Problemen op het internet

Is je PC veilig op het internet?

Op deze vraag kan geen eenvoudig antwoord worden geformuleerd.
Vroeger kon men de zaak simpel stellen: op het internet waren de servers kwetsbaar, niet de clients. Diegene die een http-server op het internet had, of een mailserver-dienst aanbood, was - en is nog steeds - zeer kwetsbaar. Maar de thuisgebruiker, die enkel zijn browser, office-pakket en e-mail programma gebruikt, moest zich weinig of geen zorgen maken. Deze client / server "veiligheids"-stelling klopt niet meer tegenwoordig. Ik beschrijf verderop de reden. Voor vrijwel al de beschreven aanvallen bestaan er kant en klare programma's, zodat een 10-jarig kind eigenlijk in je PC kan inbreken, of je PC kan stilleggen vanop afstand. Bijna al deze programma's heb ik in mijn bezit, maar ik verspreid ze niet. Het heeft geen zin om de onveiligheid te verhogen, en van script-kiddie-toestanden leer je niet veel bij.

1. File en printsharing.

Uiteraard zijn er enkele basisregels, om je PC veilig te houden. Om veilig op het internet te gaan mag je vooreerst geen bestanden of printers "delen" op je PC. Toch niet zonder paswoord. Anderen kunnen dan je harde schijf of printer verbinden met hun PC via de internetverbinding, en bestanden bekijken, veranderen, schrappen, of een document van 570 bladzijden naar je printer sturen. Filesharing moet dus uitgeschakeld zijn, of voorzien van een sterk paswoord. Om vlug na te kijken of "sharing" aanstaat op je PC: klik op het icoontje "deze computer" , daar zie je o.a. je schijven staan. Een gedeelde schijf toont een handje aan het icoontje van de schijf. Als je station een icoontje toont zoals hieronder, is er geen probleem. "

2. Virussen - trojans - wormen - DoS.

Er bestaan virussen, "wormen" , "DoS" -aanvallen en "trojans". Zelf als je zeer secuur let op wat je doet, blijft er een ernstig probleem. "Onbetrouwbare" of door onbekenden toegestuurde programma's, programma's die je binnenhaalt van een onbekende internet-pagina: oppassen geblazen.

a. Trojans

Wat betreft trojans: programma's als Back Orifice of Netbus (en nog een 20-tal andere gelijkaardige leuke speeltjes) bestaan uit een gewoon "*.exe-bestand", en kunnen om het even welke naam hebben. Als je het programma start, stel je de PC open voor iedereen op het internet. Momenteel zijn zowat 2% van de persoonlijke computers op het internet besmet. Kwestie is dus om enkel programma's te gebruiken van een betrouwbare bron. Back Orifice werkt op poort 31337 (protocol UDP), Netbus op poort 12345 (protocol TCP). Via een commando in een dos-venstertje, tijdens een internet-sessie, kan je zelf nagaan of deze poorten openstaan. Open een bijkomend dos-venster in Windows, en typ het commando "netstat -an"(zonder de aanhalingstekens). Overigens dien je al even erg op te letten voor programma's met extentie *.scr, *.dll, *.ocx, *.com, *.bat, (lijst niet limitatief) omdat dit allemaal uitvoerbare programma's zijn. Een bestandje "sexshow.bat" met daarin één dos-commando: "echo j |format c: >nul" kan je harde schijf onmiddellijk formatteren, zonder dat je bevestiging moet geven, en zonder dat je ziet wat er gebeurt. Niet op zulk een bestand dubbelklikken dus, zonder de inhoud te bekijken.

b. Virussen

Virussen hoef ik niet verder uit te leggen: een goede virusscanner zou iedereen moeten hebben. Een gratis versie, elke maand aangepast met de laatste updates, vind je op http://www.datafellows.com. Dit programma draait in Dos, en kan dus vanop een opstartdiskette gestart worden om een vastgelopen PC te starten en ontsmetten. Het programma (F-prot is de naam) herkent eveneens enkele trojans.

c. Wormen

"Wormen" zijn zeer zeldzaam, en nemen enkel geheugenruimte en processortijd in. Zij kunnen zich via netwerk of internet verspreiden, maar niet blijvend nestelen in een systeem. Gezien de laatste "worm" al meer dan een decennium geleden voorkwam, is het verschijnsel niet relevant.

d. DoS aanvallen

De afkorting DoS staat voor "Denial of Service", ofte "dienst weigeren".
De "DoS"-aanvallen zijn goed verspreid: iedereen die een "winsock" versie 1.x heeft (winsock.dll, wsock32.dll, wsock32.ocx in versie 1.xx) is kwetsbaar. Aanvallen als nuke, winnuke, sping, jolt, teardrop, icmp unreach, kunnen op afstand via netwerk of internet een computer platleggen. Dat is dikwijls de reden van een onverklaarbaar "vastlopen" van een PC op het internet, het gekende"blauwe scherm". Ongeveer een jaar geleden was het hoogtepunt voor de DoS-aanvallen. Upgraden naar Winsock versie 2.0 beschermt je tegen vrijwel al deze aanvallen.
Verder kan je zowel de gekende trojans als de "DoS"-aanvallen afweren door je poorten te bewaken. Klinkt ingewikkeld, maar dat is het niet. Op http://www.tucows.com vind je het programma "Nukenabber", dat dit voor je doet. Nukenabber luistert naar je poorten, en rapporteert zelfs van waar de aanval komt. Elke aanval wordt vastgelegd in een logbestandje. Welke poorten moeten bewaakt worden, kan je zelf instellen.

3. VBA en java.

a. VBA

Ok, we rekenen onszelf nu tot de meer alerte internauten: Een beveiligingsprogramma bewaakt verdachte poorten, we hebben filesharing afgezet, en we halen geen programma's van hackerpagina's of onbekende pagina's. Grappige programma's die kennissen of onbekenden ons toesturen, schrappen we gewoon, of starten we enkel op een oude PC zonder internetverbinding. Is dit voldoende? Kan de uitgekookte hacker nu nog op onze harde schijf komen rotzooien?
Jawel!
Iedereen die Microsoft Internet Explorer 4 of 5 - Microsoft Outlook en Word 97 gebruikt, is kwetsbaar, ook al wordt er streng gelet op veiligheid. VBA - 'Visual Basic for Applications' heet de boosdoener. We hadden dat al eerder gezien bij de macrovirussen. Veiligheidsexpert Vesselin Bontchev vond dat gebruikers van deze programma's (wij allen?) een willekeurig programma kunnen laten starten, gewoon door het bezoeken van een onbetrouwbare website. Het eventuele programma kan *alles* doen: een virus bezorgen, bestanden schrappen, informatie stelen, enz.
Microsoft werd door Mr Bontchev ingelicht en kreeg van hem een demonstratie.Het probleem bleek zo ernstig dat er binnen een week (naar Microsoft-normen is dit *supersonisch snel*) een 'patch', een 'reparatiepleister' werd uitgebracht. Meer details vind je op http://www.microsoft.com/security/bulletins/ms99-002.asp

Ene meneer Fred Cohen vond onlangs nog een andere Microsoft Word Macro, die de sleutel van PGP (Pretty Good Privacy, encryptieprogramma) steelt, en andere login-namen en paswoorden, o.a. van "adult sites". Het bestand heette "calig.doc", en de kwalijke macro stuurt de gevonden paswoorden op per ftp (File Transfer Protocol) naar ip-adres 209.201.88.110 (codebreakers.org) - naar de directory "/incoming". Als je zelf wil testen: gebruikersnaam "anonymous", paswoord "itsme@", binaire mode. De bestanden staan opgeslagen onder een naam NewSecRingFile[0-9][0-9][0-9][0-9].

b. Javascript

Java en Javascript is qua veiligheid altijd een zorgenkindje geweest. Een andere expert op vlak van computerveiligheid, Georgi Guninski uit Bulgarije, wees Microsoft op een ernstig probleem met javascript. Je kan makkelijk een webpagina ontwerpen, die van de bezoekers van de pagina bestanden van de harde schijf leest. De naam en locatie van het bestand op harde schijf moet dan wel gekend zijn, hetgeen een bijkomend probleem is voor de potenti\'eble hacker, maar een aantal programma's bewaren paswoorden op een vaste plaats en in een bestandje dat steeds dezelfde naam heeft. Vrijwel iedereen bij de Belgische provider "online.be"heeft zijn internet-login en paswood (in volle tekst) op die manier op zijn schijf staan: bij elke gebruiker dezelfde bestandsnaam en locatie.
Een demo van het javascript-probleem is te bekijken (en op je eigen PC te testen) op http://www.geocities.com/ResearchTriangle/1711/read3.html - hier wordt je eigen "autoexec.bat"getoond, via internet door een http-server.
Tweede probleem met javascript, door Georgi Guninski ontdekt: Je browser kan vermelden dat je verbonden bent met een betrouwbare site, waar je bvb. veilig het nummer van je creditkaart achterlaat, terwijl je eigenlijk verbonden bent met een site van krakers. het volstaat om '%01een.URL' toe te voegen na een 'about:hier_wat_code' URL. Demo op http://www.geocities.com/ResearchTriangle/1711/read4.html.
Voorlopige oplossing voor dit probleem: javascript uitschaken in je browser. Ok, ik vind het ook vervelend om de instellingen van mijn browser te wijzigen telkens ik naar http://games.yahoo.com ga om een spelletje reversi te spelen tegen andere personen, maar bij Yahoo kan ik tenminste de Active-X toepassingen en javascript vertrouwen. Daarbuiten ligt dat even anders.

Definitieve oplossing voor dit probleem: een patch van Microsoft.

Patches

Eén probleem voor ons: Microsoft heeft de gewoonte om de snelle 'patches' enkel voor Engelse versies uit te brengen. In het verleden bleek dat de Nederlandse versies steeds een twee-à drietal maanden moeten wachten op de reparatie. Intussen zullen we met z'n allen wel onveilig surfen hier. Het eerste "cuartango-probleem" (ook met javascript) dat eveneens toeliet om bestanden te stelen, had binnen twee dagen een patch van Microsoft voor Engelse versies, en bijna vier maand later voor de Nederlandse versie. Dat terwijl wij meer betalen voor ons besturingssysteem! Misschien is het tijd voor een boze e-mailcampagne aan het adres van Microsoft?

Johan.
knip@bigfoot.com