iets in de gaten heeft. Dat wordt dan ‘IP-spoofing’ genoemd.
B. De onveilige applicaties maken gebruik van een lager protocol (TCP) dat weer gebruik maakt van volgnummers. Om een communicatiesessie te ‘kapen’ moet een hacker die volgnummers goed voorspellen. Dat lijkt moeilijk, zegt Morris, maar eigenlijk is het een fluitje van een cent. Als het al nodig is. Want sommige systemen maken het de hacker wel erg gemakkelijk: ze hebben ingebouwde functies om terminal-sessies over te nemen.
C. Veel bedrijven proberen hun lokale netwerk af te schermen voor verkeer van buitenaf. Dat doen ze vaak met behulp van een ‘filtering router’. Zo’n router is een simpel apparaat. Hij laat sommige pakketjes wel door, andere niet, op basis van het adres van de afzender. Maar die adressen zijn gemakkelijk te vervalsen. Daar zit een router niet mee. Een router vindt alles best. Sommige routers geven zelfs pakketjes door waarin een lokale machine als afzender vermeld staat. Ook al komt dat pakketje van buitenaf, of al bevat dit het lokale adres van de router zelf. Dom, maar waar.
D. Door A, B en C te combineren kan een hacker de baas worden op een lokaal netwerk. Dwars door een filtering router heen.
Tot zover de samenvatting. Nu een vraag: als het lek al tien jaar bekend was, waarom heeft Cert dan zo lang met een officiële waarschuwing gewacht? Wat niet weet, dat niet deert, moet men daar gedacht hebben. Of: laten we niemand op verkeerde ideeën brengen. In elk geval gaf Cert pas een waarschuwing toen het aantal inbraken al de spuigaten uit liep. En dat zal wel betekenen dat er een speciaal, gebruiksvriendelijk kraakprogramma in omloop is, waarmee elke Beavis of Butthead zijn natuurlijke driften op de argeloze Internet-bevolking kan botvieren. Of erger.
Ondanks alles is de dag des oordeels nog steeds niet gekomen. Dat betekent natuurlijk niet dat het probleem verdwenen is. Vraagt u voor de grap eens aan uw netwerkbeheerder (m/v) of hij weet hoe het zit. Kijkt hij of hij water ziet branden, neem het hem dan niet kwalijk, want je kunt nu eenmaal niet alles weten, maar stuur hem wel meteen naar een stevige cursus. Heeft hij er wel eens van gehoord, wrijft u zich dan in uw handen: u heeft een goeie. Kan hij u zelfs uitleggen hoe het zit, verhoog dan onmiddellijk zijn salaris. Zo’n figuur is tegenwoordig goud waard.
