Columnist Martin Healey geniet de eer veel gelezen te worden, dat wijst lezersonderzoek uit. Hij berijdt graag z’n stokpaardjes en snijdt meer dan eens controversiële zaken aan. Dat hij bij tijd en wijle trouwe lezers behoorlijk tegen de haren in weet te strijken, bewijst de volgende bijdrage van Rogier Wolff. Hij voelt zich danig in zijn beroepseer aangetast.
Normaliter lees ik met genoegen de Computable, totdat ik de column ‘Internet firewalls’ (Computable, 3 juli) van Martin Healey tegenkwam. Die staat zo vol onjuistheden dat ik me ontzettend ben gaan opwinden. En van dit onderwerp weet ik toevallig veel af. Ik kan de onjuistheden aanwijzen én beoordelen. Ik wil ‘itënd’ Nederland beschermen tegen de leugens in zijn column, anders gaat het de verkeerde kant op. Nu dan inhoudelijk.
De eerste alinea staat vol met ‘ver-algemeniseringen’ die dicht langs het randje gaan. Een paar voorbeelden: (…) Omdat er nu eenmaal hackers zijn moet iedereen die zijn lokale systeem op Internet aansluit een firewall installeren. (…) Als ik een lokaal systeem loskoppel van mijn interne net, en er voor zorg dat ik de boel snel genoeg weer op orde heb als er een ‘aanval’ plaatsvindt, dan kan ik best zonder een firewall toe hoor. En als ik een afweging maak over de te maken kosten voor een firewall, en de kansen/kosten van een inbraak, dan kan het zijn dat een lagere investering statistisch goedkoper is.
(…) 2200 inbraken (…) Zelfs in 1994 waren er veel meer inbraken dan 2200. Ik weet niet wat de restricties zijn geweest om op zo’n getal te komen. (…) angstaanjagend (…) Dit is absoluut niet angstaanjagend. Ik heb een gewoon slot op mijn deur, net als miljoenen andere Nederlanders. En toch wordt er in Nederland meer dan een paar duizend keer per jaar ingebroken.
Junk-mail
De tweede paragraaf neemt dan plotseling een rare wending. (…) Een Internet-verbinding brengt een aantal risico’s met zich mee: De mail-service, die is gebaseerd op Smtp, kent geen manier om de afzender van de e-mail te verifiëren, zodat hackers het mailsysteem met ‘junk mail’ kunnen overspoelen. (…)
De mail-service is inderdaad gebaseerd op Smtp. Er bestaat geen waterdichte manier om de afzender te verifiëren. Derhalve kunnen mensen uit naam van anderen e-mail vervalsen. Dat is een belangrijk risico, hetgeen niks met firewalls te maken heeft. Daarnaast wordt gehint naar het ‘junk mail’-probleem. Als je enige activiteit op Internet ontplooit, heb je binnen de kortste tijd je eerste junk-mail te pakken. Dit is afkomstig van mensen die denken hun product op deze manier te kunnen marketen. Ook als ze niet hun afzender-adres zouden kunnen vervalsen zouden ze dit gewoon doen.
Verder is het tegenwoordig ‘mode’ om je mail-server zodanig te configureren dat hij geen e-mail van derden naar derden doorstuurt. Vroeger was het beleefd om dat wel te doen. Dan kun je bijvoorbeeld een mailtje aan jezelf sturen, maar dan via Amerika, om te kijken of ze aan de andere kant van de plas mail naar jou kunnen krijgen. Dit heeft het voor de ‘spammers’ een stukje moeilijker gemaakt. Ze moeten nu op zoek naar een van de duizenden ‘ouderwetse’ machines om efficiënt duizenden of miljoenen junk-mailtjes te kunnen versturen.
Hackers
Hackers hebben met junk-mail niks te maken.
(…) Veel mailprogramma’s op Internet geven informatie prijs zoals IP-adressen, waardoor hackers langs sommige firewalls kunnen komen. (…) Wat mailprogramma’s met IP-adressen van doen hebben weet ik niet. Maar goed. Sommige Smtp-servers loggen – terecht – de IP-adressen waar vandaan ge-‘connect’ wordt. Dat maakt het voor de hierboven beschreven junk-mailers een stuk moeilijker om lang veel junk-mail te versturen.
Er zijn slechts 2 tot de macht 32 IP-adressen. Een gemiddeld bedrijf heeft daar slechts 256 van toegekend gekregen. Als je er daar slechts 10 van in gebruik hebt, dan hoef je gemiddeld maar 25 adressen te proberen voordat je ‘prijs’ hebt. Dat is voor een hacker absoluut geen probleem. IP-adressen geheim houden is net als je huis-adres geheim houden. Iemand die er achter wil komen komt er toch achter. Het is anders met bijvoorbeeld een pin-code (= password). Iedereen weet dat je die geheim houdt. Een adres is gewoon nodig, en er is gewoon achter te komen.
Eventueel kun je NAT (Name Adress Translation) installeren op je firewall. Dan gebruik je IP-adressen die niet het publieke Internet op mogen, maar speciaal bedoeld zijn voor intern gebruik. Ook daar is sprake van slechts een beperkte keuze.
Een firewall die ‘valt’ als de IP-adressen die er achter gebruikt worden bekend worden, is zo lek als een mandje en kan je beter meteen weggooien.
‘Sniffers’
(…) TCP/IP-pakketten bevatten een volledig IP-adres in de header. Hackers installeren ‘sniffers’ op het netwerk om IP-adressen te achterhalen. (…) ‘Sniffers’ vormen inderdaad een belangrijke bedreiging. Deze luisteren naar het lokale netwerk om daar wachtwoorden van af te plukken. Als je NAT gebruikt, bevat een header altijd het IP-adres van de firewall.
(…) De directory-service, DNS, vertaalt Internet-namen naar IP-adressen; het is een voor de hand liggende plaats voor hackers om naar de IP-adressen van vertrouwde systemen te zoeken. (…) Als je je IP-adressen als ‘gevoelige’ informatie beschouwt, dan moet je ze niet in de ‘name’-server zetten. Dat lijkt me evident. Als je een geheim telefoonnummer hebt, dan moet je hem niet toch in de telefoongids zetten. Wat is er anders nog geheim aan?
‘Vertrouwde systemen’ is een term die doet denken aan IP-spoofing. Sommige systemen zijn zo geconfigureerd dat ze bepaalde andere systemen ‘vertrouwen’. Zo zullen ze dus niet om een wachtwoord vragen als er een verbinding van die andere computer komt. Als een hacker nu vanuit zijn luie stoel de ene computer kan verleiden te denken dat een verbinding vanuit de andere computer komt, dan zou hij zonder wachtwoord binnen kunnen komen. Dit is een probleem dat door een firewall moet worden tegengegaan. Echter niet door IP-nummers geheim te houden, maar door te voorkomen dat mensen vanaf Internet pakketten met interne IP-nummers je net op kunnen sturen. Verder moet niemand van buitenaf de poorten die deze services leveren kunnen bereiken.
Achterdeur
(…) WWW-pagina’s bevatten specifieke referenties naar andere pagina’s, die zich op andere web-sites zouden kunnen bevinden. Zo zouden ze informatie over de achterdeur van uw omgeving kunnen bevatten. (…) WWW-pagina’s bevatten referenties naar andere pagina’s, die zich op andere websites zouden kunnen bevinden. Dat is een waarheid als een koe, en de oorzaak van de populariteit van Internet. ‘Achterdeur’. Hmm. Als je bezoek hebt gehad van een hacker, dan zou die wel eens een achterdeur kunnen installeren. De term ‘achterdeur’ wordt hier gebruikt om de truc aan te duiden die sommige hackers hanteren om er voor te zorgen dat ze er niet meer ‘uitgegooid’ kunnen worden. Ze installeren dan bijvoorbeeld een programma dat hun altijd zonder wachtwoord binnenlaat.
Sommige fabrikanten hebben achterdeuren in hun apparatuur geïnstalleerd. Dan laat het systeem hun binnen met een bepaald wachtwoord dat alleen de fabrikant hoort te kennen. In de praktijk worden dat soort wachtwoorden bekend, en fabrikanten hebben ondertussen hopelijk geleerd dat dit een zeer kwalijke zaak is, en dat de klanten dit niet langer pikken.
Sommige web-sites gaan er vanuit dat de systeembeheerders moeten weten wat voor bugs er in hun software zitten om de systemen zo nodig aan te passen. Deze publiceren dus talloze bugs in diverse softwaresystemen. De hackers kunnen dit ook gebruiken om in te breken op systemen die nog niet van de nieuwere software zijn voorzien. Een goede firewall maakt dit allemaal irrelevant.
FTP en HTTP
Als het hier weer gaat over het publiceren van IP-adressen, dan moet je het vergelijken met het publiceren van een geheim telefoonnummer in de gouden gids.
(…) Bestandsoverdracht wordt mogelijk gemaakt door FTP. De anonieme versie zou verboden moeten worden, maar ook de gewone versie kan problemen geven, omdat een FTP-sessie open kan blijven staan nadat de transfer voltooid is. (…) Bestandsoverdracht kan met verschillende protocollen plaatsvinden. FTP en Http zijn daar voorbeelden van. De anonieme versie van FTP is niks anders dan de gewone versie, behalve dan dat de server dan na de inlog-naam ‘anonymous’ vaak (vrijwel) iedere string als wachtwoord accepteert. Je wordt meestal vriendelijk verzocht aldaar je e-mailadres in te vullen.
FTP is origineel ontworpen om bestanden te transporteren en een wachtwoord-beveiliging toe te passen. Het is gewijzigd om ook ‘anoniem’ te kunnen werken. Http is origineel ontworpen om anoniem bestanden uit te leveren, terwijl er toevoegingen zijn die toestaan dat er ook wachtwoorden uitgewisseld worden. Als ik een bestand wil publiceren, dan is het verdomd onhandig als ik iedereen het wachtwoord moet gaan geven. Bovendien als ik enkele tientallen mensen het wachtwoord heb verteld dan kan ik het net zo goed in de krant zetten.
Als een ‘openstaande’ ftp-sessie problemen oplevert, dan is dat omdat iemand op Internet een ‘link’ kan afluisteren en beïnvloeden. Als hij dat kan, dan heeft hij ook het wachtwoord dat gebruikt werd langs zien komen. Ook als de sessie netjes wordt afgesloten, dan kan de hacker dus gewoon met het wachtwoord inloggen. Als iemand een ‘link’ kan afluisteren en kan beïnvloeden, dan kan hij ook een verbinding ‘hijacken’. Je neemt dan de verbinding gewoon over. Dit is vergelijkbaar met het opgraven van iemands telefoonkabel. Dan kan je op z’n kosten bellen, of de verbinding verbreken als het gesprek een wending neemt die je niet aanstaat.
Zo gaat het maar door. Echt, er klopt geen steek van het hele artikel. Het lijkt me verstandig om ver te blijven van mensen als Healey.
Rogier Wolff,
directeur Bit Wizard,
Delft
Reactie Martin Healey:
- 31/07/98 – Healey’s firewall-repliek: Tech-praat
