Systeembeheerders hebben te maken met een overvloed aan gevaren van buitenaf. Beveiligingsproducten alleen zijn allang niet meer voldoende om deze tegen te houden. Vooral botnets, die grootschalige aanvallen uitvoeren op de servers van een onderneming, zijn een serieus probleem voor de bedrijfsvoering.
Jason Rafail, vulnerability-analist van het Amerikaanse CERT Coordination Center heeft z’n laptop nooit verder weg dan een armlengte. Hoewel hij niet in detail in wil gaan op de beveiligingsvormen van zijn kleinood, is het volgens hem niet meer dan logisch dat de bestanden zwaar versleuteld zijn. “Je moet dingen die belangrijk voor je zijn nooit buiten je zicht houden. Dat geldt voor de laptop, maar ook voor smartphones en pda’s die gevoelige informatie bevatten. Zelfs een hotelkluis is in dat opzicht niet altijd veilig, omdat er altijd manieren zijn om deze ongezien open te krijgen. Hoe vaak zullen hotelgasten hun combinatie niet vergeten? Dan zal toch iemand van het hotel een soort universele code van die kluis moeten kennen. Dat soort dingen moet je je goed realiseren.”
Bewustwordingsproces
Rafail is samen met zijn CERT-CC-collega Jason Milletary in Nederland op invitatie van GOVCERT 2005. Op dit internationale symposium praten zij de bezoekers bij over bepaalde kwetsbaarheden binnen Microsoft-software, Cisco-routers en de toegenomen risico’s van botnets of zombienetwerken. “Botnets beginnen een serieuze bedreiging te vormen”, meent Rafail. “Juist de grote hoeveelheden pc’s die in een aanval worden ingezet, zorgen voor een extra risico dat lastig is te ondervangen. Bedrijven die zich serieus bezighouden met beveiliging hoeven zich zelf niet zozeer zorgen te maken dat de computers binnen hun eigen netwerk worden gecompromitteerd. Ze kunnen echter wel de dupe worden van Distributed DoS-aanvallen. Het gevaar komt van de onervaren gebruiker. Nu grote delen van de bevolking een breedbandaansluiting tot z’n beschikking heeft, is het belangrijk dat deze mensen zich bewust worden van het gevaar wat ze voor anderen zijn. Niet alleen zijn de gegevens op hun eigen pc niet veilig meer, maar het grote publiek moet zich bewust worden dat hun computer ongezien deel uit kan maken van zo’n botnetwerk. Hiermee richten ze op grote schaal schade aan op servers van organisaties waar ze ook zelf gebruik van maken. De gemiddelde gebruiker heeft helaas geen enkel idee wat de kracht is van zijn computer en wat er mogelijk is als deze wordt gehackt. Daarom is het creëren van bewustzijn onder de bevolking minstens zo belangrijk als het installeren van technische hulpmiddelen aan de serverkant.”
Open deur
Aan het einde van 2004 signaleerden de sensors van Symantec nog zo’n vijfduizend bots per dag. Inmiddels is dat aantal ruim verdubbeld en er is geen reden om aan te nemen dat die stijgende trend niet wordt voortgezet. Juist het aantal varianten op de bekende bots als Spybot neemt dramatische vormen aan. In met name het Verenigd Koninkrijk maken steeds meer thuis-pc’s deel uit van zombienetwerken die door criminelen worden geëxploiteerd. Volgens Symantec bevindt ruim 15 procent van de gekaapte computers zich in de regio Londen, maar ook andere landen met veel breedbandaansluitingen vormen een toenemend risico.
Volgens Rafail moeten organisaties die voor hun bedrijfsvoering afhankelijk zijn van internet zich bewust worden dat beveiliging een serieus deel uit moet maken van de totale bedrijfsstrategie. “Het klinkt als een open deur, maar organisaties moeten in ieder geval de bekende voorzorgsmaatregelen nemen, zoals firewalls en antivirus-software installeren en deze vooral up-to-date houden. Ook het patchen en het sluiten van poorten die niet voor de bedrijfsvoering noodzakelijk zijn, moet deel uitmaken van de beveiligingsstrategie. Toch zijn technische oplossingen uiteindelijk onvoldoende.” Milletary voegt daaraan toe dat een niet onbelangrijk deel van de kwaadaardige code het netwerk binnendringt via laptops en pc’s die op thuiswerkplekken worden gebruikt. “Een organisatie kan het netwerk nog zo goed beschermen, maar als medewerkers thuis niet dezelfde veiligheidsstandaarden aanhouden, loop je toch nog een groot risico. P2P of cd-roms en floppies vormen net als openstaande wlan-netwerken bij de mensen thuis een behoorlijk veiligheidsrisico voor een onderneming.”
Overlappen
Rafail meent dat dit verhoogde veiligheidsbewustzijn niet alleen moet gelden voor gebruikers, maar dat vooral ontwikkelaars en leveranciers zich meer bewust moeten worden van de mogelijke risico’s in hun producten. “Er zou veel beter ontworpen moeten worden, zodat er niet steeds nieuwe kwetsbaarheden opduiken die geëxploiteerd worden. Het gemiddelde bedrijfsnetwerk staat vol met applicaties die met elkaar moeten communiceren, maar tegelijkertijd allerlei lekken bevatten die wachten om ontdekt te worden. Overigens moeten we ervan uitgaan dat we computernetwerken nooit voor de volle honderd procent beveiligd krijgen.” Milletary vindt daarom dat de focus dus niet alleen op de buitenste beveiligingslagen moet liggen. “We moeten er van uitgaan dat we altijd gecompromitteerde machines zullen hebben. Zelfs in het best beveiligde netwerk blijven gaten zitten die ooit geëxploiteerd zullen worden. Daarom moeten we ons niet alleen bezig houden met de buitenzijde van het netwerk, maar moeten we ook goede intrusion detection hebben die eventuele indringers opmerkt. Volgens mij is het voor elke netwerkbeheerder van belang om zowel het inkomende als uitgaande netwerkverkeer te analyseren. Mocht onverhoopt toch ergens een stuk kwaadaardige code opduiken, dan wordt dat snel opgepikt en kunnen er direct tegenmaatregelen genomen worden.” Hij hamert er verder op dat beheerders niet moeten vertrouwen op een enkel product. “Het gaat er nu juist om dat er overlappende veiligheidslagen worden aangebracht.”
Op de hoogte zijn
De meest voorkomende aanval in de EMEA-regio is voor het derde opeenvolgende jaar de Microsoft SQL Server 2000 Resolution Service Stack Overflow. Deze aanvallen worden geassocieerd met de wormen Slammer, Gaobot en Spybot die blijven evolueren. Deze wormvarianten vallen niet alleen Microsofts SQL server aan, maar ook de Microsoft Desktop Engine (MSDE). Deze wordt vaak in andere applicaties verwerkt, wat het patchen extra lastig maakt. Elke applicatie die van MSDE gebruik maakt, moet bij een kwetsbaarheid namelijk óók zo snel mogelijk worden gepatched. Daarom is het volgens Rafail extra belangrijk dat systeembeheerders de berichtenservice van zowel leveranciers als die van CERT’s goed in de gaten houden. “Hoe eerder je op de hoogte bent, des te groter is de kans dat je er op tijd bij bent en je een aanval voor kan zijn.”
Milletary gelooft wel dat het kat-en-muisspel tussen bedrijven en criminelen aan het verharden is. “Bij computercriminaliteit is er altijd wel een bepaalde financiële motivatie geweest. Dat is niet nieuw. Dit is niet zozeer het terrein voor vulnerability-analisten als wij, maar er is zeker sprake van een toename van criminele activiteiten. Data heeft een waarde, dus is het niet meer dan logisch dat criminelen zich op het digitale dievenpad begeven. Het stelen van iemands identiteit, met als doel het verkrijgen van gevoelige gegevens om deze weer door te verkopen, zal in de komende tijd alleen maar toenemen. Ook zien we dat botnets in stijgende mate worden ingezet om bedrijven onder druk te zetten en af te persen. Daarbij gaat het om grote bedragen en dus zullen criminelen hardere methodes gebruiken om aan hun gewin te komen.”
