'Bedreigingen groeien sneller dan onveiligheid'

Scott McIntyre is 'security officer' van Xs4all, maar heeft ook visitekaartjes met dezelfde functie bij KPN Cert, de bveveiligingsclub van KPN en neemt vanuit deze club deel aan First, de mondiale organisatie van beveiligingsafdelingen of 'computer emergency response teams' (Cert). Hij sprak tijdens Fifi 2008 in de Westergasfabriek in Amsterdam, ter gelegenheid van het 15-jarig bestaan van Xs4all per 1 mei jl. (zie korte geschiedenis).

McIntyre verplichtte zich gezien de beperkte tijd hem gegeven om in zo'n sneltreinvaart te spreken dat het volgen, laat staan allemaal opschrijven van wat hij zei ondoenlijk was. De belangrijkste opmerkingen:

• Altijd open verbindingen met het internet stellen individuen en organisaties bloot aan voortdurende risico's van lekke besturingssystemen, kwalijke plug-ins en andere downloads, malicieuze webpagina- en -applicaties;
• Online criminaliteit wordt het meest geplaagd vanuit Roemenië en Rusland. Deze landen steken er met kop en schouders bovenuit;
• Het financiële belang van online criminaliteit neemt snel toe. Symantec noemt een bedrag van 276 miljoen dollar, maar gezien de omvang van de handel in creditcard- en bankrekeninginformatie is dat bedrag in potentie 7 miljard dollar;
• Data per creditcard doen op de ondergrondse markt doorgaans zo'n 1,5 dollar. Maar het bedrag kan oplopen tot 12 dollar per creditcard, bijvoorbeeld van Arabische origine vanwege de hogere bestedingslimiet. Er is veel bartering in de ondergrondse markt, ruilhandel met creditcarddata en kwalijke code;
• De kern van beveiliging moet liggen bij webwinkels, die meer en meer het doelwit zijn van criminelen. Vaak staan ze in co-locatie of bij derden gehost en krijgen niet de optimale aandacht van beveiliging;
• Ook webmail vormt een zeer kwetsbare applicatie, te meer daar niet elk provider evenveel aandacht geeft aan goede beveiliging. Te meer daar in it-beveiliging de desktops heel veel aandacht vragen en ontvangen en servers minder;
• Content Management Systemen met heel veel mogelijkheden om webpagina's te bouwen geven ook heel veel veiligheidsrisico's. Het meeste misbruik komt met de open standaard PHP injectie en inclusie; vooral met 'iframe';
• Xs4all traceerde al meer dan 25.000 malicieuze brokken code beschikbaar voor dit doel wat leidt tot gemiddeld ruim 215.000 aanvallen per week om een website te infecteren met 'recorddagen' van meer dan 100.000. en het totaal is volgens McIntyre vele malen groter dan wat Xs4all zag. Nog geen reden om paranoïde te worden want het gaat om een fractie van het totale aantal websites;
• Waren er dus in 2007 nog 6.000 malicieuze websites, tot eind november 2008 waren dat er al 24.000. Een lijst met 500 regelmatige bezochte websites met kwaadaardige code circuleert;
• Vaak heerst een gebrekkig besef van de waarde van data. Partijen menen soms zelf dat hun data van weinig of geen waarde zijn, maar criminelen kunnen daar anders over denken. alles heeft waarde voor iemand.;
• Providers verwaarlozen soms hun beveiliging. Op de dag dat Xs4all het netwerk van het overgenomen HCC (voormalige Hobby Computer Club) integreerde verveelvoudigde het aantal aangesloten lekke computers. Alleen met een majeure inspanning kon dat worden teruggebracht;
• Het gevaar van 'Ddossen', bestoken van verbindingen en sites met grote aantallen bezoeken en verzoeken, neemt alleen maar toe. Het aantal pc's waar botnets (computernetten die aanvallen uitoefenen) gebruik van maken loopt op tot meer dan een miljoen. Xs4all kreeg te maken met een aanval van een botnet met 389.000 aangesloten pc's, en ervaart per dag tot maximaal 15 aanvallen op haar eigen servers of die van klanten;
• Van de e-mail van Xs4all is 95,6 procent spam en 0,84 procent bevat virussen;
• Open wifi verdient bestrijding. Het is heel nobel om je draadloze verbinding aan anderen in de buurt aan te bieden, maar het is een uitnodiging aan bijvoorbeeld spammers die je verbinding op onbewaakte ogenblikken misbruiken om massaal berichten te verzenden;
• Een oplossing is het afsluiten van port 25/tcp. Dat heeft KPN bijvoorbeeld gedaan bij abonnees van Planet Internet en Het Net, wat een enorme daling van ellende tot gevolg had: de zwarte lijst van lekke computers steeg van 500 naar 1.500 sinds 2006, maar daalde tot 'enkele' na het afsluiten;
• Er kwamen maar enkele tientallen klachten. Xs4all kan dit niet zomaar doen vanwege vele bedrijven en zware gebruikers die port 25 inzetten, maar gaat het afsluiten van deze poort wel actief aanbieden aan klanten;
• Verder is de bestrijding van computercriminaliteit steeds beter georganiseerd. De 'nerds' die zich hiermee bezig houden, houden ervan om zo veel mogelijk informatie uit te wisselen, zo ervaart McIntyre in de gremia voor beveiliging waarvan hij deel uitmaakt;
• Als gebruiker en beheerder ben je geenszins machteloos in een enkele grote en boze wereld. Je moet zo veel mogelijk doen aan beveiliging, zoals updates automatisch laten installeren;
• Illegale versies van XP niet meer 'patchen' was het domste wat Microsoft kon doen. Het zijn vaak de slechteriken die niet betalen voor software en die risico's vormen. Maar Microsoft verdient 'werkelijk respect' van McIntyre voor wat ze de laatste jaren hebben gedaan aan beveiliging. Lachend als Mac-fan: Zoals we allen weten: Windows sucks.;
• Maar niet alleen de besturing van Microsoft. Ook de eerste iPhone was niet goed beveiligd. Wel is de Mac veel veiliger en aan te raden uit beveiligingsoogpunt, ofschoon er problemen zijn. Zo maakt McIntyre zich zorgen over het tijdig updaten van Apple-software gebaseerd op open code zoals PHP, Apache of OpenSSL;
• Wees voorzichtig met je privacy. Lees privacyvoorwaarden altijd voor je data verschaft, vul niet elk aangeboden webformulier in en zeker niet met de juiste persoonlijke gegevens
• Het grootste gevaar is de wens tot regulering van internet ten behoeve van bestrijding van criminaliteit. De meeste wetgeving treft vooral goedaardige gebruikers en kwaadaardigen zijn allang een station verder waar de wet geen antwoord meer op heeft. Wetten moeten sowieso vaag geformuleerd zijn;
• Overheden doen er goed aan met providers te oeverleggen over hun maatregelen, want McIntyre ziet de creativiteit waarmee internet groot is geworden onder ernstige druk komen te staan door allerhande maatregelen
• Er is in feite maar één oplossing tegen onveiligheid: volledig opnieuw beginnen met computers en internet tegelijkertijd vanuit eisen voor veiligheid. Daar dit geen optie is moeten we vertrouwen op de softwareontwikkeling van de aanbieders, die zich steeds beter bewust zijn van het belang van veiligheid;
• Het valt alles bij elkaar nog mee met de onveiligheid. Maar 0,21 procent (van de Xs4all-klanten) ondervindt er problemen mee...

Peter Olsthoorn