Het internet word met de dag groter. E-commerce bedrijven schieten de grond uit en doen er alles
aan om hun bedrijfsgegevens en die van hun klanten te beschermen. Men denkt vaak dat het gebruik
van beveiligde verbindingen met gebruik van SSL de definitieve beveiliging is. Om de
systeembeheerders een beetje meer bewust te maken wil ik iets vertellen over creatief surfen naar
niet beveiligde servers om aan te geven voor beginnende en bestaande sites wat de mogelijkheden
zijn en aan welke zaken aandacht geschonken dient te worden.

Creatief surfen wordt gebruikt door krakers en analisten die willen pijlen hoeveel servers er open
staan op het internet. Alleen de kwetsbaarheden die ze zoeken zijn zo verschrikkelijk eenvoudig dat
je met behulp van een webbrowser al ver genoeg komt. Dat is het gehele idee achter creatief surfen:
hoe ver kan iemand komen en/of analyseren met een simpele webbrowsen, en hoe bescherm je je
server er tegen.

Hoe maken krakers gebruik van creatief surfen ?


Creatief surfen is op verschillende manieren mogelijk. Zo kan je op de server zelf creatief gaan
surfen maar ook via een search engine op het internet. Om het stap voor stap uit te leggen begin ik
bij het deel search engines . Ik zal me in de voorbeelden voornamelijk op NT/IIS servers richten.

Als je dit stukje zal lezen dan zul je je waarschijnlijk afvragen waarom een search engine geen filter
heeft. Deze vraag kan ik helaas niet beantwoorden. Er zullen vast en zeker search engines zijn voor
kinderen en dergelijke, maar de belangrijkte search engines zullen waarschijnlijk niet mee willen
werken. Hotbot (www.hotbot.com), Yahoo (www.yahoo.com ) en Lycos (www.lycos.com ) zijn
search engines waar u gebruik van kunt maken.
We beginnen eenvoudig. Heel wat maanden terug heb ik een keer een advisory geschreven over de
Index Server. In deze advisory had ik een kleine tip gegeven, welke inmiddels is uitgegroeid tot
een Goede Tip. Als je naar bijvoorbeeld naar hotbot gaat en zoekt op HTX IDQ dan vind u een
hele lijst servers die samples aan hebben laten staan. Waarom? Omdat een search engine kijkt naar
verschillende mogelijkheden .Maar de titel is toch het belangrijkste. HTX en IDQ zijn extensies die
je kan gebruiken met de NT/IIS webserver. Deze extensies hebben ook fouten maar dat zal ik niet
uitleggen.
Waarom sample files gevaarlijk voor uw systeem kunnen zijn kunt u in de verderop in het artikel
genoemde checklists lezen. Overigens is er in talloze advisories op www.securityfocus.com te lezen
waarom sample files gevaarlijk kunnen zijn.
Bij het zoeken naar HTX en IDQ ziet u dat het pad niet naar de sample directory verwijst. Dit
maakt op zich niet zo uit. Het geeft in ieder geval een identicatie of het beleid klopt of niet. Het is
dus op dit moment verkeerd gegaan bij de content beheerder. Omdat de contentbeheerder had er
voor moeten zorgen dat hij niet zomaar alles over pompt naar de productieserver. In ieder geval: als
er een contentbeheerder en systeembeheerder aanwezig is, aangezien er ook bedrijven zijn waar deze
functies niet gescheiden zijn.

Als u zelf een server heeft en uw content wil checken, kijk dan in ieder geval via uw eigen search
engine die u gemaakt heeft of u niet de volledige indexcopy heeft gemaakt. Zoek ook naar de
volgend tekst: VBScript Als u hierop zoekt dan kunt u kijken of uw .inc files veilig staan. De
standaard .inc files hebben een header waar dit woord in voorkomt. In deze files kunnen
verwijzingen staan die u liever niet publiekelijk bekend maakt. Denk maar aan de SQL server en/of
het komst zelfs voor dat hier wachtwoorden in staan.

Ook moet u een duidelijk verschil maken van de errors en goed gelukte sessies. Zo krijgt u een
foutmelding als u de verwijzing niet goed heeft staan. Denk maar aan de foutmelding van
SHTML.dll Deze file staat onder de _VTI_BIN. Dus: www.f00bar.com/_vti_bin/shtml.dll Als u er
correct gebruik van maakt dan is er geen probleem. Maar als u het niet correct gebruikt dan krijgt u
de volgende foutmelding: Cannot run the FrontPage Server Extensions' Smart HTML interpreter on
this non-HTML page: http://www.f00bar.nl/index.asp
Als u op internet naar Smart HTML interpreter zoekt vindt u talloze servers die het niet goed
hebben gebruikt. Wat is er allemaal mogelijk? Zo is het mogelijk om de server te laten crashen en
te laten scripten. Dit is ook allemaal te vinden op: www.securityfocus.com
De tip is dus: Zorg dat alles goed werkt en dan pas in produktie.
De manier hoe ik aangaf bij shtml.dll is mischien dus een goede tip hoe u dit soort fouten op
servers kan vinden. Zoek dus op de foutmeldingen die de dll aan kan geven.

Wat dacht u trouwens van webshopping software. Speciale software die te koop is om e-commerce
bezig te zijn. Een goed voorbeeld om te kijken of het configureren goed gaat op internet, moet u
eens zoeken op cart32. Cart32 is dus het Websoftware pakket. U moet kijken in de URL naar
cart32.exe verwijzingen. Om nog meer te zoeken hierover verwijs ik u ook weer naar
www.securityfocus.com

Denk creatief. Als het goed gaat, dan gaat het dus goed. Maar als het fout gaat zoek op de
foutmelding en u vind meer compagnons.
Overgens kan je ook het zoeken tot bepaalde domeinen beperken, door bijvoorbeeld de advanced
functie bij Hotbot te gebruiken. In het menu vind u de optie om bijvoorbeeld microsoft.com op te
nemen. Op die manier laat u Hotbot alleen maar zoeken in het microsoft domein.

Als dit soort dingen mogelijk zijn op de server dan zullen vast en zeker meer mogelijk kunnen zijn.
En misschien ook wel de gevaarlijkste bug die er op dit moment is: De MDAC exploit van Rain
Forest Puppy (www.wiretrip.net/rfp)

Is dit strafbaar? Ik zou het persoonlijk niet weten. Ik denk dat u het beste kunt kijken naar
http://www.security.nl/content.php3?page=reactie&id=1430&969263009 Daar staat een interview met
iemand van de digitale recherche. Er is, vind ik persoonlijk, nog geen duidelijkheid. Ik heb nog niet
bij persberichten gezien wat mag en wat niet mag. En ik heb nog geen televisie reclames gezien
hierover. (Red: Elke burger wordt geacht de wet te kennen. Van toepassing zijn onder andere artikel 138a en 139a t/m f, te vinden op http://www.wetten.nu/wetgeving/nl00098/nl00098-15.cfm,raadpleeg een advocaat bij twijfel of vragen, met common sense kom je overigens ook een eind).

Hoe voorkom je als NT-beheerder beveiligingsproblemen?

Er zijn verschillende manieren om misbruik van bovenstaande zaken te voorkomen. Het is
belangrijk dat je geen Indexering gebruikt in het software pakket. Zo mag je niet directory s vrij
maken tot het zien van de andere bestanden in de map. Standaard staat het ook uit. Maar meestal
word het aangezet om problemen op te lossen. Denk maar aan bestanden die niet te vinden zijn.
Ook is het erg handig om een duidelijk verschil te maken met de testfase en de produktie. Zo voorkom je dat search engines je server kunnen inspecteren op bestanden. (Red: met een juiste robots.txt kunnen searchengines ook van (bepaalde plekken op) een site geweerd worden, zie http://info.webcrawler.com/mak/projects/robots/norobots.html). Hoe groter de site hoe meer werk voor de contentbeheerder. Het is gewoon zo en als het zo is, neem dan ook de tijd ervoor.
Overigens moet je een duidelijk beleid hebben wie wat doet. Zo moet je duidelijk verschil maken met de beheerderfunctie en de contentfunctie. De beheerder beslist wat er uitgeschakeld wordt en de contentbeheerder beslist wat er op komt. Wat een goede combinatie is in de praktijk is: Laat de beheerder de onderzoek doen wat er mogelijk is en laat de contentbeheerder kijken hoe de functionaliteit er van is. Hoe sterker het beleid hoe beter de functionaliteit en beveiliging.
Ik laat vooral zien windows NT (2000) met Internet Information server 4 (5). En bent u een
beheerder dan verwijs ik u overgens ook naar de volgende site:
http://www.microsoft.com/technet/security/iischk.asp - IIS 4.0 Security Checklist
http://www.microsoft.com/technet/security/iis5chk.asp - IIS 5.0 Security Checklist
Mischien ook een zeer leuke tip. Koppel het www domein pas op het laatst. Dus eerst op IP
nummer en daarna op het www domein.

Wat op zich ook de moeite waard is, is een penetratietest uitvoeren op uw systemen, of in ieder geval advies vragen aan bedrijven die penetratie tests uitvoeren. Het rapport wat het resultaat is van de test geeft aan of uw systeem veilig is. Wel moet u op letten wat voor bedrijf u inschakelt, er is in deze branche veel kaf onder het koren.

Overgens bedank ik ook Gerrie Mansur van HIT2000 voor het verzinnen van de term vreatief
surfen. Ik zou iedereen graag willen verzoeken om naar HIT2000 te komen. Kijk in ieder geval naar
de site: www.hit2000.org

Nederland is onveilig. En er zijn mensen die er alles aan doen om het veilig te maken. Het
investeren in beveiliging is altijd een lastige keuze, omdat het geen zichtbare winst oplevert. Maar
een goede beveiliging is zeker wat waard.

Berichtje naar security.nl:
Ga zo door en blijf publiceren over dat Nederland veiliger moet zijn. Jullie doen het goed. Altijd
erg up to date en jullie geven de ins and outs in Nederland zelf.

Ook wil ik even kwijt dat zelfs Microsoft fouten maakt. Het Microsoft domein is niet veilig en
hebben het ook gemerkt. De gebruikelijke exploits zullen wel niet werken op het pad waar het hoort
te staan. Maar het aanpassen naar de manier hoe het daarop hoort lukt wel. Om aan te geven aan de
systeembeheerder en contentbeheerder: Verplaatsen is niet handig. Zo is het verplaatsen naar
bijvoorbeeld een temp directory op de server en bereikbaar zetten op de server is natuurlijk niet
verstandig.

Dank u wel voor uw aandacht. En misschien kom ik u nog een keer tegen.

Met vriendelijke groet,

Dimitri.