Met de term ‘internet’ wordt gedoeld op het wereldwijde TCP/IP-netwerk waarmee duizenden systemen met elkaar zijn verbonden. Dit wereldwijde netwerk staat echter niet onder controle van de beheerders van de aangesloten systemen. Drie soorten waardevolle zaken kunnen kwetsbaar worden wanneer een systeem wordt aangesloten op Internet: data, resources, en reputatie. Matthew Vale, hoofdconsultant beveiliging, over de aard van de talloze bedreigingen.
Algemeen wordt aanvaard dat het vaak relatief eenvoudig is andere systemen binnen het lokale netwerk te kraken, als er eenmaal toegang is verkregen tot een van de systemen op het netwerk. Vaak is er een lager beveiligingsniveau op het lokale netwerk, doordat de systeembeheerders een zekere mate van vertrouwen hebben in de gebruikers op dit netwerk. Dit geldt met name in situaties waarin meerdere Unix-werkstations bepaalde resources delen op basis van de standaard interoperating-tools van Unix, en wanneer PC’s op een netwerk gebruikmaken van werkgroepen of andere faciliteiten.
Laten we ons concentreren op de problemen die zich voordoen vóórdat dit scenario actueel wordt: de risico’s die ontstaan wanneer een systeem via het Internet wordt verbonden met de buitenwereld. Deze risico’s kunnen het gevolg zijn van opzettelijk of van onopzettelijk handelen.
Het kan gaan om interne aanvallen (door medewerkers van de organisatie, die al dan niet geautoriseerde systeemgebruikers zijn), of om aanvallen door kwaadwillende personen van buitenaf. Hier gaan we in op de risico’s van opzettelijke aanvallen door buitenstaanders, ervan uitgaande dat de organisatie passende maatregelen heeft getroffen om misbruik door de eigen geautoriseerde gebruikers tegen te gaan.
Drie soorten waardevolle zaken kunnen kwetsbaar worden wanneer een systeem wordt aangesloten op het Internet:
de data die op het systeem zijn opgeslagen;
de ‘resources’ die benodigd zijn voor het werken met en het beheren van het systeem;
de reputatie van de eigenaars van het systeem.
Met elk van deze elementen is een aantal aspecten geassocieerd waarvoor beveiliging vereist is.
Data
Een geslaagde aanval op de vertrouwelijkheid van data leidt ertoe dat onbevoegden toegang tot de data verkrijgen. Een dergelijke aanval kan veroorzaken dat gevoelige informatie ter beschikking komt van concurrerende organisaties of van de pers, hetgeen kan leiden tot verlies van concurrentievoordeel en daarmee ook tot financiële schade voor de organisatie.
Bij een geslaagde aanval op de integriteit van de data worden er wijzigingen uitgevoerd waarvoor geen toestemming is verleend. Dit leidt er bijvoorbeeld toe dat incorrecte gegevens worden gebruikt bij de berekening van factuurbedragen, dat er fouten sluipen in het ontwerp van een product of dat zakelijke beslissingen worden genomen op basis van onjuiste informatie.
In het geval van een geslaagde aanval op de beschikbaarheid van data zijn de gegevens niet beschikbaar voor de legitieme gebruikers op het moment dat deze gebruikers hier behoefte aan hebben. Bij dit type aanvallen is een organisatie mogelijk niet langer in staat goed te functioneren, indien het essentiële data betreft.
Resources
De (systeem-)beheertools zijn noodzakelijk om te kunnen controleren of een systeem is of wordt aangevallen en om te kunnen bepalen of de aanval geslaagd is. Na een geslaagde aanval moeten deze resources worden gebruikt om de schade aan de vertrouwelijkheid, integriteit en beschikbaarheid van de data te evalueren, de integriteit en de beschikbaarheid van de data te herstellen, eventuele door de aanvaller achtergelaten ‘backdoors’ op te sporen en af te sluiten en (in het geval van een bijzonder destructieve aanval) het systeem van de grond af opnieuw op te bouwen.
De systeembronnen kunnen tijdens of na een aanval worden misbruikt: de processor is te gebruiken om programma’s uit te voeren die door de aanvaller op het systeem zijn geïnstalleerd, en er kan online dan wel offline opslagruimte worden gebruikt voor het opslaan van software en data, zoals illegale programmatuur of pornografische afbeeldingen. Op het Internet worden vaak speciale technieken gebruikt om illegale data te verbergen in bestanden die op het eerste gezicht onschuldig lijken.
Tijdens of na een geslaagde aanval wordt vaak misbruik gemaakt van de communicatiemiddelen. Onbevoegd gebruik van bandbreedte kan leiden tot het uitvallen van diensten doordat de eigenlijke gebruikers niet meer via het netwerk kunnen communiceren, en tot directe kosten voor de organisatie in verband met het gebruik van telefoonverbindingen en andere vormen van communicatie.
Reputatie
Als een geslaagde aanval in de publiciteit komt, heeft dit vaak een negatief effect op de reputatie van de organisatie. De reputatie kan ook rechtstreeks worden geschaad door bepaalde activiteiten: door pseudovertegenwoordiging van de onderneming en door illegaal gebruik van resources.
Een aanvaller kan via het Internet informatie verspreiden en het doen voorkomen alsof deze informatie afkomstig is van de organisatie (pseudovertegenwoordiging). Soms is het duidelijk dat het valse informatie betreft, soms gaat de aanvaller subtieler te werk.
Tijdens de laatste verkenningen van Mars publiceerde de NASA op haar website nasa.gov een groot aantal foto’s die door de Mars-verkenner naar de aarde waren gezonden. Iemand anders heeft toen een website met het adres nasa.com opgezet, waarop pornografisch materiaal te zien was. Wanneer iemand per ongeluk nasa.com bezocht, werd meteen duidelijk dat het hier niet ging om de officiële website van de NASA. Een subtielere aanval bestaat bijvoorbeeld uit een e-mailbericht met een valse afzender (‘spoofing’). Elke organisatie kan het slachtoffer worden van iemand die zich voor een vertegenwoordiger van de organisatie uitgeeft, ook als het systeem van de organisatie niet gekraakt is en zelfs als dit systeem helemaal niet op het Internet is aangesloten.
Illegaal gebruik van resources kan er bijvoorbeeld uit bestaan dat iemand op het systeem van de organisatie een illegaal bulletinboard opzet. Dit bulletinboard bevat mogelijk illegale software of data, afkomstig van de aanvaller. Deze data worden dan naar andere Internetsites geëxporteerd, waarbij het lijkt alsof het materiaal afkomstig is van de organisatie. Dergelijke activiteiten zijn schadelijk voor de reputatie van de organisatie en kunnen zelfs leiden tot juridische stappen van de kant van de rechtmatige eigenaars van de software of door maatregelen van de justitiële autoriteiten. Deze juridische verwikkelingen leiden tot nog meer negatieve publiciteit.
Het is niet eenvoudig een zuiver financiële waarde toe te kennen aan een reputatie, maar het is duidelijk dat een geslaagde aanval op een organisatie kan leiden tot een verminderd vertrouwen bij zowel zakelijke partners als klanten.
De gevolgen
De gevolgen van een geslaagde aanval lopen uiteen van een kleine storing tot een volledig verlies van data, resources of reputatie. Publiciteit naar aanleiding van de aanval kan leiden tot beschadiging van de reputatie van de organisatie. De ernst van de schade is vaak afhankelijk van de hoeveelheid tijd die verloopt voordat de aanval wordt ontdekt. De beveiliging van de genoemde zaken vormt het uitgangspunt van de risico-evaluatie. Om de risico’s goed te kunnen inschatten, moet de organisatie nagaan welke zaken in het geding zijn en wat de waarde hiervan is.
De bedreigingen
Er zijn vele bedreigingen waartegen de organisatie beschermd dient te worden. De Information Security Breaches Survey uit 1996 definieert de belangrijkste bedreiging van een systeem als volgt: de exploitatie van de Internet-verbinding door kwaadwillende buitenstaanders. Deze personen of groepen vormen een reële bedreiging. Bij elk systeem dat op het Internet wordt aangesloten, dient men zich rekenschap te geven van de risico’s als gevolg van de activiteiten van crackers. De genoemde definitie is echter vrij vaag en in feite kunnen er meerdere afzonderlijke typen bedreigingen worden onderscheiden. De bedreigingen zijn als volgt in te delen.
Binnendringing: onbevoegde toegang tot een systeem;
Uitval van services: legitieme gebruikers krijgen geen toegang meer tot faciliteiten;
Diefstal van data: een onbevoegde gebruiker krijgt toegang tot informatie die de organisatie niet voor deze gebruiker bestemd heeft;
Datavernietiging: de data (informatie, applicaties, besturingssysteem en dergelijke) van de onderneming gaan blijvend verloren;
Toevoeging van software: programma’s worden illegaal op het systeem geïnstalleerd;
Toevoeging van data: het onbevoegd plaatsen van data op een systeem, bijvoorbeeld door bestaande gegevens te vervangen, nieuwe gegevens aan een database toe te voegen of de systeemconfiguratie te wijzigen;
Resourcediefstal: systeembronnen (bijvoorbeeld schijfruimte, bandbreedte op communicatiekanalen en processorkracht) worden op onbevoegde wijze gebruikt;
Pseudovertegenwoordiging: het onbevoegde gebruik van de naam of identiteit van de organisatie.
Een aanval door middel van pseudovertegenwoordiging kan worden uitgevoerd na een geslaagde binnendringing, maar ook door een buitenstaander die geen toegang heeft tot de systemen van de organisatie. De reputatie van de organisatie komt hierbij in het geding.
Er bestaat een onderling verband tussen al deze bedreigingen. Een geslaagde aanval van het ene type kan de weg vrijmaken voor een of meer andere aanvallen, zoals is weergegeven in figuur 1. Als een of meer bedreigingen werkelijkheid worden kan dit leiden tot waardevermindering of zelfs complete vernietiging van een of meer van de eigendommen van een organisatie.
Principe gerelateerde aanvallen
Het is niet mogelijk bedreigingen als op zichzelf staande risico’s te voorkomen. Als een organisatie zich afdoende wil beschermen tegen de gevaren van een verbinding met het Internet, moet een volledige evaluatie van alle te beschermen eigendommen plaatsvinden en moeten alle bovengenoemde bedreigingen worden afgeweerd. Een beveiliging die hier niet in voorziet, leidt tot het voortbestaan van reële bedreigingen waarvoor geen geschikte tegenmaatregelen bestaan. Hiermee komt het functioneren van het systeem in gevaar.
Een geslaagde aanval van dit type: | ||||||||
Binnen- dringing | Uitval van services | Diefstal van data | Data- vernietiging | Toevoeging van software | Toevoeging van data | Resource- diefstal | Pseudovertegen- woordiging | |
Kan leiden tot: | ||||||||
Binnendringing | X | N | J | J | J | J | N | N |
Uitval van services | J | X | J | J | J | J | J | N |
Diefstal van data | J | N | X | N | J | J | N | J |
Datavernietiging | J | N | J | X | J | J | J | N |
Toevoeging van software | J | N | J | N | X | J | N | J |
Toevoeging van data | J | N | J | N | J | X | N | J |
Resourcediefstal | J | N | N | N | J | J | X | J |
Pseudovertegenwoordiging | J | N | J | N | J | J | J | X |
Figuur 1. Relaties tussen soorten aanvallen.
Matthew Vale, consultant Logica Security Practice