Scott McIntyre zit namens KPN-XS4ALL in de stuurgroep van First, het internationale platform waar computerbeveiligers van grote bedrijven en overheden informatie uitwisselen over de meest recente bedreigingen en de te nemen tegenmaatregelen. Je zou het de ‘backbone’ van de internetveiligheid kunnen noemen. McIntyre legt de verantwoordelijkheid voor veiligheid het liefst zo min mogelijk bij gebruikers neer. Je kunt nu eenmaal niet verwachten dat zij de race tegen hackers volhouden.
In de lift van het kantoor van XS4ALL in Diemen wijst Scott McIntyre op de aanduiding ‘abuse handling’. Deze afdeling neemt samen met de helpdesk de hele eerste verdieping in beslag. Hij wil maar zeggen: de opvang van malware-slachtoffers vergt steeds meer menskracht. Hoe alert de veiligheidsexperts ook zijn, hun tegenstanders zijn creatief en verzinnen vrijwel dagelijks nieuwe aanvallen.
Neem bijvoorbeeld phishing. Toen ‘keyboard loggers’ in opmars waren, besloten sommige banken om een toetsenbord op het scherm af te beelden en gebruikers te vragen zich met muisklikken te identificeren. In reactie daarop dook malware op die bij bezoek aan de sites van deze banken niet toetsaanslagen logde, maar screenshots maakte en die combineerde tot een avi-file. Dat stukje video werd dan via een anonieme proxyserver naar de dader gesluisd.
“In zekere zin is de belangrijkste dreiging van dit moment meer van hetzelfde”, zegt McIntyre, die zich om redenen van veiligheid liever niet laat fotograferen. “Er zijn steeds meer computers die altijd aan staan en er zijn steeds meer breedbandverbindingen. Dat levert een enorm reservoir aan rekenkracht op. Slechteriken proberen dat aan te boren. Echt alles wat zich daarvoor leent, zal aangevallen worden.’
World of Warcraft
“Tegelijkertijd vinden er natuurlijk verschuivingen plaats. Niet zo lang geleden waren e-mailvirussen een grote bedreiging. Ze bestaan nog steeds, maar betere tools en een groter bewustzijn bij gebruikers hebben hun rol verminderd. In plaats daarvan zien we steeds meer netwerkaanvallen. Er zijn minder massale aanvallen, zoals veroorzaakt door het Blaster virus, omdat ze te veel opvallen. Veel aanvallen vinden nu op een kleinere schaal plaats.”
Alleen al in het netwerk van XS4ALL vinden dagelijks vele ddos-aanvallen plaats. Dat is opletten geblazen voor de beheerders, want de huidige netwerken zijn zo ontworpen dat ze niet direct plat gaan bij een aanval. Dat is mooi, maar het betekent wel dat de aanvallen minder opvallen. Ook als ze een bepaalde service helemaal uit de lucht halen. McIntyre: “Toch denk ik dat we aanvallen nu sneller zichtbaar kunnen maken dan vroeger.”
Een tweede duidelijke trend is de toename van ‘social engineering’. Daarbij kun je denken aan spam die gebruikers ertoe moet verleiden om bankgegevens achter te laten op een phishing website of malware die zich onder namen als ‘world of warcraft cheats’ ophoudt op p2p-netwerken in de hoop iemand te verleiden tot downloaden. “Er zijn meer mensen om meer verschillende redenen online en de bad guys spelen daar op in”, aldus McIntyre.
Hoewel het veiligheidsbewustzijn bij gebruikers toeneemt (antivirussoftware en firewall zijn steeds vaker standaard aanwezig als je de computer uit de doos haalt), wil McIntyre de verantwoordelijkheid niet bij de gebruiker leggen. “Veel firewalls, bijvoorbeeld, geven zeer cryptische meldingen. Op basis daarvan kan een gewone gebruiker echt niet bepalen hoe hij moet reageren.”
Getipt
Een derde trend heeft te maken met de toename van het aantal servers. Iedereen kan immers van zijn computer een server maken (hoewel sommige providers deze mogelijkheid blokkeren). Het lastige is dat niet iedereen de kennis heeft om een webserver goed te beheren.
“Er zijn globaal gesproken vier groepen. De eerste zijn bedrijven die hun eigen experts hebben en die alleen maar hun apparatuur bij een provider stallen voor de snelle verbindingen. De tweede groep heeft de expertise niet zelf in huis en huurt daarom alles in. Dat zijn twee goede oplossingen. Dan is er de groep die zelf software koopt en installeert. Ze volgen de mailinglist van de leverancier en installeren updates wanneer dat nodig is – ze volgen de ontwikkelingen dus passief. De laatste groep installeert een pakket en doet vervolgens niet aan onderhoud. Die groep is klein, minder dan één procent van het totaal, maar nog altijd groot genoeg om aanzienlijke schade te veroorzaken. Het probleem is reëel en kost ons de nodige tijd. Een paar keer per week worden wij bijvoorbeeld getipt dat zich ergens op een server van een van onze klanten een phishing site bevindt.”
Het lastige is dat XS4ALL niet weet welke software de klanten draaien en dus ook niet van welke kwetsbaarheden sprake is. “Er zijn genoeg websites waar je kunt zien welke recente patches er zijn voor welke software, legt McIntyre uit. “Aanvallers ‘reverse engineeren’ de patch om te kijken of ze de fout kunnen exploiteren. Vervolgens zoeken ze met Google naar webservers die deze software gebruiken. Die worden dan gericht aangevallen, vanuit de gedachte dat lang niet iedereen meteen de patch geïnstalleerd heeft.”
Verantwoordelijkheid
De creativiteit en vasthoudendheid van hackers kan ver gaan. “Ik ken een geval, buiten Nederland, van een man die een webserver voor zijn club had ingericht. Op een gegeven moment werd hij er door de autoriteiten op gewezen dat er vanuit zijn server veel onoorbare dingen gebeurden. Daar was hij zich niet van bewust. Hij verwijderde alle malware. De hacker had zich echter ook privileges op de server toegeëigend, wiste alle content en installeerde malware die de pc van de beheerder thuis besmette toen hij inlogde. Die beheerder zag tot zijn stomme verbazing ineens een pop-up verschijnen, waarin hij gechanteerd werd om zijn content terug te krijgen.”
“Als je een webserver installeert, brengt dat een verantwoordelijkheid met zich mee”, stelt McIntyre. Hij erkent dat het echter moeilijk is om precies te definiëren wat die verantwoordelijkheid inhoudt. Want ook de producent van de serversoftware heeft een verantwoordelijkheid. Waarschijnlijk is deze zelfs nog groter als die van de eigenaar. De eindverantwoordelijkheid voor de veiligheid ligt in elk geval ergens in het samenspel van servereigenaar, softwareproducent en internetprovider. Een van de simpelste stelregels is om alles wat je niet nodig hebt, ook niet te installeren. Dat is voor veel gebruikers al lastig genoeg, want het is lang niet altijd duidelijk welke componenten al dan niet nodig zijn voor minimaal functioneren van de server.
‘Zet alles uit wat je niet nodig hebt”, is een aanbeveling die wat McIntyre betreft niet alleen voor serversoftware geldt. Boven aan het lijstje staat ongetwijfeld WiFi. “We zien een enorme groei in het misbruik van WiFi. Het komt regelmatig voor dat wij een aanval zien vanuit de computer van een klant. Wij spreken hem dan aan en hij zegt: ‘ja, maar ik heb alles goed beveiligd en mijn computer is schoon’. Maar via WiFi blijkt een derde zijn netwerk te kunnen gebruiken.”
Een opvallende naam op het niet-doen-lijstje van McIntyre is IPv6, het netwerkprotocol dat juist ontworpen is om de veiligheid op internet drastisch te verbeteren. “Het valt goed te beargumenteren dat de filosofie achter IPv6 klopt. De producten op de markt zijn er echter niet klaar voor. Veel beveiligingsapplicaties voor IPv4 zijn niet beschikbaar voor IPv6. Daarom is de laatste per saldo minder veilig.”
“Wij maken het mee dat mensen hun IPv4 wel goed beveiligd hebben, maar diezelfde optie voor IPv6 niet geïnstalleerd hebben, als hij al bestaat. Of ze hebben bijvoorbeeld een database die open staat voor alle mogelijke poorten, terwijl de firewall alleen kijkt naar poorten die door IPv4 gebruikt worden. IPv6 zal ooit wel doorbreken, maar ik durf nog niet te zeggen wanneer.”
Beeldhouwer
“Internetveiligheid is een spel van kat, muis en hond”, zegt McIntyre. “De gewone gebruikers zijn de muizen, want laten we niet vergeten dat het ultieme doel van de hacker niet de computer is, maar de mens. De bad guys zijn de katten, de good guys de honden. Naar mate er meer geld op internet rondgaat, zal dit spel alleen maar intensiever worden, want dat maakt het steeds interessanter voor de georganiseerde misdaad.”
“Misschien klink ik soms wat somber, maar dat is niet mijn bedoeling. De reactie van computer emergency response teams op incidenten is de afgelopen tien jaar sterk verbeterd. De gemeenschap is erg actief. Zeker de banken werken keihard aan beveiliging. Als er vandaag in Finland een gevaarlijk virus opduikt, weet ik het meteen. Dan zitten we klaar zodra het hier toeslaat.”
Wie is Scott McIntyre
Scott McIntyre maakte al gebruik van internet relay chat (IRC) toen die applicatie net was uitgevonden aan de universiteit van Oulu in Finland (in 1988). Hij herinnert zich nog hoe de Hollandse hackers rond het blad Hactic zich op een gegeven moment in de chats mengden. Hactic groeide later uit tot internetprovider XS4ALL, waarvoor McIntyre inmiddels zes jaar werkt als beveiligingsexpert.
McIntyre is lid van het vijf man sterke cert (computer emergency response team) van KPN. Vanuit die rol is hij ook lid van de stuurgroep van First (forum of incident response and security teams), het internationale platform waar beveiligingsonderwerpen besproken worden. Binnen First is hij onder meer verantwoordelijk voor de interne communicatiestructuren en de special interest groups. Tegelijkertijd houdt hij op de werkvloer bij XS4ALL de dagelijkse gebeurtenissen in de gaten.
“Ik probeer altijd in de rol te kruipen van advocaat van de duivel”, zegt hij. “Dat is nu eenmaal de rol van de security officer en bovendien hoort het bij de cultuur van XS4ALL. Preventie is nooit populair, maar het moet wel gebeuren, want als je het niet doet, kan het veel geld kosten. Gelukkig is de perceptie van veiligheid uitsluitend als kostenpost grotendeels voorbij. Ik merk juist dat wij in een steeds vroeger stadium bij projecten betrokken worden.”
Internationale computerveiligheid
Bij het ontwerp van internet werd geen rekening gehouden met veiligheidszaken. Misbruik was in de universitaire omgeving ondenkbaar. Voor zover er problemen waren, betrof het hackers die op een bepaalde computer inbraken. Dat was een zaak voor de lokale beheerder, net als het bestrijden van virussen.
Pas toen in 1988 de eerste grootschalige worm toesloeg, ontstond een bewustzijn dat coördinatie nodig was. Er werd namelijk verward gereageerd en verschillende beheerders kozen verschillende, soms met elkaar conflicterende oplossingen. Grote (overheids)instellingen en bedrijven richtten de eerste computer emergency response teams (certs) op. Vrij snel daarna werd duidelijk dat een internationale aanpak nodig was, omdat het internet zich niks van fysieke landsgrenzen aantrekt.
First (forum of incident response and security teams) is de organisatie waar beveiligingsexperts uit honderdvijftig certs wereldwijd met elkaar communiceren over de laatste bedreigingen en de tegenmaatregelen die genomen moeten worden. De doelen van First zijn ten eerste het uitwisselen van informatie en ten tweede het bevorderen van veilige producten en werkwijzen. Een stuurgroep van tien personen, afkomstig uit de leden, zet de dagelijkse lijnen uit. Er is een secretariaat, maar First is in essentie een netwerkorganisatie. Alle services worden gehost door leden.