We rule the world that does not yet exist

1. INLEIDING

In deze scriptie zal ik aan de hand van enkele voorbeelden enkele specifieke criminele activiteiten op het Internet beschrijven. Er zijn echter veel te veel misdrijven om ze allemaal in detail te kunnen beschrijven of zelfs maar op te noemen. Misschien opvallend afwezig zijn onderwerpen zoals mp3, het maken van bommen (ja zelfs een atoombom), krediet kaart fraude, …

In hoofdstuk 2: De Massale Aanval wordt de grootste en opvallendste aanval in de computergeschiedenis beschreven.
“The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards -- and even then I have my doubts” (Spafford, 2001) Dit citaat beschrijft perfect hoofdstuk 3 : Beveiliging Van Gevoelige Informatie
Dat het allemaal meer voorkomt dan je denkt bewijst hoofdstuk 4: De Situatie Op Het KVR-Instituut, Vorselaar

Als u meer wilt weten over mp3 verwijs ik graag naar de scriptie van Robin Willems en Roel Nuijts. I.v.m. het maken van bommen zal de scriptie van Peter Vos u zeker voorthelpen.

2. DE MASSALE AANVAL

2.1 INLEIDING
Het was eind januari weer zover : alle websites van het bedrijf Microsoft waren gedurende verscheidene dagen onbereikbaar. Dit was het resultaat van weer eens een wereldwijde hackeraanval.

2.2 WAT ER PRECIES GEBEURD WAS
Dit incident was het resultaat van een D-DoS attack. Dit staat voor Distributed – Denial of Service aanval. Bij een DoS aanval wordt een ping gestuurd, een klein beetje informatie dat wordt teruggestuurd, om de tijd tussen het versturen en het ontvangen te berekenen. Maar bij een DoS aanval wordt het retour adres fout opgegeven. In plaats van het eigen internetadres, wordt een onbestaand adres opgegeven. Hierdoor blijft de server informatie naar een onbeked adres sturen, die nooit wordt ontvangen. Op zich is dit nog niet zo erg, die kleine hoeveelheid informatie is een peulenschil voor de moderne server. Maar als er duizenden pings worden gestuurd per computer, en als dan ook nog eens miljoenen computers meedoen met de aanval (vandaar Distributed DoS attack), dan zijn de gevolgen niet te overzien, en worden de servers enorm overbelast. Daardoor krijgen de onschuldige surfers hun gewone, geldige informatie nooit aan, en zijn de sites dus onbereikbaar.

2.3 HOE WORDT EEN D-DoS ATTACK GEORGANISEERD
Bij een D-DoS attack is er eigenlijk maar één echte boosdoener, maar die blijft wijselijk achter de schermen. De meeste computers die deelnemen aan een D-DoS attack, doen dit niet bewust. Het zijn computers die meestal een snelle internetverbinding hebben, zoals bijvoorbeeld universiteitscomputers. Deze computers zijn geïnfecteerd door een soort van virus, dat, wanneer het de magische woorden hoort, wakker wordt en massaal pings begint te sturen naar een opgegeven adres, hier dus de sites van Microsoft. Die opdracht krijgen ze van een zogenaamde ‘agent’. Bij deze aanval ging het om letterlijk duizenden agents. Deze agents hebben vrijwillig een programma geïnstalleerd om de opdracht door te geven aan de ‘workers’. Volgens onbevestigde geruchten waren er zelfs zoveel ‘agents’ dat er nog een volgend niveau van agents was, de ‘informants’. Die informants kregen de opdracht van de eigenlijke boosdoener, en ze stuurden die door naar de agents, die ze op hun beurt doorstuurden naar de ‘workers’. Al maanden op voorhand werd op verschillende websites reclame gemaakt voor deze aanval, en werd iedereen aangespoord om potentiële ‘workers’ te infecteren, of om zelf als informant of als agent te werken. Hierbij werd echter niet vermeld dat het om een echte, grootschalige aanval ging, en niet om een experiment zoals sommige van deze websites beweerden, en natuurlijk werd nergens vermeld dat het doelwit Microsoft was. En inderdaad, het ging om de grootste D-DoS aanval in de geschiedenis van het Internet.

2.4 VERLOOP VAN DE AANVAL EN DE TEGENAANVAL
De aanval was gemunt op de routers van de Microsoft sites. Dit zijn de netwerkleiders, zij zorgen ervoor dat alle binnenkomende informatie naar de juiste site gaat, en vice versa. Nadat de routers overbelast waren, was natuurlijk geen enkele site meer bereikbaar. Dit duidt nog eens dat het om een goed voorbereide aanval ging, en er zijn sterke vermoedens dat de man achter de schermen een (ex-) werknemer van Microsoft is.
Toen de eerste valse pings binnenkwamen konden de routers dat nog wel aan, maar reeds 13 minuten na het begin van de aanval was er een zichtbare vertraging op alle Microsoft sites, en na 17 minuten kon geen enkele site meer bereikt worden.
De eerste stap die moet genomen worden is zelf een kopie van het virus vinden. Dit is echter niet zo simpel, om verscheidene redenen. Ten eerste werden alle installatie bestanden direct na het starten van de aanval verwijderd, en ten tweede was het hele Microsoft netwerk overbelast, en moest men andere bedrijven aanspreken om een tijdelijke internetverbinding te verkrijgen. Nadat dit was gebeurd moest men een geschikte en vooral een bereidwillige netwerkbeheerder vinden. Dit was ook niet zo simpel. De aanval werd gestart nadat overal in Amerika de kantooruren voorbij waren, en dus alle netwerkbeheerders al naar huis waren, en niet merkten dat misschien een deel van hun netwerk deelnam aan de aanval. Daarnaast moest de netwerkbeheerder ook nog regelmatig reservekopieën van zijn systeem maken, zodat daarop de installatie bestanden konden worden teruggevonden. Na enige tijd lukte dit dan toch.
Nu was het de beurt aan een speciaal haastig opgericht team van programmeurs die ervaring hadden met dit soort situaties, en dit waren er ook al niet veel. Er was bovendien ook nog een kans dat één van die programmeurs de man achter de schermen was van de aanval. Na een grondige analyse van het ‘workers’ virus kwam het team tot de conclusie dat de maker zo intelligent was geweest om geen stop-functie in te bouwen. Maar het team had ondertussen wel al een anti-virus geschreven, dat het ‘workers’ virus kon neutraliseren en verwijderen.
De volgende stap was het bekendmaken, en dus het erkennen van het probleem. Naar verluid heeft het zelfs enkele uren geduurd vooraleer de p.r. afdeling van Microsoft akkoord ging met deze stap. Met de bekendmaking werd natuurlijk ook het anti-virus meegegeven aan iedereen.
Nu moest elke netwerkbeheerder het anti-virus downloaden en elke computer afzonderlijk desinfecteren. Dit was geen gemakkelijke opgave aangezien alle beschikbare snelheid van hun netwerk werd gebruikt voor de aanval. Deze laatste stap duurde het langst. Pas na 53 uur kon de eerste surfer terug een Microsoft site bezoeken. Het duurde net geen 4 dagen vooraleer het netwerkverkeer bij Microsoft zijn normale peil terug had bereikt.

2.5 OPSPORING VAN DE DADER
De bijna onmogelijke taak van het opsporen werd aan de FBI overgelaten, maar zij mogen natuurlijk rekenen op de volledige medewerking van Microsoft zelf. Er onbreekt nog steeds elk spoor van de dader.
Deze zaak toont echter wel opvallend veel vergelijkenissen met het eerste Internet Worm Virus, dat gelanceerd werd op 2 novermber 1988, in New York, 21 uur lokale tijd, door Robert Morris junior. Dit virus infecteerde alle computers zonder echt blijvende schade aan te brengen, het zorgde gewoon voor algemene vertraging door elke computer steeds opnieuw te infecteren. Het virus was ongelooflijk ingenieus geschreven, en gebruikte allerlei verborgen truuks die slechts 7 mensen kenden, waaronder de vader van Robert Morris. Het was Robert Morris senior die alle truuks zelf had geprogrameerd, om later zelf wijzigingen aan te kunnen brengen in zijn systemen. Maar deze werden schandelijk misbruikt door zijn zoon. Het virus werd echter wel te vroeg losgelaten, zodat verscheidene fouten in het programma niet konden worden weggewerkt. Sommige onderdelen van het virus waren ronduit slordig en faalden, waardoor het virus uiteindelijk kon worden geneutraliseerd.
De dader van de D-DoS aanval op Microsoft kende echter de materie, en nam zoals gezegd vele maanden van voorbereiding, zodat hij zijn programma’s zorgvuldig kon testen. Alle logboekbestanden van de workers werden zorgvuldig bijgewerkt door het virus zelf zodat er geen enkel spoor van de agents achterbleef. Op enkele reservekopiën zijn echter wel agents te zien. Maar de agents zelf hebben natuurlijk bewust geen reservekopiën aangemaakt, zodat geen enkele informant bekend is, en natuurlijk is daardoor de man achter de schermen volledig veilig.
Net zoals vele andere overheidsdiensten overal ter wereld loopt de FBI achter op het gebied van computer(criminaliteit) en zou het ten eerste miljarden kosten om die achterstanden in te lopen, en dan nog eens miljarden en vele duizenden werkuren om de dader te vinden. Hun enige hoop is dat de dader de verleiding niet kan weerstaan om nog een aanval te ondernemen, en daarbij een fout maakt.

3. BEVEILIGING VAN GEVOELIGE INFORMATIE

3.1 INLEIDING
De meeste mensen hebben gevoelige informatie op hun computer staan die bij voorkeur niet door anderen gelezen wordt. Hiervoor zijn verschillende soorten van beveiliging mogelijk.

3.2 ENCRYPTIE
Encryptie van gegevens, of ‘versleuteling’ maakt de gegevens onleesbaar voor iedereen die de juiste sleutel niet heeft. De simpelste vorm is One-Key-Encryption.
Bij het One-Key-Encryption systeem wordt dezelfde sleutel gebruikt voor het onleesbaar en het terug leesbaar maken. Dit wordt vooral gebruikt als er geen informatie moet worden uitgewisseld, bijvoorbeeld voor het beveiligen van een persoonlijke agenda. De sterkte van de encryptie hangt af van de grootte van de sleutel. Hoe groter de sleutel, des te meer mogelijkheden voor de sleutel er zijn. De enige mogelijke tegenaanval is het uitproberen van alle mogelijke sleutels. Dus des te meer sleutels, des te langer dit duurt. Dit is meestal langer dan een mensenleven, en dus niet meer de moeite waard.
Als er echter informatie moet worden uitgewisseld, bijvoorbeeld van werkgever tot werknemer, is het handiger als er meerdere sleutels zijn. Als er slechts één sleutel zou zijn, zou de werknemer dus ineens alle informatie van de werkgever kunnen lezen, ook diegene die niet voor hem bedoeld is. Het enorm populaire programma ‘Pretty Good Privacy’ maakt gebruik van het Public-Key/Private-Key-Encryption systeem. Dit systeem gebruikt een publieke sleutel, die gebruikt wordt voor het versleutelen van de gegevens, en een privé sleutel, die gebruikt wordt voor het terug leesbaar maken van de gegevens. Het voordeel hiervan is dat enkel de publieke sleutel moet worden uitgewisseld. Dit is het veiligste systeem van encryptie dat momenteel beschikbaar is.

3.3 DIGITAAL ONDERTEKENEN
Als het je, in tegenstelling tot Lernout & Hauspie, niet kan schelen dat iemand de echte verkoopcijfers leest, maar je wilt er wel voor zorgen dat de pers er zeker van is dat jij het bent die de informatie heeft verstuurd, dan kan je een bericht, of gegevens in het algemeen, digitaal ondertekenen.
Als je iets digitaal ondertekent, wordt er op basis van het bericht een klein beetje informatie aangemaakt m.b.v. je privé sleutel. Als er zelfs maar 1 teken verandert aan het bericht, of aan de handtekening, dan komt de handtekening niet meer overeen met het bericht, en kan het dus als vals beschouwd worden.
Een ander voordeel (of nadeel) van digitaal ondertekenen is ook dat de afzender na het digitaal ondertekenen van het bericht niet meer kan ontkennen dat hij dat bericht heeft geschreven.

3.4 ZELFVERNIETIGENDE EMAIL
Een laatste, minder bekende oplossing, is zelfvernietigende email. Programma’s zoals ‘Email for Microsoft Outlook’ van Disappearing Inc. , ‘SafeMessage’ van AbsoluteFuture.com en ‘SigabaSecure’ van Sigaba, bieden deze mogelijkheid aan. Hierbij kan de verzender kiezen uit een aantal opties. Zo is er de mogelijkheid om een email te versleutelen met het One-Key-Encryption systeem, maar de sleutel staat op een centrale computer, en die sleutel wordt verwijderd nadat de ontvanger hem heeft opgehaald. Een andere optie is om de email zichzelf te laten vernietigen nadat hij 3 keer is gelezen, of 3 weken nadat hij voor het eerst werd gelezen.

3.5 NOOT : PRETTY GOOD PRIVACY
Pretty Good Privacy (PGP) is het krachtigste beschikbare programma voor encryptie. Zo krachtig zelfs, dat het volgens de Amerikaanse wetgeving wordt aanzien als een wapen dat eventueel door terroristen kan misbruikt worden, en daarom is het verboden PGP te exporteren vanuit de Verenigde Staten van Amerika. Toch is PGP vrij verkrijgbaar ; er is wel een Amerikaanse en een Internationale versie. De oplossing lag niet voor de hand. De wapenwetgeving van Amerika was enkel van toepassing als PGP als een compleet afgewerkt software programma werd geëxporteerd. Daarom werd de broncode van het programma helemaal afgeprint (meer dan 5000 bladzijden !), opgestuurd naar Europa, en daar terug ingescand, en opnieuw omgezet naar een afgewerkt programma. Een enorm arbeidsintensief, maar legaal werk. En dus wordt PGP nu volop gebruikt en misbruikt in Europa. Zo zijn er op zijn minst 2 terroristengroepen bekend (Phoenix Connection en Arctic Avengers) die gebruik maken van PGP.
Maar, net zoals bij alle andere soorten van computerbeveiliging is en blijft de mens de zwakste schakel.

« Don’t be lulled into a false sense of security just because you have a cryptographic tool. Cryptographics techniques protect data only while it’s encrypted – direct physical security violations can still compromise plaintext data or written or spoken information. This kind of attack is cheaper than cryptanalytic attacks on PGP » (Zimmerman, 1999)

4 DE SITUATIE OP HET KVR-INSTITUUT, VORSELAAR

4.1 INLEIDING
Bij de computers op het KVR-Instituut te Vorselaar is Internet natuurlijk veel minder belangrijk, maar er is wel degelijk een netwerk aanwezig, dat zeer goed te vergelijken is met Internet. In dit hoofdstuk beschrijven we de zwakheden in het lokale schoolnetwerk.

4.2 MYSTERIEUZE COMPUTER CRASHES
Alle computers in het school netwerk, of toch tenminste die in de computerlokalen TE105 en TE 106, gebruiken het besturingssysteem Microsoft Windows 95. Dit besturingssysteem kan men op afstand laten crashen, met als gevolg het overbekende blauwe scherm, en meestal is de verbinding met het netwerk van het slachtoffer verbroken. Aangezien de leerlingen hun opgaves via het netwerk moeten ophalen, kan dit tot ernstige problemen leiden, en is de enige oplossing vaak het opnieuw opstarten van de computer.
Het laten crashen van een Windows 95 computer wordt ook wel eens ‘nuken’ genoemd, naar het populaire programma WinNuke, dat als eerste iemand de mogelijkheid gaf om een computer te laten crashen. Er zijn echter wel enkele nadelen aan WinNuke. Het eerste is dat het ip-adres van het slachtoffer bekend moet zijn. Dit is echter wel gemakkelijk te achterhalen. Een ip adres bestaat uit 4 getallen gaande van 0 tot 255, telkens gescheiden door een punt, bijvoorbeeld 127.0.0.1 .Het eigen ip-adres achterhalen kan met het programma ‘winipcfg.exe’ dat op elke computer staat. Het volstaat dan om voor de computer rechts van de eigen computer, gewoon bij het ip adres 1 op te tellen. Als je eigen ip adres bijvoorbeeld 196.168.0.1 is, dan zal dat van de computer rechts van je 196.168.0.2 zijn. Zo is het simpel om voort en terug te tellen, en zo het adres van elke computer in het lokaal te weten te komen.
Een tweede nadeel van WinNuke is dat het al een relatief oud programma is, en dat de virusscanners op school WinNuke herkennen, en dus een waarschuwing geven zodat het programma niet kan worden gebruikt. De gemakkelijkste oplossing is natuurlijk de virusscanner uit te schakelen, maar de systeembeheerder kan dit eventueel ontdekken in de logboekbestanden van de virusscanner. De tweede oplossing is het programma onherkenbaar maken voor de virusscanner. Dit is mogelijk m.b.v. het programma PE-Packer 2.0 .
De mogelijkheid van WinNuke bestaat niet alleen, ze werd om eerlijk te zijn ook gebruikt door ons. Waarschijnlijk lost dit de mysterieuze blauwe schermen op die sporadisch verschenen tijdens de lessen informatica. Volgens onze bronnen wordt WinNuke tegenwoordig niet meer gebruikt, waarschijnlijk omdat er bijna niet meer over WinNuke wordt gesproken (de meeste computersystemen zijn bestand tegen WinNuke).

4.3 EEN STAP VERDER
Iedereen die wil kan met de computers in de computerlokalen doen wat hij wil, zoals de hele schijf wissen, of eens goed met de instellingen prutsen. Het nadeel is echter wel dat er zorgvuldig wordt bijgehouden wie wanneer aan welke computer heeft gezeten, dus gebeurt er bijna niets verkeerd met die computers. Van de computers in de bibliotheek wordt geen logboek bijgehouden, en dus zijn de belangrijkste functies beschermd door een wachtwoord. Koen Yskout heeft enkele jaren terug op een heel simpele manier dit wachtwoord bekomen : hij heeft meneer Rottiers het zelf zien typen, het wachtwoord was toen ‘ roj’ (spatie, R, O, J). Natuurlijk heeft meneer Rottiers hierna het wachtwoord veranderd, maar we kunnen hieruit toch afleiden dat hij zijn wachtwoorden op een gemakkelijk te onthouden manier kiest. Eerst een spatie, maar dan RO, de eerste letters van zijn achternaam, en daarna J, de eerste letter van zijn voornaam. Niet echt moeilijk te raden, en met wat moeite hadden we dit waarschijnlijk zelf gevonden.
Als we het huidige wachtwoord willen kennen, moeten we zoveel mogelijk beschikbare informatie vinden over meneer Rottiers. Dit is nog relatief gemakkelijk. Zo vinden we dat hij lid is van het bedrijf Jogica. We vermoeden dat dit bedrijf bestaat uit 3 personen, met als naam telkens de twee eerste letters van de voornaam van die persoon. En aangezien JO eerst voorkomt in de naam kunnen we gerust aannemen dat hij de belangrijkste persoon van het bedrijf is. Na een beetje zoeken komen we te weten dat hij een voorkeur heeft voor het programma Arachnophilia, dat hij gebruikt voor de schoolwebsite (www.kvri.be) en voor de website van Jogica (www.jogica.be) . Hij was aanwezig op de startvergadering van de ICT-Actie, zijn emailadressen zijn jogica@village.uunet.be en jogica@pandora.be . Zijn persoonlijke informatie kunnen we terugvinden als we op contact klikken op de site van zijn bedrijf. Als we naar www.dns.be surfen en jogica.be invullen krijgen we zelfs nog meer informatie.
Met deze informatie zouden we dus al kunnen gaan raden naar een logisch wachtwoord, maar de manier waarop we het wel vonden bewijst nog maar eens dat de mens de zwakste schakel is in computerbeveiliging. De bibliothecaris heeft blijkbaar moeite met het onthouden van het wachtwoord, want een tijdje geleden hing er een briefje op een van de computers achter de balie, met daarop het huidige wachtwoord. Na dit te testen op de opzoekcomputers bleek inderdaad ‘ roc’ (spatie, R, O, C) het juiste wachtwoord te zijn. Weeral een logisch, gemakkelijk te raden wachtwoord. De laatste letter was gewoon veranderd in een andere letter van jogica. Welke andere deuren dat dit wachtwoord opent hebben we niet getest…

5. BESLUIT

Het is u misschien opgevallen dat geen enkel hoofdstuk een besluit heeft. De reden hiervoor is dat er slechts één universeel besluit te trekken valt : er bestaat geen absolute zekerheid. Er zijn al verscheidene filosofen die mij gelijk geven met deze uitspraak, en ik moet op mijn beurt alle filosofen op dit vlak gelijk geven. Als iemand je zegt dat zijn systeem 100% waterdicht is, dan kan je er zeker van zijn dat het niet zo is. Elk systeem is zo veilig als de zwakste schakel. En dit is niet het geld dat eraan wordt besteed , of de tijd die erin wordt geïnvesteerd. Neen, de zwakste, sterkste, belangrijkste, duurste, goedkoopste schakel in de beveiliging van een systeem is de mens zelf. En dat de mens faalt in zo’n systeem is meer dan eens bewezen

“ There is no security in life - only opportunity” (Twain, 2001)

Bronnen

CNN, Microsoft Websites suffer wide scale blackout, Internet, (24 januari 2001)
(www.cnn.com/2001/TECH/internet/03/07/dos.attacks.idg/index.html)
(www.cnn.com/2001/TECH/computing/01/24/microsoft.blackout.idg/index.html)

LUNDELL, ALLAN, Virus!, Amsterdam, Balans, 1990, 189 blz.

SPAFFORD, EUGENE H, Collected quotes and thoughts, Internet, (23 februari 2001) (http://www.swcp.com/~mccurley/thoughts/)

ZIMMERMAN, PHIL, Introduction to Cryptography, Internet (9 september 1999)
(www.pgpi.org)

Disappearing Email
www.disappearing.com

SigabaSecure
www.sigaba.com

SafeMessage
www.AbsoluteFuture.com