Peters Blog

on Security and More

Beveiliging

3/Feb 2006 By P. Peters
Internet Access Facilities Achterkrant security

Heeft u ook zo'n last van spam en virussen? Heeft u misschien gemerkt dat de hoeveelheid is verminderd? Waarschijnlijk heeft u het niet direct in de gaten, want de hoeveelheid blijft natuurlijk erg groot. Statistieken van verschillende organisaties doen geloven dat de hoeveelheid echt afneemt. Maar nu moet u niet opgelucht ademhalen.

Inbraken

Het lijkt er op dat de grote cybercriminelen hun werkterrein hebben verlegd naar directe inbraken op systemen. In het verleden lieten zij virussen schrijven om bepaalde acties uit te voeren of om grote netwerken van gekraakte machines aan te leggen.

Nu wordt er echter steeds meer gericht ingebroken op systemen die aan internet hangen. In het verleden werd dat ook wel gedaan, maar niet zo grootschalig als tegenwoordig. Toen was het ook meer het werk van warez groepen die veel opslagruimte zochten om hun illegaal verkregen software op te kunnen zetten.

Naast het feit dat de schaal van de inbraken is gewijzigd, is ook het doel van de inbraken anders. En doel kan hier op twee manieren opgevat worden.

Doel als in bedoeling

Het doel van deze inbraken is tegenwoordig vaak het verkrijgen van financiële informatie over de gebruiker van de machine. Denk hierbij aan inlogaccounts bij banken en creditcard maatschappijen. Dit zijn echter niet de enige doelen. Ook veilingsites als eBay zijn geliefde doelen. Niet zozeer omdat het zo mogelijk is om direct geld te vergaren, maar om op die manier artikelen te kunnen bestellen.

Bij veilingsites gebruikt men vaak andermans account om te bieden op artikelen. Het komt dan niet zelden voor dat er fors meer wordt geboden dan het artikel waard is. Vervolgens wordt gevraagd om dat te versturen naar een adres ergens in Afrika of Oost-Europa. Zogenaamd als cadeau voor een familielid. Het geld komt echter zelden.

Doel als in doelwit

De tweede betekenis van doel duidt op datgene wat door de criminelen als doelwit voor de aanval zelf wordt gebruikt. In het verleden was vooral het Operating Systeem zelf het doelwit. Maar ondertussen is dat allemaal redelijk goed beveiligd door patches en firewalls.

Tegenwoordig richten aanvallen zich echter steeds meer op de applicaties die bovenop het OS draaien. Men gaat er bovendien van uit dat het beheer van het OS ondertussen goed is ingericht waardoor aanvallen afgeslagen kunnen worden.

Maar vooral websites bieden een geliefd doelwit van de criminelen. Veel professionele websites worden opgebouwd m.b.v. diverse, veelal gedownloade scripts. En vooral in die scripts worden de laatste tijd steeds meer gaten ontdekt. Gaten die misbruikt kunnen worden om op het systeem binnen te komen.

Scriptingproblemen

Het probleem bij gaten in scripts is niet zo zeer het aanwezig zijn ervan. Die gaten worden wel gedicht. Problemen onstaan doordat degene die een script heeft gebruikt daarna niet meer in de gaten houdt of er gaten worden ontdekt en of er dus nieuwe versies van dat script zijn uitgekomen.

Gevolgen

Ook wij hebben hier last van. Ondanks dat we onze webserver en de lease servers up-to-date houden, blijkt er toch nog regelmatig een gebruiker een eigen script te hebben geïnstalleerd dat voor problemen zorgt. Onze eigen webserver hebben we gelukkig zodanig beveiligd met een firewall dat er niet veel mis kan gaan als er iets ongewoons is geïnstalleerd.

Lease servers proberen we zo goed mogelijk met firewalls te beschermen, maar als we niet weten wat de klant er op wil draaien, kunnen we ook die firewall niet optimaliseren. Om over andermans (co- located) servers maar niet te spreken.

We hebben jaren zonder problemen op dit gebied kunnen functioneren, maar sinds december vorig jaar hebben de criminelen ook de servers in ons netwerk gevonden. De gevolgen varieerden van vreemde processen die alleen wat processortijd verbruikten tot aanvallen die tijdelijk ons hele netwerk platlegden. En dat laatste was dus gerelateerd aan servers die niet bij ons onder beheer waren. :-(

Oproep

Wij willen dus alle klanten oproepen om voorzichtig te zijn met scripts en in ieder geval een inventarisatie te maken van de gebruikte scripts en de versies daarvan in de gaten te houden. Tot nu toe zien we het oplossen van de problemen nog als onderdeel van onze service. Maar op een gegeven moment kunnen ook wij het niet alleen aan en zijn we gedwongen servers of websites af te sluiten of kosten in rekening te brengen.

Disclaimer

Dit artikel is eerder gepubliceerd als een officiële Achterkrant voor Internet Access Facilities.

More Reading
Newer// Beurzen
Older// Oeps?

Copyright; 1995 - 2015 Peter Peters. All rights Reserved.