Internet en beveiliging.

Beveiligen is hinderen.

Met veel belangstelling lees ik artikelen over websites en computers die gekraakt zijn. Vele jaren geleden heb ik samen met collega's, met veel belangstelling, beveiligingen gehackt, in de goede zin van het woord. We hebben nooit vernielingen aangericht, maar probeerden beheerders van slecht beveiligde systemen te plagen en te informeren over de beveiliging fouten. Ik heb ooit de administrator van een computer van de Engelse overheid, een mail verzonden met zijn eigen afzender, waarin ik vertelde hoe ik op hun systeem gekomen was. Een week later was het lek dicht, maar ik heb wel bij voorbaat gelachen om zijn reactie.

In het boek over de chaos computer club, (een bekende anarchistische club uit Duitsland) werd het columbus gevoel beschreven. Dat was het ook, we waren op ontdekkingstocht door onbekende systemen. Zelf werkte ik aan de andere kant. Het was mijn taak om onze eigen systemen hier voor te beveiligen, dus het mes sneed aan twee kanten. Naarmate de beveiligingen toenamen en onze ervaring groeide, nam het zelf onderzoeken af. Tegenwoordig onderzoek ik wel nog steeds welke methode hackers gebruikt hebben, om zelf de vaak veelgemaakte ontwerp fouten niet te maken. Door mijn werk in het verleden bij een bedrijf in toegang controle systemen, heb ik de wijze les geleerd dat goed beveiligen helaas ook vaak hinderen is en dat veel beveiligingsfouten te herleiden zijn naar gemakzucht.

Goed beveiligen is een beetje paranoia zijn.

De recente hacks van de sites van een grote telecom aanbieder en een modellen site waren kinderlijk eenvoudig. Allebei waren ze gebaseerd op slechte beveiliging van de inlog sessie gegevens, die op eenvoudige wijze te manipuleren waren.

In het eerste geval werd de gebruikersnaam, zonder enige vorm van encryptie of validatie in een cookie gezet, waarna de server deze zonder verdere controle accepteerde. Door via kladblok de naam in de cookie te veranderen, was het zo mogelijk om op de server de persoonlijke pagina's van een andere gebruiker te zien en zelfs smsjes uit naam van deze gebruiker te verzenden. Dit is een basis fout die geen enkele ervaren webontwikkelaar zou moeten maken.

In het tweede geval was er voor sessie management door middel van de url gekozen. Dit is het alternatief voor de cookie, maar ook hier moet de klantcode wel gevalideerd en telkens weer gecontroleerd worden. In dit geval kon door simpelweg het klantnummer in de url te vervangen de gegevens van andere klanten zichtbaar gemaakt worden. Ook dit is een bijna beginners fout. Goed beveiligen is telkens weer op elke pagina de gebruiker valideren.

Validatie kan eenvoudig gedaan worden door bijvoorbeeld de klantcode en een geheime code op de server samen te voegen en daar een zogenaamde md5 hash van te genereren. Deze md5 hash dient u dan samen met het klantnummer in de cookie te schrijven. Als de server daarna uit een url of cookie de klantcode leest kan door middel van de md5 hash het klantnummer gevalideerd worden. Omdat de geheime code alleen bekend is op de internet server, is het onmogelijk om de md5 hash te manipuleren. Dit zijn methodes die bij ervaren internet programmeurs bekend zijn.

In veel gevallen waarin weer een kraak van een internet site in de publiciteit komt, is er dus geen sprake van inbreken in de technische zin van het woord, maar het binnenlopen van een open voordeur. Er zijn nog steeds veel internet sites die zeer slecht beveiligd zijn.

Vertrouw nooit gebruikers invoer.

Dit klinkt misschien een beetje grof, maar het geeft perfect weer dat we alle data die afkomstig is van de gebruiker moeten wantrouwen. Alles wat de gebruiker naar u verzend is in eerste instantie "verdacht". U moet voordat u er maar iets mee gaat doen deze data eerst controleren. Wanneer u bijvoorbeeld de gebruikers invoer rechtstreeks in een SQL (database) functie zou gebruiken kan de hacker de zoektekst vervangen door: "foo'; DELETE FROM ... WHERE ..." en kan deze een deel van uw database wissen.

Aangezien veel van de internet server functies op het laagste niveau gewoon 'C' functies zijn kan de hacker ook een nul teken in de invoer stoppen (zero byte stuffing) of speciale tekens in de invoer velden plaatsen, waardoor hij een extra unix commando kan laten uitvoeren. Er zijn een aantal verdachte tekens in de gebruikers invoer en deze moeten, voordat u iets doet met de invoer, ontkracht worden.

Deze voorbeelden geven aan dat veel beveiliging fouten worden gemaakt door het grote vertrouwen dat de programmeur heeft in de gebruiker van de internet site. Goed beveiligen van een internet site blijft een vak apart. Pragt.info kan u ook adviseren over beveiliging van internet sites en tevens kunnen wij uw bestaande code in Perl, php of Asp valideren.

Wat is de lol en de zin van inbreken op internet servers.

De inbrekers op computer systemen zijn onder te verdelen in twee hoofdgroepen.

• De ervaren hacker die veel weet van techniek en in het bijzonder beveiliging techniek.
• De script kiddies, vaak tieners die met kant-en-klare programma's aan het hacken slaan. Ze worden script kiddies genoemd omdat ze standaard scripts (lijsten met opdrachten die achter elkaar uitgevoerd worden) downloaden en activeren. Script kiddies kraken systemen, omdat ze denken dat het stoer is. Ze zijn zich vaak niet bewust van de schade die ze aanrichten.

In mijn visie is de tweede groep gevaarlijker dan de eerste, omdat deze door onwetendheid vaak meer schade aanrichten dan de ervaren hacker. Ook heeft de ervaren hacker vaak een soort van erecode, waardoor deze na de inbraak alleen een teken achterlaat maar vaak geen schade aanricht.

Om te begrijpen waarom mensen op uw systeem inbreken is het handig om te weten wat hun motivatie is.

• De nieuwsgierige kraker is er in geïnteresseerd om te achterhalen wat voor systemen u gebruikt en tot welke gegevens hij toegang kan krijgen.
• De vandalische kraker is er op uit om uw systeem te laten vastlopen, dit vaak uit onvrede of wraak gevoelens. (De recente aanval op de overheid sites.)
• De high profile kraker breekt in op populaire systemen (bijvoorbeeld de systemen van de overheid), waardoor hij een bepaalde status zal krijgen.
• De concurrent kraker zal op uw bedrijfsgegevens uit zijn om daar een voordeel uit te halen.
• De lener kraker is er op uit om uw middelen (processortijd, harde schijfruimte) te gebruiken voor meestal niet al te legale of nobele doelen.

U dient er als klant op te kunnen vertrouwen, dat het bedrijf die uw internet site ontwerpt ook terdege rekening zal houden met het beveiligen van uw internet site.

Gemiddelde website bevat 66 beveiligingsfouten

Bron: Webwereld

Van de zakelijke en de niet-commerciële sites bevat 70 procent lekken en is daarom kwetsbaar voor hackers. Gemiddeld telt een website 66 beveiligingsfouten.

Tot die conclusie komt het Amerikaanse beveiligingsbedrijf Acunetix na 3200 websites te hebben gescand. In 70 procent van de gescande websites vond het bedrijf een ernstig of minder ernstig lek dat door hackers misbruikt kan worden om de site te manipuleren of gegevens te stelen. Volgens de onderzoekers is de kans groot dat hackers de problemen ontdekken en zullen uitbuiten.

Bij de 3200 websites werden in totaal 210.000 beveiligingsproblemen geconstateerd. Dat komt neer op gemiddeld bijna 66 per gescande website.

In de helft van de kwetsbare websites ging het om zogeheten 'sql injection'-problemen. Minder vaak (42 procent) werd een cross site scripting-lek aangetroffen. Het aantal sites dat kwetsbaar is voor 'sql injection' is opvallend hoog, volgens de onderzoekers, omdat het Web Application Security Consortium vorig jaar juli nog constateerde dat 9 procent van de websites kwetsbaar zou zijn voor dit soort aanvallen.

Volgens Acunetix, dat beveiliging van applicaties verkoopt, is er bij bedrijven en organisaties te weinig aandacht voor de beveiliging van online data.

Phishers gooien hengels uit in andere vijvers

Bron: Webwereld

De brutaliteit en inventiviteit van phishingcriminelen leek in 2006 geen grenzen te kennen. Phishingaanvallen bleven niet langer beperkt tot e-mails en websites.

Het kat-en-muis-spel tussen malware-makers enerzijds en beveiligingsbedrijven en juristen anderzijds, intensiveerde in 2006. In juni werd de ING Bank opgeschrikt door een groep oplichters die gedupeerden via een e-mail naar een kopie van de zakelijke website van de ING Bank lokte. Op zich niets nieuws, maar de oplichters gingen nog een stap verder: de website bevatte telefoonnummers van zogenaamde 'contactpersonen' die bellers overhaalden om naar een nepfiliaal van de ING Bank te komen.

In juli bleek uit onderzoek van de Anti-Phishing Working Group (APWG) dat het aantal phishingsites nog steeds toeneemt. De bedrieglijke sites worden vooral in de VS (30 procent), Zuid-Korea (13 procent) en China (12 procent) gehost. Nederland komt niet in de top van de lijst voor.

Phishing-acties breidden zich dit jaar uit naar de mobiele telefoon. Zo waarschuwde beveiligingsbedrijf McAfee in augustus voor 'SMiShing', waarbij gsm-gebruikers via smsjes naar onbetrouwbare websites gelokt worden.

Niet alleen de fysieke telefoons, maar ook belsoftware zoals Skype blijkt kwetsbaar. Beveiligingsexperts waarschuwden in april voor voip-phishing. Mensen worden daarbij in een e-mail overgehaald om via een voip-programma een helpdesk te bellen. Deze nephelpdesk wordt bemand door kwaadwillenden die de gedupeerden persoonlijke gegevens proberen te ontlokken. Softwarebedrijf Cloudmark onderschepte binnen een paar weken duizend e-mails waarin de nieuwe praktijken beoefend werden.

Wie zich geen zorgen hoefden te maken over mogelijke virussen, waren de gebruikers van de e-mailhandheld Blackberry. Dat meldde Dany Bolduc van producent RIM in juli. De Blackberry zou door de secure sandbox van Java 'immuun' zijn voor virussen. Helaas bleek een paar weken later dat de Blackberry wel gebruikt kan worden voor duistere praktijken. Door het hackprogramma Bbproxy op de Blackberry te installeren, konden kwaadwillenden aanvallen uitvoeren op bedrijfsnetwerken.

Om het gevaar van phishingsites te beteugelen, zijn de recente browsers van Microsoft en Mozilla, respectievelijk Internet Explorer 7 en Firefox 2.0, uitgerust met phishing-filter. Onlangs voegde ook Opera een phishingfilter toe aan zijn browser. In november bleek uit onderzoek van de Carnegie Mellon Universiteit in Pittsburgh dat het filter van Firefox meer dan 80 procent van de phishing-sites tegenhoudt. IE7 blokkeert ruim 66 procent van de onbetrouwbare sites.

Overigens meldt Gartner in november dat vooral rijken het moeten ontgelden als het gaat om phishing e-mails. Mensen die meer dan 100.000 dollar per jaar verdienen krijgen gemiddeld 112 phishingmailtjes. Over alle inkomensgroepen gemeten lag het gemiddelde op 74 mailtjes. Gartner vermoedt dat de phishingcriminelen de gegevens van welgestelden achterhalen via lijsten op internet.

Experts van beveiligingsbedrijf Internet Security Systems (ISS) meldden dat ook vakantiegangers een populaire prooi zijn voor cybercriminelen. De boeven lokken mensen met e-mails naar nagemaakte vakantie- en reissites.

Naast vakantie- en banksites richten phishers zich ook vaker op populaire websites als Myspace.com. In juni probeerden kwaadwillenden via een nagemaakte inlogpagina van de social networking-site persoonlijke gegevens van gebruikers te achterhalen.

In november concludeerde CA en de National Security Alliance (NCSA) dan ook dat het bezoeken van sociale netwerksites grote risico's met zich meebrengt. Uit hun onderzoek onder 2163 volwassenen bleek dat 83 procent van de gebruikers van netwerksites onbekende bestanden van profielen van anderen downloadt, waardoor ze identiteitsdiefstal, spyware en virussen riskeren.

In december hield een agressieve worm huis op Myspace door gebruikers via een code in Quicktime-video's naar een nagemaakte inlogpagina te loodsen.

Botnets en zwak vlees

Uit het jaarverslag van Messagelabs blijkt dat 86,2 procent van de e-mails dit jaar spam was. Botnets waren verantwoordelijk voor 80 procent van de spammailtjes. Gemiddeld 24,8 procent van de kwaadaardige e-mails die MessagelLabs in 2006 onderschepte, was een phishingmail. Het percentage variëerde van 10,6 procent in januari, tot 68,6 procent aan het eind van het jaar.

Hoewel spam een wereldwijde plaag is, kreeg Nederland in november nog een pluim van de EU. Eurocommisaris Vivian Reding prees Nederland voor zijn antispambeleid. De Europese Commissie schreef de drastische verminderingen van spam in Nederland toe aan de vervolgingen door de OPTA. Zo vocht internetmarketingbedrijf Speko herhaaldelijk een door de OPTA opgelegde boete aan. De telecomwaakhond gaat zich in 2007 meer richten op de bestrijding van spyware en wil ook spam die aan rechtspersonen verstuurd wordt strafbaar maken.

Ondertussen blijven notoire spammers en oplichters, zoals de Nigeriaanse 419-bendes, actief. Verder blijkt uit onderzoek van spambestrijder Ciphertrust dat ontvangers van pornospam verreweg het vaakst verleid worden tot het klikken op een meegestuurde link. Dit gebeurt volgens het bedrijf 280 keer zo vaak bij pornomailtjes als bij e-mailreclame voor medicijnen, zoals Viagra.

In 2006 haalde de Hormel Foods Corporation bakzeil in een claim om het woord 'spam'. De fabrikant van ingeblikte ham bedacht het woord in 1937 als afkorting voor 'spiced ham' en wilde het gebruik van het woord in bedrijfsnamen van spambestrijders tegengaan. Tevergeefs, want het Europese merkenbureau wees de claim af.

Xss-plaag

Een andere plaag in 2006 bestond uit het misbruiken van lekken in de xss (cross-site scripting) xss van websites. Nederlandse onderzoekers ontdekten lekken in onder andere Outlook Web Access, een Tele2-inlogpagina, Ebay-pagina's, een Google-pagina en Hotmail.

Microsoft publiceerde dit jaar meer dan zeventig aanpassingen aan zijn software om beveiligheidsrisico's te verhelpen. Naast lekken in Office-applicaties en Windows XP, werd ook de drm-beveiliging door hackers gekraakt. Omdat het bedrijf niet in staat was om alle actuele kwetsbaarheden snel te dichten, namen beveiligingsdeskundigen zelf een paar keer het heft in handen.

In september dichtte het collectief Zeroday Emergency Response Team (ZERT) een lek in de vector markup language (vml) van Internet Explorer. In maart publiceerde beveiligingsbedrijf Eeye Digital Security een tijdelijke patch voor een ander lek in IE, kort daarop volgde een fix van beveiligingsbedrijf Determina. Dat bedrijf patchte in september opnieuw een Microsoft-lek, ditmaal in een Activex-control.

Microsoft kampt uiteraard niet als enige met beveiligingsproblemen. Begin december bleek dat de beveiliging van de webmail-dienst van Nederlandse internetproviders in veel gevallen niet op orde was. Bij Chello, Orange, Planet Internet, Tiscali, Tele2 en 12Move kunnen de e-mailinstellingen van abonnees ongemerkt aangepast worden, zo bleek uit onderzoek van beveiligingsexpert Martijn Brinkers van Izecom. Ook op de webmail van Xs4all en Het Net konden kwaadwillenden inbreken, maar hier waren de emailinstellingen niet te wijzigen. De mail was echter wel te lezen.

Stemcomputers en rootkits

Een felle beveiligingsdiscussie kwam op gang door acties van de groep Wijvertrouwenstemcomputersniet.nl van Rop Gongrijp en Maurice Wessling, die in september aankondigde te stoppen met zijn digitale burgerrechtenorganisatie Bits of Freedom. Het tweetal toonde aan dat de beveiliging van de stemcomputers die bij de Tweede Kamerverkiezingen in november gebruikt zouden worden, niet in orde was. Een type stemcomputer waarbij sprake was van lekstraling werd uiteindelijk door minister Nicolaï afgekeurd, waardoor in 35 gemeenten waaronder Amsterdam, weer met het ouderwetse potlood gestemd werd.

Beveiligingsbedrijven McAfee en Symantec waarschuwden in juli voor de komst van geavanceerde rootkits. Volgens de bedrijven ontwikkelen rootkits zich zo snel, dat nieuwe generaties niet meer met traditionele technieken op te sporen zijn. Het achteraf onschadelijke Backdoor.Rustock.A was volgens Symantec het eerste voorbeeld van een rootkit die erg moeilijk is op te sporen. McAfee benadrukte vanwege het gevaar van 'slimme' rootkits het belang van preventie: de rootkits moeten ontdekt worden voordat ze geïnstalleerd zijn.