Volgens goed gebruik geven wij hieronder een overzicht van de volgens ons belangrijkste gebeurtenissen in het afgelopen jaar. Wij wensen iedereen een plezierige jaarwisseling en een veilig 2001.
Y2K
Het einde van 1999 stond in het teken van de eeuwwisseling, of liever gezegd,
de problemen die dat met zich mee zou gaan brengen. Op beveiligingsgebied werd
er gevreesd voor onder andere paniekreacties op het expireren van de
certificaten van Verisign, door Y2K-consultants ingebouwde achterdeurtjes en
vernietigende Y2K virussen.
Het Amerikaanse beveiligingsinstituut Sans maakte zich op voor een hete
jaarwisseling en richtte het zogenaamde Y2K Watchcenter in. De bedoeling van
dit watchcenter was om eventuele ernstige calamiteiten direct op een centraal
punt te kunnen melden. Het bleek zo'n succes te zijn dat het Watchcenter,
tegenwoordig Global Incident Analysis Center (GIAC) genaamd, een permanente
status heeft gekregen. SANS had sterke aanwijzigen dat onverlaten de paniek
rond de eeuwwisseling zouden misbruiken voor het plegen van massale aanvallen
op kritieke delen van de internet infrastructuur. Deze gedachte was onder
andere gevoed door een presentatie in november door expert Dave Dittrich voor
het Amerikaanse Computer Emergency Response Team (CERT). Tijdens deze lezing
gaf hij een beschrijving van de toen recentelijk ontdekte programmas Trinoo en
Tribe Flood Network. Door middel van deze programmas zou het mogeljk zijn de
kracht van een groot aantal computers op het internet samen te bundelen in een
aanval op een bepaald onderdeel van het netwerk (DDoS). Dittrich's interesse
in dit type aanval was ontstaan in augustus 1999, toen het netwerk van de
universiteit van Minnesota slachtoffer was van een dergelijke aanval. Na de
ontdekking van DDoS programma's op dat netwerk startte hij een onderzoek naar
dergelijke programmatuur en ontwikkelde hij een gereedschap om besmette
computers op te kunnen sporen.
Sabotage
De jaarwisseling rustiger dan verwacht. In januari echter werden beheerders
en internetgebruikers gewaarschuwd voor nieuwe, meer geavanceerde DDoS
programmas: stacheldraht en TFN2000. De laatste was beschikbaar voor een
dusdanig groot aantal softwareplatforms dat de dreiging steeds reeeler begon
te lijken. Toen was het eindelijk zover: in januari begon het voorzichtig met
een aanval op de kleine provider Oz.net, om begin februari tot een climax te
komen met grootscheepse aanvallen op de netwerken van webportal Yahoo en
boekenverkoper Amazon en on-line veilighuizen eBay en Buy.com. De impact van
de aanvallen was tot op de beurs te voelen: de waarde van aandelen in
computerbeveiligingsbedrijven steeg aanzienlijk. De bedrijven struikelden
over elkaar heen om als eerste met een oplossing te komen, waarbij de een
mooi persbericht vaak belangrijker leek te zijn dan een werkelijke oplossing.
Een ander positief effect van de aanvallen was dat zowel het publiek als de
regeringen van de geindustrialiseerde landen werden gewezen op de
kwetsbaarheden van de steeds belangrijker worden internet economie en er een
begin werd gemaakt met internationale samenwerkingsverbanden. Zelfs de
gevreesde computerinbreker Kevin Mitnick die, na 5 jaar in de cel te hebben
doorgebracht, in januari was vrijgekomen werd naar aanleiding van de aanvallen
door de Amerikaanse regering om advies gevraagd. Overigens werd de vermeende
dader van de aanvallen, een 16-jarige Canadese jongeman bijgenaamd 'Mafiaboy',
in augustus officieel in beschuldiging gesteld.
Encryptie
Op encryptiegebied stond de wereld ook niet stil. In december 1999 maakten twee
Isrealische cryptografen bekend dat ze de A5/1 encryptiemethode die gebruikt
wordt voor de GSM-netwerken gekraakt hadden. Belangrijke spelers in de
GSM-industrie ontkenden onmiddelijk de praktische toepassing.
Een zaak die ons nog wel even zal bezig houden begon in Zweden, waar een
hobbyist in een poging DVD-films op zijn Linux systeem te bekijken de CSS
versleuteling waarmee deze schijfjes beveiligd waren doorbrak en dit samen met
de broncode naar een mailinglist stuurde. De almachtige media-industrie in de
vorm van de MPAA kreeg hier lucht van en in plaats van toe te geven dat men een
slechte beveiligingsmethode had gekozen trachtte men de verspreiding van de
broncode te voorkomen. De publiciteit hier omheen had een averechts effect: de
broncode verspreidde zich als een olievlek over het internet. Het ondergrondse
nieuwsblad 2600 lokte een rechtszaak uit die voorlopig is gewonnen door de
MPAA, en de zaak is in afwachting van het hoger beroep door 2600.
De bijna vlekkeloze historie van het PGP encryptieprogramma werd in augustus
bezoedeld door het bekend worden van een fout waardoor in feite een backdoor
in een PGP sleutel kon worden geplaatst.Ook schrijver Stephen King werd
geplaagd door encryptie-problemen. De bedoeling was dat zijn digitaal
verspreide boek 'Riding the Bullet' door middel van versleuteling maar door 1
persoon per exemplaar gelezen kon worden. Amerikaanse exportrestricties
verhinderden echter het gebruik van sterke cryptografie, waardoor de sleutel
tot het boek gekraakt kon worden en een vrije verspreiding mogelijk werd. Later
in het jaar maakte de Amerikaanse regering bekend de regels ten opzichte van de
export van cryptografische produkten te versoepelen, helaas te laat voor
Stephen. Meer goed nieuws voor cryptogebruikers volgt later dit jaar als op 20
september het patent op de RSA versleutelingsmethode verstrijkt. Beide
ontwikkelingen zullen tot gevolg hebben dat cryptografische produkten
goedkoper worden en dat er geen verschil meer is tussen encryptiesoftware voor
de Verenigde Staten en het overgrote deel van de rest van de wereld.
De digitale handtekening begon dit jaar ook haar langverwachte opmars:
de Verenigde Staten waren het eerste land waar een dergelijke handtekening
erkend werd, en (wetsvoorstellen in) onder andere Spanje, Australie, Litouwen,
Estland, Ierland, Japan, het Verenigd Koninkrijk en Duitsland volgden.
De digitale handtekening wordt door velen als een belangrijk component in de
acceptatie van e-commerce gezien.
Afluisteren
2000 was ook het jaar van het Amerikaanse afluistersysteem Echelon.
Dit systeem, dat wereldwijd alle communicatiemiddelen stelselmatig aftapt en
analyseert was bij een kleine groep al jaren bekend, maar mocht zich na het
openbaar worden van voorheen geheime documenten die het bestaan van het
systeem officieel bevestigden op een bredere belangstelling verheugen en was
zelfs het onderwerp van kamervragen. De Nederlandse regering bleef om
onbekende redenen stug het bestaan van Echelon ontkennen. Frankrijk kondigde
een eigen versie van Echelon aan en ook onze eigen BVD kwam met plannen om
internet te gaan afluisteren. Vanaf maart 2001 zijn de Nederlandse internetproviders verplicht hun netwerken voor justitie aftapbaar te maken. In december kwam het bericht dat door het aanbrengen van deze voorzieningen de providers hun prijzen fors zouden moeten verhogen, maar dit werd later weer afgezwakt. Verwacht wordt dat internetgebruikers als reactie op dergelijke ontwikkelingen steeds meer gebruik van versleuteling (encryptie) zullen gaan maken. Provider XS4ALL gaf hiertoe een aanzet door alle abonnees gratis versleutelingsprogrammatuur aan te bieden.
Virussen
In mei werd de wereld opgeschrikt door het VBS.LoveLet.A oftwel ILOVEYOU
emailvirus. Een combinatie van trage reactie van anti-virusmakers, laksheid van
gebruikers en beheerders en de software van Microsoft zorgde voor grote
economische schade. De dader bleek tot ieders verbazing niet uit een
hoog-geindustrialiseerd land afkomstig te zijn, maar uit de arme Philippijnen.
De virusschrijver werd ondanks het ontbreken van relevante wetgeving in de
Philippijnen aangeklaagd en later in het jaar vrijgesproken, wat hem een
stroom aanbiedingen voor werk opleverde. Voor het eerst werd niet alleen
door experts maar ook door het publiek de vraag gesteld of Microsoft niet
teveel mogelijkheden in haar software had aangebracht. Dat die bewering niet
geheel uit de lucht gevallen bleek toen Microsoft in een antwoord op het
ILOVEYOU-virus een patch uitbracht die een aantal mogelijkheden in het email
programma Outlook flink beperkte. Met kerst stuurden de antivirusproducenten waarschuwingen uit voor virussen die rond deze tijd met een vernietigende kracht actief zouden worden, maar grote incidenten bleven gelukkig uit.
Gebruikersperikelen
2000 kende een groot aantal problemen in software voor de gebruiker: gaten in
Microsoft's Internet Explorer en Outlook alsmede Netscape Navigator en
Communicator waren aan de orde van de dag. Vooral Java, Javascript en
ActiveX bleken steeds weer over onvermoede mogelijkheden te beschikken.
Als gevolg van de groei van het gebruik van kabelinternet en de daarmee
samenhangende langere online-tijden werden computergebruikers een steeds
aantrekkelijker doelwit van kwaadwillende personen op het Internet.
De industrie reageerde hier op met een groot aantal 'personal firewall'
produkten die gretig door de thuisgebruiker geconsumeerd werden.
Hackers
Microsoft kende zelf ook beveiligingsproblemen: in oktober werden de systemen van het bedrijf gekraakt. Russische hackers zouden bij het bedrijf hebben ingebroken en mogelijk zelfs de programmacode van softwarepakketten van Microsoft hebben aangepast. De softwareproducent ontkende uiteraard in alle toonaarden. In december stelde een Amerikaanse denktank naar aanleiding van de inbraak de vraag of het nog wel veilig is Microsoft's produkten te gebruiken, aangezien het niet duidelijk is of krakers er in geslaagd zijn deze aan te passen.
Voor uit Nederland afkomstige ethische hackers was het een goed jaar: Frank van Vliet en Joost Pol haalden de pers met kraken van sterk in het oog lopende sites als Slashdot.org, Apache.org en FreeBSD.org. Deze laatste kraken vielen bovendien in het oog door de uitgebreide documentatie, waarmee beveiligers hun voordeel konden doen om dergelijke fouten in de toekomst te voorkomen. De jonge Dimitri kwam in het nieuws nadat hij beveiligingsgaten bij Microsoft had aangetoond: de softwarproducent had zich niet aan de eigen richtlijnen gehouden en had de eigen systemen niet goed beveiligd. Gerrie Mansur wist de pers te halen met vermeende kraken bij onder andere de technologiebeurs Nasdaq.
Het Nederlandse bedrijfsleven
Ook de verzekeringsbranche probeerde een graantje mee te pikken van het
toegenomen gevoel van onveiligheid. Na de DDoS aanvallen in februari
meldden sommige verzekeraars een vervijfvoudiging van de omzet. Een branche
die hier mede van profiteerde waren de beveiligingsbedrijven, aangezien het
merendeel van de verzekeringen een bepaald beveiligingsniveau en regelmatige
controles hiervan eisen.In Nederland nam het aantal IT-beveiligingsbedrijven
in 2000 sterk toe.
Dat was ook wel nodig: menig Nederlands bedrijf werd dit jaar
het slachtoffer van grotere of kleinere beveiligingsrampen. Het
beursgenoteerde Baan werd in januari geconfronteerd met door derden op de
website geplaatste valse informatie over financiele injecties, en later in de
maand meldden krakers dat de website van Baan zo lek als een mandje was.
Casema werd slachtoffer van een grootschalige mailbom, die tot
gevolg had dat de mailvoorziening door de provider enkele dagen niet tot
nauwelijks functioneerde. Bij e-shop Takeitnow was het door een
programmeerfout mogelijk dat klanten elkaars orders konden bekijken. Pikant
detail was dat de shop het Webtrader-logo van de consumentenbond voerde. De
bond kreeg veel kritiek over de waarde van dit keurmerk, dat de consument een
vals gevoel van veiligheid zou bieden. Nederlandse krakers ontdekten dat ook
bij boekenhandel BOL niet altijd even zorgvuldig met de klantgegevens werd
omgegaan. Het probleem werd door BOL in samenwerking met de krakers opgelost.
Bij verzekeraar Unive bleken na een kraak gevoelige gegevens, waaronder
aanvragen voor verzekeringen voor het grijpen te liggen. De site van provider
Euronet werd onder de ogen van de BNN tv-camera gekraakt. Dat je niet moet
beloven wat je niet waar moet maken bewees de zelfbenoemde internemiljonair
Martijn Bevelander. De inkt van het Telegraaf-artikel waarin hij de veiligheid
van zijn bedrijf roemde was nog niet droog of het nieuws dat krakers zich
toegang hadden kunnen verschaffen tot klantgegevens werd bekend. De nasleep
van deze kraak maakte duidelijk dat het vaak beter is dergelijke problemen
eerlijk toe te geven: gestimuleerd door stugge ontkenning van de kraak door
Bevelander dook de internetpers diep in de zaak en rakelde allerlei voor het
bedrijf ongunstige feiten op.
Ahold draaide de zaken om: geconfronteerd met het feit dat de gegevens van
sollicitanten via de site op straat lagen schoof de kruidenier de schuld op
'hackers'. Kabelprovider Sonera kwam in april in het nieuws nadat bekend was
geworden dat het bedrijf moeite had met de beveiliging. Krakers bleken toegang
te hebben gehad tot het volledige klantenbestand en een groot deel van de
servers en andere netwerkapparatuur, en email zou zijn afgetapt. Volgens
bronnen was het bedrijf al geruime tijd op de hoogte van de problemen, maar
ondernam pas actie nadat de krakers de publiciteit zochten. Het bedrijf deed
aangifte van inbraak, tot nu toe echter zonder resultaat.
In mei wisten krakers zich op zeer eenvoudige wijze toegang te verschaffen
tot het on-line woordenboek van Van Dale en vervingen de inhoud door schunnige
taal. In juni werden bij Domeinrover Geldersch Beheer de pagina's van
honderden door hen geregistreerde domeinen gewijzigd. Planet Internet werd in
diezelfde maand verrast doordat iemand een oud domein van de provider had
gestolen, waardoor een groot aantal gebruikers van het eerste uur tijdelijk
zonder email kwam te zitten. In augustus werd hostingprovider Terrabyte tot 2
keer toe gekraakt. Na de eerste kraak scherpte men de beveiliging aan, maar
dat nam niet weg dat men 2 weken later nog eens de pineut was.
Buiten bovenstaande geruchtmakende zaken vonden er dit jaar uiteraard veel
meer kraken van bovendien ernstiger aard plaats. Bedrijven werden soms
geconfronteerd met volledig gewiste servers en netwerken die soms tot
dagenlang toe gesaboteerd worden. De aangiftebereidheid bij bedrijven is groter
geworden en het aantal incidenten neemt exponentieel toe, maar toch is er
sinds 1993 niemand meer wegens computercriminaliteit veroordeeld, voor zover wij hebben controleren. Wel werden dit jaar twee jonge mensen gearresteerd op verdenking van computervredebreuk, maar over het verloop van deze zaak is geen informatie bekend. Justitie
lijkt op operationeel nivo niet over voldoende mankracht te beschikken om alle
zaken te kunnen behandelen. Gezien het sterk groeiende belang van
internet voor de Nederlandse economie is het zaak dat hier spoedig een
ommekeer komt, maar voorlopig lijkt deze nog niet in zicht te zijn.
Tot slot enige cijfers:
De Amerikaanse beveiligingsorganisatie CERT zag in de eerste 9 maanden van 2000
al anderhalf maal zoveel incidenten ten opzichte van het gehele
vorige jaar. Ook het aantal gevonden beveiligingsfouten verdubbelde. Het
aantal bij archiefsite Attrition aangemelde kraken van websites steeg
aanzienlijk, het is echter niet geheel duidelijk of het bestaand van een site
als Attrition hier niet zelf debet aan is. Amerikaanse bedrijven besteedden de
afgelopen 12 maanden in totaal 6.822 manjaren aan computerinbraken, computeruitval
en virusverwijdering, aldus een Amerikaanse onderzoek dat in juli werd
verricht. Het ILOVEYOU virus zou wereldwijd tussen de anderhalf miljard en 15
miljard gulden aan schade hebben veroorzaakt en het totaal aan schade door
virussen en trojan horses zou volgens een onderzoek dit jaar een duizendvoud
bedragen.
Dit artikel verscheen eerder in gewijzigde vorm in Infosecurity.nl magazine
Deze posting is gelocked. Reageren is niet meer mogelijk.