Populaire sites als http://www.Euro2000.org hebben de twijfelachtige eer om extra aandacht van krakers te trekken. De beveiliging van de site moet daarom tip-top in orde zijn. De auteurs, die op geen enkele wijze betrokken zijn geweest bij het ontwerp van de Euro 2000-site, gaan na wat belangrijk is voor het beveiligen van dit soort sites. Daarbij speelt niet alleen de techniek een rol, betogen Eric Overgaauw en Jaap van der Wel – tevens de beheerders van deze site.
Zelfs de best beveiligde sites van de wereld, als Yahoo en de FBI-site, blijken niet bestand tegen aanvallen via het Internet. In maart waren deze sites uren lang niet bereikbaar ten gevolge van een DDoS-aanval (Distributed Denial of Service), een uitgekiende techniek, vastgelegd in programma’s als Stacheldraht, Trinoo en recenter Mmstream. Maar ook door eenvoudige virussen ontstaat wereldwijd schade. ‘I love you’ raasde in recordtempo over de wereld en Melissa ging daaraan vooraf.
Het Internet biedt evenementen als Euro2000 veel handige mogelijkheden. Naast het informeren van het publiek kan merchandising via dit medium lopen. Bovendien kan het een grote rol spelen bij het verspreiden van belangrijke boodschappen, zoals dienstregelingen van bussen van hotels naar de voetbalstadions en omgekeerd. De strategie om deze site afhankelijk te maken van het Internet leidt echter tot risico’s voor het evenement zelf. Zo krijgen krakers extra greep op ticketverkoop en merchandising. Als het Internet ook nog eens een sleutelrol krijgt bij het informeren van het publiek, nemen de gevolgen van falen evenredig toe. Evenementen als Euro 2000 bestrijken slechts een kort periode en daardoor zijn de gevolgen van verstoringen in de communicatie met het publiek relatief ernstiger dan die van bijvoorbeeld banksites. Ook dit soort sites hebben last van storingen die flinke schade kunnen opleveren, maar daar kan men de schade als onderdeel van de kosten calculeren. Voor een bank is een Internetsite strategisch van vergelijkbaar belang als een bankfiliaal. Geen bank zal zijn filialen sluiten om bankovervallen te voorkomen. Wel tracht men overvallers af te schrikken met allerlei maatregelen zoals snelle alarmering van de politie en camerabewaking.
DDoS grootste probleem
Kijken we naar www.euro2000.org, dan valt op dat de site informatie verstrekt in meerdere Europese talen – inclusief het boeken van een hotel en het bestellen van merchandising-artikelen. Dergelijke sites zijn relatief goed te beveiligen, en de gevolgen van storingen zijn beperkt te houden. Toch zijn storingen vervelend omdat de site grote populariteit geniet. Wat zijn de overgebleven risico’s en hoe zijn die te bestrijden?
Resterende risico’s zijn het modificeren van de site-gegevens, het misbruiken van de e-mailserver om andere organisaties lastig te vallen, het laten vastlopen van de server met bijvoorbeeld virusinfecties en het onbereikbaar maken van de site met een (D)DoS-aanval. De meeste aanvalsvormen zijn gemakkelijk te pareren, de verdediging tegen (D)Dos is gecompliceerder.
Verdediging tegen het modificeren van de site-inhoud is afhankelijk van de kwaliteit van de software en webservers. Interactieve functionaliteit leidt tot meer mogelijkheden van softwarefouten, die een hiaat in de beveiliging laten. Ook complexe communicatie met back-office systemen maakt het benaderen van vitale data eenvoudiger. Het lijkt er sterk op dat de e-commerce-toepassingen buiten de site van Euro 2000 zijn gehouden in de vorm van aparte sites. Dit verhoogt de veiligheid, zodat dergelijke interactiviteit geen risico hoeft op te leveren voor de Euro 2000-site zelf.
Voorkómen van misbruik van een e-mailserver, vereist een fatsoenlijke inrichting van firewall en mailserver. Zonder maatregelen zijn e-mailservers gemakkelijk als aanvalsplatform te gebruiken. Het conformeren aan de adviezen van ORBS (Open Relay Behaviour modification System, http://www.orbs.org) is hierbij al een belangrijke stap.
Voorkómen dat de e-mailserver vastloopt is een lastiger te pareren probleem. Tegen de vele manieren waarop dit kan gebeuren, zijn maatregelen beschikbaar als Mailshield. Een niet te onderschatten probleem evenwel vormen de aanvallen die bestaan uit het vermenigvuldigen van mail binnen de toegelaten gebruikersgroep. Voorbeelden zijn ‘prettypark’ en de nieuwe macrovirussen. De constructie van macrovirussen is simpel en vereist geen grote technische kennis. Daarom zullen na ‘Melissa’ en ‘I Love You’ nog vele virussen volgen. Viruscheckers kennen een nieuw virus niet en onderscheid tussen infectie en functionaliteit bij een ingesloten macro is op basis van algemene criteria moeilijk. Euro 2000 moet daar serieus rekening mee houden.
Te veel functionaliteit
De directe oorzaak ligt bij de steeds maar uitbreidende functionaliteit van ‘office suites’ met scripttalen als spil – zoals Visual Basic for Applications binnen de Microsoft-wereld of vergelijkbare talen bij andere leveranciers. Slechts weinigen hebben een tekstverwerker nodig waarmee de harde schijf kan worden geformatteerd, maar leveranciers stellen deze faciliteit wel ongevraagd beschikbaar. Een mailprogramma, dat inkomende documenten kan vermenigvuldigen en opnieuw kan versturen, is handig als men geautomatiseerde documentafhandeling wenst. De meeste gebruikers hebben die functionaliteit echter helemaal niet nodig. Veel schrijvers leggen de schuld van de verspreiding van e-mailvirussen bij de gebruikers omdat verspreiding een actie van hen vereist. "Open nooit een verdacht document" heet het dan. Euro2000 zal e-mails ontvangen in vele talen en van een breed publiek en dan is deze raad niet op te volgen.
Zolang viruscheckers niet in staat zijn om op basis van heuristische analyse de moderne macrovirussen te herkennen, is voor omgevingen met extra virusrisico de enige oplossing het verwijderen van overbodige functionaliteit. Gebruik eenvoudige mailprogramma’s als u niet meer nodig heeft. In de PC-wereld betekent dit het gebruik van eenvoudiger ‘mailclients’. Voor de Microsoft-wereld betekent dit het gebruik van het ouderwetse ‘Postvak In’ in plaats van Outlook. Daarnaast zijn voor het lezen van binnenkomende bestanden ‘document viewers’ veiliger dan ‘office suites’.
Voorkomen dat de site onbereikbaar wordt, met een (D)DoS-aanval is moeilijk. Een goede bescherming vereist in de eerste plaats technische maatregelen. Preventief werkt het relatief vergroten van de verwerkingscapaciteit van de siteserver, waardoor overbelasting met (D)DoS moeilijk is. Ook door het opzetten van verschillende mirrorsites met eigen URL’s is de verwerkingscapaciteit te vergroten. Dit soort maatregelen heeft zijn grenzen, bij de aanval op de Yahoo-site meldde de pers dat Yahoo plat ging nadat de gegevensstroom de reusachtige omvang van 2 Gbyte per seconde had bereikt! Bescherming tegen dit soort belasting met verwerkingscapaciteit leidt tot exorbitante kosten, terwijl de aanvaller vrij gemakkelijk het aantal computers dat hij misbruikt kan vergroten. Wie 1000 computers kan inzetten, wat bij de aanval op Yahoo het geval was, zal er vast wel in slagen om daar 5000 van te maken.
Sitebewaking – de klok rond
Een gedistribueerde site vergroot de problemen voor een eventuele aanvaller. Als een aanvaller meer problemen moet overwinnen, krijgt de verdediging meer tijd om adequate tegenmaatregelen te kunnen nemen. Sitebewaking, 24 uur per dag – 7 dagen per week – is belangrijk om snel en adequaat te kunnen reageren op een aanval. Als de totale gegevensstroom of de gegevensstroom vanuit bepaalde IP-adresranges snel toeneemt, kan daarop het verkeer vanuit bepaalde gebieden worden vertraagd via tarpit-achtige mechanismen of door blokkering. Bij een breed opgezette aanval leidt deze maatregel echter onherroepelijk tot het onbereikbaar worden van de site.
Op dat moment wordt de rol cruciaal van de Internet serviceprovider (ISP) waarlangs de DDoS-aanval loopt. De sitebewaking kan aan de hand van de IP-adresrange zien via welke provider de aanval wordt geleid. Dit veronderstelt overigens dat de adresranges van de ISP’s niet zijn gemanipuleerd. Deze meer geavanceerde vorm van kraken komt in de praktijk veel minder voor en wordt in dit artikel buiten beschouwing gelaten.
Door tracing kan de ISP bepalen waar de aanval van afkomstig is en vervolgens die persoon of instantie afsluiten en zo nodig aangeven bij de politie. Een site als Euro2000, maar bijvoorbeeld ook banksites zijn derhalve gebaat bij snelle, actieve hulp van de betrokken ISP’s. Juist op dit punt kunnen zich problemen voordoen. Het Internet is enorm gegroeid dankzij onder andere de grote vrijheid en afwezigheid van regels. Maar juist door die afwezigheid van regels is niet iedere ISP in staat is om snel, alert en professioneel te reageren op hulpverzoeken van site-eigenaren. Goede providers zijn er genoeg, maar wij kennen ook een geval waarbij de ISP – na een aanval op een mailserver – verzocht om het probleem in een mail (sic!) te beschrijven. Vervolgens beloofde de provider de volgende ochtend actie te ondernemen. Een dergelijke houding gaat volstrekt voorbij aan de grote en steeds toenemende zakelijke belangen die spelen op het Internet.
Juridische problemen
In de toekomst zal sitebeveiliging daarom niet zonder juridische ondersteuning kunnen. Dit terrein is voor het Internet nog vrijwel onontgonnen gebied, vol met voetangels en klemmen, ook door het internationale karakter van het Internet. Parallellen met vergelijkbare juridische problemen buiten het Internet laten zien dat het neerleggen van claims door gedupeerde site-eigenaren bij nalatige ISP’s, zeker een kans maken bij de rechter. Alhoewel deze wel terughoudend is bij het toewijzen van claims. Dit is in lijn met richtlijnen van de EEG.
ISP’s zullen overigens ook rekening moeten houden met negatieve publiciteit die het gevolg kan zijn van een proces, zeker als publiekelijk duidelijk wordt dat zij relatief eenvoudig kunnen helpen bij de verdediging van sites, maar dat soms nalaten. In de praktijk wordt deze extra verdedigingslinie tegen (D)DoS gerealiseerd door bijvoorbeeld bij nalatige ISP’s een claim neer te leggen. Daarnaast is het verstandig om nog niet gerealiseerde bijstandsafspraken onmiddellijk schriftelijk te bevestigen met het onderstrepen van de grote belangen die spelen. Beide soorten acties versterken de positie tijdens onderhandelingen over schadevergoeding en stimuleren daardoor ook de voortgang van tegenmaatregelen door de ISP.
E. Overgaauw, IT-manager
J.A. van der Wel, vakgroepmanager informatiebeveiliging
IQUIP Informatica
(Met dank aan
H-E Sonder en J.O. Zuurmond,
Beks&Beks advocaten)