|
Beveiliging: samen staan we sterk Beveiliging: Nieuwe tools tegen DoS-aanvallen Beveiliging: Erg gevaarlijk lek bij FTP servers Beveiliging: samen staan we sterk Bij veel bedrijfsnetwerken draait de beveiliging vierkant, en meestal is dat grotendeels te wijden aan een gebrek aan communicatie. Beveiliging is nu eenmaal iets waar verschillende afdelingen hun inspraak bij hebben: het bedrijfsbeheer, de wettelijke adviseurs, de IT-managers. Gevolg: bij een aanval op een website of een inbraak bij een bedrijfsnetwerk wordt er onvoldoende of te traag gereageerd - meestal wordt er paniekvoetbal gespeeld en is er op voorhand geen duidelijke strategie afgesproken. Nochtans staat hoe langer hoe meer op het spel. De stroom financiële en medische gegevens die over het internet vloeit zwelt voortdurend aan, en de hoeveelheid bedrijfs- en persoonlijke gegevens die via netwerken opgeslagen worden neemt ook alsmaar toe. Tegelijk groeit het aantal personen dat toegang heeft tot bedrijfssystemen - kortom: de inzet is groter geworden, en het toegenomen aantal toegangspoorten vergroot enkel het veiligheidsrisico. Volgens Scott Charney, een medewerker van PriceWaterhouseCoopers, wordt er gewoon te weinig geld en mankracht uitgetrokken voor beveiliging. De directie bekijkt IT-beveiliging maar al té vaak als een verliespost, niet als een manier om geld te verdienen. Bovendien heerst er onbegrip over IT-beveiliging. Waar je om brandgevaar in te dijken watersproeiers kan plaatsen in een bedrijf, en daarmee de kous af is, is IT-beveiliging een voortdurend proces, dat continue opvolging vereist, en nooit af is. Eén van de eerste stappen is een grondige doorlichting van het netwerk om de zwakke punten ervan op te sporen, en daar de nodige gaten te dichten. Dat is duur, maar noodzakelijk om het gevaar te kunnen beperken. Vaak echter ziet de bedrijfsleiding enkel de investering die zulke doorlichting vraagt en weegt dat af tegen wat die investering opbrengt - en indijken van een risico is helaas geen tastbaar financieel profijt. Nochtans dringt Charney aan: de bedrijfsleiding,
de legale en de IT-afdelingen moéten met elkaar overleggen, om een
preventie uit te werken: wié moet hoé reageren en wannéér
- en dat liefst vooraleer het kwaad geschied is, en er zich een computerincident
voordoet.
Beveiliging: Nieuwe tools tegen DoS-aanvallenBij DoS-aanvallen zijn de eerste minuten van levensbelang. Een snelle reactie kan een aanval stoppen - maar in het algemeen worden de aanvallen pas opgemerkt wanneer het te laat is. De angst voor DoS-aanvallen heeft verschillende bedrijven ertoe aangezet om tools te ontwerpen die zulke aanvallen kunnen opsporen. Hierbij worden monitorposten geplaatst op verschillende punten van een netwerk die voortdurend het verkeer analyseren en daarbij uitkijken naar een gedragspatroon dat kan wijzen op het begin van een DoS-aanval; een plotse onverklaarbare stijging van het verkeer kan zulke aanwijzing zijn. Zo kan de systeembeheerder een op hand zijnde aanval ontdekken, de bron ervan opsporen, en de aanval zo dicht mogelijk bij die bron stoppen. Het storende verkeer wordt snel weggefilterd - sneller dan bij de huidige manuele processen. De software van Asta Networks wordt op een router van de internet-backbone geïnstalleerd, en gebruikt bedrijfsgebonden algoritmes die het soort golf van pakketjes kunnen ontdekken waaruit een DoS-aanval bestaat. Het Amerikaanse bedrijf Mazu kondigde recent een gelijkaardig product aan, eveneens gebaseerd op een intelligente analyse van het verkeer en een filtertechnologie. De software van Arbor Networks verzamelt eveneens informatie over het verkeer, en voert een gelijkaardige analyse uit, maar baseert zich op monitorpunten die zowel binnen de bedrijfs-firewall geplaatst worden, als op de pipes die leiden vanuit de internet service provider tot binnen het bedrijfsnetwerk. Nog een vierde bedrijf, Niksun, werkt volgens hetzelfde principe, maar voegt er iets extra aan toe: de mogelijkheid om een archief op te bouwen zodat een aanval nadien forensisch ontleed kan worden. Bieden de verschillende producten de mogelijkheid om een op hand zijnde aanval snel op te sporen, de aanval zélf verhinderen kunnen zij niet, noch voorkomen. En volgens een analist van Giga Information Group is het nog de vraag of deze tools schaalbaar genoeg zijn om ook aan de behoeften van grotere bedrijven te kunnen voldoen. Over de DoS en DDos (Distributed Denial of Service) wordt op 6 en 7 juni 2001 een symposium gehouden in Los Angeles. Bronnen:
Beveiliging: Erg gevaarlijk lek bij FTP serversBuffer overflows zijn een vaak voorkomend zwak punt bij beveiliging, meestal te wijten aan onzorgvuldig programmeren. Een hacker kan willekeurige -en vaak schadelijke- code in een systeem binnensmokkelen, door een bepaalde gegevens-input te bedenken die anders is dan wat het programma verwacht -bijvoorbeeld veel te lang- zodat die code over de buffer heen kan vloeien en in bepaalde delen van het systeem kan binnendringen waar de code dan uitgevoerd kan worden. In dit geval heeft het euvel te maken met het zogenaamde "globbing", het proces om korte notaties uit te breiden tot volledige bestandsnamen. Zo is de uitdrukking "*.c" een verkorte vorm voor "alle bestanden die in .c eindigen." Bij globbing worden ook bepaalde karakters gebruikt om een uitbreiding aan te duiden tot systeemspecifieke paden; het tilde karakter (~) bijvoorbeeld wordt uitgebreid tot het pad van de home-directory van de gebruiker die aangeduid wordt door het woord rechts van de tilde. Het COVERT-lab van PGP Security heeft nu ontdekt dat de door de glob-functie aanroepen uitbreiding gebruikt kan worden om een buffer overflow te veroorzaken. De enige hinderpaal die een hacker in de weg kan staan om gebruik te maken van de buffer overflow, is dat de remote gebruiker de permissie moet hebben om mappen aan te maken op de server waar de FTP daemon draait. Wanneer een FTP-server binnen het netwerk geplaatst is -wat af te raden valt- dan kan de aanvaller de buffer-overflow gebruiken als opstapje om andere systemen aan te vallen. Het probleem is volgens waarnemers tamelijk ernstig; FTP is namelijk een veelgebruikt protocol. IT-verkopers bijvoorbeeld laten hun gebruikers via FTP software-updates en patches downloaden. De meeste FTP-verkopers hebben inmiddels een patch uitgebracht om hun software aan te passen. CERT Coordination Centre heeft een lijst die de adressen bevat waar de patches verkregen kunnen worden. Lijst van CERT
Network & Telecom, juni 2001
|
|||
|
|
|
|
|