De aankondiging van Satan, midden 1995, veroorzaakte grote paniek. Dit vrij verkrijgbare programma spoorde lekken op in Unix-systemen en -netwerken, waardoor inbreken voor iedereen wel erg eenvoudig zou worden. De praktijk wijst echter anders uit, zegt Wietse Venema, een van de twee ontwikkelaars. Het heeft in ieder geval voor bewustwording èn een nuttig gereedschap gezorgd.
Dr. Wietse Z. Venema werkt nu ruim tien jaar bij de afdeling Wiskunde en Informatica van de Technische Universiteit Eindhoven. Hij adviseert wiskundigen over het ontwerp van programma’s op het gebied van operations-research, statistiek en systeemtheorie. Sinds 1988 ontwikkelt hij ook commerciële gereedschappen voor Edi (electronic data interchange).
Venema noemt zichzelf een praktisch iemand, die zijn onderzoeken graag afrondt met de ontwikkeling van praktisch bruikbare gereedschappen. Bij systeembeheerders was hij bekend vanwege zijn programmatuur om inbrekers buiten de deur te houden. Zijn grote faam heeft hij te danken aan Satan (Security Analysis Tool for Auditing Networks), gratis software die informatie over een netwerk verzamelt voor het beheer en de controle van de beveiliging.
Slecht voorbeeld
Venema: "Satan is ook nu een handig hulpmiddel, maar ons belangrijkste doel was en is nog steeds bewustwording. We wilden dat bereiken door het accentueren van een aantal minder bekende lekken. Uiteindelijk hebben we als output gekozen voor een lijst van problemen, waarvoor de oplossing al enige tijd bekend was. Om wat voor soort problemen het gaat? Veel computersystemen draaien oude software met bekende veiligheidslekken, waarvoor de leverancier allang een oplossing bekend heeft gemaakt. Ook worden systemen omwille van de gebruikersvriendelijkheid vaak afgeleverd met uitgezette beveiligingen. Als je zulke systemen aansluit op een netwerk als Internet en de beveiligingen niet aanzet, worden ze een makkelijk doelwit voor inbrekers vanuit de hele wereld."
Dan Farmer, Satan co-auteur, heeft in het najaar van 1996 een studie gedaan naar de veiligheid van diverse webservers: de Amerikaanse overheid, kranten, banken en commerciële sites. Venema: "Hij komt tot de conclusie dat driekwart van die servers software draait met bekende lekken. Vergeleken met een willekeurig gekozen controlegroep hadden ze maar liefst tweemaal zoveel problemen. Dit is allemaal niet erg verrassend: de aanwezigheid op het Web, het liefst met mooie plaatjes, heeft een veel hogere prioriteit dan de beveiliging van de machine zelf. De gebruiker verwacht echter dat de website van een bank net zo veilig is als die bank zelf."
"In de afgelopen maanden zijn diverse websites van de Amerikaanse overheid beklad (onder meer die van de CIA, het ministerie van Justitie en de Luchtmacht). Ik vraag me af of hier niet een slechte voorbeeldwerking van uitgaat. Als zelfs de Amerikaanse overheid niet de moeite neemt om haar websites te beschermen, waarom zou een ander dan wel z’n best doen?"
Taboe
Computer- en netwerkbeveiliging staan de laatste tijd erg in de schijnwerpers. De indruk is dat dit vroeger niet zo sterk leefde, zeker niet in de Internet- en Unix-wereld. Venema: "Tot november 1988 waren lekken in de beveiliging van computersystemen een taboe in de Unix-wereld: daar werd niet over gepraat. Daarover was nauwelijks informatie beschikbaar, laat staan dat het bekend was wat je eraan kon doen om systemen tegen inbraak te beschermen."
"Dat veranderde toen Robert Morris een programma schreef, dat automatisch inbrak via een paar jaar eerder ontdekt lek. Het programma (de Internet-worm) ‘ontsnapte’ en legde een groot deel van het Internet lam. Dat leidde tot enkele dagen chaos. De les die men hieruit leerde was dat er aanspreekpunten moesten komen voor beveiligingsproblemen (incident response teams, ook wel genoemd: Cert, Computer emergency response team). Verder was duidelijk aangetoond, dat je lekken in de beveiliging niet langer onder het tapijt kon vegen. Morris had laten zien dat je door een enkel veiligheidslek in één klap tienduizenden systemen over de hele wereld kon platleggen."
"Eerst na het optreden van de Internet-worm werd het aanvaardbaar om informatie te verstrekken over veiligheidsproblemen. Leveranciers schrijven nu bulletins met de laatste security patches voor hun producten en er is intussen een flinke hoeveelheid literatuur over hoe je systemen veiliger maakt. Vóór november 1988 zou dat allemaal absoluut ondenkbaar zijn geweest. We hebben nu uitgebreide informatie over Satan op Internet (zie kader). We ontvangen daar ook veel vragen en commentaren. De helft van de bezoekers vraagt of het op een PC of Mac draait. Dit is het kenmerk van de ware leek", aldus Venema.
Hoe belangrijk beveiliging ook in de Windows-wereld is, bleek enkele weken geleden, toen werd ontdekt dat een enkel netwerkpakketje voldoende is om via Internet elke aangesloten Windows 3.x/95/NT PC van het netwerk af te krijgen. Microsoft heeft intussen een patch beschikbaar gesteld voor de NT; de rest zal later volgen.
Elektronische uitsmijter
Venema constateert dat het idee voor Satan begin 1992 is ontstaan, drie jaar voor de eerste release van Satan. "Toen besloten Dan Farmer en ik om samen iets te gaan doen. Het leek ons zinvol om onze krachten te bundelen. Dan is onderzoeker en adviseur in computerbeveiliging. Hij heeft onder meer gewerkt bij Cert/CC te Pittsburgh en bij Silicon Graphics."
"Dan had een paar jaar eerder roem vergaard met het Cops-programma (Computer Oracle and Password System), dat de beveiliging inspecteert van het systeem waarop het draait. Ik had mijn sporen verdiend met de TCP Wrapper, een elektronische waakhond annex uitsmijter, een bewaker van netwerktoegangen naar het systeem waarop het programma draait."
Venema legt uit dat Satan is ontwikkeld op en voor systemen die Internet-protocollen gebruiken. "Dat waren aanvankelijk vooral Unix-systemen, maar intussen blaast Microsoft een flinke partij mee. De volgende versie van Satan zal ook wat moeten weten van Windows 95 en NT en zal naar verwachting ergens in 1997 beschikbaar komen. Deze tweede release zal waarschijnlijk de laatste zijn. Er is intussen een levendige markt ontstaan voor software die netwerken doorlicht. Dan en ik zijn onderzoekers; wij beschikken niet over de middelen – en wij hebben ook niet de interesse – om het programma een leven lang te ondersteunen."
Recentelijk is er een golf van veiligheidsbugs in Windows NT/95 ontdekt. Venema vindt het een goede zaak dat er een eind komt aan de onterechte schijn van veiligheid rond Windows 95/NT: "Ik spreek nu even als onpartijdige medewerker van de TUE, niet als werknemer van een leverancier. Het gaf Microsoft een onverdiend voordeel ten opzichte van andere leveranciers. Zonder inzicht in de sterke en zwakke kanten van de veiligheid van een systeem is het onmogelijk om systemen passend te beveiligen. Stalen deuren hebben geen zin als het dak van het gebouw ontbreekt."
Beheerders
"Het Satan-programma is geschreven voor systeembeheerders", aldus Venema. "Het gaat niet alleen op zoek naar problemen, maar het vertelt ook wat voor systemen aan het netwerk zijn gekoppeld en welke netwerkdiensten die systemen bieden. Tegenwoordig is het heel gewoon dat een systeembeheerder zorgt voor honderd of meer systemen. Het is dan ondoenlijk om ‘met de hand’ een beschrijving van elk systeem bij te houden. Voor veel beheerders was de eerste Satan-uitvoer dan ook een grote verrassing. Allerlei kleine en grotere fouten hadden al lange tijd onopgemerkt bestaan, maar kwamen nu aan het licht."
"Omdat het bestemd is voor beheerders, hoeft Satan niet op systemen in te breken. Het kan ook vaak van buitenaf de kwaliteit van de beveiliging beoordelen. Veel netwerk-software meldt zich met versie- nummer en al. Bij elke verbinding vertelt een webserver bijvoorbeeld precies hoe laat het is, welke versie van de software hij draait en allerlei andere wetenswaardigheden. Webbrowsers gooien die informatie meestal weg, dus die spraakzaamheid valt zelden op, maar Satan kan die nuttig gebruiken."
"Ook webbrowsers verklappen allerlei interessante informatie als ze verbinding maken met een webserver: welk type webbrowser zij zijn en welke versie, welk type computersysteem de gebruiker draait en de naam van de webpagina die de gebruiker nog op het scherm heeft staan – om maar een paar voorbeelden te noemen."
Klassieke fouten
Venema vervolgt: "Ook als de software zelf geen fouten bevat, kunnen zich problemen voordoen met de instellingen van die software. Leveranciers moeten keuzen maken tussen ‘gemakkelijk te gebruiken’ en ‘veilig te gebruiken’. Het is geen verrassing dat de keuze vaak valt op ‘gemakkelijk te gebruiken’. Dit gaat ten koste van de veiligheid: ‘open’ permissies voor toegang tot systemen, ‘open’ permissies voor toegang tot bestanden, enzovoort, maken het voor onbevoegden gemakkelijk om op een systeem binnen te dringen."
Bekijkt Satan ook de crypto-beveiligingen in de netwerken? Venema: "Veel netwerken gebruiken in het geheel geen cryptografie, maar als die cryptografie een beetje redelijk zou zijn, kost het erg veel tijd om die te beoordelen of te breken. Op dit moment doet Satan daarom niets met cryptografie."
Op de vraag of er een lijst met top-tien beveiligingsfouten in Unix-netwerken bestaat, antwoordt Venema dat we dan al gauw in akelig technische sferen terechtkomen. "In de sfeer van configuraties heb je: accounts met bekende (of lege) wachtwoorden; toegang zonder wachtwoord van elk systeem op het netwerk en file sharing zonder restricties met elk systeem op het netwerk. Maar een minstens zo groot probleem is dat bekende fouten in de programmatuur niet worden verholpen, ook niet als patches al jaren beschikbaar zijn. Als gevolg daarvan kunnen inbrekers eenvoudig naar binnen komen."
Waarschuwing
Probeert Satan van buiten naar binnen in het netwerk te komen of kan het ook binnen het netwerk worden gebruikt?
Venema: "Het maakt voor Satan niet uit of je een netwerk van buitenaf onderzoekt of van binnenuit. Je kunt het programma voor je eigen netwerk gebruiken, maar je kunt net zo goed dat van een ander doorlichten. In het begin bestond de vrees dat Satan zou leiden tot een golf van inbraken, en werd de afwezigheid van welke beperking dan ook wel eens als een bezwaar aangevoerd."
"Satan kijkt eerst welke netwerkdiensten een systeem beschikbaar stelt en stelt vervolgens vragen aan die netwerkdiensten. Het vraagt bijvoorbeeld aan een fileserver welke bestanden beschikbaar zijn, en geeft een waarschuwing indien bestanden beschikbaar zijn voor iedereen. Satan vraagt aan de server welke versie van de mail software draait en geeft een waarschuwing als dat een versie is met bekende problemen."
Achter op schema
Venema constateert dat het programma enorm veel publiciteit heeft gehad: "Tot in de blaadjes die je aantreft in de rugleuning van een vliegtuigstoel. Wat die bewustwording betreft is het dus een groot succes. Men vreesde een golf van inbraken als gevolg van de algemene beschikbaarheid, maar die vond niet plaats. Mensen die vaak met inbraken te maken hebben (Cert-organisaties, politie) zijn van mening dat het programma meer goed dan kwaad heeft gedaan."
"Voor de release van Satan was het not done om op zoek te gaan naar problemen op het netwerk. Allerlei organisaties draaien nu Satan (of iets dergelijks) op geregelde tijden. Het programma vindt uiteraard niet alle fouten, maar het laat wel duidelijk zien welke systemen onvoldoende aandacht krijgen. Het programma is geschreven voor beheerders, en veronderstelt dat de gebruiker enige ervaring heeft. Het is niet interessant voor een teenager die hacker wil worden. Echte inbrekers hebben Satan niet nodig."
Venema is ervan overtuigd dat zijn samenwerking met Dan Farmer blijft bestaan. "Om te beginnen willen we nog een nieuwe Satan- versie uitbrengen. Daarvoor hebben we bijdragen gekregen van anderen. We nemen stukken over, maar blijven uiteindelijk wel verantwoordelijk voor het totale pakket. Zoals gezegd, de bewustwording is tot stand gebracht. Straks kunnen en moeten commerciële bedrijven het stokje overnemen. Intussen proberen we samen een boek te schrijven dat uiteraard gaat over netwerken en hun beveiliging. Net als met Satan lopen we wat achter op ons schema, maar we zijn vol goede moed."
‘Sabbatical year’
Dit interview is via e-mail tot stand gekomen, omdat Venema voor een sabbatical year in de VS werkt. Venema: "Na alle publiciteit over Satan leek het een goed moment om de neus eens buiten de deur te steken. Nederland heeft geen informatica-reuzen als IBM, Sun of Microsoft en dus ga ik eens in de VS kijken. Ik heb een jaar onbetaald verlof van de TUE, dat wil zeggen dat ik betaald wordt door mijn werkgevers in de VS. Ik kan er goed van rondkomen. Mijn officiële titel hier is visiting scientist. Ik voel me het meest op mijn gemak als ik dingen kan bedenken en maken die direct kunnen worden gebruikt: toegepast onderzoek dus."
Wat doet u dit sabbatical year in de VS, behalve een boek schrijven met Dan Farmer?
Venema: "Er is een programma sendmail dat op veel Internet-serversystemen werkt. Fouten in dit programma zijn verantwoordelijk voor een groot deel van alle Cert security bulletins. Ik ben bezig een alternatief te bouwen dat wel alle goede eigenschappen heeft van het bestaande programma, maar niet de foute. Zoiets heeft alleen zin als iedereen het kan gebruiken. Ik ontwikkel het in de tijd van IBM en werk er straks verder aan in de tijd van Sun. Als het klaar is, mag ik het weggeven."
Waterdicht
De vraag is of software-systemen wel echt waterdicht te beveiligen zijn? Sommigen denken dat alle software-beveiliging slechts een kwestie van tijd is, omdat die altijd berust op een ingewikkeld probleem, zoals het vinden van sleutels door het ontbinden in priemgetallen. Omdat computers steeds sneller worden, wordt de algoritme noodzakelijkerwijs steeds moeilijker te maken. DES, bijvoorbeeld, was destijds ‘onkraakbaar’; nu is dat een fluitje van een cent, vandaar dat iedereen nu triple-DES gebruikt.
Is beveiliging in absolute zin wel mogelijk?
Venema: "Mijn fiets staat in een enkelsteens schuurtje (althans dat hoop ik, want ik ben nu in het buitenland en kan dat niet controleren). Ik hoop dat mijn geld in een wat beter beschermd gebouw wordt bewaard, enzovoorts, enzovoorts. In principe is alles te kraken. Het is een kwestie van hoeveel je ervoor over hebt om iets te beschermen, en hoeveel iemand anders er voor over heeft om binnen te komen. Het merkwaardige van computers en netwerken is, dat die balans heel plotseling kan veranderen. Als iemand een programma weggeeft dat een moeilijke inbraak automatiseert, kost het opeens ‘niets’ meer om binnen te komen. Het is in dit verband niet zo verwonderlijk dat beveiligen vaak neerkomt op ‘blokkeren’ en ‘uitzetten’. Als je een programma niet kunt gebruiken, geeft het niet hoeveel beveiligingsfouten erin zitten."
Hein van Steenis, freelance medewerker Computable
Informatie
Informatie over Satan en de programma’s (alleen voor Unix-systemen) zijn gratis beschikbaar op Internet:
Officiële FTP site:
ftp://ftp.win.tue.nl/pub/security/satan.tar.Z.
Webpagina’s gewijd aan Satan:
http://wzv.win.tue.nl/satan/ (hints en tips)
http://www.fish.com/satan/ (hints en tips)
Verdere informatie:
ftp://ftp.win.tue.nl/pub/security/index.html
(NB: dit is een web page op een FTP server)
http://www.trouble.org/survey/
(Web server security survey van Dan Farmer)
