Vooral preventieve maatregelen nodig in strijd tegen gekraakte computers

De jacht op zombies

Dit artikel delen:

Internetaanbieders spelen een cruciale rol bij het bestrijden van gekraakte computers door het verkeer in hun netwerk te controleren op misbruik. Toch kunnen ook zij dit misbruik van thuiscomputers niet in hun eentje voorkomen.

Informeel netwerk
De meeste aanbieders van netwerkcapaciteit voor internet hebben een systeem om snel meldingen van ddos-aanvallen te verwerken en deze met een filter zo dicht mogelijk bij de bron te stoppen. Veel systeembeheerders bij internetaanbieders hanteren informele lijsten met telefoonnummers van belangrijke personen die bij een calamiteit bij kunnen springen. Daarnaast zijn er inmiddels ook commerciële diensten beschikbaar die aanbieders ondersteuning kunnen bieden als ze een erg zware aanval te verduren krijgen. Deze helpende hand kan cruciaal zijn bij de bestrijding van een aanval als al het netwerkverkeer naar en van de aanbieder praktisch onmogelijk is geworden.
Zombienetwerken nemen gigantische proporties aan. De beheerders van chatservers komen ze regelmatig tegen, omdat de irc-software op de vele gekraakte computers een verbinding openhoudt met de chatserver om opdrachten van de hacker aan te kunnen nemen. Joost Vunderink, operator van de irc-netwerken Efnet en Undernet en daarnaast werkzaam bij Xs4all, noemt Korgo als een voorbeeld van een zombie-netwerk, dat door het uitbuiten van recente kwetsbaarheden in Windows dagelijks rond de twee- tot vierhonderdduizend ip-adressen voor misbruik klaar heeft staan.

Script

Vunderink heeft inmiddels een script geschreven dat de door Korgo gekraakte computers van de chatserver verwijdert, zodat deze uit het zombienetwerk vallen. "Dit is in feite niet meer dan symptoombestrijding. Naast Korgo zijn er zoveel andere wormen en Trojaanse paarden voor het Windows-platform dat het dweilen met de kraan open is." Naast dit misbruik van thuiscomputers ziet Vunderink ook het uitbuiten van slecht geïnstalleerde php-modules opkomen. "Kant-en-klare bulletin boards in php en andere onderdelen voor een plug-en-play-site kennen veel lekken. Het is een nieuw populair doelwit, omdat de hackers er webservers met veel netwerkcapaciteit mee in handen krijgen", aldus Vunderink.
Hij ziet veel meer heil in een goede voorlichting van thuisgebruikers. Om de gevaren van slecht beveiligde computers aan dit publiek uit te leggen is Vunderink de website http://totally.insecure.nl gestart. Bezoekers kunnen er informatie vinden over hoe hun computer misbruikt kan worden en hoe zij dit kunnen voorkomen. Volgens hem heeft Microsoft in zijn Service Pack 2 voor XP ook goed werk verricht doordat het de beveiligingsstatus van computers nauwgezet in de gaten houdt en computergebruikers actief op lacunes in die beveiliging wijst.

Internetaanbieders

Ook internetaanbieders kunnen het nodige doen om misbruik in hun netwerken op te sporen en internetters te wijzen op problemen in hun systemen. Een goede maatregel die internetters zelf kunnen nemen is hun eigen firewall ook het uitgaande verkeer op verspreiding van wormen en Trojaanse paarden te laten controleren. Daarnaast kunnen ook internetaanbieders het uitgaande verkeer vanuit hun netwerk controleren op patronen die wijzen op wormen en Trojaanse paarden. Ook zijn er filters in gebruik die verkeer dat volgens de Iana-lijst (Internet Assigned Numbers Authority) van nepadressen afkomstig is, onderscheppen. "Veel internetaanbieders vergeten regels op te stellen voor het uitgaande verkeer, terwijl dit de verspreiding naar andere kwetsbare systemen kan tegenhouden. Het is daarmee een belangrijke preventieve maatregel", zegt Simon Hania, technisch directeur van Xs4all.
Daarnaast controleren steeds meer aanbieders de verbinding van computers met internet op misbruik. Beheerafdelingen krijgen een melding als een computer de volledige in het abonnement beschikbare netwerkcapaciteit opslurpt. De aanbieder sommeert de gebruiker bij daadwerkelijk voorkomen van misbruik vervolgens om zijn systeem op te schonen. Internetaanbieder

  
Internetaanbieder BIT zag het aantal ddos-aanvallen het afgelopen jaar flink stijgen tot één per maand. De pieken ookwel spijkers genoemd in het verkeer laten een aanval zien.
BIT hanteert de Virbl-blokkeringslijst die met virussen besmette of door Trojaanse paarden gekraakte breedbandcomputers in Nederland bevat. Internetaanbieders gebruiken deze lijst om virushaarden en besmettingsbronnen voor ander misbruik uit hun netwerken te verwijderen.
Daarnaast zijn er ook systemen op komst die gespecialiseerd zijn in het afslaan van ddos-aanvallen. Beveiligingsspecialist Kahuna heeft het systeem van fabrikant Radware bij de recente Ovse-top gebruikt om mogelijke aanvallen op het voor deze gelegenheid ingerichte hoge-capaciteitsnetwerk af te slaan. Radware Defense Pro slaat ddos-aanvallen in een netwerk af door aan de hand van een up-to-date patronendatabase goede sessies van kwade te scheiden en met een filter het aanvalsverkeer af te stoppen.
Volgens Kahuna is een toegewijd apparaat voor het afslaan van ddos-aanvallen inmiddels geen onnodige luxe meer. "Het Radware-apparaat werkt met speciaal ontwikkelde chipsets die netwerkverkeer op applicatieniveau tot verbindingen van 3 Gbps op onrechtmatigheden kan controleren", zegt Jeroen Jansen, werkzaam bij de dienstverlener. "Veel Trojaanse paarden en ander materiaal dat kwetsbaarheden uitbuit is actief op netwerkpoorten die uit het zicht van firewalls blijven of niet opvallen. Door in het netwerk tot op applicatieniveau te vlooien op misbruik is aanvalsverkeer te stoppen."
Volgens Jansen zijn er nog geen aanbieders in Nederland die dit hoge capaciteitssysteem gebruiken. De meeste aanbieders werken met systemen die op generieke hardware draaien. Hania bevestigt dat er aparte apparatuur nodig is om een aanval eruit te filteren. Hij bestrijdt dat daar aparte chipsets zoals die in het Radware-apparaat voor nodig zijn.

Werklast verdelen

Een andere effectieve, maar ook dure maatregel is om websites en diensten over meerdere systemen en over verschillende plekken op de wereld uit te smeren. Een cachingsysteem, zoals Akamai dat aanbiedt, verdeelt de inhoud op websites over meerdere systemen in verschillende landen en combineert dit met een routeringssysteem dat rekening houdt met geografische spreiding van de bezoekers van deze websites. "Dit distributiesysteem is misschien niet direct bedoeld voor het afslaan van een ddos-aanval. Toch zorgt deze verdeling over meerdere systemen ervoor dat een doelwit uitgebreid wordt van één à twee tot honderden tot duizenden systemen die het samen langer volhouden", aldus Hania.< BR>

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2004-12-17T00:00:00.000Z Sytse van der Schaaf
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.