Module IX - Beveiliging
Stefan Flipkens - Cursus: Internet - Intranet (2004-2005)
IX–1
1. Virussen 1.1. Worm Een worm is een virus dat zichzelf probeert te verspreiden van host naar host. Meestal gebeurt dit via e-mail. In tegenstelling tot bij een gewoon virus heeft een worm na de infectie van het systeem verder geen handelingen meer nodig van de gebruiker om zich te verspreiden, een worm kan zich automatisch verspreiden. Een worm hecht zich ook niet aan andere bestanden, maar kan zichzelf zelfstandig verspreiden omdat het verspreidingsmechanisme ingebouwd zit. De verspreiding van een worm gebeurt aan de hand van e-mail adressen die op het geïnfecteerde systeem terug te vinden zijn. In de eerste plaats de e-mail adressen die terug te vinden zijn in het adresboek van de gebruiker, maar de nieuwere wormen zoeken ook in andere bestanden of op webpagina's die bezocht worden door de gebruiker. Over het algemeen veroorzaakt een worm en sterke stijging van het netwerkverkeer. Normale programma's gaan trager werken en dikwijls zelfs helemaal blokkeren. Wormen zijn de meest voorkomende vorm van een virus op de dag van vandaag, een recent voorbeeld is de Sasser worm.
1.2. Trojan De term Trojan Horse of Paard van Troje stamt uit de 12de eeuw tijdens de Trojaanse oorlog. Toen de Grieken deden alsof ze de strijd opgaven tegen Troje, schonken ze Troje een reusachtig houten paard dat onopvallend gevuld was met krijgers. Het paard werd door de Trojanen binnen de stadsmuren gebracht. 's Nachts verlieten de Griekse krijgers het houten paard om de poorten van de stad van binnenuit te openen, zodat het Griekse leger de stad kon binnendringen. In feite gebeurt er precies hetzelfde met de PC die besmet is/wordt met een Trojan. Een Trojan Horse bestaat uit 2 programma's. Een client en een server. De client wordt door de aanvaller gebruikt om de PC binnen te dringen. De server wordt (zonder dat je het door hebt) op de PC geïnstalleerd, zodra je een geïnfecteerd bestand opent. Vervolgens is de harde schijf beschikbaar voor iedere goed- of kwaadwillende aanvaller, die met behulp van een heel simpel programma, de PC binnen kan dringen.
1.2.1. Wat kan een Trojan aanrichten De cd-rom lade een aantal malen open en dicht laten gaan De muisknoppen omwisselen Programma's opstarten De muiscursor besturen Als je een microfoon aangesloten hebt, kan de aanvaller horen wat je zegt Bestanden uploaden/downloaden van je PC …
1.3. Hoax (nepwaarschuwingen) Een hoax is een waarschuwing voor een nep-virus. Het vraagt om bijgevoegd bericht naar iedereen die je kent door te sturen waardoor het gewenste (schadelijke) effect wordt bereikt. Het belangrijkste streefdoel van mensen die en hoax de wereld in sturen is immers het overbelasten of zelfs platleggen van (mail)servers. Stefan Flipkens - Cursus: Internet - Intranet (2004-2005)
IX–2
Een variant op de hoax is de zogenaamde kettingbrief, deze is vaak minder verwarrend omdat men hier niet gewaarschuwd wordt voor een schadelijk virus, maar geeft hetzelfde effect als een hoax. Wie heeft zich tot hiertoe immers nog niet laten verleiden om een e-mailtje verder te sturen naar al zijn contactpersonen om een arm ziek kindje te helpen of te protesteren tegen een maatregel van onze regering. De levensduur van een hoax kan jaren zijn omdat mensen zich steeds weer laten verleiden om een bepaald bericht verder te sturen en zo de hoax terug doen opflakkeren. De laatste jaren bestaan er ook hoaxes die u aanzetten tot het verwijderen van bestanden op u computer omdat ze zogezegd een slapend virus op uw computer bevatten. In werkelijkheid zijn dit bestanden die u computer nodig heeft voor zijn goede werking, het komt erop neer dat wanneer u deze bestanden wist, uzelf uw computer beschadigd.
1.3.1. De kenmerken van een hoax Een hoax is eenvoudig te herkennen. Ze bevat meestal de tekst Stuur dit bericht naar zoveel mogelijk mensen door en vaak worden bekende bedrijven zoals Microsoft of Ericson genoemd als referentie. De belangrijkste kenmerken van een hoax zijn: Een hoax bevat meestal tekst die u aanzet om het bericht verder te sturen Een hoax waarschuwt meestal voor iets dat grote schade kan aanrichten (het formatteren van uw computer, de beëindiging van een abonnement, …) Ze richten schade aan door mensen aan te zetten om zelf bepaalde bestanden te wissen op hun computersysteem. Er worden dikwijls bekende merknamen als referentie gebruikt (Microsoft, Symantec, CNN, …)
1.3.2. Wat doen na het ontvangen van een hoax Wanneer je een hoax ontvangt, stuur ze dan in geen geval door. Bij twijfel kun je zoeken op Google of een andere zoekmachine naar een typerend stuk tekst uit het bericht. Wanneer het om een viruswaarschuwing gaat bijvoorbeeld de naam van het virus dat vermeld wordt. Aan de hand van de resultaten van de zoekopdracht kun je dan uitmaken of het om een echte waarschuwing gaat of om een hoax.
1.3.3. Enkele voorbeelden Voorbeeld 01: Dit voorbeeld illustreert duidelijk het gebruik van bekende merknamen zoals CNN, Microsoft, McAfee, … en ook het aanzetten om het bericht zo vaak mogelijk door te sturen. Mocht u eroverheen lezen, de vette tekst moet uw aandacht trekken. ONMIDDELLIJK LEZEN EN ONMIDDELLIJK DOORSTUREN !!!!!!!!!!! Er is een virus op internet via e-mails Nooit open doen als u niet weet of ziet van wie het komt ........ Lees verder !!!!!!!!!!!! Iemand anders op het Internet neemt jouw naam en password over. Het is nog maar pas in circulatie, vanaf dinsdag. Het is een nieuw en heel gemeen virus waarvan weinig mensen op de hoogte zijn. Deze gegevens werden dinsdagmorgen door Microsoft vrijgegeven. Nogmaals, stuur het aan iedereen in jouw adresboek door zodat dit gestopt kan worden!!! AOL zegt dat het een heel gevaarlijk virus is waartegen momenteel geen remedie is.
Stefan Flipkens - Cursus: Internet - Intranet (2004-2005)
IX–3
Aangekondigd door CNN : "Het ergste virus ooit bekend. Een nieuw virus werd pas ontdekt en volgens Microsoft normen is dit virus het meest vernielend ooit!!!!!!!!! Dit virus werd gisteren namiddag ontdekt door McAfee en er werd nog geen bescherming ontwikkeld. Het virus vernietigt gewoon Sector Zero van de harde schijf, waar alle vitale informatie van de computer gestockeerd is. Het virus werkt als volgt : Het verzendt zich automatisch naar alle adressen van uw address book onder de naam "A Virtual Card for You". Zodra de zogezegde virtuele kaart geopend wordt, blokkeert de computer en moet de gebruiker heropstarten. Op het ogenblik dat de toetsen "ctrl+alt+del of de reset toets gebruikt worden, vernietigt het virus Sector Zero, wat een definitieve vernietiging van de harde schijf betekent". Volgens CNN heeft het virus gisteren in een paar uur tijd paniek gezaaid in New York. Open dus geen e-mail met als onderwerp "A Virtual Card for You", maar delete deze. Bovendien heeft Intel het bestaan van een andere zeer vernielende virus aangekondigd. Indien u een e-mail ontvangt met als onderwerp " An Internet Flower for You", moet u deze onmiddellijk deleten, zonder te openen. Het virus vernielt alle dynamic link libraries" files(.DLL). Uw pc zal onmogelijk kunnen heropstarten! Stuur dit bericht naar al uw kennissen. Beter 25 maal ontvangen dan niet ontvangen ! Voorbeeld 02: Het volgende is een ander voorbeeld van hoe mensen zich laten overhalen om een bericht zoveel mogelijk verder te sturen. Subject: gratis GSM (dit is geen grap!) Hallo allemaal, Bij de firma Ericsson geven ze gratis GSM's weg. Geen grap. Om hun eigen naamsbekendheid te verhogen schenkt Ericsson hagelnieuwe WAP-gsm. Alles wat je moet doen is aan minimaal 8 personen per Email deze aktie mailen. Ongeveer twee weken nadien ontvang je de nieuwe Ericsson T18. Verstuur je aan meer dan 20 personen deze mail dan ontvang je zelfs een R320. Stuur te allen tijde een kopie naar
[email protected] Veel groeten, Opmerking: Een belangrijke opmerking bij deze e-mail is dat wanneer u zich liet verleiden om deze e-mail verder te sturen naar de acht personen zoals gevraagd EN u stuurde ook een kopie naar de ericsson medewerkster, u zich schuldig maakte aan SPAM. Voorbeeld 03: JDBGMGR.EXE Onderwerp: Waarschuwing voor virus!!!!! We hebben een boodschap ontangen van een van onze contacten dat ons adresboek wel eens geïnfecteerd kan zijn door een virus (genaamd jdbgmgr.exe) dat niet gedetecteerd wordt door de Norton of McAfee antivirus scanners. Het virus slaapt ongeveer 14 dagen voordat het je computer gaat beschadigen. Het wordt automatisch doorgestuurd naar je contacten uit je adresboek, of je nu hen een e-mail stuurt of niet. Als het aanwezig is op uw PC is het mogelijk geïnstalleerd in c:\windows\system. Wat moet u doen: Stefan Flipkens - Cursus: Internet - Intranet (2004-2005)
IX–4
2. In het "Naam:" venster schrijft u "jdbgmgr.exe" 3. In het "Zoeken in:" venster gaat u naar "Drive_c (C:)" 4. Klik op "Nu zoeken" 5. Het virus heeft een klein beertje als icoon voor de naam "jdbgmg.exe" - OPEN DIT NIET !!!!!!!!! 6. Aanklikken met uw RECHTER muisknop en verwijderen (het gaat dan naar je Prullenbak) 7. Ga nu naar de Prullenbak en verwijder het bestand of maak de Prullenbak helemaal leeg ALS U HET VIRUS VINDT, MOETEN ALLE ADRESSEN IN UW ADRESBOEK GEWAARSCHUWD WORDEN, OOK AL HEEFT U DE LAATSTE TIJD GEEN E-MAILS GESTUURD, ZIJ KUNNEN DAN OP HUN BEURT OOK HUN CONTACTEN WAARSCHUWEN. Voorbeeld 03: MSN hoax INDIEN JE BIJ MSN EEN AANMELDINGSBERICHT KRIJGT OM IEMAND TOE TE VOEGEN MET VOLGEND ADRES (
[email protected]), AANVAARD DEZE DAN NIET. HET IS EEN ZEER KRACHTIG VIRUS WELK ZICH OVERZET NAAR AL JE CONTACTEN EN VERVOLGENS JE COMPUTER FORMATEERT; DIT IS ZEER BELANGRIJK!!!! KOPIEER DIT BERICHT EN ZENDT HET NAAR IEDEREEN DIE JE KENT
2. Ongewenst! 2.1. SPAM SPAM wordt algemeen gedefinieerd als ongewenste e-mail met een al dan niet commerciële bedoeling, die naar vele e-mailadressen wordt verzonden. Dus niet alleen mail over haargroeimiddelen of verlengingen van bepaalde lichaamsdelen (armen of benen ☺) is spam, maar ook bijvoorbeeld religieuze en politieke mail waar de ontvanger niet om gevraagd heeft. In feite kunnen we de volgende gradaties in massa e-mail onderscheiden: Spam: De mail is ongewenst en bevat veelal links naar commerciële sites zonder verdere uitleg over waarom de mail verzonden is en hoe men van de verzendlijst af kan. Opt-out mail: De mail bevat de mogelijkheid om jezelf van de verzendlijst te wissen. Opmerking: Bij de meeste spam werkt deze mogelijkheid niet of omgekeerd. Spammers met kwade bedoelingen misbruiken dit systeem om bevestiging te krijgen van de echtheid van een e-mail adres. De persoon die zich op deze manier uitschrijft wordt na het uitschrijven nog meer geplaagd door ongewenste e-mail.
Opt-in mail: Mail naar adressen die van tevoren zijn aangemeld, maar daarop is geen controle uitgevoerd. Double opt-in mail: Mail naar vooraf aangemelde én gecontroleerde adressen. Spammers gebruiken allerlei manieren om achter je e-mail adres te komen, of om te controleren of een e-mail adres bestaat: Een eerste is het zoeken naar e-mail adressen die vermeld staan op het internet, dit wordt ook wel e-mail harvesting genoemd. Een discussie groep Usenet is hierbij een belangrijke bron. Een tweede manier is de opt-out link die in de mail te vinden is. Het doel van deze link is in normale omstandigheden je uitschrijven van een nieuwsbrief, bij SPAM bevestig je door het
Stefan Flipkens - Cursus: Internet - Intranet (2004-2005)
IX–5
klikken op deze link echter dat je adres bestaat en zal je nog meer SPAM ontvangen na het klikken op deze link. Een derde manier is het insluiten van een web bug in HTML geformatteerde e-mail. Dit is een onzichtbare of soms zelfs zichtbare figuur die van een server wordt opgehaald, waarbij het e-mail adres van de ontvanger mee gecodeerd zit. Het bekijken van de e-mail (openen hoeft niet eens) is al voldoende om de tekening binnen te halen en op die manier te bevestigen dat het e-mail adres bestaat. Op deze manier bevestig je niet alleen dat je e-mail adres bestaat, maar in veel gevallen stuur je ongewild nog een aantal gegevens mee (IP adres, Operating System, Browser, …) De enige manier om dit te omzeilen is het uitschakelen van de HTML mogelijkheid van je email client.
2.2. SPIM SPIM is vergelijkbaar met SPAM dit zijn ongewenste berichten, maar deze worden niet via e-mail verstuurd maar via de verschillende IM1 netwerkerken.
2.3. Spyware Spyware zijn ongewenste programmatjes die meestal voor een deel met onze toestemming geïnstalleerd worden op ons systeem. Ze worden meegeleverd bij een andere toepassing die we willen gaan gebruiken. Een goed voorbeeld hiervan is KaZaA. Deze gratis versie van deze toepassing zit spyware verwerkt, het is niet mogelijk om deze versie te installeren zonder de spyware, dus nemen de meeste mensen dit kwaad er maar bij. Spyware kan goedaardig of kwaardaardig zijn. Vroeger bracht men versies van programma's op de markt die gratis gebruikt mochten worden als in ruil een bijbehorend programmaatje geïnstalleerd mocht worden dat het mogelijk maakte om bijvoorbeeld een complexe berekening te laten uitvoeren door een gigantisch grootte keten van computers. In ruil voor de andere software stond je eigenlijk een beetje processorkracht af aan een instelling die dat nodig had om zware berekening uit te voeren. De spyware verwerkt in p2p clients zoals KaZaA heeft als bedoeling om de zoektermen die de gebruiker ingeeft, te traceren en door te spelen aan andere sites. Aan de hand van deze informatie krijgt de gebruiker als hij bepaalde websites bezoekt advertenties te zien die overeenkomen met de ingegeven zoektermen, of zijn interesses.
3. Andere Gevaren 3.1. Spoofing Spoofing is het vervalsen van adressen, dit kan gaan om ip adressen, e-mail adressen, urls, …
3.1.1. IP Spoofing IP Spoofing of IP-adresvervalsing worden pakketten gemaakt die eruit zien alsof ze van een ander IP-adres afkomstig zijn. Deze techniek wordt hoofdzakelijk gebruikt in eenrichtingsaanvallen (zoals DoS aanvallen). Wanneer de pakketten van een computer in het lokale netwerk lijken te komen, dan kunnen ze zelfs doordringen door de beveiliging van een firewall. Deze laatste is immers bedoeld om het netwerk te 1
IM: Instant Messaging
Stefan Flipkens - Cursus: Internet - Intranet (2004-2005)
IX–6
beschermen tegen indringers van buiten het netwerk (IP adressen in een ander bereik dan het binnen netwerk). IP spoofing is moeilijk te traceren, hiervoor zijn de kennis en de mogelijkheid nodig om gegevens pakketten te controleren en analyseren. IP spoofing is een truc die door hackers gebruikt wordt om in te breken in een computersysteem, de hacker kan immers laten uitschijnen dat zijn computer een andere computer is, door het adres van zijn computer te wijzigen in dat van het andere systeem en dit laatste intussen uit te schakelen (bijvoorbeeld door middel van een syn attack). De systemen die daarna in aanraking komen met het systeem van de hacker denken dan dat het om een ander systeem gaat dat toegang heeft tot gegevens en geven dan hun informatie vrij. Een tweede reden waarvoor een hacker IP spoofing kan gebruiken is het opwekken van dataoverdracht naar een verkeerde host om op die manier gemakkelijk een DoS aanval te genereren.
3.1.2. E-mail Spoofing Bij e-mail spoofing wordt in het veld dat het adres van de afzender bevat een ander adres geplaatst zodat het lijkt dat iemand anders het bericht heeft gestuurd. Sedert eind 2003 circuleren er op het internet nogal wat berichten die qua vorm en lay-out nogal lijken op de officiële Microsoft beveiligingsupdates. Ze worden extra overtuigend omdat in het adres van de afzender een vervalst Microsoft e-mail adres staat. De meeste van deze valse berichten zijn echter gemakkelijk te herkennen aan de bijlage die aan het bericht hangt. Microsoft stuurt immers NOOIT patches als bijlage in een e-mail.
3.1.3. URL spoofing Via de meeste browsers is het mogelijk om op een eenvoudige manier snel in te loggen op een website door middel van de url zoals: http://[gebruikersnaam]:[wachtwoord]@www.domeinnaam.nl
Door de url op deze manier in te geven hoeft de gebruiker niet apart in te loggen op de website. Het inloggen en het aanmelden aan de website gebeurt in een keer. URL spoofing is een techniek die misbruikt maakt van deze syntax. Wanneer we de link uit opnemen in een HTML document dan lijkt het voor de bezoeker van onze webpagina alsof de link verwijst naar de website van Microsoft.
http://www.microsoft.co m Code Snippit 110
In werkelijkheid wordt de bezoeker die deze link aanklikt omgeleid naar de website van Sun, de concurrent van Microsoft. Ook wanneer je met je muis over de link beweegt staat in de statusbalk netjes de url van de website van Microsoft. In nieuwere en bijgewerkte versies van Microsoft Internet Explorer werkt deze vorm van spoofing niet meer, maar Internet Explorer is bijzonder gevoelig aan url spoofing omdat hij geen waarschuwing geeft dat er iets mis is. URL spoofing wordt al eens gebruikt om aanlog gegevens van een gebruiker op een bepaalde website te ontfutselen. Voorbeeld: De hacker maakt een bijna exacte kopie van de website van een bankinstelling en host Stefan Flipkens - Cursus: Internet - Intranet (2004-2005)
IX–7
deze ergens op een webserver. De hacker plaatst dan een aantal links op verschillende websites die zogezegd verwijzen naar de website van de bewuste bankinstelling, of stuurt officieel getinte e-mails naar gebruikers met ingesloten zo'n link waarin hij vraagt om de gegevens of het banksaldo te controleren. Wanneer de gebruiker dan op zo'n link klikt wordt hij omgeleid naar de nagemaakte website waarop hij kan aanmelden. Eens de bezoeker zich aanmeld door zijn gebruikersnaam en wachtwoord in te geven is de hacker in het bezit van deze gegevens en kan hij deze gebruiken om op de echte website in te loggen. Meestal wordt na het inloggen een scherm getoond dat aangeeft dat de dienst op het moment niet bereikbaar is, zodat op dat moment de gebruiker zich nog steeds van geen kwaad bewust is.
Jammer genoeg heeft Microsoft gekozen voor een wel heel gemakkelijke manier om url spoofing tegen te gaan. In de nieuwere versies wordt een url met de voorgaande syntax onmogelijk gemaakt. Hierdoor gaat helaas ook de mogelijkheid verloren om inloggegevens mee te sturen in een url. Opmerking: Met de beveiligingsupdate (Q832894) voor Internet Explorer kun je ervoor zorgen dat spoofing via de navigator tegengegaan wordt.
3.2. Phising Het vissen naar wachtwoorden of andere persoonlijke gegevens is een nieuw fenomeen dat opduikt naast virussen, spam, wormen, Trojaanse paarden en dergelijke aanvallen op onze systemen. Dit wordt ook wel Password Harvesting of Phising genoemt. Hierbij maakt men gebruikt van de combinatie SPAM en Spoofing. Het verzamelen van- of vissen naar gegevens gebeurt op een geniepige manier. Meestal begint dit met een nogal professioneel uitziende email die afkomstig lijkt van een betrouwbare instantie of een bekend adres. De inhoud van zo'n bericht kan over van alles gaan, een storing in het systeem, misbruik van je gegevens of een andere mooie smoes, maar … uiteindelijk probeert men je altijd te overtuigen om je gegevens te verifiëren. Voor je gebruiksgemak bevat het bericht een snelkoppeling waardor je direct naar de betreffende pagina wordt omgeleid, die er opnieuw vertrouwd uitziet. In werkelijkheid gaat het hier meestal om een goed genomen kopie opgezet door Phisers met als enige doel om je bepaalde gegevens te ontfutselen. Wat kunnen we ertegen doen: niet reageren op zulke berichten, zeker niet doorsturen nooit een link gebruiken uit het bericht, type zelf het bekende adres, in het adres veld van je browser. geeft NOOIT persoonlijke gegevens, zelfs als je zeker bent dat je op de originele website van het bedrijf bent.
4. Soorten aanvallen 4.1. Syn Attack Computers die met elkaar communiceren laten elkaar constant weten dat de informatie verstuurd is, en vervolgens dat de informatie ontvangen is. Dit gebeurt met synchronisatie pakketjes. De ene computer zegt informatie verstuurd en de andere antwoord dan informatie ontvangen.
Stefan Flipkens - Cursus: Internet - Intranet (2004-2005)
IX–8
Figuur 183
Bij een syn attack stuurt de hacker constant pakketjes met als inhoud informatie verstuurd, zonder het antwoord te accepteren. De aangevallen computer blijft dan doelloos pogingen ondernemen om antwoord te geven en kan intussen niet met andere systemen communiceren.
Figuur 184
4.2. DoS Attack Een DoS aanval of Denial of Service attack is een aanval die een hacker uitvoert om een netwerkservice te zwaar te belasten of stop te zetten, bijvoorbeeld een webserver of een fileserver. De aanvaller probeert ervoor te zorgen dat een server zo zwaar belast wordt dat deze niet meer reageert op legitieme verbindingsaanvragen. Microsoft is een gegeerde prooi bij dit soort aanvallen, een goed jaar geleden werden de servers waarop de windows updates website gehost waren in die mate aangevallen dat Microsoft genoodzaakt werd om deze systemen draaiende op het Microsoft platform te deactiveren en andere servers draaiende op een Linux platform met een Apache webserver in de plaats te zetten. Novell is ook een tijdje een gegeerde prooi geweest voor dit soort aanvallen omwille van de licentie strategie waarop ze wilde overstappen ivm de distributie van Linux.
Stefan Flipkens - Cursus: Internet - Intranet (2004-2005)
IX–9