De beveiliging van digitale informatie op de TU Delft is de afgelopen jaren beter georganiseerd. Succesvolle aanvallen op de computersystemen komen minder vaak voor. Maar de aanvallen worden wel steeds geraffineerder.
Share
Arno Haket, systeembeheerder bij DelftChemTech, weet het nog goed. “In juni 2003 begonnen de virusinfecties op de computersystemen van de TU Delft opvallend toe te nemen. Ik zag plotseling bijna elke dag tientallen dingen die niet in de haak waren.”
Haket kon deze alarmerende ontwikkeling op de voet volgen, omdat hij sinds 2000 beschikt over een systeem (“een firewall in combinatie met wat in elkaar geflanste scriptjes”) dat veel aanvallen op de systemen van de TU Delft registreert. Hij besloot elk belangrijk incident aan zijn collega’s door te geven. “Ik besef dat het vervelend voor een netwerkbeheerder is om tien keer in een week te moeten lezen dat er alweer een computer van zijn faculteit is gehacked. Dan krijg je het gevoel voortdurend achter de feiten aan te hollen. Maar ik wilde het tot iedereen laten doordringen dat we met een probleem zaten. Ik wilde vooral helpen: hoe eerder je er als beheerder bij bent, hoe meer je de schade kunt beperken.”
Twee jaar later is het informatiebeveilingsbeleid meer gestroomlijnd. Haket heeft overigens niets van zijn waakzaamheid verloren. Hij is één van de zes leden van het in april 2005 gestarte Computer Emergency Response Team (TUD-Cert). Geen dagtaak, maar ook geen nine to five job: hackers en computercriminelen houden zich nu eenmaal ook niet aan kantooruren.
“Zo’n twee jaar geleden worstelde de TU Delft met de beveiliging”, zegt ook Alf Moens. Dat hij in mei 2004 aantrad in de nieuwe functie van security manager bij informatiebeveiliging moet in het licht van die problemen worden gezien. “Vergeleken met veel andere universiteiten hobbelden we achteruit. Er waren mensen die zich serieus met de beveiliging bezig hielden, maar de aanvallen werden zo talrijk en divers dat een nieuwe aanpak nodig was. De achterdeur van negentig procent van onze systemen zat niet op slot, en dat in een tijd waarin criminelen zichtbaar in hacken geïnteresseerd begonnen te raken.”
“Het is lastig om de financiële schade voor de TU Delft van al die aanvallen te becijferen”, zegt Arno Haket. “Maar het heeft veel werkuren en studie-uren gekost.” Een voorbeeld: in maart 2004 moest het gehele computernetwerk van een faculteit enkele dagen worden afgesloten, omdat meer dan honderd computers besmet bleken met een virus. Haket: “Geen enkele pc was er voorzien van de security updates van Microsoft, dus het virus kon snel om zich heen grijpen.”
Volgens Alf Moens is de situatie op de TU Delft nu weer onder controle. “De beveiliging is weer up to date. Virusscanners zijn op drie niveaus actief: aan de ‘poort’ van het universiteitsnetwerk, bij de e-mailservers en op de pc’s van medewerkers en studenten. Virussen komen er niet vaak meer door. De komende standaardisering zal bovendien voor meer overzicht zorgen. Op dit moment hebben we niet minder dan zeventig beheergroepen op de TU Delft.” Haket waarschuwt wel dat een toename van remote beheer in de toekomst nieuwe risico’s met zich mee brengt. “Als systemen remote toegankelijk zijn voor beheerders, kan als het misgaat een hacker of een virus zich via diezelfde weg toegang verschaffen. Momenteel hebben incidenten door het versnipperde beheer meestal een lokaal karakter. Bij ver doorgevoerde standaardisering bestaat de mogelijkheid dat als het fout gaat veel meer systemen bij een incident betrokken raken.”
Ook Haket meldt dat het aantal incidenten geleidelijk afneemt. “Dat is mede te danken aan het feit dat computergebruikers nu alerter zijn. En bij problemen mag een besmette pc tegenwoordig overal meteen worden afgesloten van het netwerk.”
Bank
Toch blijft de TU Delft een geliefd doelwit voor computeraanvallen. Die zijn niet altijd even eenvoudig af te slaan. Twee recente voorbeelden illustreren dat.
Phishing is een vorm van computercriminaliteit die in 2004 wereldwijd een stormachtige groet doormaakte. Bij phishing trachten de daders door bedrog de computergebruiker er toe te verleiden om bijvoorbeeld zijn creditcardgegevens prijs te geven. Zo ontvingen in mei 2005 klanten van een bank in de Verenigde Staten een zogenaamd van die bank afkomstig mailtje, met een mededeling van het type ‘er is een groot probleem maar als u meewerkt komt alles goed’ en het verzoek om snel naar de website van de bank te gaan en daar enkele beschermde gegevens nog eens in te vullen. De link naar de website stond al keurig in het mailtje genoemd.
Zo zwom menige klant nietsvermoedend in de fuik van de computercriminelen. De website waar de link toe leidde was een kopie van het origineel, met geen ander doel dan zoveel mogelijk lucratieve gegevens te verzamelen en te misbruiken. En één van de servers die de bende had gehacked om de site aan te bieden, stond op een faculteit van de TU Delft. Haket: “We weten niet precies hoe dat is gebeurd: er waren meerdere mogelijke ‘achterdeurtjes’ aanwezig.”
Een netwerkbeheerder bij DTO werd gealarmeerd door een door de bank ingehuurd bureau. Haket: “Dat bureau had de locatie van de server via het ip-adres getraceerd, en stuurde een mailtje naar abuse@tudelft.nl. De netwerkbeheerder heeft toen allereerst vanuit zijn thuiswerkplek het systeem afgesloten. Pas daarna is het Computer Emergency Response Team op de hoogte gebracht. Waarschijnlijk is de site minder dan een dag in de lucht geweest.” Als er bij zo’n incident niet wordt ingegrepen zou de TU misschien aansprakelijk gesteld kunnen worden voor de schade. “Zulke juridische finesses tellen voor mij minder zwaar dan het feit dat we als TU Delft computercriminelen op geen enkele manier van dienst willen zijn”, zegt Haket.”Dat zou het imago van de universiteit ook geen goed doen.”
Na de ontdekking begon het moeizame uitpluizen. Haket: “Het was belangrijk om na te gaan of er nog gegevens achterhaald konden worden. Voor onszelf, om iets van deze aanval te leren, maar ook als mogelijk bewijsmateriaal.” Dat laatste viel niet mee. Moens: “We vonden het e-mail adres bij Yahoo, waar de eventueel ontfutselde informatie naartoe gestuurd was. Maar op het TU-systeem zelf waren geen gegevens aanwezig.” De daders lieten verder geen sporen achter die het mogelijk maakten ze te traceren. Moens: “Tussen hen en de TU server zaten vele schakels, vaak servers in landen waar de bestrijding van de computercriminaliteit nog in de kinderschoenen staat.” Haket acht de kans dat de daders zijn opgepakt heel klein. Moens: “Die lage pakkans maakt deze vorm van criminaliteit heel aantrekkelijk.”
Toetsaanslagen
In een weekend in januari 2005 kreeg de TU Delft met een ander type aanval te maken: circa tachtig systemen werden via een besmetting met de Kibuv-worm van buitenaf overgenomen en ingericht voor de illegale verspreiding van games, software, muziek en films. “Waarschijnlijk zijn hackers via key-loggen, het ‘meelezen’ van de toetsaanslagen op een besmette computer, ook achter de gebruikersnaam en een wachtwoord van een beheerder gekomen”, zegt Moens. “Het mag dan tegenwoordig veel moeilijker zijn om via de Surfnet-poort onze netwerken binnen te komen, als je eenmaal van binnenuit systemen kan infiltreren wordt het een ander verhaal. Dan kan de indringer kwetsbare systemen gaan zoeken en overnemen. Op afstand kan hij dan commando’s geven aan een ‘zombie pc’, die is gekaapt zonder dat de eigenaar er iets van merkte.”
De daders zijn geen harde criminelen, vermoedt Moens. “Bij ‘warez’ gaat het om een wereldwijde community die zaken als muziek via ftp-servers illegaal beschikbaar stelt. Het is wel een schending van het copyright, en bij ontdekking is het de eigenaar van de gekaapte pc die zich als eerste tegenover de politie moet verantwoorden.” Haket: “Een universiteit als de TU Delft trekt dit soort misbruik helaas aan, door de grote opslagruimte en de snelle internetverbinding via Surfnet.”
Gekaapte pc’s die worden ingezet voor phishing of illegale distributie: zulke geraffineerde maar agressieve aanvallen maken duidelijk waarom op de TU Delft naast het Site Security Team (SST) nu een Computer Emergency Response Team in het leven is geroepen.
De taken van beide teams zijn nauw omschreven. Het SST bestaat uit drie in gestandaardiseerde procedures getrainde medewerkers en bewaakt via monitoring-software de computersystemen van de TU Delft. Het team reageert ook op klachten en noodsignalen, maar laat het daadwerkelijk oplossen van problemen aan het ict-beheer over.
Het Cert bestaat uit zes beveiligingsdeskundigen, afkomstig van DTO en verschillende faculteiten. Dit team treedt vooral op bij zwaardere incidenten. De leden moeten hun kennis over informatiebeveiliging en computercriminaliteit voortdurend actueel houden om adviezen aan de netwerkbeheerders en het SST te kunnen geven. Het team dient ook te kunnen inschatten welke meldingen belangrijk zijn en welke niet. Haket: “Er komt wel eens vals alarm binnen, en je wilt niet voor niets het netwerk laten afsluiten.”
Dan is er nog de gebruiker. Moens: “Daar valt nog de meeste winst te behalen. Veel mensen zijn zich wel van de risico’s bewust, maar weten niet precies hoe ze die zo beperkt mogelijk kunnen houden.” Op de security-site staat veel informatie over zaken als tijdig back-ups maken, wachtwoorden wijzigen en virusscanners installeren. “Achterdocht is voor een webgebruiker geen slechte eigenschap”, zegt Haket. “En het is verstandig om in plaats van Internet Explorer en Outlook andere programma’s te gebruiken. Al zal dat voordeel op een gegeven moment weer verdwijnen omdat computercriminelen zich dan ook op die alternatieve software gaan richten. Het blijft een wedloop.”
Arno Haket, systeembeheerder bij DelftChemTech, weet het nog goed. “In juni 2003 begonnen de virusinfecties op de computersystemen van de TU Delft opvallend toe te nemen. Ik zag plotseling bijna elke dag tientallen dingen die niet in de haak waren.”
Haket kon deze alarmerende ontwikkeling op de voet volgen, omdat hij sinds 2000 beschikt over een systeem (“een firewall in combinatie met wat in elkaar geflanste scriptjes”) dat veel aanvallen op de systemen van de TU Delft registreert. Hij besloot elk belangrijk incident aan zijn collega’s door te geven. “Ik besef dat het vervelend voor een netwerkbeheerder is om tien keer in een week te moeten lezen dat er alweer een computer van zijn faculteit is gehacked. Dan krijg je het gevoel voortdurend achter de feiten aan te hollen. Maar ik wilde het tot iedereen laten doordringen dat we met een probleem zaten. Ik wilde vooral helpen: hoe eerder je er als beheerder bij bent, hoe meer je de schade kunt beperken.”
Twee jaar later is het informatiebeveilingsbeleid meer gestroomlijnd. Haket heeft overigens niets van zijn waakzaamheid verloren. Hij is één van de zes leden van het in april 2005 gestarte Computer Emergency Response Team (TUD-Cert). Geen dagtaak, maar ook geen nine to five job: hackers en computercriminelen houden zich nu eenmaal ook niet aan kantooruren.
“Zo’n twee jaar geleden worstelde de TU Delft met de beveiliging”, zegt ook Alf Moens. Dat hij in mei 2004 aantrad in de nieuwe functie van security manager bij informatiebeveiliging moet in het licht van die problemen worden gezien. “Vergeleken met veel andere universiteiten hobbelden we achteruit. Er waren mensen die zich serieus met de beveiliging bezig hielden, maar de aanvallen werden zo talrijk en divers dat een nieuwe aanpak nodig was. De achterdeur van negentig procent van onze systemen zat niet op slot, en dat in een tijd waarin criminelen zichtbaar in hacken geïnteresseerd begonnen te raken.”
“Het is lastig om de financiële schade voor de TU Delft van al die aanvallen te becijferen”, zegt Arno Haket. “Maar het heeft veel werkuren en studie-uren gekost.” Een voorbeeld: in maart 2004 moest het gehele computernetwerk van een faculteit enkele dagen worden afgesloten, omdat meer dan honderd computers besmet bleken met een virus. Haket: “Geen enkele pc was er voorzien van de security updates van Microsoft, dus het virus kon snel om zich heen grijpen.”
Volgens Alf Moens is de situatie op de TU Delft nu weer onder controle. “De beveiliging is weer up to date. Virusscanners zijn op drie niveaus actief: aan de ‘poort’ van het universiteitsnetwerk, bij de e-mailservers en op de pc’s van medewerkers en studenten. Virussen komen er niet vaak meer door. De komende standaardisering zal bovendien voor meer overzicht zorgen. Op dit moment hebben we niet minder dan zeventig beheergroepen op de TU Delft.” Haket waarschuwt wel dat een toename van remote beheer in de toekomst nieuwe risico’s met zich mee brengt. “Als systemen remote toegankelijk zijn voor beheerders, kan als het misgaat een hacker of een virus zich via diezelfde weg toegang verschaffen. Momenteel hebben incidenten door het versnipperde beheer meestal een lokaal karakter. Bij ver doorgevoerde standaardisering bestaat de mogelijkheid dat als het fout gaat veel meer systemen bij een incident betrokken raken.”
Ook Haket meldt dat het aantal incidenten geleidelijk afneemt. “Dat is mede te danken aan het feit dat computergebruikers nu alerter zijn. En bij problemen mag een besmette pc tegenwoordig overal meteen worden afgesloten van het netwerk.”
Bank
Toch blijft de TU Delft een geliefd doelwit voor computeraanvallen. Die zijn niet altijd even eenvoudig af te slaan. Twee recente voorbeelden illustreren dat.
Phishing is een vorm van computercriminaliteit die in 2004 wereldwijd een stormachtige groet doormaakte. Bij phishing trachten de daders door bedrog de computergebruiker er toe te verleiden om bijvoorbeeld zijn creditcardgegevens prijs te geven. Zo ontvingen in mei 2005 klanten van een bank in de Verenigde Staten een zogenaamd van die bank afkomstig mailtje, met een mededeling van het type ‘er is een groot probleem maar als u meewerkt komt alles goed’ en het verzoek om snel naar de website van de bank te gaan en daar enkele beschermde gegevens nog eens in te vullen. De link naar de website stond al keurig in het mailtje genoemd.
Zo zwom menige klant nietsvermoedend in de fuik van de computercriminelen. De website waar de link toe leidde was een kopie van het origineel, met geen ander doel dan zoveel mogelijk lucratieve gegevens te verzamelen en te misbruiken. En één van de servers die de bende had gehacked om de site aan te bieden, stond op een faculteit van de TU Delft. Haket: “We weten niet precies hoe dat is gebeurd: er waren meerdere mogelijke ‘achterdeurtjes’ aanwezig.”
Een netwerkbeheerder bij DTO werd gealarmeerd door een door de bank ingehuurd bureau. Haket: “Dat bureau had de locatie van de server via het ip-adres getraceerd, en stuurde een mailtje naar abuse@tudelft.nl. De netwerkbeheerder heeft toen allereerst vanuit zijn thuiswerkplek het systeem afgesloten. Pas daarna is het Computer Emergency Response Team op de hoogte gebracht. Waarschijnlijk is de site minder dan een dag in de lucht geweest.” Als er bij zo’n incident niet wordt ingegrepen zou de TU misschien aansprakelijk gesteld kunnen worden voor de schade. “Zulke juridische finesses tellen voor mij minder zwaar dan het feit dat we als TU Delft computercriminelen op geen enkele manier van dienst willen zijn”, zegt Haket.”Dat zou het imago van de universiteit ook geen goed doen.”
Na de ontdekking begon het moeizame uitpluizen. Haket: “Het was belangrijk om na te gaan of er nog gegevens achterhaald konden worden. Voor onszelf, om iets van deze aanval te leren, maar ook als mogelijk bewijsmateriaal.” Dat laatste viel niet mee. Moens: “We vonden het e-mail adres bij Yahoo, waar de eventueel ontfutselde informatie naartoe gestuurd was. Maar op het TU-systeem zelf waren geen gegevens aanwezig.” De daders lieten verder geen sporen achter die het mogelijk maakten ze te traceren. Moens: “Tussen hen en de TU server zaten vele schakels, vaak servers in landen waar de bestrijding van de computercriminaliteit nog in de kinderschoenen staat.” Haket acht de kans dat de daders zijn opgepakt heel klein. Moens: “Die lage pakkans maakt deze vorm van criminaliteit heel aantrekkelijk.”
Toetsaanslagen
In een weekend in januari 2005 kreeg de TU Delft met een ander type aanval te maken: circa tachtig systemen werden via een besmetting met de Kibuv-worm van buitenaf overgenomen en ingericht voor de illegale verspreiding van games, software, muziek en films. “Waarschijnlijk zijn hackers via key-loggen, het ‘meelezen’ van de toetsaanslagen op een besmette computer, ook achter de gebruikersnaam en een wachtwoord van een beheerder gekomen”, zegt Moens. “Het mag dan tegenwoordig veel moeilijker zijn om via de Surfnet-poort onze netwerken binnen te komen, als je eenmaal van binnenuit systemen kan infiltreren wordt het een ander verhaal. Dan kan de indringer kwetsbare systemen gaan zoeken en overnemen. Op afstand kan hij dan commando’s geven aan een ‘zombie pc’, die is gekaapt zonder dat de eigenaar er iets van merkte.”
De daders zijn geen harde criminelen, vermoedt Moens. “Bij ‘warez’ gaat het om een wereldwijde community die zaken als muziek via ftp-servers illegaal beschikbaar stelt. Het is wel een schending van het copyright, en bij ontdekking is het de eigenaar van de gekaapte pc die zich als eerste tegenover de politie moet verantwoorden.” Haket: “Een universiteit als de TU Delft trekt dit soort misbruik helaas aan, door de grote opslagruimte en de snelle internetverbinding via Surfnet.”
Gekaapte pc’s die worden ingezet voor phishing of illegale distributie: zulke geraffineerde maar agressieve aanvallen maken duidelijk waarom op de TU Delft naast het Site Security Team (SST) nu een Computer Emergency Response Team in het leven is geroepen.
De taken van beide teams zijn nauw omschreven. Het SST bestaat uit drie in gestandaardiseerde procedures getrainde medewerkers en bewaakt via monitoring-software de computersystemen van de TU Delft. Het team reageert ook op klachten en noodsignalen, maar laat het daadwerkelijk oplossen van problemen aan het ict-beheer over.
Het Cert bestaat uit zes beveiligingsdeskundigen, afkomstig van DTO en verschillende faculteiten. Dit team treedt vooral op bij zwaardere incidenten. De leden moeten hun kennis over informatiebeveiliging en computercriminaliteit voortdurend actueel houden om adviezen aan de netwerkbeheerders en het SST te kunnen geven. Het team dient ook te kunnen inschatten welke meldingen belangrijk zijn en welke niet. Haket: “Er komt wel eens vals alarm binnen, en je wilt niet voor niets het netwerk laten afsluiten.”
Dan is er nog de gebruiker. Moens: “Daar valt nog de meeste winst te behalen. Veel mensen zijn zich wel van de risico’s bewust, maar weten niet precies hoe ze die zo beperkt mogelijk kunnen houden.” Op de security-site staat veel informatie over zaken als tijdig back-ups maken, wachtwoorden wijzigen en virusscanners installeren. “Achterdocht is voor een webgebruiker geen slechte eigenschap”, zegt Haket. “En het is verstandig om in plaats van Internet Explorer en Outlook andere programma’s te gebruiken. Al zal dat voordeel op een gegeven moment weer verdwijnen omdat computercriminelen zich dan ook op die alternatieve software gaan richten. Het blijft een wedloop.”
Comments are closed.