Type inbreker is bepalend voor verdedigingsstrategie

Neem bijvoorbeeld de volgende – veel gehoorde – uitspraak: op het totaal van aanvallen komt 80 procent van binnen de organisatie. Maar wat moet je met zulke informatie? De internet-firewall de deur maar uit doen omdat die niet voldoende helpt op het totaal? Of het budget drastisch verhogen om ook de interne veiligheid op te vijzelen? Uiteraard zijn ook de firewall-technologieën die te koop zijn allemaal beter dan die van de concurrent en als zelf software patchen en logging bewaken geen opties zijn, dan kan dat worden uitbesteed aan derden met prachtige SLA’s (Service Level Agreements). Maar welk inbraakrisico wordt afgedekt door de gekozen firewall-technologie? En welk inbraakrisico wordt afgedekt door de geboden SLA? Er is geen antwoord op deze vragen te geven als men niet weet of men appels met peren vergelijkt en als men niet weet wat men tegen wie wil beveiligen. Onder de loep Er zijn allerlei manieren om beveiligingskwesties te benaderen, één methode is om het type aanvaller onder de loep te nemen. Er zijn grofweg vijf soorten aanvallers: • De echte hacker: de techneut die niet uit is op geldelijk gewin of het aanrichten van schade. Echte hackers wil je niet binnen hebben, maar werkelijke last heb je er niet van. Maar helaas hebben hackers geen betrouwbaarheidscertificaten. • De cracker: dit zijn omlaag gevallen hackers die vergeten zijn waar de normgrenzen liggen en schade aanrichten (bijvoorbeeld worm-aanvallen, website defacements of distributed DoS-attacks). Ex-werknemers met wraakzucht vallen ook in deze categorie. • De script-kiddies: dat zijn wanna-bee hackers met een onvolwassen normbesef en vooral ook zonder veel technische kennis. Zij maken misbruik van de hackersgedachte dat kennis openbaar moet zijn om verbetering mogelijk te maken. • De inbreker: iemand die het verkrijgen van geld (in welke vorm dan ook, dus ook losgeld door chantage of gezichtsverlies) als doel heeft. Inbrekers willen niet in de krant. Dit is de aanvaller die men het meest moet vrezen. Maar het is ook de aanvaller waar men zich al lang tegen wapent: met tralies, alarmsystemen, portiers en verzekeringen. Voor hen is netwerktechnologie simpelweg een stuk gereedschap in de gereedschapskist. • De cyber-terrorist: naast het verkrijgen van geld en faciliteiten (met inbreek- en crackeractiviteiten) is het doel van de cyber-terrorist meestal het ontwrichten van infrastructuren. Dat kan heel direct zijn: bijvoorbeeld een grootschalige DoS-attack of virusverspreiding. Maar gevaarlijker is het veranderen op grote schaal van (privacy)informatie in databases. Voor de cyber-terrorist is netwerktechnologie simpelweg een wapen in het arsenaal. Met deze indeling is op zich niet zoveel te beginnen. Het wordt pas interessant als de soorten aanvallers gekoppeld worden aan waar ze zich bevinden, hoeveel het er zijn en wat hun werkelijke doel is. Type Het doel van een aanval maakt meestal meteen duidelijk om welk type aanvaller het gaat. Er zijn gerichte en ongerichte aanvallen. De script-kiddies lanceren ongerichte aanvallen waarbij iedereen geraakt wordt die zich niet beveiligt tegen automatische probes, DoS-attacks, wormen of virussen. Hun doel is meestal dat ze willen laten zien hoe goed ze zijn. Er zijn veel script-kiddies, dus de overlast is groot. De overlast houdt men buiten de deur met elke commerciële firewall in combinatie met anti-virus-tools en een redelijk patchbeleid (met name voor browsers). Natuurlijk kunnen ook bij gerichte aanvallen de genoemde technieken worden gebruikt, je weet dus nooit zeker of een aanval van script-kiddies komt. Crackers werken met dezelfde tools als script-kiddies, maar hebben veel meer kennis van zaken. Ze hebben een doel, bijvoorbeeld het lamleggen van een grote website om te bewijzen dat ze dat kunnen of omdat ze een hekel aan iemand of iemands mening hebben (zoals weleens voorkomt bij ex-werknemers). Dat kan betekenen dat ze ongerichte aanvallen plegen: bijvoorbeeld een worm verspreiden om zo grote hoeveelheden computers op internet onder hun controle te krijgen, om vervolgens vanaf die systemen een breedschalige DoS-attack te starten. Met anti-virus-tools en firewall-technologie kan men voorkomen dat een eenvoudige pc misbruikt wordt in zo’n aanval. Met geavanceerde software en een paranoïde patchbeleid kan men voorkomen dat ook webservers worden misbruikt. Hoewel crackers gericht werken, zullen ze meestal aan een deur voorbij gaan als er een redelijk slot op zit. Voorkomen dat je zelf slachtoffer wordt van een distributed DoS-attack, is echter een heel andere kwestie. Cyber-terroristen opereren als crackers om zoveel mogelijk systemen te kraken, die ze vervolgens kunnen inzetten als middel bij bijvoorbeeld een DoS-attack. Tegen dat ‘verzamelen’ kan men zich redelijk wapenen met anti-virus-software en firewall-technologie. Maar als het doel het vergaren of wijzigen van informatie is, dan is er sprake van een gerichte aanval. De normale beveiligingsmaatregelen zijn dan niet voldoende: er zal maatwerkbeveiliging aan te pas moeten komen, bijvoorbeeld een extra firewall, betere bewaking en dergelijke. Hackers werken gericht. Ze kunnen zich niet bedienen van de meeste aanvallen zoals probes, DoS-attack et cetera, omdat deze schade aanrichten. Dat zou tegen de hacker-ethiek ingaan. Hun doel is het bewijzen van zwakheden en het vergaren en delen van kennis. Misschien zijn de meest interessante aanvallers de echte inbrekers. Inbrekers werken volgens een aanvalsboom. In de top van die boom staat het doel (bijvoorbeeld: ‘steel de goudstaven’, ‘steel de geheime formule’, maar niet: ‘steel de wachtwoordfile’). Dan worden verschillende middelen bekeken om het doel te behalen. Bijvoorbeeld: om de goudstaven te stelen moet je de kluis openen of openbreken. Openen kan weer door de code te stelen of door chantage. Openbreken is een ander pad, bijvoorbeeld met een thermische lans of dynamiet. Een inbreker zal deze aanvalsboom op meerdere manieren uitwerken en het pad van de minste weerstand kiezen. Uiteraard gecombineerd met een kleine pakkans. Als in zo’n pad een netwerkcomponent zit, dan wordt het spannend. Kan het alarm worden uitgeschakeld via een kraakbare computer? Of staan de geheime formules op een fileserver? Meestal zijn de fysieke risico’s van een inbraak wel bekend: als het alarm faalt dan heeft men toch nog een vrachtwagen nodig om goudstaven te vervoeren. Zo’n inbraak kan met allerlei fysieke middelen worden vertraagd (bijvoorbeeld met bewakers met geweren), dus is een computerinbraak bij Fort Knox om de kluis te legen, alleen iets voor een ‘Goldfinger’-filmscenario. Maar de held uit die film is de boef in ‘Entrapment’ waarbij een Network Time Protocol-aanval, om een computergestuurde financiële transactie te manipuleren, wordt gebruikt. Hoewel dat scenario (in de praktijk) voorlopig science fiction is, maakt het voorbeeld wel duidelijk dat steeds meer kapitaal ‘virtueel’ is. Kunst De kunst is om zelf een aanvalsboom te bedenken met alle netwerkcomponenten erin die zo goedkoop en gevaarloos mogelijk toegang geeft tot het doel. Naarmate er meer ‘virtueel’ kapitaal in een organisatie zit, wordt het steeds belangrijker een goed beeld van die boom te hebben. Pas dan wordt het duidelijk of 80 procent van de aanvallen van binnen komt en waarom. En of het wel de moeite waard is om dat op te lossen. Immers: (rest)risico’s kunnen worden verzekerd. Natuurlijk maken een firewall, anti- virus-tools et cetera, een belangrijk deel van de defensie uit. Men heeft die tools alleen al nodig om de overlast van script-kiddies te beperken. Maar als er eenmaal een aanvalsboom bekend is en de risico’s (dus) ook, dan kan er gerichter worden bewaakt. Of men die bewaking kan uitbesteden onder een algemeen geldende SLA, is de vraag. Er zijn veel manieren om beveiligingskwesties te benaderen. De snelheid en schaal waarmee aanvallen worden uitgevoerd na ontdekking van een bug is zorgwekkend, net zoals de verschuiving van fysiek waardevolle objecten naar virtueel waardevolle data. De netwerkwerkelijkheid verandert per dag, net zoals de aard van de aanvaller. Dat vereist een verandering in beveiligingsdenken: nu wordt nog vaak de aankoop van een firewall gezien als eindstation. Het is pas het begin. Leo Willems is senior-beveiligingsadviseur en directeur van Tunix Open System Consultants, te Nijmegen.Begrippenlijst Denial of Service (DoS)-attack Het laten crashen van een applicatie of zelfs een heel systeem, door gegevens over het netwerk aan te bieden die niet correct door het netwerk- of applicatie-protocol verwerkt kunnen worden. Distributed DoS-attack Een ‘oplossing’ tegen veel gebruikte DoS-attacks is het inzetten van veel resources aan de service-zijde: veel memory en veel bandbreedte. Eén aanvaller kan dan niet voldoende van de resources wegnemen om uitval te veroorzaken. Door grote hoeveelheden onschuldige pc’s op internet (automatisch!) te kraken, verzamelt een aanvaller ‘agents’ (ook wel ‘zombies’ genoemd). Vanuit een centrale monitor worden de agents geïnstrueerd een doel aan te vallen. De agents ‘samen’ kunnen wel alle resources van de service wegnemen. Patchen Patch-software is software die bij uitvoering een fout herstelt. Defacement Als een website wordt gekraakt en de ‘home-page’ wordt vervangen door onaardige teksten of erger, is er sprake van imagoschade voor de getroffene: gezichtsverlies. Service Level Agreement (SLA) Vastlegging van afspraken over niveau, kwaliteit en snelheid van service bij storing. Backdoor Een programma dat (verborgen) wordt geïnstalleerd op een systeem en daarmee de inbreker de volgende keer makkelijker toegang geeft tot het systeem.