Wapenwedloop in cyberspace

Calamiteitendienst Cert-nl neemt maatregelen

Het aantal aanvallen op netwerken en de complexiteit ervan nemen de komende tijd fors toe. Dit voorspellen experts van Cert-nl, de calamiteitendienst van het academische netwerk Surfnet. Internationale samenwerking is een nieuwe tactiek om kwaadwillenden een stap voor te blijven.

Jacques Schuurman, aanvoerder van het Cert-nl team, ziet hackers steeds slimmer handelen doordat zij kennis en middelen meer en meer met elkaar delen. Nieuwe aanvalstechnieken raken razendsnel verspreid. Dit heeft de reactietijd van netwerkbeheerders korter gemaakt. Ook is de mogelijke schade groter doordat aanvallers over meer bandbreedte beschikken. Breedbandverbindingen via de kabel en de telefoonlijn staan altijd aan en zijn vaak niet goed beveiligd. Hackers nemen de besturing van dit soort computers over om daarmee een aanval op een website te kunnen uitvoeren. "Een ddos-aanval (distributed denial of service), waarbij achtduizend van dit soort computers één webserver bestoken en plat leggen, is geen uitzondering meer", zegt Jan Meijer, een Surfnet-medewerker, die ook onderdeel uitmaakt van het Cert-nl team. In deze wapenwedloop is het zaak voor beheerders om hackers een stap voor te blijven.
 

Snmp-lek Het Amerikaanse Cert (Computer Emergency Response Team) waarschuwde begin februari voor een lek in een groot aantal implementaties van het snmp-protocol (simple network management protocol). Dit protocol wordt onder andere door fabrikanten van routers als Cisco, Juniper en 3Com gebruikt om het functioneren van deze apparaten te controleren. Onbevoegden konden zich uitgebreide gebruikersrechten toe-eigenen tenzij verbeterde implementaties van het protocol werden geïnstalleerd.

Bezetting

Schuurman wil niet 'achter hackers aanzitten'. Een organisatie als Cert-nl moet in zijn ogen solide genoeg zijn om de beveiliging van het academische netwerk te garanderen. Deze garantie staat en valt met een goede bezetting van het Cert-nl team. Zes van de tien leden zijn Surfnet-medewerkers die zich naast hun baan als een soort vrijwillige brandweer voor Cert-nl inzetten. De rest van het team bestaat uit beheerders afkomstig van de aangesloten instellingen.
Cert-nl treedt op als één van de instellingen die aangesloten zijn op het Surfnet-netwerk vanwege een mogelijke aanval op het netwerk aan de alarmbel trekt. Het tijdstip van de melding kan dag of nacht zijn: de helpdesk-medewerker zoekt bij een terechte melding contact met het lid van het Cert-nl team, dat op dat moment een weekdienst draait. Dit 'weekdier' belt de melder terug en zoekt uit wat er precies aan de hand is. Voor maatregelen neemt het 'weekdier' contact op met het rekencentrum Sara van de Amsterdamse universiteiten, waar medewerkers de knoppen van de backbone kunnen bedienen. Zes keer per jaar wordt het alarmnummer gebeld, en maandelijks krijgt de calamiteitendienst veertig e-mailtjes binnen.

Samenwerking

Internationale samenwerking moet Cert-nl meer armslag geven. Binnen Terena (trans European research and education networking association), een koepelorganisatie voor Europese academische netwerken waar ook Surfnet deel van uitmaakt, praat men over de opzet van een waarschuwingssysteem. Zo'n systeem, waar calamiteitenteams elders in de wereld informatie over een aanval kunnen opvragen om maatregelen te nemen, is voor Cert-nl alleen niet te behappen. Er moet een aparte infrastructuur klaarliggen om het lamgeslagen netwerk te omzeilen. Daarnaast moet een team rond de klok het waarschuwingssysteem bemensen.
Schuurman ziet Cert-nl niet ruim in zijn jasje zitten, hoewel de beveiligingstaak steeds belangrijker wordt. Universiteiten en andere instellingen gebruiken in toenemende mate het Surfnet-netwerk voor het draaien van applicaties. Tegelijkertijd groeit het aantal meldingen van beveiligingsincidenten. Dit is deels vals alarm. Steeds meer gebruikers hebben weinig verstand van beveiliging en bestempelen een incident per definitie als gevaarlijk. Een 'traceroute'-commando, waarmee uit te zoeken valt welk pad een informatiepakketje door het netwerk aflegt, wordt door een gemiddelde firewall geïnterpreteerd als een aanval, omdat deze informatieaanvraag van buiten komt. Netwerkbeheerders moeten preventief kennis hebben over dit soort incidenten, zodat de calamiteitendienst zich aan belangrijker meldingen kan wijden.