PETER PEERDEMAN P P E E R D E @ F E W. V U . N L 1536494 – PPN200 INFORMATICA VA K C O D E 4 0 0 1 4 6 JULI 2006
E N C YC L O P E D I E ” THE GOOD, THE BAD AND THE USER”
Inhoudsopgave Inleiding ...................................................................................... 3 Oudheid ...................................................................................... 3 De sleutel .................................................................................... 4 Vroege sloten ............................................................................. 4 Veiliger Sluiten ........................................................................... 5 Hobby en kunst ......................................................................... 5 Klopje .......................................................................................... 5 Digitalisering............................................................................... 6 Phreaking .................................................................................... 6 Privacy ......................................................................................... 7 Spam ............................................................................................ 7 Netwerk ....................................................................................... 7 Netwerk door de lucht.............................................................. 8 Schijnveiligheid .......................................................................... 8 Conclusie..................................................................................... 9 Bronnenlijst .............................................................................. 10
2
THE GOOD, THE BAD AND THE USER KORTE SCRIP TIE INLEIDING
Security, of veiligheid, is een term die op heel veel verschillende manieren kan worden opgevat. Het kan gaan om bijvoorbeeld fysieke veiligheid, veiligheid van informatie en hoe veilig voedsel wel niet is met betrekking tot ziektes en dergelijke, maar bijvoorbeeld ook over financiële “zekerh eid” en co m p u terveiligh eid . Zo zorgvuldig als wij zijn willen we altijd zorgen dat hetgeen dat wij bezitten ook in ons bezit blijft en dat wij altijd zelf zeggenschap blijven houden over wat ermee gebeurt of niet. Jammer genoeg is dit tegenwoordig makkelijker gezegd dan gedaan. De manieren van interactie tussen mensen zijn in gigantische hoeveelheden toegenomen en daarmee ook de onveiligheden in de verschillende vormen van informatie overdracht. Doordat niet alleen menselijke onzorgvuldigheden maar ook de kwaadwillende medemensen een rol spelen in dit geheel wordt het vuurtje nog eens extra opgestookt. In de loop van de geschiedenis zijn er een hoop punten geweest die rechtmatig onder het kopje veiligheid kunnen worden toegeschreven. De manieren waarop dingen beveiligd worden en daarna weer gekraakt worden zijn ontzettend interessant om eens stuk voor stuk te belichten. Vooral de vorderingen aan de aanvallende kant zijn verbazingwekkend. De snelheid waarmee bepaalde beveiligingen omzeild worden is bijna fenomenaal. Een grote groep mensen verzint een bepaald systeem, maar een veel grotere groep mensen probeert het systeem uit, zoekend naar de plek waar het ontwerp een steekje laat vallen. Vervolgens bestaat er ook nog een groep die vervolgens probeert financieel gewin uit de situatie te slaan met behulp van de gewonnen informatie. Vragen die rond dit onderwerp opdoemen zijn vaak lastig te beantwoorden. Hoe veilig zijn wij eigenlijk? Hoelang gaat de race tussen de beveiligers en de krakers nog door? Wie wint deze race uiteindelijk? Omdat er een hoop factoren meespelen in de geschetste situaties is het erg lastig om te oordelen over wat nu precies de veiligheid exact inhoud. Met deze scriptie zal ik proberen wat extra licht te schijnen op verschillende aspecten van het begrip veiligheid. Vooral op de fysieke beveiliging en de computerveiligheid zal ik me focussen, aangezien hier de twee afzonderlijke groepen het beste te scheiden zijn, en er een duidelijke situatie schets gegeven kan worden. OUDHEID
Al ver in het verleden worden er methoden gebruikt om de veiligheid van mensen en spullen te waarborgen. Hier is ook altijd al behoefte aangeweest, omdat er ook altijd kwaadwillende mensen zijn geweest die van andermans informatie en materialen misbruik willen maken. Een interessant punt in de geschiedenis zijn bijvoorbeeld de Egyptenaren die de tombes is hun piramiden al wisten te beveiligen, al was het op ontzettend primitieve manier. Om te zorgen dat belagers niet zomaar bij de graftombe, inclusief alle goudschatten die daarbij gezet waren, werden complete doolhoven geconstrueerd. Vaak waren het de geheime gangen in deze piramides die naar de ware rustplaats van de farao leidde. Deze graven waren vaak op meerdere manieren verzegeld, om ervoor te zorgen dat schatgravers (letterlijk en figuurlijk) nooit onopgemerkt een graf van hun kostbare inhoud konden beroven. In de tombe van King Tut waren de deuren bij de afsluiting van de piramide verzegeld, wat wil zeggen dat ze niet open waren te maken zonder kapot te maken. Op het moment dat archeologen op de tombe stuitte en begonnen met uitgraven kwamen ze tot de conclusie dat de tombe tot twee keer aan toe slachtoffer was geworden van grafroving. De eerste groep heeft een gat in de toegangsdeur gemaakt en daarmee
3
een deel van de achterliggende gang laten instorten. De tweede groep heeft door deze instorting heen gegraven, schatten meegenomen en de deur weer opnieuw verzegeld door met minder oude stenen het gat in de deur weer op te vullen, om de sporen van inbraak te wissen. DE SLEUTEL
Het dichtmetselen van een deur is niet alleen een hele primitieve vorm van inbraakbeveiliging maar ook een nogal onhandige. Het is na het dichtmetselen en daarmee verzegelen van een deur niet meer mogelijk voor de eigenaar om de deur weer te openen. Misschien hadden de dode farao ’s w el geen sleu tel n o d ig, m aar vo o r an d ere to ep assin gen w as h et vo o r d e eigen aar ontzettend handig om zelf nog wél toegang te hebben tot de opgeborgen spullen. Een deur verzegelen vanuit de binnenkant kan ook nog, ware het door bijvoorbeeld de deur te barricaderen d o o r m id d el van zw are vo o rw erp en o f een zo geh ete “d w arsb o o m ” d ie d e in gan g to t d e d eu r belemmert. Deze methodes worden vaak teruggevonden in fortificaties, waarin er vanuit de uitkijktoren kan worden gekeken of degene aan de andere kant van de poort vriend of vijand is. Het vervelende van deze methodes blijft dat er iemand aan de beschermde kant moet staan om de toegang te kunnen verschaffen. M en m o est o p zo ek n aar een m eth o d e o m een b ep aald “iets” m ee te ku n n en n em en , o m datgene te gebruiken om weer hernieuwde toegang te krijgen tot de afgesloten waren. Er was een behoefte aan authenticatie. Een makkelijk “iets” o m m ee te n em en van u it d e fo rtificatie w as een wachtwoord. Een simpel woord, dat bij entree toegang verschafte tot de fortificatie. Een wachtwoord, in deze letterlijke zin van het woord, is in een aantal opzichten geen verstandige vorm van authenticatie. Wachtwoorden kunnen worden vergeten, afgeluisterd, verhoord en overgenomen worden door een kwaadwillende dit met alleen dit woord onrechtmatige toegang weet te verkrijgen. De toegang moest worden kunnen geregeld met iets materieels, iets dat iem an d an d ers n iet h ad . D e “sleu tel” vin d h ier zijn o o rsp ro n g. VROEGE SLOTEN
Het oudste slot ooit gevonden is ongeveer 4000 jaar oud en werd gevonden in het Khorsabad paleis in Niveneh. D it slo t is een vo o rlo p er van d e “wooden cane tumbler lock” (Figuur 1) en daarmee een voorloper van sloten die wij vandaag de dag nog steeds kennen. Dit oude slot werkte door middel van een lange houten paal met uitstekende paaltjes aan de bovenkant, een primitieve en vergrootte versie van de sleutel zoals wij die vandaag de dag kennen. Het slot zelf bestond uit een dwarsboom die de deur vergrendelde, die in de bovenkant van het oppervlakte gaten had waar houten paaltjes in staken. Door de zwaartekracht vielen de houten paaltjes in de dwarsboom zodat de dwarsboom niet verwijderd kon worden. Door middel van het oplichten van de paaltjes met de sleutel werd de weg van de dwarsboom niet meer belemmerd en kon deze verwijderd worden, waardoor de deur niet langer vergrendeld was. Tot het genoegen van kwaadwillende was de weg waar de sleutel doorheen moest zo groot, dat een willekeurig passend object ook naar binnen kon worden geschoven om de pinnen op te kunnen lichten. Het openmaken van sloten op schadeloze wijze anders dan met d e sleu tel w o rd t “lo ckp ickin g” gen o em d en w o rd t d u s zelfs al op de alleroudste sloten toegepast.
4
Figuur 1: Illustratie van een “w ooden can e tu m bler lock ”, een van de eerste sloten die gebruik maakte van beweegbare pinn en , ook w el “pin tu m blers”.
VEILIGER SLUITEN
De eerste geheel ijzeren sloten werden rond het jaar 870 tot 900 geïntroduceerd. Om de veiligheid van het systeem te vergroten moest er een manier komen om te zorgen dat alleen de sleutel en niet een of ander gereedschap de sleutelweg in kon komen. Om deze reden werden o b stru cties in d e sleu telw eg aangeb rach t, zo gen aam d e “w ard s”. D eze o b stru cties vernauwden de sleutelweg waardoor het lastiger werd, maar niet onmogelijk om met haakjes en staafjes het slot te manipuleren. Hoewel de sleutels en sloten langzamerhand veranderden in kleine kunstobjecten, vervaardigd door de meest kundige metaalbewerkers bleef de veiligheid van de sloten steken op h et n iveau van d e “w ard ed ” slo ten . Het niveau van veiligheid werd vooral bepaald door de toegankelijkheid van het slot, ingewikkelde warding en de hoeveelheid nepsleutelgaten. Vaak werd geprobeerd de sleutelopening te verhullen door metalen plaatjes ervoor te schuiven. Een doorbraak in veiligheid werd geboden door d e “d o u b le lever tu m b ler” van R o b ert B arro n in 1778. T w ee h en d els “levers” vallen in gaten van d e d w arsb o o m en b lo kkeren d aarm ee h et mechanisme totdat de sleutel de twee hendels op verschillende hoogte wegdraait zodat het mechanisme wordt vrijgegeven. De sloten die wij vandaag de dag kennen bestaan nog uit deze lever tumbler slo ten , “w ard ed ” slo ten en ten slo tte d e meer geavanceerde versies van pintumbler sloten. HOBBY EN KUNST
In de 18e eeuw veranderde lockpicking van een vorm van diefstal naar een kunst. Het openen van sloten blijkt voor velen een interessante en uitdagende puzzel, het zoeken naar een manier om de mechanische zwakheden van het slot uit te buiten. H ed en d aags w o rd t d eze zo gen aam d e “h an g en slu itsp o rt” n o g altijd d o o r h o b b yisten uitgevoerd. De vorm van lockpicking die vandaag de dag nog steeds bestaat maakt gebruik van een zw akh eid in h et systeem van een “p in tu m b ler” slo t. Met behulp van een tweetal gereedschappen, een “ten sio n w ren ch ” en een “lo ckp ick” w o rd t er gebruik gemaakt van de technische imperfectie van het slot. Door met de wrench spanning te zetten op F igu u r 2 : Illu stratie van “lock pick in g”. D e tw ee de cilinder blijven niet alle pinnen maar slechts een gereedschappen worden gebruikt om de technische of twee daadwerkelijk steken, omdat er altijd een imperfectie van het slot uit te buiten. bepaalde speling zit tussen de pinnen en de gaten waar de pinnen inzitten. Met de lockpick kan men deze klemmende pin zachtjes omhoog duwen totdat deze niet meer in de weg zit. De spanning valt nu over naar de volgende pin, die ook zachtjes omhoog kan worden geduwd totdat deze niet meer in de weg zit. Het concept wordt herhaald voor de overgebleven pinnen totdat de laatste pin tot het gewenste niveau wordt getild, zo d at geen p inn en m eer in d e w eg van d e “sh ear lin e” zitten, waarna de cilinder rond kan draaien en het slot geopend wordt. KLOPJE
Op 27 maart 2004 komt het populaire nieuwsp ro gram m a “n o va” m et een sch o kken d e reportage. Een slotenmaker wordt geïnterviewd o ver een o gen sch ijn lijke “n ieuw e” tech niek die de complicaties van de trad itio n ele lo ckp ickin g ver ach ter zich laat. M et b eh u lp van een “b u m p key”, een sleu tel w aarvan d e gro even op de diepste positie zijn geveild, en een klophamertje kan elk willekeurig pintumbler slot worden geopend. In moderne sloten bestaat elke pinnenset die correspondeert met een groef op de sleutel uit 2 verschillende pinnen, een onderste pin en een bovenste pin. De klopsleutel techniek maakt gebruik van de wet van behoud van energie. De klopsleutel maakt contact met elk van de onderste pinnen. Door een klap te geven op de
5
achterkant van de sleutel wordt de energie doorgegeven van de onderste pin op de bovenste pin, waardoor de onderste pin blijft staan en de bovenste omhoogschiet, vergelijkbaar met het effect van een biljartbal die twee andere ballen raakt die tegen elkaar aanliggen. Op het moment dat de bovenste pinnen omhoog schieten is er een kort moment dat alle pinnen voorbij de shearline zijn, en dat de cilinder dus vrij is. Als op dit moment de sleutel wordt omgedraaid is het slot geopend. In het programma worden de kijkers de stuipen op het lijf gejaagd als onder begeleiding van een spannend muziekje de slotenmaker binnen 2 tellen de klopsleutel techniek toepast op het slot van de deur van de slotenmaker zelf. Met dit programma zullen ongetwijfeld een hoop inbrekers geïnspireerd raken om ook eens deze methode uit te proberen, tot grote onrust van het publiek. Op het ene moment denkt iedereen nog veilig en wel in zijn huis achter slot en grendel te zitten en op het andere moment kan iemand met een klopsleutel zonder problemen naar binnen lopen. Dit is natuurlijk sterk overdreven, bij het gebruik van extra handmatige vergrendeling is het ontgrendelen van het slot niet genoeg om de deur te openen. Het verkrijgen, vervaardigen en gebruiken van een klopsleutel is ook vooral weggelegd voor enthousiaste hobbyisten en slotenmakers, omdat er veel voorkennis en materiaalkennis voor nodig is. Uiteindelijk moet je jezelf ook afvragen hoe veilig je huis is, als een inbreker écht naar binnen wil lukt het hem evengoed wel. DIGITALISERING
Beveiliging van eigendommen is heel lang een belangrijke vorm van beveiliging geweest. Materiele eigendommen zijn natuurlijk een ding, maar tegenwoordig lijkt een steeds groter deel van ons bezit digitaal te zijn. Nog even en we doen alles met de computer en het internet, tot het boodschappen doen aan toe. Een grootse integratie van de maatschappij met dit medium trekt onvermijdelijk ook kwaadwillende mensen aan die ook hun voordeel uit de digitalisering willen slaan. Hoe meer gegevens als banknummers, creditcard nummers, transacties en bijvoorbeeld zakendata het net over gaan hoe interessanter het wordt voor criminelen om via een of andere slinkse wijze geld te verdienen. PHREAKING
In 1960 vin d d e term “h ackin g” zijn o o rsp ro n g. In d e lab o rato ria van M IT w aren d e eerste h ackers go ed w illen d e m en sen d ie p ro gram m a’s zo wisten te manipuleren dat ze meer konden doen dan waar ze voor gemaakt waren. Een van de meest opgehaalde anekdotes uit de hacking historie is het verhaal rond John Draper, die de beveiliging van de telefooncentrale wist te omzeilen. Door het namaken van de kiestoon door middel van een gratis fluitje uit een pak cornflakes kon Draper het systeem voor de gek houden en deze uitbuiten. De zogenaamde “p h reakers” o f “p h o n e h ackers” p ro d u ceerd en een 2600 H z to o n tijd en s d e kiesto o n van d e telefoon. Deze toon is bijna identiek aan de toon die de telefoon geeft aan de centrale op het moment dat de telefoon wordt opgehangen. De centrale denkt dat de telefoon is opgehangen en beëindigd het signaal, maar doordat de telefoon niet echt was opgehangen werd de verbinding nooit geheel verbroken. Op dat moment stond het systeem klaar voor het volgende gesprek, dat met behulp van korte 2600 Hz tonen gekozen kon worden. Rond 1985 worden de eerste arrestaties verricht met betrekking tot hacking. Hoewel deze acties niet zozeer de privacy van mensen schond richtte deze wel degelijk schade aan. De 17 jarige H erb ert Z in n , b eter b eken d als “Sh ad o w H aw k”, rich tte vo o r 15 tot 100 miljoen dollar schade aan. Het virus dat hij op zijn slaapkamertje in elkaar had gezet om een lek in het UNIX systeem uit te buiten besmette 1/10 van het gehele internet toentertijd. Er moest worden nagedacht over een nieuwe vorm van beveiliging, namelijk het beveiligen van de computersystemen die open en bloot stonden voor aanvallers die uit elke hoek van de wereld vandaan kwamen.
6
PRIVACY
Bescherming van privacy is een belangrijke wering tegen de opkomende hacking cultuur. Internet is langzaam een gemeen goed geworden waar veel mensen moeilijk meer zonder kunnen. Met de komst van het internet is het lastig om zorgvuldig om te springen met persoonlijke gegevens. Bedrijven als internetproviders, de studentenregistratie en bijvoorbeeld internetwinkels slaan de persoonlijke gegevens van de gebruikers op, maar over de zorgvuldigheid van het geheimhouden valt nog wel het een en het ander te zeggen. Veel kleine maar ook grote bedrijven met databases waar een hoop persoonlijke gegevens in staan worden veelvuldig verleid tot het verkopen van hun databases aan derden. Helaas voor de gebruiker die hiervan de dupe is, staat er meestal in de kleine lettertjes vaak nog dat dit zelfs legaal is toegestaan. SPAM
Persoonlijke gegevens voor marketing doeleinden zijn big business. Bedrijven hebben er veelal veel geld voor over om hun product bij zoveel mogelijk mensen te promoten. Het fen o m een “sp am ” is h ier een go ed vo o rb eeld van . A ls v an elke 1.000.000 emails ook maar één slachtoffer reageert op een spam email is de buit voor het bedrijf al binnen. Spammers struinen websites af met zelfgeschreven tools om maar zoveel mogelijk adressen te vergaren. Het behouden van een spamvrij emailadres lijkt nagenoeg onmogelijk, omdat zelfs het sturen van emails naar iemand anders genoeg is om het adres te verspreiden. De beveiliging tegen spam is nog steeds een issue waar veel mensen zich over bukken. Spam filters moeten ervoor zorgen dat verdachte emails automatisch geblokkeerd worden, maar ook deze spamfilters zijn bij de spammers zelf bekend. Spamfilters zijn op te delen in twee categorieën. De eerste categorie bestaat uit spamfilters die alle binnenkomende emails scannen, en op basis van een aantal kenmerken waar spam emails veelal uit bestaan. Een paar van deze kenmerken zijn bijvoorbeeld een verdacht bron emailadres in combinatie met een blacklist en bepaalde woordcombinaties in de email zelf en in het onderwerp. De tweede categorie spamfilters is veel doeltreffender, maar heeft specifieke training door de gebruiker nodig. Het programma zal bij ongeveer 100 emails vragen of het bericht spam is of dat het een normale email betreft. Op basis van een aantal algoritmen kan het programma in de toekomst steeds beter onderscheid maken. Een nieuwere tech n iek o m sp am in d e kiem te sm o ren is d e zo gen aam d e “b o xtrap p er”. B ij d eze tech n iek m o et elke nieuwe afzender eerst zijn adres verifiëren via een webapplicatie voordat de mails worden goedgekeurd en kunnen worden gelezen. Het systeem is bijna foolproof aangezien bijna alle spammers gebruik maken van een vals emailadres. De reden dat dit systeem nog niet veel gebruikt wordt komt omdat het naar de afzender toe nogal gebruikersonvriendelijk overkomt. NETWERK
Het beveiligen van een computernetwerk is een lastige zaak. Er moeten altijd compromissen gemaakt worden tussen de veiligheid en het gebruiksgemak. De meest veilige optie blijft voor alsnog het niet gebruiker van het netwerk, aangezien er dan ook niet op ingebroken kan worden. Omdat hiermee het hele doel van het netwerk om zeep geholpen wordt zijn er bepaalde hulpmiddelen ontstaan die het gebruik van een computer toch nog enigszins veilig kunnen maken. Een van de meest gebruikte beveiligingen voor het beveiligen van een intern netwerk tegen het internet is de firewall. De eerste firewalls stammen uit de late jaren 80, en zijn daarmee een vrij recent voorbeeld van digitale beveiliging. Deze eerste firewalls waren gebaseerd op het id ee van “p acket filterin g”, een m an ier o m ervo o r te zo rgen d at er selectief ko n w o rd en omgegaan met binnenkomende packets, informatie dus, die via verschillende poorten het systeem binnenkomt. Met behulp van open poorten kunnen hackers authenticeren met een bepaalde interface op d e co m p u ter, w aar een zo gen aam d e “exp lo it” is gevo n d en . E en firew all kan d it p ro b leem d eels verhelpen om ervoor te zorgen dat alleen de gebruikte poorten open staan, en dat packets die voor andere poorten bestemd zijn automatisch geweigerd worden. Jammer genoeg is deze
7
methode nog lang niet foolproof. Het nare van deze methode is namelijk, dat als de hacker via de meest gebruikte poorten binnen weet te komen er niets meer aan gedaan kan worden. De manieren waaro p een h acker kan b in n en d rin gen o p een systeem zijn o p zijn m in st “talrijk” te n o em en . H et arsen aal m et w ap en s d at een h acker to t b esch ikkin g h eeft is zelfs “sch rikw ekken d ” te noemen. De hacker heeft tot grote voordeel dat de hackercommunity één grote groep met mensen is die allen een en hetzelfde doel voor ogen hebben; het vinden van nieuwe gaten in populaire software. Daarentegen is de software beveiligings branche niet zo eensgezind en werken daardoor inefficiënt in losse kleinere groepjes. NETWERK DOOR DE LUCHT
Een van de meest recente security kwesties is de komst van het draadloos netwerk, beter bekend als Wifi of W-LAN. Vooral in bedrijfs sfeer is wifi een grote uitkomst maar tegelijkertijd een groot risico. Wifi maakt het mogelijk om een werkplek niet gebonden te maken aan een plaats waar een fysieke aansluiting op het netwerk mogelijk is. Het werken met bijvoorbeeld een laptop op een willekeurige plaats in het bereik van het draadloze toegangspunt is een van de vele toepassingen. Ook synchronisatie van bijvoorbeeld handhelds en andere randapparatuur met de centrale computer via wifi is een feature met een grote toekomst. Een van de grote voordelen is ook de verminderde kostenpost voor een computernetwerk. Een enkel toegangspunt is genoeg om honderden computers met elkaar te verbinden zonder dat er ook maar een kabel gelegd hoeft te worden, zonder dat er ook maar een gat in de muur geboord hoeft te worden, om nog maar te zwijgen over defecten in kabels, wandgoten, aansluitpunten en ga zo maar door. Met het grootste voordeel, de toegankelijkheid en vrijheid, komt ook direct een van de grootste nadelen aan het licht, hoe kan het ook anders, de veiligheid. Doordat elk willekeurig wifi enabled apparaat toegang kan krijgen tot een draadloos netwerk betekend dat ook dat er nieuwe wegen worden geopend door iemand die eigenlijk niets te zoeken heeft op het netwerk. Toch kunnen bedrijven niet achter blijven, wifi is de toekomst. Mensen die voor de lol eens een keer op pad gaan met een wifi-enabled laptop in combinatie met een programma dat registreerd of de gevonden netwerken beveiligd zijn kunnen voor interessante verassingen staan. In mei 2006 bleek uit een onderzoek dat in Londen, Parijs en New York 25% van de gevonden draadloze netwerken van bedrijven (de particuliere netwerken dus nog niet eens meegerekend!) onbeveiligd zijn. Dit houdt ongeveer zoveel in als dat een willekeurige laptop zich op dezelfde manier kan aansluiten op het desbetreffende draadloze netwerk als dat de laptop met een kabel op het fysieke netwerk was aangesloten. SCHIJNVEILIGHEID
Tot grote onwetendheid van de bedrijven die hun netwerk wél hadden beveiligd blijkt dat o o k b eveiligd e n etw erken n iet “veilig” zijn . D e eerste vo rm van d raad lo ze b eveiligin g, W E P encryptie, blijkt voor de geoefende hacker een klein obstakel te zijn. Elk pakket dat over het draadloze netwerk verstuurd wordt bevat een versleutelde versie van een deel van de gebruikte verificatie code. Een buitenstaander kan met behulp van een wifi-enabled laptop dit dataverkeer in de lucht opvangen. Als er genoeg packets verzameld zijn kan een computerprogramma met een algorithme uit de verzamelde packets de verificatiecode genereren. Als deze verificatiecode nu wordt gebruikt kan de aanvaller zich op dezelfde manier identificeren op het netwerk als dat een andere netwerkcomputer dat kan. Als de aanvaller eenmaal verbinding heeft met het netwerk kan h et ech te “h acken ” b egin n en , h et zo eken n aar veiligh eid slekken , “exp lo its”, in d e o p h et netwerk gebruikte software. Nog een groot misverstand in de computerbeveiligingswereld is dat hackers altijd enige vorm van fysieke aansluiting nodig hebben op het computernetwerk, of in de buurt van het pand moet zijn om schade te kunnen veroorzaken. Dit is echter niet waar. Een van de grootste lekken in computersystemen zijn namelijk de gebruikers die het systeem gebruiken. Door middel van gebruiker manipulatie, ook w el “So cial E n gin eerin g”, is h et m o gelijk vo o r een h acker o m via d e
8
gebruiker zelf bepaalde doelen te bereiken. Vooral het voordoen als systeembeheerder en simpelweg vragen naar gebruikersnamen en wachtwoorden blijkt een truc die ontzettend succesvol blijkt te zijn. Ook virussen die over email gestuurd worden zijn een vorm van social engineering. De aanvaller maakt een virus en stopt deze in een spam email, die het doelwit verleid het bestand te openen. De kennis van de gebruikers is veelal dusdanig klein dat elk interessant programma klakkeloos geopend wordt, zonder na te denken over de consequenties. Zelfs in de nieuwere versies van populaire em ailp ro gram m a’s, w aar eerst n o g een keer o f w at gew aarsch uw d w o rd t o ver m issch ien gevaarlijke d ata in h et m ailtje w o rd t er n o g zo n d er n ad en ken o p “ja” geklikt. Nog een voorbeeld waar recentelijk veel oproer over is ontstaan is het zogenoemde “p h ish in g”. V ia email en instant messages proberen criminelen met social engineering gevoelige gegevens van slachtoffers te weten te komen, zoals credit kaart nummers en passwords. Door zich voor te doen als de officiële bedrijven proberen phishers via ogenschijnlijk legitiem ogende emails de slachtoffers te gebieden tot het opsturen van hun gevoelige informatie. De onschuldige gebruiker zou bijvoorbeeld zijn credit card gegevens moeten invullen om ervoor te zorgen dat deze niet verloopt. Beveiligen tegen phishing is een lastige zaak, aangezien het altijd de gebruikers zelf zijn die misleid worden tot het uitvoeren van een handeling. Vooral het bekendmaken van de activiteiten van phishers heeft een belangrijke rol gespeeld in het bestrijden van phishing. Veel bedrijven die werden gebruikt om mensen te overtuigen hebben hun klanten op de hoogte gesteld van dit soort acties. Op 15 april 2006 worden rabobank gebruikers in Nederland opgeschrikt door een mailtje dat van afkomstig lijkt te zijn van de Rabobank, waarin de gebruikers worden geboden om hun persoonlijke gegevens te updaten op een site waarnaar gelinked wordt in de email. De phishing organisatie die achter deze misdaad zat heeft op internet zoveel mogelijk emailadressen verzameld en hoopten daarmee zoveel mogelijk Rabobank gebruikers te treffen. Gebruikers die deze mail ontvingen die geen rekening hadden bij de Rabobank zullen al wel vreemd hebben opekeken, maar de mail kwam zo overtuigend over dat er toch nog aardig wat gegevens ontfutseld zijn door onwetende gebruikers. CONCLUSIE
Het gevoel van veiligheid is nog altijd variabele. De ene voelt zich met de beveiliging van zijn huis heel veilig terwijl iemand anders met dezelfde beveiliging het gevoel heeft dat de boosdoener in principe zo naar binnen komt wandelen. De besproken nova uitzending is hier een goed voorbeeld van, op het ene moment wordt iets nog als veilig beschouwd en op het andere moment lijkt deze beveiliging complete schijn. Over het algemeen leeft de gemiddelde mens in Nederland naar mijn optiek redelijk veilig. De mogelijkheid van bijvoorbeeld een terroristische aanslag wordt gigantisch opgeblazen. Natuurlijk is er altijd een mogelijkheid, maar is dit genoeg reden om te gaan stressen en onprettig te leven in een wereld van onzekerheid? Onzekerheid in de digitale wereld daarentegen is iets waar wél veel meer rekening mee moet worden gehouden. De gemiddelde gebruiker is nog véél te gul in het over de balk smijten van persoonlijke en gevoelige gegevens. De phishers die achter de grootschalige Rabobank phishing actie zaten hebben voor grote oproer gezorgd binnen de Nederlandse internetwereld. Vooral de onwetendheid van de gebruiker is een van de grootste gevaren in de computerveiligheid, samen met de agressiviteit van de computer hackers die maar al te graag hun diensten verrichten om aan geld te komen. De race tussen beveiliging en anti-beveiliging zal voor altijd door blijven gaan. Een systeem dat door mensen is verzonnen kan tenslotte ook door mensen weer om zeep geholpen worden, omdat we altijd te maken hebben met werk dat nooit foutloos is. Zolang de mensen onderling nog onenigheden hebben zal de strijd tussen goed en kwaad nooit ophouden.
9
B RO N NE N L I JST
[1] Wikipedia. “Veiligheid”. http://nl.wikipedia.org/wiki/Veiligheid [2] Wikipedia. “Beveiliging”. http://nl.wikipedia.org/wiki/Beveiliging [3] Wikipedia. “Inbraakpreventie”. http://nl.wikipedia.org/wiki/Inbraakpreventie [4] Wikipedia. “Lock (device)”. http://en.wikipedia.org/wiki/Lock_%28device%29 [5] A rjan D asselaar. (2005) “G esch ied en is van h ackin g en d igitale crim in aliteit.” in “H an d b o ek D igitale C rim in aliteit” http://www.vanduurenmedia.nl/boeken/169-7/sample.pdf [6] Jen n ifer R o sen b erg. “T o m b o f K in g T u t fo u n d !” in “20 th cen tu ry h isto ry” http://history1900s.about.com/od/1920s/a/kingtut.htm [7] M ary B ellis. “The History of Locks”. http://inventors.about.com/library/inventors/bllock.htm [8] “Schlage’s h isto ry o f lo cks”. http://www.locks.ru/germ/informat/schlagehistory.htm [9] Anoniem. (1992) “L o ck P ickin g”. Hack-Tic 18-19. http://www.toool.nl/pdf/ht.pdf [10] N ieuw sp ro gram m a “Nova”, rep o rtage over Klopsleutels, 27-04-04 http://cgi.omroep.nl/cgi-bin/streams?/tv/nps/nova/bb.20050427a.asf?start=0:17:14.944&end=0:24:47.604;embed=0 [11] PC World. “H ackin g H isto ry”. http://pcworld.about.com/news/Apr102001id45764.htm [12] Wikipedia. ”Spam”. http://nl.wikipedia.org/wiki/Spam [13] Wikipedia. “Firewall (networking)”. http://en.wikipedia.org/wiki/Firewall_(networking) [14] Wikipedia. “Wifi”. http://en.wikipedia.org/wiki/Wifi [15] A llen B ern ard . (2006) “W ifi secu rity still a m ajo r issue” . CIO Update. http://www.cioupdate.com/trends/article.php/3609171 [16] Wikipedia. “So cial en gin eerin g (secu rity)”. http://en.wikipedia.org/wiki/Social_engineering_(computer_security) [17] Wikipedia. “P hish in g”. http://en.wikipedia.org/wiki/Phishing [18] ANP. “In tern etb en d e b esto o kt R ab o b an k -klan ten m et n ep m ailtjes”. http://www.nu.nl/news/714313/50/Internetbende_bestookt_Rabobankklanten_met_nepmailtjes.html
10
