Managers zijn geneigd te denken dat het met de veiligheid op Internet wel in orde is. Een eigen onderzoekje sterkte Fred Mohbach in die mening. Maar als je beveiliging serieus neemt, accepteer je zelfs geen enkele vorm van scripting in browser of mailreader, vindt hij. Over de relatie tussen veiligheid, Stacheldraht en het drielagen-model.
Op een dag dacht ik te kunnen deelnemen aan de discussiefora van Computable Online, die op (internet)beveiliging betrekking hebben. Maar helaas lukte dat niet. Het schijnt alleen te kunnen, indien naast de frames ook ondersteuning wordt geboden voor (Java)applets. Jammer. Iemand die zich iets aan beveiliging gelegen laat liggen, accepteert noch in een browser noch in zijn mailreader welke vorm van ‘scripting’ dan ook. Onder een Unix(achtig) besturingssysteem is een geslaagde aanval dan wel
minder desastreus dan onder Windows, maar ik heb er geen behoefte aan om het risico te lopen al mijn data in de ‘home directory’ kwijt te raken. Een backup kost dan wel wat tijd, maar een ‘restore’ komt toch altijd ongelegen.
U denk wellicht: ‘waar maakt die man zich zorgen over, de website van Computable hoort toch tot de vertrouwde websites’. Op zich is dat waar, maar wie kan mij garanderen dat ik vandaag via DNS naar hetzelfde IP-adres wordt verwezen als gisteren bij het ingeven van de URL https://www.computable.nl ? Niemand die van wanten weet, zal dat doen. Hij weet immers hoe eenvoudig het is om DNS-registraties te laten wijzigen door anderen dan de geautoriseerde personen. Dat lukt vrij eenvoudig via de normale kanalen. Mocht dat mislukken door een wat ‘overijverig’ persoon bij de registrerende instantie, dan is er nog de dikke kans dat een paar DNS-servers op een wat verouderde versie van bind draaien. Dan kost het iets meer moeite om de DNS-tabellen aan te
passen, maar het geeft uiteindelijk hetzelfde resultaat. Conclusie: ‘In God we trust, the rest we monitor’.
Voor wie deze mogelijkheden ongelofelijk toeschijnen: lees het archief van de Bug Traq mailinglist er eens op na. Zoek http://www.securityfocus.com op, kies dan forums, vervolgens Bug Traq en lees de FAQ. Veel plezier, en poog daarna nog maar lekker te slapen!
Stacheldraht
Veel managers denken veilig te zijn op Internet. De meesten hebben geen verstand van techniek en weigeren naar hun technici te luisteren; verkopers hangen mooiere verhaaltjes op. Dergelijke mensen treffen we ook aan bij Yahoo!, E-bay enzovoort. Die hebben dan ook geen tijd verspild aan het lezen van (onder meer) de Bug Traq mailinglist. Anders waren ze allang op de hoogte van de mogelijke effecten van bijvoorbeeld Stacheldraht: een soort aanval, waartegen het moeilijk is je te verdedigen. Op zich is het wel mogelijk, maar de bestaande TCP/IP-stackimplementaties zijn er niet op gebouwd. Als die stacks berichten voor bestaande (en eventueel gecontroleerde) verbindingen zouden bevoorrechten, dan zouden pakketten voor reeds opgebouwde verbindingen eerst worden afgewerkt alvorens tijd te besteden aan nieuwe verzoeken tot een verbindingsopbouw. Deze stelling is ietwat eenvoudig geformuleerd, maar geeft het basisidee aardig weer.
Overigens is Stacheldraht een perfect voorbeeld van systeembeheer op afstand en weer beter dan Back Orifice. Je hebt een enkel centraal werkstation dat een aantal computers op afstand aanstuurt, die op hun beurt weer elk een aantal andere systemen opdrachten verstrekt. Als dat bijvoorbeeld gebeurt in een verhouding van 1 op 10, dan is het in dit geschetste drie-lagenmodel mogelijk om via een enkel master-werkstation uiteindelijk duizend computers bepaalde taken uit te laten voeren. Het model staat het echter toe om meer dan drie lagen te gebruiken. In het kader van dit artikel ga ik niet in op de gevolgen daarvan. (Mocht iemand hierover iets willen weten, dan kan hij contact met me opnemen.)
Een aardige exercitie zou trouwens zijn om het optimum in dit x-lagen model te bepalen. Enerzijds wordt het risico op uitval hoger naarmate het basisgetal (in mijn voorbeeld 10)
kleiner wordt, anderzijds wordt de kans op ontdekking ook kleiner. Ook hier schijnt het onmogelijk te zijn om op voorhand een optimale oplossing te bepalen; die hangt blijkbaar af van de gewenste situatie.
Aan de slag!
Enkele maanden geleden had ik het geluk om indirect te kunnen toetsen of de theorie (een gebrek aan beveiligingsbewustzijn) juist is. Enkele Amerikanen hadden me voordien verteld dat 80 procent van de bedrijfsmatige Internetaansluitingen geheel onbeveiligd zou zijn, niet alleen in Amerika, maar ook in Europa.
Ik gaf destijds een lezing voor de Nederlandse Unix User Group (http://www.nluug.nl) over
internetbeveiliging en heb toen aan mijn gehoor enkele vragen gesteld. Dat gehoor bestond uit (het zal u in deze context niet verbazen) Unix-deskundigen, mensen die meer dan gemiddeld alert zijn op beveiliging. Op mijn vraag wie een verbinding had tussen een binnen de organisatie belangrijk netwerk en het Internet, antwoordde 80 procent positief. Op mijn vraag wie meer dan f 10.000,- aan beveiliging (manuren, apparatuur, enzovoort) had uitgegeven, kon minder dan 40 procent positief antwoorden. Mijn (uitgesproken) conclusie was dan ook, dat er meer dan genoeg werk op dit terrein is.
Fred Mobach, Echteld
fred@mobach.nl
