De aanvallen van hackers in Cyberspace beginnen verontrustende vormen aan te nemen. In februari werd een aantal populaire sites platgelegd door een reeks goed gecoördineerde denial-of-service-aanvallen. Er is veel software beschikbaar om deze aanslagen te pareren. Maar echt afdoende zijn die programma’s (nog) niet.
In de film Telefon uit 1977, werden tientallen Good Guys in het geheim gehypnotiseerd en gehersenspoeld door de Bad Guys. De gehypnotiseerde Good Guys leefden en werkten enige jaren tussen de andere mede-Good Guys. Toen, op een dag, was één simpel telefoontje van de Bad Guys voldoende om deze Good Guys onmiddellijk militaire doelen aan te laten vallen en hun eigen leiders te vermoorden.
Dit concept werd recent ook toegepast op het Internet: honderden, misschien duizenden Good Guy-computers waren in het geheim met software geïnfecteerd om prominente websites aan te vallen. De trigger was geen telefoontje, maar een pakketje informatie met ongeveer de volgende inhoud: "Val Yahoo! vandaag aan tussen 10:15 uur en 13:15 uur’. Onlangs beschreef Edo Roos Lindgreen (Computable, 25 februari) wat de gevolgen waren van deze zogenaamde distributed-denial-of-service (d-DoS)-aanval en hoe de hackers te werk zijn gegaan. Hoe kunnen dergelijke aanvallen worden weerstaan? Dat is de kernvraag die in dit artikel aan de orde wordt gesteld.
Laten we voor op stellen dat een organisatie die niet een minimum aan beveiligingsmaatregelen neemt wanneer zij internet opgaat, bijzonder veel risico’s neemt. In de fysieke wereld dient een inbreker alle sloten op de toegangsdeuren van een bedrijf apart te proberen. Op internet zijn er tools om automatisch alle sloten tegelijk te proberen. Er dient dan ook altijd een minimum set van beveiligingsmaatregelen geïmplementeerd te worden om gelegenheidshackers te weren. De echte vraag is: hoeveel en welke maatregelen moeten daar bovenop genomen worden. Dit is een complexe aangelegenheid en dient gestructureerd te worden aangepakt.
Er is een aantal stappen die genomen dienen te worden om veilig met internet te kunnen werken. Allereerst is het noodzakelijk om een impactanalyse uit te voeren naar de gevolgen van een inbraak of aanval en een kansberekening te maken. Vervolgens is het van belang een geïntegreerd beveiligingsbeleid te implementeren, waarin tenminste aandacht wordt besteed aan een beveiligingsstrategie, de protocollen en procedures, veranderingsbeheer, het monitoren van gebeurtenissen en de technische architectuur. Het aanstellen van een (Internet) Security Officer verdient ook aanbeveling, evenals het uitvoeren van een zero-knowledge penetratie test en een d-DoS aanval test. Het opstellen van een incident-response plan en het informeren van Justitie bij een eventuele aanval zijn volgende stappen. Te overwegen valt om een hackersverzekering af te sluiten.
Hieronder worden de stappen in detail besproken.
Stappen
De directe gevolgen van een geslaagde DoS-aanval zijn relatief eenvoudig in te schatten. Afgezien van reputatieschade, zijn de overige gevolgen uit te drukken in geld: gederfde omzet, koersverlies en eventuele claims. Moeilijker is het om de kans op een DoS-aanval in te schatten. Het was al maanden bekend dat zich een d-DoS-aanval zou worden gepleegd op de sites van Amazon, Yahoo, CNN, Time Warner en Microsoft. De vraag die iedereen zich natuurlijk stelde was: wanneer ben ik het doelwit? Het management van een bedrijf dient hierover minimaal intern overleg te voeren om deze kansen in te schatten en vervolgens het beleid hierop af te stemmen.
Zodra de kansen op een aanval zijn ingeschat en de eventuele gevolgen in kaart zijn gebracht, dient een beveiligingsstrategie te worden ontwikkeld. Deze dient een weergave te geven van de visie van het management op het uiteindelijk gewenste risico-niveau. Niet alle risico’s kunnen namelijk volledig worden afgedekt en het management dient daarom prioriteiten te stellen.
Dit alles dient te resulteren in een beveiligingsprotocol, waarin de te nemen beveiligings-gedragsmaatregelen worden genoemd. Een beveiligingsbeleid en -protocol dient gestructureerd te worden opgesteld en bij voorkeur volgens een zogenaamd ‘lagen-model’.
Vervolgens worden strategie en protocollen vertaald in procedures. Voor internetbeveiliging kunnen de procedures, naast het maken van backups, bestaat uit het installeren van firewalls, het inactiveren van niet gebruikte service en het toepassen van authenticatie en encryptie. Wanneer er verbindingen op afstand mogelijk zijn met het netwerk (door netwerkbeheerders), stel hier dan bijzonder strenge beveiligingseisen aan. Bijvoorbeeld door het verplicht gebruik maken van een smartcard. Zogenaamde honeypots of hackertraps kunnen helpen de bedoelingen van hackers te achterhalen en hun sporen op te slaan. Een onderzoek van de webscripts, speciaal de active server pages en CGI-scripts, kan veiligheidslekken zichtbaar maken. Tenslotte is het belangrijk dat de medewerkers die verantwoordelijk zijn voor de internetbeveiliging, zich voortdurend op de hoogte stellen van de allerlaatste ontwikkelingen op dit terrein.
Het komt nog vaak voor dat een bedrijf géén duidelijk plaatje heeft van de eigen netwerkinfrastructuur. Het wordt dan bijzonder moeilijk om de zwakke plekken aan te geven. Goede procedures ten behoeve van veranderingsbeheer zijn van groot belang. Ook voor een goede beveiliging van de internetomgeving. Zo wordt bij het opnieuw installeren van een standaard softwarepakket vaak vergeten om de security-update-patches van latere datum er meteen achteraan te installeren. Het vinden van ‘oude’ lekken is vaak één van de eerste activiteiten van hackers.
Er is een aantal websites waarop mededelingen worden gedaan over de laatste ontwikkelingen op het gebied van beveiligingslekken in software. Een Nederlands overzicht van de laatste stand van zaken op beveiligingsgebied geeft http://www.security.nl. Op internationaal niveau geeft Counterpane een goed beeld: http://www.counterpane.com/crypto-gram.html. Ook de Bugtraq mailing list is aan te bevelen. Aanmelden via http://www.securityfocus.com/. Voor meer informatie over de werking van een d-DoS-aanval en het voorkomen ervan, is de volgende bron aan te bevelen: http://www.cisco.com/warp/public/707/newsflash.html.
Monitoren
Vaak worden bij bedrijven firewalls geïnstalleerd. Daar blijft het dan meestal bij. De firewall wordt dan een sleeping duck. Het is echter van belang dat beveiligingssoftware voortdurend wordt gemonitored. Speciale aandacht dient dan uit te gaan naar verkeer dat wordt geweigerd. Door een goede analyse hiervan kunnen hackers worden opgespoord voordat ze echt toeslaan.
Er zijn de laatste weken veel nieuwe softwarepakketten op de markt gekomen die organisaties helpen om de bedoelingen van hackers te begrijpen en actie te ondernemen. Deze technologie observeert de aanvallers en hun methodes en verzamelt gegevens die nuttig kunnen zijn bij eventuele vervolging. Een voorbeeld hiervan is ManTrap van Recourse Technologies (http://mantrap.com/recourse/products/index.html).
Axent Technologies meldt dat haar firewall Raptor twee cruciale items heeft die d-DoS aanvallen kunnen blokkeren: dynamic host blocking en connection limiting threshold. Echter, net als andere leveranciers geeft Axent geen honderd procent zekerheid tegen de d-DoS-aanvallen van de laatste weken. Op http://www.axent.com/swat biedt Axent een aantal tools om te downloaden.
Andere soortgelijke software: Computer Associates Itl. met eTrust Intrusion Detection (free trial download op http://www.cai.com/solutions/enterprise/etrust/); Check Point Software Technologies Ltd. met het Cyber Attack Defense System (http://checkpoint.com/press/2000/cyberdefense02/400.html); Internet Security Systems (ISS) met ISS SAFEsuite. Evaluatie-exemplaren zouden beschikbaar dienen te zijn op http://www.iss.net. SAFEsuite was tijdens het schrijven van dit verhaal echter nog niet http://www.netwhistle.com beschikbaar.
biedt een gratis monitoring service. Door aanmelding op de website http://www.netwhistle.com wordt de subscriber per email of pageradres ingelicht indien er problemen zijn met de website. Lees wel de algemene voorwaarden waarin bijvoorbeeld staat dat de statistieken eigendom zijn van Netwhistle.
Soortgelijke software biedt Evity. met SiteAngel 2000. Deze tool slaat alarm wanneer het netwerk minder gaat presteren. Ook F5 Networks bracht onlangs een nieuw product uit: BIG-IP Controller.
Mercury Interactive biedt een gratis stress test service aan met het product ActiveTest. Door aanmelding op site http://testyourlimits.merc-int.com kan worden getest wat de grenzen en zwakheden zijn van de website. Dit gratis aanbod geldt tot 31 maart 2000.
Felix Wu, een netwerk beveiligingsspecialist van de North Carolina State University, biedt een programma aan dat de afkomst van een aanval kan opsporen, email: wu@csc.ncsu.edu. Global Integrity (http://www.globalintegrity.com), een dochter van SAIC, heeft een compleet team dat kan helpen met het opsporen van d-DoS-aanvallen. AlphaForce.com claimt software te hebben ontwikkeld dat de TCP/IP verbinding van alle ontdekte hackers afsluit en daarover onmiddellijk een rapport genereert ter opsporing: Emergency Surveillance Program (ESP).
Diverse bedrijven bieden scanning tools om de hackerprogramma’s op te sporen. Zodoende kun je in ieder geval voorkomen dat jouw computer gebruikt wordt in zo’n aanval. Voorbeelden hiervan zijn:
Network Associates met: Cyber Cop Zombie Scan service, gratis beschikbaar op de Mycio.com website: http://www.mycio.com/zombie/default.asp;
Computer Associates Itl. met eTrust antivirus solutions, gratis te downloaden voor persoonlijk gebruik op http://antivirus.cai.com;
McAfee, met McAfee Viper: http://www.mcafeeb2b.com;
Alladin Knowledge Systems, met e-Safe Desktop, gratis voor alle thuisgebruikers op http://www.esafe.com;
Speciaal voor service providers komt Ensim Corporation met een schaalbare oplossing: CyberKnox 2000, voor meer dan vijftig gebruikers, scant op d-DoS-infiltratie. Vanaf 15 maart zestig dagen gratis op http://www.ensim.com;
Speciaal voor universiteiten biedt PGP Security, een divisie van Network Associates, op http://www.pgp.com een oplossing met CyberCop.edu programma;
BindView Corporation’s Zombie Zapper laat de d-DoS-agents weer slapen: http://razorbindview.com;
NetExaminer.com biedt een gratis scan aan op de zombie-programma’s;
Reliable Software Technologies met ITS4, gratis te downloaden op: http://www.rstcorp.com/its4;
Dave Dittrich, Marcus Ranum, en anderen hebben gag ontwikkeld. Deze tool ontdekt Stacheldraht agents en is beschikbaar voor Unix -systemen op: http://staff.washington.edu/dittrich/misc/sickenscan.tar.
Op dit moment werkt RSA Securities aan een nieuw product dat een tegenmaatregel moet bieden voor de d-DoS-aanval. Dit nieuwe cryptografisch product, bekend als de client puzzle, laat bij een aanval alleen verkeer toe dat gebaseerd is op een cryptografisch probleem. Zie voor meer informatie: http://www.rsasecurity.com/rsalabs/staff/ajuels/papers/clientpuzzles.pdf.
Deze lijst van voorbeelden is wellicht niet compleet, maar maakt wel duidelijk dat er voldoende tools voorhanden zijn om effectief te monitoren. Omdat de genoemde software pas in de afgelopen weken is aangekondigd, kan nog geen uitspraak worden gedaan over de effectieve werking ervan.
Verzekering
De technische infrastructuur kan de bron zijn van specifieke risico’s. De infrastructuur dicteert de typen beheerprocedures die kunnen worden geïmplementeerd. Onder de technische infrastructuur wordt in dit kader gerekend: de applicatie software, het netwerk besturingssysteem, de user-directories op de netwerkservers, de computers, diskdrives, printers, andere hardware en de bekabeling.
De laatste jaren zijn diverse pakketten op de markt gekomen om de technische infrastructuur te beheren en beheersen. Afhankelijk van de complexiteit en hoeveelheid componenten kan dit een uitstekende investering zijn, die ook de veiligheid kan verhogen.
Het komt nog zeer weinig voor dat iemand specifiek verantwoordelijk is voor de juiste implementatie van het beveiligingsplan. Deze persoon, de Security Officer, dient zich voortdurend op de hoogte te stellen van de laatste beveiligingslekken. Tevens dient hij te zorgen voor een voortdurend monitoren van de werking en het interpreteren van de rapportering van de inbraakdetectie-systemen en de juiste acties te nemen bij een inbraak of aanval.
Het is beter om vooraf na te denken over de vraag hoe te handelen bij een d-DoS-aanval, dan onder stress te moeten handelen. Welk nummer dienen de cliënten te bellen om bestellingen telefonisch door te geven, wanneer de webserver plat gaat? Is er een uitwijkmogelijkheid naar bijvoorbeeld een spiegel-site, die via een email aan de meest trouwe cliënten op het moment van aanval kan worden bekendgemaakt. Wat is het noodnummer van de service provider? Wat dient te gebeuren om bewijsmateriaal voor Justitie veilig te stellen?
Hoe goed een beveiligingsplan ook kan zijn geïmplementeerd, een test is zeker aan te bevelen. Er wordt dan als het ware in de huid van een hacker gekropen en er wordt van zoveel mogelijk dezelfde tools gebruik gemaakt. Diverse leveranciers bieden deze diensten aan. Hoewel het verrassingselement hierbij belangrijk is, kan dit natuurlijk nooit onaangekondigd plaatsvinden: een geslaagde onverwachte DoS-aanval test waarbij de enige persoon die de webserver weer aan de praat kan krijgen op wintersport is, zal niet in dank worden afgenomen.
Om Justitie de gelegenheid te geven de daders te achterhalen om zodoende andere bedrijven te kunnen beschermen, is het aan te bevelen meteen Justitie in te lichten.
Afhankelijk van het risico dat het management wil nemen, kan worden besloten om een verzekering tegen hackers af te sluiten. Er is in de Verenigde Staten een handvol bedrijven dat hackersverzekeringen afsluit. De premies bedragen ongeveer tienduizend gulden per miljoen gulden dekking. In Nederland is een zeer klein aantal verzekeringsbedrijven actief op dit gebied.
Hoewel een gestructureerde aanpak noodzakelijk is om veel bedreigingen te voorkomen en de kans op een d-DoS-aanval te verkleinen, is op dit moment een goed opgezette d-DoS-aanval niet te pareren, aangezien bij dit soort aanvallen gebruik wordt gemaakt van onschuldige computers die op internet zijn aangesloten. Het internet is zo sterk als de zwakste schakel. Niemand kan verplicht worden om de laatste anti-hacking tools te installeren voordat hij internet opgaat.
Een oplossing dient te worden gezocht in de snelle opsporing en berechting van de daders, analoog aan de fysieke wereld. Parallel hieraan dient de marktwerking in de software-industrie door te gaan: het eerste softwarebedrijf dat werkelijk afdoende middelen tegen d-DoS-aanvallen op de markt brengt, kan uitstekende zaken doen.
Peter van de Fliert, manager e-Business groep Arthur Andersen
