WebGang Home i-Nieuws van 6 na 6 Last

Woensdag

16/02/2000

next

Andere:

Programma

Column

Linux

Radio Centraal
Radio Centraal Home

DOS-attack
Vorige week woensdag, (09 feb.) hoorde u hier dat een aantal websites een informatie-aanval te verduren kregen, waarna de servers van het net moesten gehaald worden om filters te installeren. Dat haalde in eerste instantie de media omdat het bekende, veel bezochte sites waren (Yahoo!, eBay), en daarna omdat de ene op de andere volgde als slachtoffer van de aanvallen (Buy.com, Amazon, CNN, E-trade, MSN, en ZDNet). Er werd dan ook verontwaardigd gereageerd, en het FBI werd ingeschakeld.
Donderdag 10 februari: Er wordt vermoed dat voor het uitvoeren van de aanval software gebruikt is die op de hackers website tripod.com te vinden is. De maker van die software is de witte hacker die zichzelf "Mixter" noemt. Een nieuwssite, ZDNet kwam in contact met deze hacker, en deed een "online chat" interview. Hierin verklaarde de hacker dat het een eenvoudige techniek betreft die de aanvallers gebruikt hebben. Hij gaf toe dat het gebruik van het door hem geschreven programma het nog eenvoudiger maakt. Het programma heet "Tribe Flood Net", en het overspoelt een uitgekozen server met een grote variatie van gegevens. Onlangs verscheen op de website trouwens een nieuwe versie, "Tribe Flood Net 2000". De maker zegt dat het eigenlijk bedoeld is om de veiligheid van een systeem te testen, omdat het programma systematisch alle punten van een systeem test. In verkeerde handen kan het programma zo gebruikt worden dat via het internet een uitgekozen server werkelijk overspoeld wordt. Een uittreksel uit het interview:
L : Hoe kwam je bij de computerbeveiliging terecht?
W : Wel, ik werk al lang met computers. Ik ben met mijn eerste computer begonnen toen ik 6 was. Vanaf mijn 14 geraakte ik geinteresseerd in de technische details van besturingssystemen. Toen kreeg ik ook mijn eerste pc met internetaansluiting.
L : Met welke computer ben je begonnen?
W : Met een commodore 64
L : Wat je zelf doet, vind je dat "hacking"?
W : Wat ik doe is, denk ik, "hacken" in de oorspronkelijke betekenis. Maar ik durf nu die term niet meer gebruiken omdat de betekenis veranderd is in de negatieve zin. Vroeger heb ik wel eens last gehad met het gerecht, maar nu ben ik een "witte"
L : Wat is er dan vroeger gebeurd?
W : Ik ben, zoals zoveel mensen toen, begonnen op Efnet, een IRC chat netwerk. Daar leerde ik hoe een chat kanaal over te nemen, en hoe het te beveiligen. Daarna begon ik te programmeren, en ik schreef IRC robots. Spijtig genoeg heb ik ook geleerd hoe binnen te geraken in systemen. Ik misbruikte sommige computers om mijn IRC robot-programma's op te draaien en te testen. Daarvoor ben ik vervolgd en veroordeeld. Maar gelukkig heb ik nooit schade aangericht. Ik beschouw het als een jeugdzonde waarvan ik geleerd heb.
L : Waarom wilde je een instrument als die Tribe Flood Net schrijven, en het publiek maken zodat al die jonge mensen het konden gebruiken en misbruiken?
W : Ik heb TFN herschreven om het te doen werken zoals ik denk dat Trinoo werkt, dat is een bestaand denial of service programma, dat echter niet vrijgegeven was. Eerst noemde ik het de "Teletubby flood network", maar eigenlijk was dat een stomme naam.
Het probleem met de huidige netwerken is dat ze zo kwetsbaar zijn. Je kan bv technieken als "spoofing" en "distributed concepts" gebruiken, en het is moeilijk om dat te vermijden omdat het internet protocol zo kwetsbaar is. Ik heb beslist om TFN te schrijven, en ik heb het gepubliceerd met de broncode op beveiligingssites. Dus konden specialisten de code onderzoeken en beveiligingsmethoden ontwerpen om aanvallen te vermijden. Dit beveiligingsconcept noemt men "Full Disclosure" (volledig vrijgeven) . Het idee erachter is dat de beveiligingsmensen alle mogelijke problemen die ze vinden onmiddellijk openbaar maken, zodat specialisten direkt kunnen beginnen aan het onderzoeken en bedenken van maatregelen.
L : Ja, zo lijkt er geen denkbare oplossing te zijn voor het probleem. Als je de mensen toegang geeft tot jouw site, dan kan je je wel eens verwachten aan een "denial of service" aanval.
W : Inderdaad, maar het echte probleem is het gebrek aan betrouwbaarheid van het huidige protocol. Trouwens, je moet echt veel computersystemen misbruiken om zo'n snelle sites plat te krijgen. Dat is het concept van DDoS; Distributed Denial of Service. Er zijn manieren om dat tegen te houden, zoals onderscheppen op niveau van de proxy en de routers. Alhoewel al deze korte termijn maatregelen alleen maar de impact kunnen verminderen, ze kunnen het niet voorkomen. Als een site echt heel zwaar wordt aangevallen, zullen ze het toch op een of andere manier voelen.

 

 

L : Wat is volgens jouw dan de oplossing voor het probleem?
W : Wel, je kunt altijd knoeien met de afkomst van de data pakketjes die over het net verstuurd worden. En dat moet op lange termijn vermeden worden door over te stappen op het IPv6 (internet protocol versie 6). Dat bevat wel de nodige zekerheid over de afkomst van de data, en andere beveiligingsuitbreidingen.
L : Wat is dan de korte termijn oplossing?
W : Voor de servers die aangevallen zijn is het eenvoudig: ze moeten er gewoon op letten hun beveiliging goed te regelen en hun software regelmatig te verversen. De aanvallers gebruike altijd bekende hiaten in het beveiligingssysteem om binnen te geraken. Het internet is even veilig als zijn zwakste schakel. Ook zou het goed zijn een beperking op de bandbreedte in te bouwen bij de "backbone provider" van het systeem. Daar wordt op sommige plaatsen aan gewerkt.
L : En wanneer denk je dan dat die nieuwe versie IPv6 in gebruik genomen zal worden op de belangrijkste stukken van het internet?
W : IPv6 zou zo snel mogelijk ingevoerd moeten worden. Niet alleen wegens de beveiliging, ook de groei van het internet zal het nodig maken om het protocol aan te passen tegen 2004, of nog sneller misschien. Het oude IP protocol is een probleem dat we meeslepen uit het verleden, even groot als het jaar 2000 probleem.
L : Vind je dat mensen die zo'n programma's beschikbaar maken, zodat die in de handen komen van mensen die er onverantwoord mee om gaan, er verantwoordelijk voor zijn, zoals jijzelf dus?
W : Nee, over het algemeen niet. Het is irrationeel om zoiets te zeggen. Ik ken ook de schrijver van het oorspronkelijke Trinoo, die niet zelf de aanvallen uitgevoerd heeft, maar ik denk dat die nu bang is, en anoniem wil blijven.

De ironie van het net wil dat midden in het chat-interview met "Mixter" het netwerk van ZDNet bezwijkt onder een DoS- aanval, zodat het interview afgebroken wordt.


Vrijdag 11 Februari : naast de klachten van de slachtoffers zijn er ook bedrijven die voordeel hebben bij het hele gebeuren. Bij beveiligingsbedrijven stond de telefoon roodgloeiend. De maatregelen ter bescherming van websites tegen hacker aanvallen kunnen kosten opleveren van rond de 10.000 a 25.000 euro. In het licht van de hevigheid van de aanvallen, voorzien de beveiligingsfirma's trouwens een aanpassing van hun prijzen.
Dezelfde dag kwam uit dat ten minste 1 computer van de universiteit van California gekraakt was, en gebruikt was bij de aanval op de site van CNN. Een Duitse universiteit meende een hulpprogramma gevonden te hebben op hun servers, dat mogelijk kan ingezet worden bij een DoS aanval. Er werd op het systeem een verdacht hoge trafiek vastgesteld op een nacht. Op de universiteit gaat men er vanuit dat van buitenaf is ingebroken op hun server. Dat is nooit helemaal uit te sluiten, vinden ze, omdat onze eerste taak is om informatie beschikbaar te maken en op te leiden. Dat betekent niet dat het hier vol criminelen zit.


Top(L) a WebGang Creation. Geloof niemand, zelfs ons niet. Alle nieuws is interpretatie. WebGang@radiocentraal.be