Verdachte e-mail onder de loep

Systeem- en applicatiebeheerders zijn zich weliswaar bewust van de risico’s en de kwetsbaarheid die uitbundig e-mailen met zich meebrengen, maar meestal zijn zij de laatsten om het elektronisch communiceren met de buitenwereld aan banden te leggen. E-mail verhoogt de omloopsnelheid van informatie en komt de kwaliteit van het dagelijks werk ten goede. ‘Ik zou niet meer zonder kunnen’, is een veelgehoord getuigenis ten faveure van e-mail. Bliksemsnel Een goede virusscanner en een ‘verstandig en alert gebruik’ van e-mail en attachments op gebruikersniveau zijn bij lange na niet voldoende om het opkomen van nieuwe mailvirussen en wormen te keren. De nieuwste virussen verspreiden zich bliksemsnel via verzendlijsten en profiteren van de zwakke plekken in veel gebruikte software als Outlook Express. Ze gaan ongevraagd over tot het activeren van executables, VisualBasic-scripts of self extracting ZIP-bestanden, terwijl de gedupeerde gebruiker verbaasd zit toe te kijken. Voorkomende gevallen geven systeembeheerders een onzeker en machteloos gevoel, ondanks de maatregelen die zij al hebben genomen. De nood is nu zó hoog dat veel beheerders niet op aangekondigde hulp van Microsoft willen wachten en naar paardenmiddelen grijpen om van dat onzekere gevoel af te komen. Het inzetten van beheer- en beveiligingstools voor het vergrendelen of locken van servers en het autoriseren van applicaties neemt snel toe ondanks het feit dat e-mailende gebruikers last hebben en vertragingen ondervinden van de opgeworpen verdedigingslinies. Honderd procent protectie tegen sluipend e-virusgevaar belooft de Britse beheertool AppSense, ongeacht de lagen en listen die virusmakers nog kunnen bedenken. AppSense functioneert in de Citrix- omgeving en omvat een pakket van maatregelen dat elk vervoermiddel voor mogelijke virussen onder controle van systeembeheer brengt: executables, ZIP-bestanden, scripts, DOS-commando’s, DLL’s, executables ge-renamed en vermomd als doc-bestanden, enzovoorts. Kort gezegd werkt dit beveiligingsgereedschap op basis van trusted ownership. Het blokkeert elke applicatie of zelfwerkzaam bestand dat niet is geautoriseerd en/ of door systeembeheer is geïnstalleerd. Tevreden Max Monsma, systeembeheerder van de technische groothandel ThermoNoord in Gorredijk, toont zich tevreden over AppSense. ThermoNoord heeft 125 werkplekken in zeven vestigingen op het Windows 2000-platform aangesloten op twee load-balanced Citrix- servers. Ook dit middelgrote bedrijf wordt in toenemende mate ‘e-mail-intensief’. Per dag worden zo’n driehonderd mailberichten ontvangen. “We draaien een firewall en een beveiligingspakket op de mailserver om de ernstigste vervuiling van buiten tegen te gaan”, zegt Monsma. “Naast dit eerste en tweede beveiligingsniveau hebben we antivirus-software als derde niveau. AppSense is het vangnet onder dit geheel. Verder zorgen we ervoor dat het besturingssysteem zo up-to-date mogelijk is. Zonder dergelijke voorzorgen loop je ook met AppSense risico’s. Het ‘overnemen’van een webserver met administrator-rechten betekent het omzeilen van AppSence.” Ook bij ThermoNoord groeit het aantal notebooks en daarmee het beheer en de risico’s. AppSense kan ook daar een hoog beveiligingsniveau bieden, vindt Monsma, maar dit moet worden afgewogen tegen de flexibiliteit die de veld- en thuisgebruikers vragen. Vertragend Monsma vindt het moeilijk de leverancier van AppSense tegen te spreken als deze honderd procent beveiliging tegen kwade invloeden van buitenaf of binnenuit garandeert. Ook Wil Kremer, systeembeheerder van de gemeente Veghel en eveneens gebruiker van AppSense, laat zich in gunstige zin uit over de hoogte van het beveiligingsniveau. Een prijs die voor een Windows-platform met lekvrije applicaties moet worden betaald, is dat gebruikers vertraging ondervinden bij het uitrollen van nieuwe toepassingen of het installeren van gelegenheidssoftware afkomstig uit mail of gedownload van het internet. Monsma: “Bestaande applicaties zijn geïnventariseerd en daarvan weten we wat het is en wie het mag gebruiken. Voor nieuwe specifieke applicaties ligt de verantwoordelijkheid bij de applicatiebeheerder. Pas als hij fiat geeft, gaan wij installeren, autoriseren, beveiligen, faciliteren en beheren. Dat betekent vaak dat de gebruiker het nodige geduld moet opbrengen voordat zijn nieuwe toepassing veilig is verklaard en beschikbaar komt.” Precies Bij de gemeente Veghel denkt Kremer er precies zo over. In Veghel zitten zo’n 250 werkplekken op vier Windows Terminal Servers met Citrix Metraframe. Volgens Kremer is een gemeente vele malen applicatie-intensiever dan een vergelijkbaar groot of middelgroot bedrijf. Een middelgrote gemeente als Veghel heeft ruim 150 actieve applicaties. In het verleden had Veghel goede ervaringen met een heel veilig disclosed Novell-netwerk. “Een dergelijke beveiliging ontbrak in de Windows NT-omgeving”, aldus Kremer. “Met het oog op het groeiende virusgevaar wilden wij een zelfde mate van veiligheid in ons nieuwe netwerk zien te krijgen toen we e-mail en internet op elke werkplek beschikbaar gingen stellen. Dicht timmeren is mogelijk met bestaande beveiligingssoftware die van alles en nog wat afvangt en tegenhoudt. Dat ging ons wat al te ver, omdat zo’n rigoureuze beperkende maatregel de gebruikers allerlei beperkingen oplegt in hun contacten met de buitenwereld.” Kremer vindt dat het open e-mailbeleid van de gemeente de beheerorganisatie met de zorg van een zekere mate van kwetsbaarheid confronteerde. “De mail en de attachments worden langs drie stappen gefilterd en op de aanwezigheid van virussen gescand: via GemNet, via de beveiligde ISA-Server en via de bestaande Exchange-omgeving”, aldus Kremer. “Dit vangt alle bekende virussen af maar er kan altijd een nieuw Nimda-achtig virus met een zichzelf activerende exe bij zitten dat tussen de mazen doorglipt. In dat geval voorkomt AppSense dat het virus tot actie overgaat. Op hetzelfde moment weten wij waar en wanneer de poging tot niet-geautoriseerd computergebruik werd ondernomen.”