ICT Beveiliging is onmiskenbaar een hot topic. Sinds ongeveer een jaar waarschuwt zelfs het NOS Journaal bij grote worm uitbraken. Je moet snel patchen anders kunnen de meest vreselijke dingen gebeuren, varieerend van documenten die naar iedereen gemaild worden tot het onherstelbaar beschadigen van data op bedrijfskritische servers.
Zo was er het Spaarne Ziekenhuis dat 4 maart 2005 een worm op het interne netwerk kreeg en 4 dagen later nog niet alle systemen weer schoon had. En dan hebben we het nog niet over phishing, hacking, trojans, backdoors, spyware, bots, enzovoorts.
Wat gaat er mis met ICT beveiliging, waarom is het zo’n drama?
Beveiliging wordt te vaak als product gezien, we investeren een paar ton in beveiliging en dan is dat vervelende probleem van de baan. Helaas werkt het niet zo. In het kort heb je drie dingen nodig:
- goed beveiligingsbeleid
- user awareness
- technische middelen
De eerste twee ontbreken over het algemeen en dan komt het op de technische middelen aan om het gat in de dijk te dichten. Laten we eens inzoomen op die technische middelen, wat kan je doen om een server te beveiligen?
- geen onnodige services draaien
- bijgewerkt zijn met patches
- antivirus als je een Microsoft OS draait
- host based firewall draaien
- zo min mogelijk onder Administrator/root werken
Er zijn er nog wel wat meer, maar als je bovenstaande items volgt dan ben je al een heel eind op weg. Uiteraard ga ik er van uit dat beheerders van systemen wel “security aware” zijn; meestal worden ze dat vanzelf nadat het een keertje mis is gegaan :-).
Een andere methode om security awareness te kweken is om zelf eens in de voetstappen van een hacker of worm te treden en proberen in te breken op je eigen systeem. Als dat eenmaal gelukt is kan je de show stelen door het te herhalen tijdens een teamoverleg, dat heeft dan wel tot gevolg dat je ineens de security expert zult worden van de afdeling.
Het inbreken op eigen systemen heet “Penetration testing” oftewel pentest. Met een pentest kan je niet bewijzen dat je systemen veilig zijn, maar wel dat ze onveilig zijn.
Aangezien je zelf waarschijnlijk geen hacker bent heb je wel een een handicap, waar te beginnen? Een goede cursus is altijd aan te bevelen (b.v. SANS Track 4 Hacker Techniques, Exploits & Incident Handling), maar misschien moet je toch eerst die demo doen voordat je geld van je manager los krijgt voor die cursus. Je kan Whax (de opvolger van Whoppix) downloaden en op een cdrom branden. Dit is een bootable linux distributie met zoveel mogelijk beveiligingssoftware erop als maar past op het schijfje. Vervolgens boot je van deze cdrom en je hebt een complete pentest toolkit tot je beschikking. Het leuke van Whoppix destijds was dat er een hele set flash filmpjes op de website stonden die stap voor stap voordeden hoe zo’n inbraak nu in zijn werk ging. Die filmpjes lijken niet overgezet te zijn naar de nieuwe website, maar met een beetje googelen kan je ze wel weer vinden; ze staan online op deze website of je kan met behulp van een bittorrent de 240MB aan demo’s downloaden naar je eigen computer.
Een hoop penetration tests gebeuren op basis van het Metasploit framework. Dit is een open source pakket waarin exploits verzameld zijn en waar ze op een uniforme manier te gebruiken zijn. Het leuke van Metasploit is dat het continue wordt bijgewerkt met nieuwe exploits. Verder zitten in Whax diverse tools voor het bekijken van wireless verkeer en het ontcijferen van de WEP key zodat alle informatie afgevangen en bekeken kan worden. By the way, gebruik je wireless networking in combinatie met WEP beveiliging? De FBI heeft onlangs aangetoond dat ze in een paar minuten een WEP sleutel kunnen kraken. Er schijnt zelfs een ziekenhuis te zijn dat Voice over IP (VOIP) met WEP beveiliging doet, dat geeft je te denken over hoe makkelijk het moet zijn om een telefoongesprek daar af te luisteren. Misschien de hoogste tijd dat zij ook eens vanuit een hacker perspectief naar beveiliging kijken?