chelloacademy cursusboek Beveiliging Een handleiding voor veilig surfen op het internet
Voordat je begint Beveiliging Het techno chello lesprogramma Beveiliging bestaat uit één cursus en maakt deel uit van het universele techno chello curriculum van de chelloacademy.
De cursus Beveiliging is bedoeld voor helpdeskmedewerkers van chello en installatietechnici (overeenkomstig de eisen van het bedrijf). Meer informatie over deze en over andere technologiecursussen van de chello academy kunt u vinden op de website van de chello academy:
http://www.chelloacademy.com Andere technologiecursussen van de chelloacademy zijn: -
Netwerkbeginselen Internettechnologieën Internetdiensten Besturingssystemen
Deze handleiding gebruiken Dit cursusboek is ontwikkeld door de chelloacademy om parallel met online lessen en met lessen in lesruimten gebruikt te worden. De online of in een lesruimte behandelde onderwerpen worden er samengevat, je vind er gedetailleerde informatie en er worden relevante internetbronnen vermeld. Voor een optimale layout en om het cursusboek zo gebruiksvriendelijk mogelijk te maken, bevat het de volgende markeringen om voor de lezer interessante informatie aan te geven:
Vak met extra informatie Deze vakken bevatten informatie die verder gaat dan nodig is om de inhoud van de cursus te begrijpen. Gebruik deze vakken als je bijzonder geïnteresseerd bent of als je denkt dat je de standaardinhoud nu wel begrijpt.
Test jezelf Met behulp van deze vakken kun je controleren of je het behandelde onderwerp begrijpt. De antwoorden vind je achter in het boek.
Als je dit cursusboek hebt, maar nog geen les hebt gehad of de betreffende online training nog niet hebt gevolgd, dien je je leidinggevende te vragen of hij of zij dat voor je kan organiseren.
Beveiliging versie 1.0 chello academy - januari 2002 intern en vertrouwelijk
2
Inhoud Voordat je begint ........................................................................... 2 Inleiding......................................................................................... 4 Beveiliging op het internet ............................................................. 4 Beveiliging op het internet ............................................................. 5 Niet-geautoriseerde toegang tot informatie en bronnen................................5 Onveilige communicatie ................................................................................6
Aanvallen door hackers................................................................. 7 Onuitgenodigd maar met toestemming toegang krijgen… ............................7 Een geldig wachtwoord achterhalen ................................................................... 7 Beheerdersrechten verkrijgen ............................................................................. 7
Externe toegang krijgen als dat niet toegestaan is........................................9 Soms helpen gebruikers hackers zonder het in de gaten te hebben…................ 9 Soms doen computers het allemaal zelf… ........................................................ 11
Zich voordoen als iemand anders ...............................................................12 Communicatiemiddelen verstoren...............................................................13 DoS - Denial of Service..................................................................................... 13 Spam ................................................................................................................ 13
Bescherming ............................................................................... 15 Wachtwoorden ............................................................................................15 Firewalls......................................................................................................16 Pakketfiltering ................................................................................................... 16 Gebaseerd op toepassingen ............................................................................. 16
Codering .....................................................................................................16 Beveiligingstoepassingen............................................................................18 Anti-virussoftware ............................................................................................. 18 Anti-spamsoftware ............................................................................................ 18
Test jezelf.................................................................................... 19 Samenvatting .............................................................................. 21 Links............................................................................................ 22 Antwoorden op de vragen bij Test jezelf!..................................... 23
Beveiliging versie 1.0 chello academy - januari 2002 intern en vertrouwelijk
3
Inleiding Het internet is een globaal netwerk van netwerken dat iedereen kan gebruiken om met elkaar te communiceren en kennis te delen. Een van de voordelen van het internet betekent tegelijkertijd een van de nadelen: iedereen heeft toegang tot het internet, dus ook personen met kwade bedoelingen. Daarom is beveiliging belangrijk voor alle gebruikers van het internet.
Doelstellingen !
De belangrijkste beveiligingskwesties van het internet leren begrijpen
!
Leren hoe een computer beschermd kan worden tegen de belangrijkste aanvallen
!
De meest gebruikelijke beschermingssystemen (voor hardware en software), zoals firewalls of anti-virussoftware leren begrijpen
Trefwoorden Hacker Cracker Wachtwoord Gebruikersnaam beheerder Cracking Sniffing Trojan Virus Social engineering Worms Snoffing Smurf SYN Flood Denial of Service Spam Netiquette pakketfiltering firewall Codering Symmetrisch Asymmetrisch anti-virussoftware Anti-spamsoftware Scanning MMF/Make money fast EMP/Excessive multi posting UCE/Unsolicited commercial e-mail ECP/Excessive cross posting
Beveiliging versie 1.0 chello academy - januari 2002 intern en vertrouwelijk
4
Beveiliging op het internet Beveiliging op het internet is een heet hangijzer. Het betreft niet alleen de aspecten vertrouwelijkheid, privacy en spionage, maar ook verantwoordelijkheid en de verschillende wettelijke voorschriften in verschillende landen. Met hackers worden de gebruikers bedoeld die proberen de beveiligingssystemen te doorbreken. Soms doen ze dat zonder kwade bijbedoelingen, zulke hackers worden vriendelijke hackers genoemd, dit in tegenstelling tot kwaadaardige hackers, oftewel crackers, die met kwade bijbedoelingen inbreken op websites, intranet, netwerkcommunicatie en speciale servers. Hackers en crackers worden vaak door elkaar gehaald, en crackers zijn inderdaad hackers, maar hackers zijn niet altijd crackers. Het internet is een verzameling computers die met elkaar kunnen communiceren. Er zijn twee probleemgebieden: - Niet-geautoriseerde toegang tot de informatie en de bronnen op een bepaalde computer - Onveilige communicatie tussen computers op het internet
Niet-geautoriseerde toegang tot informatie en bronnen Iedere computer bevat informatie en gebruikt bepaalde bronnen (bijv. geheugen, printers) die soms wel en soms niet gedeeld worden. Hackers zijn personen die geen toestemming hebben de gegevens op te vragen en/of de bronnen te gebruiken.
Wat kan een hacker doen? -
Gegevens raadplegen, bijv. een financieel rapport lezen Gegevens wijzigen, bijv. de gegevens van een financieel rapport veranderen Gegevens verwijderen, bijv. een financieel rapport wissen Gegevens gebruiken, bijv. een financieel rapport aan een concurrent verkopen Bronnen raadplegen om bijvoorbeeld te achterhalen met welk merk printer je werkt Bronnen gebruiken door bijvoorbeeld een fax te versturen vanaf jouw computer
Waarom zou een hacker dat willen doen? Hackers vinden het leuk om de fouten in beveiligingssystemen op te sporen. Crackers hebben echter geheel andere motieven: -
Geld:
De meeste servers die aangesloten zijn op het internet zijn het eigendom van bedrijven. Hun particuliere intranet vormt een doelwit voor hackers die toegang proberen te krijgen tot vertrouwelijke informatie of die gegevens proberen te wijzigen. Bedrijfsspionage is niet nieuw, maar elektronische spionage biedt geheel nieuwe mogelijkheden! Door toegang tot het intranet van een concurrent krijgt een hacker informatie over actuele projecten. Hij kan het bedrijf echter veel meer schade toebrengen door de inhoud van het intranet te wijzigen… -
Ideeën
Veel bedrijven en organisaties gebruiken een website om te adverteren of om bezoekers te vertellen waar het betreffende bedrijf voor staat en wat het doet. De website speelt een belangrijke rol op het gebied van marketing en de inhoud van deze site is dus enorm belangrijk. Hackers die een hekel hebben aan het bedrijf of de organisatie kunnen van de gelegenheid gebruik maken en protest aantekenen door de inhoud van de website te veranderen. In 1996 werd de homepage van de Amerikaanse luchtmacht vervangen door pornografische foto's en op de homepage van bontfirma Kriegsman werden de rechten van dieren verdedigd...
Beveiliging versie 1.0 chello academy - januari 2002 intern en vertrouwelijk
5
Onveilige communicatie Computers wisselen informatie uit via het internet als gebruikers chatten, e-mails versturen, deelnemen aan nieuwsgroepen of andere services gebruiken. Hackers zijn personen die geen toestemming hebben zich in de communicatie te mengen.
Wat kan een hacker doen? -
Berichten lezen, bijvoorbeeld een e-mail die aan iemand anders gericht is Berichten wijzigen, bijv. de inhoud van een e-mail Berichten verwijderen, bijvoorbeeld een e-mail verwijderen uit het postvak IN van de ontvanger Berichten gebruiken, bijvoorbeeld iemands e-mailadres achterhalen via de distributielijst Berichten verzenden, bijvoorbeeld commerciële mails waar de ontvanger niet om gevraagd heeft De service uitschakelen door de mailserver te laten vastlopen
Waarom zou een hacker dat willen doen? Ook hier gaat het de hacker om geld of ideologieën: -
Geld:
E-commerce is een van de grote internetrevoluties… en het bezorgt beheerders veel wat hoofdbrekens! Als je iets via het internet betaalt, moet je immers je creditcardgegevens over een openbaar netwerk versturen… Kevin Mitnick, een beroemde hacker, slaagde er in 17.000 creditcardnummers te achterhalen voordat hij gearresteerd werd… -
Ideeën
Sommige servers verschaffen WWW-, e-mail- of nieuwsservices. Als hackers inbreken op deze servers, kunnen ze de betreffende service niet meer leveren, omdat de server tijdens de aanval inactief of te langzaam is. Dit wordt DoS of Denial of Service (onthouding van services) genoemd. De eerste Denial of Service aanval van betekenis was de Morris Worm. Geschat wordt dat ongeveer 5.000 computers enkele uren buiten gebruik waren. Dit speelde zich af in 1988 en het was een ramp voor universiteiten en researchcentra, maar het had vrijwel geen effect op de rest van de wereld. Een vergelijkbare DoS-aanval zou tegenwoordig tot miljoenenverliezen leiden.
Onthoud het volgende! !
De twee belangrijkste beveiligingskwesties op het internet zijn: - Niet-geautoriseerde toegang tot de informatie en de bronnen van een bepaalde computer, zoals toegang tot en het gebruik van vertrouwelijke informatie. - Onveilige communicatie tussen computers, zoals toegang tot en het wijzigen van persoonlijke berichten.
!
De belangrijkste beweegredenen van hackers zijn het spelen met en het doorbreken van de beveiligingsmaatregelen.
!
De belangrijkste beweegredenen van crackers zijn geld verdienen en protest aantekenen.
Beveiliging versie 1.0 chello academy - januari 2002 intern en vertrouwelijk
6
Aanvallen door hackers Een computer is een soort middeleeuws kasteel dat tegen vijandige aanvallen beschermd moet worden. Mensen mogen het kasteel betreden als ze daar toestemming voor hebben en daarom controleren bewakers aan de poort de identiteit van bezoekers. Op soortgelijke wijze controleert een computer de identiteit van een gebruiker door middel van een gebruikersnaam en een wachtwoord.
Onuitgenodigd maar met toestemming toegang krijgen… Een van de belangrijkste beveiligingsaspecten verschijnt zodra u het besturingssysteem start. Je wordt dan namelijk gevraagd een gebruikersnaam en een wachtwoord in te voeren. Deze functies weerspiegelen de rechten van een bepaalde gebruiker: het recht netwerkbronnen zoals hardware (gedeelde printers) en software (gedeelde bronnen) te gebruiken. De “beheerder” is de eigenaar van het kasteel en kan doen wat hij of zij wil. Computers herkennen de beheerders ook aan hun gebruikersnaam en wachtwoord. De aanvallen van hackers bestaan uit twee stappen: - Een geldig wachtwoord zien te vinden en dan - Beheerdersrechten opvragen via een fout in het besturingssysteem.
Een geldig wachtwoord achterhalen Social engineering (sociale methodes) Met Social engineering wordt bedoeld dat hackers zich niet op de computer richten, maar proberen gebruikers hun wachtwoorden te ontfutselen: - Hackers doen zich bijvoorbeeld voor als technici die de server onderhouden en vragen gebruikers hun wachtwoorden op te geven - Hackers achterhalen achtergrondinformatie en proberen een wachtwoord te raden (kengetal van auto of namen van kinderen…). Wachtwoorden kraken Met wachtwoorden kraken wordt het uitproberen van een lijst met veel voorkomende wachtwoorden bedoeld. Dit gebeurt automatisch met behulp van een op een cracker-lijst gebaseerde toepassing. Deze lijst bevat woorden uit woordenboeken (in meerdere talen, met alle mogelijke combinaties van hoofdletters en kleine letters en waarbij woorden ook achterstevoren worden geschreven, dus bijvoorbeeld Hallo en ollaH), namen uit telefoonboeken en veel voorkomende wachtwoorden (bijv. qwerty, abcxyz…).
Gebruik nooit persoonlijke gegevens als wachtwoord! Vermeld je wachtwoord nooit over de telefoon of via e-mail! Gebruik altijd interpunctietekens en cijfers in een wachtwoord! Wachtwoorden sniffing (opsporen) Soms worden broadcast-berichten over het netwerk verzonden (een broadcast-bericht is een bericht dat naar iedere op het netwerk aangesloten computer wordt verzonden) en je kunt veel computers zodanig configureren dat al deze berichten gecontroleerd worden om de passerende wachtwoorden te achterhalen (Esniff.c is bijvoorbeeld een “sniffer Ethernet”toepassing).
Beheerdersrechten verkrijgen Zodra de hacker een geldig wachtwoord heeft gevonden, maakt hij gebruik van een van de fouten in het besturingssysteem om zichzelf beheerdersrechten toe te wijzen. Vaak opent hij dan de map met systeembestanden en creëert hij de bestanden waarmee de
Beveiliging versie 1.0 chello academy - januari 2002 intern en vertrouwelijk
7
gebruikersrechten gewijzigd worden. Daarom moet de systeemmap beveiligd worden en mag deze nooit gedeeld worden!
Als het hackers niet lukt een geldig wachtwoord te vinden, staan er nog enkele andere Onthoudtot het volgende! manieren hun beschikking om het kasteel mee aan te vallen…
!
Hackers proberen toegang te krijgen tot een systeem en voeren twee stappen uit: - Een geldig wachtwoord achterhalen - Zichzelf beheerdersrechten toewijzen.
!
Om een geldig wachtwoord te achterhalen, kunnen hackers het volgende proberen: - Social engineering: gebruikers om informatie vragen - Wachtwoorden kraken: meerdere mogelijkheden proberen - Wachtwoorden sniffen: netwerkcommunicatie onderscheppen
!
Hackers
proberen
fouten
in
de
besturingssystemen
Beveiliging versie 1.0 chello academy - januari 2002 intern en vertrouwelijk
te
vinden
om
8
Externe toegang krijgen als dat niet toegestaan is Aangezien hackers geen toegang hebben tot de computers van derden, kunnen ze met behulp van toepassingen proberen vanaf een afstand toegang te krijgen. Ze kunnen uit twee methoden kiezen: - Gebruikers voeren de toepassing zelf uit - Computers voeren de toepassing automatisch uit
Soms helpen gebruikers hackers zonder het in de gaten te hebben… Trojans (Trojaanse paarden) Trojans zijn toepassingen die verscholen zijn in een veilige toepassing. Gebruikers starten de toepassing (bijv. een game die gedownload is van het internet) en de verborgen toepassing doet zijn werk. Gebruikers hebben waarschijnlijk niks in de gaten en hackers hebben nu altijd toegang tot hun systeem. Het is dan net alsof de aanvaller vlak voor de computer zit, hij kan precies dezelfde dingen doen met de computer als de geautoriseerde gebruiker. Hackers gebruiken graag Trojaanse virussen om snel toegang te krijgen tot een computer, zodat ze deze kunnen gebruiken om er weer een andere computer mee aan te vallen. De volgende computer wordt aangevallen met gebruik van het IP-adres van de gehackte computer, zodat het vrijwel onmogelijk is om het spoor naar de originele hacker te achterhalen.
Virussen Virussen vallen ook onder dit type aanval, gebruikers starten dan meestal een programmabestand dat ze ontvangen hebben als bijlage bij een e-mail. Virussen sturen emails soms automatisch door naar alle e-mailadressen die opgeslagen zijn in de emailtoepassing en daarna laten ze het systeem vastlopen… Fred Cohen van de Universiteit van South California programmeerde het eerste officieel erkende virus in 1983. Als onderdeel van zijn proefschrift ontwikkelde hij de theorie van zichzelf reproducerende programma's en bewees hij tegelijkertijd het bestaan van dit type programma's. Het virus dat hij programmeerde werd uitgevoerd op het besturingssysteem UNIX, hetgeen betekende dat iedere gebruiker van het systeem toegang had tot alles.
Beveiliging versie 1.0 chello academy - januari 2002 intern en vertrouwelijk
9
Extra informatie – wat doet een virus precies? Zijn er verschillen? De grootste verschillen in de infectie van bestanden zijn afhankelijk van de manier waarop een virus zich openbaart in een programma. Vaak voegen virussen hun eigen programmacode toe aan het einde van een programmabestand en plaatsen ze een markering aan het begin van deze code. Als het programma dan gestart wordt, springt het rechtstreeks naar het virusprogramma, voordat de eigenlijke taken uitgevoerd worden. Daarna springt het programma terug naar het punt waar het proces oorspronkelijk werd onderbroken. De gebruiker merkt nauwelijks of helemaal niet dat het langer duurt om het programma te openen. Als het programma daarna weer geopend wordt, wordt eerst het virus gestart en vanaf dat moment zoekt het virus naar niet-geïnfecteerde programmabestanden die het ook kan wijzigen. De door het koppelen van de viruscode toegebrachte schade aan het bestand is niet permanent, deze virussen kunnen verwijderd worden. Er bestaan echter virussen die veel agressiever zijn en die net zoveel van het bestand overschrijven als ze nodig hebben voor hun programmacode. Als het hostprogramma even groot of groter is dan het virus, gebeurt dat vrij onopvallend. Als het virus groter is dan de host, wordt het bestand overschreven en zover vergroot als nodig is. Een bepaald type virus verplaatst de oorspronkelijke opstartsector, schrijft zijn eigen laadprogramma in de bootstrap (een routine die het BIOS opdracht geeft het besturingssysteem te laden) en verbergt zich dan ergens op het gegevensmedium. Als de computer dan opgestart wordt en de opstartsector benaderd wordt, wordt het virus eerst gestart en wordt toegang tot de verplaatste oorspronkelijke bootstrap omgeleid. Dit type virus valt vooral programmabestanden aan, zoals .COM en .EXE bestanden. Bestandsvirussen beperken zich niet tot programmabestanden, sommige infecteren overlaybestanden (.OVL) of systeemstuurprogrammabestanden (.SYS en .DRV). Volgens schattingen zijn er momenteel alleen voor het DOS-platform al meer dan 7.000 bestandsvirussen in omloop. Ontwikkelaars van computervirussen schrijven graag bestandsvirussen, omdat die zich zo ver kunnen verspreiden. Afhankelijk van de werkwijze kan een bestandsvirus binnen tien dagen de meeste (in sommige gevallen zelfs alle) programmabestanden op een computersysteem aanvallen. Er vallen verschillende typen virussen te onderscheiden op basis van de manier waarop ze te werk gaan of de programmeertechnieken waarmee ze gemaakt zijn. Hier volgen twee voorbeelden: Stealth-virussen. Stealth-virussen gebruiken verschillende technieken om te verbergen dat de schijf geïnfecteerd is. Als het besturingssysteem bijvoorbeeld bepaalde informatie opvraagt, verschaft het virus deze informatie in onbeschadigde staat. Dit houdt in dat het virus de informatie op het systeem opslaat als het voor het eerst toeslaat, zodat het besturingssysteem (en de virusscanners) later bedot kunnen worden. Polymorfe virussen. Polymorfe virussen zijn relatief nieuw en een stuk ingewikkelder, aangezien ze zichzelf kunnen veranderen, zodat het lastiger is om ze op te sporen. Er worden hoogstmoderne coderingstechnieken gebruikt voor deze virussen en dat houdt in dat het virus zijn eigen programmacode kan veranderen. Dit wordt "mutatie" genoemd en het betekent dat het virus zijn formaat en compositie kan wijzigen. Een goed ontworpen polymorf virus kan ontdekking vermijden, omdat de meeste virusscanners naar bekende patronen zoeken (omvang, controletotaal, enz.). Om deze ontwikkelingen het hoofd te kunnen bieden, werken virusspecialisten aan scanners die coderingspatronen kunnen herkennen.
Beveiliging versie 1.0 chello academy - januari 2002 intern en vertrouwelijk
10
Soms doen computers het allemaal zelf… Worms zijn toepassingen die zichzelf starten en uitvoeren en die helemaal alleen over het netwerk reizen. In 1988 creëerde een student binnen acht uur een worm die tussen 2000 en 3000 computers liet vastlopen. Dit is een agressieve aanval die echter niet efficiënt is op een netwerk waarop computers aangesloten zijn die op verschillende besturingssystemen werken. Het vervelende is dat dit een bekend hackerspelletje is dat iedere keer de kop opsteekt als er een nieuwe bug gevonden wordt in het besturingssysteem…
Onthoud het volgende! !
Als hackers niet rechtstreeks toegang hebben tot het systeem, kunnen ze het van een afstand aanvallen. - Gebruikers voeren de toepassingen zelf uit. - Computers voeren toepassingen automatisch uit.
!
Gebruikers kunnen toepassingen zelf uitvoeren en hebben meestal niks in de gaten. Trojans zijn bijvoorbeeld toepassingen die verstopt zitten in een zogenaamd veilige toepassing en virussen zijn vaak toepassingen die ontvangen worden in e-mailbijlagen.
!
Soms voeren computers toepassingen automatisch uit en versturen ze deze weer over het netwerk.
Beveiliging versie 1.0 chello academy - januari 2002 intern en vertrouwelijk
11
Zich voordoen als iemand anders Weer een andere aanvalsvorm, ook wel IP-spooffing genoemd. Hierbij doet de hacker zich voor als iemand anders. Er zijn vele verschillende manieren om dat te doen, hier volgen enkele voorbeelden. Onderweg, tussen afzender en ontvanger Hackers nemen het IP-adres van hun computer op de in de routeringskaart tussen de client en de server. Alle berichten passeren nu de computer van de hacker! Zich voordoen als de ontvanger Het is ook heel gemakkelijk het IP-adres van een client-computer te gebruiken, zodra deze uitgeschakeld wordt. De ontvanger worden Ook de e-mailservice kan “gespoofd” worden: SMTP-servers wisselen ASCII-opdrachten uit die handmatig (via Telnet) verzonden kunnen worden en het e-mailadres van de ontvanger bijvoorbeeld kunnen veranderen in dat van de hacker. Ook vele internetservices zijn kwetsbaar, zoals bijvoorbeeld DNS.
Extra informatie – DNS-spooffing Bij DNS-spooffing verraadt de cracker de DNS-server, om precies te zijn wijzigt hij de tabellen die de host-namen en IP-adressen toekennen. Deze wijzigingen worden opgeslagen in de conversiedatabases op de DNS-server. Als een client dan de resolutie van een host-naam opvraagt, ontvangt hij een onjuist adres, hij ontvangt namelijk het IPadres van een computer die bestuurd wordt door de cracker. De kans dat dit gebeurt is vrij klein, maar als het gebeurt, zou het tot een gevaarlijke situatie kunnen leiden. Laat u dus niet geruststellen door de zeldzaamheid van deze aanvallen. Wellicht ben je op dit moment bereid de aan het gebruik van deze services verbonden risico's te accepteren, maar stel u het effect van onjuiste DNS-informatie eens voor... Indringers kunnen spoofing-aanvallen gebruiken om BIND te dwingen onjuiste naamgegevens uit te voeren. Aangezien sommige systemen en programma's voor verificatie afhankelijk zijn van deze gegevens, is het dan mogelijk deze systemen te bedotten en zonder toestemming toegang te krijgen.
Onthoud het volgende! !
IP-spooffing is een manier om andere computers een IP-adres te laten erkennen.
!
Het is ook mogelijk e-mailadressen te 'spooffen' (zodat de andere computers een e-mailadres erkennen)
Beveiliging versie 1.0 chello academy - januari 2002 intern en vertrouwelijk
12
Communicatiemiddelen verstoren Vaak is het de bedoeling communicatie via het internet te verstoren en bijvoorbeeld e-mail-, nieuws- of www-services uit te schakelen. Dit wordt Denial of Service (DoS) genoemd.
DoS - Denial of Service Internetservices functioneren volgens het client/server-model waarbij servers de communicatie beheren voor hun clients. Vaak uit een aanval zich in een enorm aantal verzoeken dat naar de server verzonden wordt, zodat de server deze niet allemaal kan beantwoorden. Dit betekent dat een computer, net als een standaard client, een groot aantal verzoeken verzendt. Dit type aanval is efficiënter als het uitgevoerd wordt vanaf verschillende computers (die “onjuiste” verzoeken versturen). Dat wordt een distributed DoS (verspreide DoS) genoemd. Dit zijn de twee belangrijkste DoS: - Smurf - SYN Flood
Smurf Smurf is een DoS die Ethernet-netwerken aanvalt met gebruik van broadcast-berichten. Er worden dan broadcast-berichten verzonden waarin om een antwoord gevraagd wordt. Computers beantwoorden een van de computers, de veronderstelde afzender van het verzoek, maar deze heeft natuurlijk nooit een verzoek verzonden. Als er teveel computers reageren, ontstaat er enorm veel verkeer en loopt de “veronderstelde afzender van het verzoek” vast.
SYN Flood SYN Flood is een DoS die servers op basis van synchronisatie aanvalt. Synchrone communicatie is gebaseerd op het verzenden van twee berichten: SYN voor het tot stand brengen van de communicatie en ACK voor het starten van de communicatie. In het geval van SYN Flood worden er wel SYN-berichten maar geen ACK-berichten verzonden. En dus wachten servers op ACK-berichten en na een tijdje stopt de communicatie. Als servers echter te veel “SYN”-berichten ontvangen en op alle corresponderende “ACK”-berichten wachten, kunnen ze geen andere verzoeken uitvoeren en lopen ze vast!
Spam Spammers zijn gebruikers van e-mail of nieuwsgroepen die berichten versturen waar andere gebruikers niet om gevraagd hebben (deze berichten worden Spam genoemd). Dit betekent dat spammers gebruik maken van netwerkbronnen die eigenlijk ergens anders voor bedoeld zijn. Iedereen kan een spammer worden, zowel uit onwetendheid als met goede reden. De regels van de netiquette voorkomen spamming in het eerste geval (vooral in het geval van beginners). Tot spams behoren: - Excessive Multi-Posting (EMP): veel berichten meerdere keren versturen aan een groot aantal nieuwsgroepen. - Excessive Cross-Posting (ECP): een bericht versturen aan grote aantallen nieuwsgroepen. - Make Money Fast (MMF): bericht dat geld uitlooft als de ontvanger het doorstuurt naar vele andere mensen. - Illegale inhoud: berichten met illegale inhoud (let wel: wetten verschillen per land) - Geruchtenverspreiding: informatieve berichten, zoals viruswaarschuwingen. - Unsolicited Commercial E-mail (UCE, ongevraagde commerciële e-mail): mails met advertenties. Spamming is een type DoS, omdat het verkeersproblemen op het internet veroorzaakt en omdat het gebruik maakt van bronnen, zoals de capaciteit van de mail- of nieuwsservers.
Beveiliging versie 1.0 chello academy - januari 2002 intern en vertrouwelijk
13
Extra informatie – Spam – Shoulder of Pork en hAM Shoulder of Pork en hAM. Hmmm... vreemde naam! Hier volgt een vertaling van de oorsprong van deze term, de uitleg is afkomstig van www.whatis.com “Informatie uit de eerste hand geeft aan dat we de term te danken hebben aan een beroemde Monty Python sketch ("Well, we have Spam, tomato & Spam, egg & Spam, Egg, bacon & Spam...") die actueel was toen spam voor het eerst zijn kop opstak op het internet. Spam is een Hormel-vleesproduct dat tijdens de Tweede Wereldoorlog populair was in het Amerikaanse leger. “ Het verband met ongewenste e-mailberichten mag duidelijk zijn!
Onthoud het volgende! !
Hackers kunnen diensten ook vertragen of ze vast laten lopen met Denial of Services (DoS) en spamming.
!
DoS is gebaseerd op het verzenden van te veel verzoeken aan een server die met een bepaalde service belast is (bijv. www, nieuws, e-mail…). Twee bekende DoS zijn smurf (gebaseerd op broadcast) en SYN Flood (gebaseerd op synchronisatie).
!
Spamming betreft het verzenden van ongewenste berichten (e-mail of nieuws) over het internet en veroorzaakt verkeersproblemen en buitensporig gebruik van bronnen.
Beveiliging versie 1.0 chello academy - januari 2002 intern en vertrouwelijk
14
Bescherming Met het oog op al deze beveiligingsproblemen en mogelijke aanvallen is het dus belangrijk dat toegang tot gegevens en communicatie goed beschermd wordt. Toegang tot informatie wordt vooral beschermd door wachtwoorden en firewalls. Codering zorgt daarentegen voor vertrouwelijke communicatie. Daarnaast bestaan er toepassingen die de integriteit van het systeem regelmatig controleren.
Wachtwoorden Wachtwoorden vormen de eerste stap bij het toegang krijgen tot een systeem en het herkend worden als een geldige gebruiker met bepaalde rechten. Iedereen die iets van computers afweet, kan raden dat deze wachtwoorden opgeslagen zijn in een lijst die in de vorm van een bestand ergens op de computer opgeslagen is. Het is verstandig dit bestand te beschermen door het te coderen en alleen de beheerder toegang tot dit bestand te verlenen! Ook de keuze van het wachtwoord is belangrijk. Een wachtwoord is een verzameling tekens en mag tussen vijf en acht tekens bevatten. Er zijn meer dan 2,2 tot de veertiende mogelijkheden en crackers kunnen ze niet allemaal proberen. Crackers gebruiken echter bepaalde software die bepaalde “gebruikelijke wachtwoorden” probeert. Deze lijst is samengesteld met behulp van namenlijsten en woordenboeken in meerdere talen. Daarom mag een goed wachtwoord nooit: - Een voornaam of een achternaam zijn, zoals bijvoorbeeld Marc of craM - Een bestaand woord in een willekeurige taal zijn, bijvoorbeeld Computer of retupmoC Het is belangrijk om nummers en interpunctietekens te gebruiken in een wachtwoord. Een goede test van een wachtwoord is het gebruik van crackersoftware (bijvoorbeeld “Crack”) om te zien of het wachtwoord voorkomt in de lijst.
Extra informatie – Besturingssystemen en beveiliging Besturingssystemen worden vaak beoordeeld vanuit een beveiligingsoogpunt. Het idee dat Unix het “beste” en Windows het “slechtste” systeem zou zijn, is daar op gebaseerd. Zo eenvoudig is het natuurlijk niet. Het is echter wel belangrijk te begrijpen welke beveiligingsfuncties besturingssystemen kunnen bieden en welke verschillen er op dit gebied zijn. Het best beveiligde besturingssysteem stelt echter niets voor als het niet goed geconfigureerd is en het is niet altijd eenvoudig een besturingssysteem te configureren. Daarom moeten besturingssystemen aangepast worden aan de behoeften van een bepaalde gebruiker en dient er een evenwicht gevonden te worden tussen eenvoudige configuratie en het gewenste beveiligingsniveau. De volgende koppeling illustreert goed hoe u besturingssystemen kunt vergelijken: http://www.boran.com/security/
Beveiliging versie 1.0 chello academy - januari 2002 intern en vertrouwelijk
15
Firewalls Een firewall wordt gebruikt om te regelen wie toegang krijgt tot de bronnen en de op een computer opgeslagen of via een netwerk gedeelde informatie. Firewalls regelen ook de gegevensoverdracht van een computer of een netwerk naar de buitenwereld. Ze fungeren als deuren tussen de binnen- en de buitenwereld, in de meeste gevallen tussen een intranet en het internet. Een firewall kan uit software en/of hardware bestaan: het kan een computer of een router zijn waarop speciale software geïnstalleerd is, maar soms is het gewoon een kaart die in een computer geïnstalleerd is. Er zijn twee verschillende typen firewalls: - Pakketfiltering - Gebaseerd op toepassingen.
Pakketfiltering Het internet is gebaseerd op TCP/IP. Communicatie tussen computers over het netwerk vindt plaats met behulp van kleine gegevenspakketten. Ieder pakket bevat gegevens en een IPadres. Pakketfiltering bestaat in feite uit een aantal regels of een definitie van een “goed pakket” en een “slecht pakket”. Firewalls moeten geconfigureerd zijn met deze regels. Regels kunnen bijvoorbeeld gebaseerd zijn op de volgende voorwaarden: - IP-adressen, zo kunnen pakketten van een computer die illegale gegevens verspreidt, geweigerd worden. Filtering van IP-adressen werkt niet voor dynamische IP-adressen, omdat deze kunnen veranderen. - Trefwoorden, zo kunnen pakketten waarin seksuele termen voorkomen, geweigerd worden - Poort, zo kunnen pakketten voor poort x geweigerd worden, als x bijvoorbeeld de poort van een IRC- of nieuwsservice is… Pakketfiltering wordt gebruikt in firewalls, maar kan ook in routers gebruikt worden.
Gebaseerd op toepassingen Het internet is gebaseerd op het client/server-model. Dat wil zeggen dat je computer een client is en services opvraagt van een server. De bedoeling is om een firewall op te trekken tussen de computer en de server. Voor de buitenwereld wordt de firewall dan de client, in plaats van je computer. Voordat de firewall gegevens terugstuurt naar de computer, kan deze controleren of er virussen in voorkomen, ongewenste gegevens verwijderen, toegang tot bronnen weigeren, enz. Dit type firewall beschikt over enkele proxy-functies.
Codering Codering is de beste manier om berichten veilig over het internet te verzenden. Er zijn twee coderingsmethoden: - Symmetrish - Asymmetrisch. Er is een verschil tussen symmetrische en asymmetrische codering. Symmetrische coderingsprocessen (persoonlijke sleutelcodering) houden in dat de afzonder en de ontvanger dezelfde sleutel gebruiken voor het coderen en het decoderen van het bericht. Het nadeel hiervan is dat beide partijen de codering geheim moeten houden.
Beveiliging versie 1.0 chello academy - januari 2002 intern en vertrouwelijk
16
Asymmetrische codering (publieke-sleutelproces) gebruikt twee sleutels, één publieke en één persoonlijke. Hier komt dus een dubbele-sleutelproces bij kijken (persoonlijk en publiek). De RSA-algoritme kan bogen op een internationale staat van dienst. Slechts één persoon kent de geheime sleutel, terwijl beide personen over de publieke sleutel kunnen beschikken. Er worden twee aanvullende sleutels gemaakt en aan een gebruiker toegewezen. De publieke sleutel wordt gebruikt voor het coderen van de berichten en de persoonlijke sleutel voor het decoderen. Een van de twee kenmerksleutels blijft persoonlijk, terwijl de andere (een kenmerktestsleutel) openbaar gemaakt wordt. Zo garandeert u dat de persoonlijke sleutel niet berekend kan worden op basis van de openbare sleutel. Codering wil zeggen dat een document op basis van de openbare sleutel gecodeerd wordt en dat alleen de eigenaar van de persoonlijke sleutel het document kan decoderen. Dit gemengde model wordt in de praktijk vaak toegepast. De sleutelparen worden uitgegeven met behulp van een digitaal certificaat, dat uitgevoerd wordt op de plaatsen van certificering. Dit certificaat bevat informatie over de identiteit van de eigenaar van het certificaat en over de plaats van certificering. Het coderingsproces dient te garanderen dat alleen geautoriseerde personen toegang hebben tot opgeslagen informatie of tot informatie die via elektronische netwerken verzonden wordt. Zo worden gegevens beschermd tegen niet-geautoriseerde toegang door derden (vertrouwelijkheid). Asymmetrische codering kan ook de integriteit van verzonden gegevens en de identiteit van de persoon die met de codering belast is, garanderen.
Beveiliging versie 1.0 chello academy - januari 2002 intern en vertrouwelijk
17
Beveiligingstoepassingen Deze toepassingen worden ontwikkeld om de ontwikkeling van virussen tegen te gaan. Er zijn vele verschillende beveiligingstoepassingen, zoals bijvoorbeeld firewall-software, maar de twee belangrijkste zijn anti-virussoftware en anti-spamsoftware.
Anti-virussoftware Met anti-virussoftware worden toepassingen bedoeld die speciaal ontworpen zijn om computers tegen virussen te beschermen. Deze programma's hebben twee functies: virussen opsporen en virussen van het systeem verwijderen.
Virussen opsporen Dit zijn de twee belangrijkste methoden voor het opsporen van virussen: -
Scannen
Scannen is het achtereenvolgens controleren van alle bestanden om te zien of ze bekende virussen bevatten. Dit werkt alleen goed als je computers tegen “oude” virussen wilt beschermen. -
De integriteit van bestanden controleren
Er wordt een database opgesteld met bijvoorbeeld de volgende informatie over alle bestanden: omvang, datum, tijd en foutcodes (bijv. controletotaal, CRC). Om de integriteit van bestanden te controleren, vergelijkt de anti-virussoftware de database met de actuele situatie. -
Controleren op vreemd computergedrag
Sommige handelingen worden vrijwel alleen door virussen uitgevoerd, zoals bijvoorbeeld lezen of schrijven in een .exe-bestand. De anti-virussoftware probeert een virus te herkennen aan de hand van een lijst verdachte uitgevoerde opdrachten. Andere strategieën functioneren op soortgelijke wijze, maar ondernemen iets voordat de opdracht uitgevoerd wordt (ze proberen bijvoorbeeld verdachte opdrachten in bestanden te vinden). Deze laatste oplossing werkt ook goed tegen polymorfe virussen (gecodeerde virussen die voortdurend veranderen).
Virussen verwijderen Nadat de anti-virussoftware een virus vastgesteld heeft, moet het niet alleen het virus, maar ook alle geïnfecteerde bestanden verwijderen. In extreme gevallen kan dit ertoe leiden dat de hele vaste schijf opnieuw geformatteerd moet worden.
Anti-spamsoftware Anti-spamsoftware is een toepassing die uitkijkt naar berichten die je niet wilt ontvangen. Je kunt je eigen regels definiëren, bijvoorbeeld verboden trefwoorden of verboden emailadressen. Het is ook mogelijk berichten naar speciale mappen te sturen of automatische reacties op spam-berichten te verzenden. De meeste maatregelen tegen spam kun je configureren in e-mail- of nieuwsprogramma's die over filteropties beschikken.
Beveiliging versie 1.0 chello academy - januari 2002 intern en vertrouwelijk
18
Onthoud het volgende! !
De bescherming van netwerken en computers op het internet is van essentieel belang.
!
Wachtwoorden vormen de eerste stap in het beschermen van computers. Ze dienen zorgvuldig gekozen te worden en mogen niet onthuld worden!
!
Firewalls regelen de communicatie tussen een intranet en het internet (of een computer en het internet). Firewalls maken gebruik van pakketfiltering en/of op een toepassing gebaseerde heruitzending.
!
Communicatie via het internet kan beschermd worden door middel van codering. Er zijn twee belangrijke coderingssystemen: symmetrisch (één geheime sleutel) en asymmetrisch (een geheime en een publieke sleutel).
!
Anti-virussoftware wordt gebruikt om virussen op te sporen (scannen, de integriteit van bestanden en vreemd computergedrag controleren) en geïnfecteerde bestanden te verwijderen.
!
Anti-spamsoftware wordt gebruikt om ongewenste berichten te voorkomen (email en nieuws).
Beveiliging versie 1.0 chello academy - januari 2002 intern en vertrouwelijk
19
Test jezelf 1. Wat zijn voorbeelden van beveiligingsproblemen op het internet? a. Jouw e-mails kunnen gelezen worden door crackers b. Nieuws kan verspreid worden in nieuwsgroepen die je niet geselecteerd hebt c. Jouw computer kan gebruikt worden door iemand die er een verbinding mee gemaakt heeft 2. Wat is de belangrijkste reden voor crackers om te proberen je wachtwoord te raden? a. Crackers willen gewoon spelen b. Crackers willen beheerdersrechten op uw systeem c. Crackers willen je bang maken 3. Wat is het verschil tussen een trojan en een virus? a. Trojans zijn opgenomen in andere programma's, terwijl virussen rechtstreeks uitgevoerd worden b. Je kunt trojaanse aanvallen niet voorkomen, terwijl je anti-virussoftware kunt gebruiken tegen virussen c. Trojans worden ontwikkeld door hackers, terwijl virussen ontwikkeld worden door crackers 4. Wat is een worm? a. Een toepassing die automatisch uitgevoerd wordt b. Een virus die een worm afbeeldt op het scherm totdat je computer vastloopt c. Een apparaat dat crackers in een computer installeren voordat deze verkocht wordt om toegang te kunnen krijgen tot vertrouwelijke gegevens 5. Wat betekent DoS in beveiligingsjargon? a. Een oud, onbeveiligd besturingssysteem b. Aanvallen op servers die een service verschaffen c. Een virus dat alleen uitgevoerd kan worden op een DOS-besturingssysteem 6. Wat valt onder spam? a. Berichten die ik naar mijn vrienden stuur om ze te waarschuwen dat er een nieuw virus is en waarin ik ze vraag het bericht door te sturen naar hun vrienden b. Berichten die naar nieuwsgroepen verzonden worden om een product te adverteren c. Vertrouwelijke berichten die zonder codering verzonden worden 7. Welke wachtwoorden vallen gemakkelijk te kraken? a. “aZeRtY” b. “madretsma” c. a#hK9L,g 8. Wat is een firewall? a. Hetzelfde als een proxy b. Een beveiligingssysteem dat de gegevensoverdracht tussen een intranet en het internet beheert c. Een op wachtwoorden gebaseerd beveiligingssysteem 9. Wat is het zwakste punt van de scanmethodes die gebruikt worden in anti-virussoftware? a. Het scannen duurt zo lang omdat de anti-virussoftware alle bestanden controleert b. Tijdens het scannen is je computer niet beveiligd tegen virussen c. Er kan alleen naar bekende virussen gezocht worden.
U vindt de antwoorden op de laatste pagina
Beveiliging versie 1.0 chello academy - januari 2002 intern en vertrouwelijk
20
Samenvatting In deze cursus zijn de volgende hoofdpunten besproken: Beveiliging op het internet
!
! !
De twee belangrijkste beveiligingskwesties op het internet zijn: - Niet-geautoriseerde toegang tot de informatie en de bronnen van een bepaalde computer, zoals toegang tot en het gebruik van vertrouwelijke informatie. - Onveilige communicatie tussen computers, zoals toegang tot en het wijzigen van persoonlijke berichten. De belangrijkste beweegredenen van hackers zijn het spelen met en het doorbreken van de beveiligingsmaatregelen. De belangrijkste beweegredenen van crackers zijn geld verdienen en protest aantekenen.
De aanvallen van hackers
! !
!
! !
! !
!
Hackers proberen toegang te krijgen tot een systeem en voeren twee stappen uit: - Een geldig wachtwoord achterhalen - Zichzelf beheerdersrechten toewijzen. Om een geldig wachtwoord te achterhalen, kunnen hackers het volgende proberen: - Social engineering: gebruikers om informatie vragen - Wachtwoorden kraken: meerdere mogelijkheden proberen - Wachtwoorden sniffen: netwerkcommunicatie onderscheppen Hackers proberen fouten in de besturingssystemen te vinden om beheerdersrechten toe te wijzen aan zichzelf IP-spooffing is een manier om andere computers een IP-adres te laten erkennen. Het is ook mogelijk e-mailadressen te 'spooffen' (zodat de andere computers een e-mailadres erkennen) Hackers kunnen diensten ook vertragen of ze vast laten lopen met Denial of Services (DoS) en spamming. DoS is gebaseerd op het verzenden van te veel verzoeken aan een server die met een bepaalde service belast is (bijv. www, nieuws, e-mail…). Twee bekende DoS zijn smurf (gebaseerd op broadcast) en SYN Flood (gebaseerd op synchronisatie). Spamming betreft het verzenden van ongewenste berichten (e-mail of nieuws) over het internet en veroorzaakt verkeersproblemen en buitensporig gebruik van bronnen.
Bescherming
! ! ! ! ! !
De bescherming van netwerken en computers op het internet is van essentieel belang. Wachtwoorden vormen de eerste stap in het beschermen van computers. Ze dienen zorgvuldig gekozen te worden en mogen niet onthuld worden! Firewalls regelen de communicatie tussen een intranet en het internet (of een computer en het internet). Firewalls maken gebruik van pakketfiltering en/of op een toepassing gebaseerde heruitzending. Communicatie via het internet kan beschermd worden door middel van codering. Er zijn twee belangrijke coderingssystemen: symmetrisch (één geheime sleutel) en asymmetrisch (een geheime en een publieke sleutel). Anti-virussoftware wordt gebruikt om virussen op te sporen (scannen, de integriteit van bestanden en vreemd computergedrag controleren) en geïnfecteerde bestanden te verwijderen. Anti-spamsoftware wordt gebruikt om ongewenste berichten te voorkomen (email en nieuws).
Beveiliging versie 1.0 chello academy - januari 2002 intern en vertrouwelijk
21
Links Het internet bevat enorm veel informatie en als je geïnteresseerd bent in beveiliging, kun je er veel interessante wetenswaardigheden vinden. Hieronder staan een aantal koppelingen waarmee je aan de slag kunt!
Voor meer informatie: Duits: ! ! ! ! ! ! !
http://www.security-guide.ch/windows-sicherheit/inhaltsverzeichnis.html http://www.elektronikschule.de/~tokic/buecher/hacker/inhalt.htm http://www.zerosecurity.ch/index3.php3 http://www.zerosecurity.ch/internet/sicherheit.html http://www.bsi.de/ http://www.virus.at/security/securitycheck.html http://www.tatnet.de/
Engels: ! ! ! !
http://www.microsoft.com/technet/security/tools.asp http://www.securityfocus.com/ http://www.w3.org/Security/Faq/www-security-faq.html http://www.insecure.org/
Andere talen: !
http://www.security.nl
Beveiligingsfuncties en zoekmachine ! ! !
http://www.insecure.org/ http://www.mcafee.com/ http://www.symantec.com/
Verwijzingen in dit cursusboek ! !
www.whatis.com http://www.boran.com/security/
Beveiliging versie 1.0 chello academy - januari 2002 intern en vertrouwelijk
22
Antwoorden op de vragen bij Test jezelf! Hier vindt u de antwoorden op de vragen die gesteld zijn in de hoofdstukken “test jezelf” van dit werkboek. Mocht je vragen hebben betreffende deze antwoorden, dan kun je contact opnemen met uw trainer. Fijn dat je de chelloacademy gebruikt hebt:)
1. Wat zijn voorbeelden van beveiligingsproblemen op het internet? a. e-mails kunnen gelezen worden door crackers c. Je computer kan gebruikt worden door iemand die er een verbinding mee gemaakt heeft 2. Wat is de belangrijkste reden voor crackers om te proberen je wachtwoord te raden? b. Crackers willen beheerdersrechten op je systeem 3. Wat is het verschil tussen een trojan en een virus? a. Trojans zijn opgenomen in andere programma's, terwijl virussen rechtstreeks uitgevoerd worden 4. Wat is een worm? a. Een toepassing die automatisch uitgevoerd wordt 5. Wat betekent DoS in beveiligingsjargon? b. Aanvallen op servers die een service verschaffen 6. Wat valt onder spam? a. Berichten die ik naar mijn vrienden stuur om ze te waarschuwen dat er een nieuw virus is en waarin ik ze vraag het bericht door te sturen naar hun vrienden b. Berichten die naar nieuwsgroepen verzonden worden om een product te adverteren 7. Welke wachtwoorden vallen gemakkelijk te kraken? a. “aZeRtY” b. “madretsma” 8. Wat is een firewall? b. Een beveiligingssysteem dat de gegevensoverdracht tussen een intranet en het internet beheert 9. Wat is het zwakste punt van de scanmethodes die gebruikt worden in anti-virussoftware? c. Er kan alleen naar bekende virussen gezocht worden.
Beveiliging versie 1.0 chello academy - januari 2002 intern en vertrouwelijk
23