NETKWESTIES ---- MAGAZINE OVER VRIJHEID, RECHTEN EN REGELS OP INTERNET

Phons Bloemen

PASSIEVE ABUSE.... ACTIEF AANPAKKEN?

Wie er de algemene voorwaarden van diverse ISPs op naslaat, vind altijd wel verwijzingen naar abuse policies, of de Netiquette. Vaak moet je er wel goed naar zoeken.

In de policy en de Netiquette (RFC1855) staan vooral dingen die men niet moet *doen*. Met de virus en trojanhorse gekte van de laatste tijd dient zich een ander type abuse aan: deze wordt veroorzaakt door dingen *na te laten*. De passieve vorm dus.

Het gaat dan om gebruikers die hun systeem niet goed dichtzetten. Met een systeem dat 'always-on' is (kabelabonnees, ADSL abonnees) is men extra kwetsbaar! Denk dan aan het besmet laten zijn of het laten besmetten van het systeem door een virus of een trojan horse, het laten draaien van services waar bugs in zitten die reeds lang bekend zijn, of het draaien van een mailsysteem dat een open relay blijkt te zijn.

Dergelijke kwetsbare systemen worden door anderen actief misbruikt voor illegale of ongewenste activiteiten.

Spammers vinden open mail relays prachtig om hun mail op te dumpen. Veel 'server' programma's (mailservers, tooltjes om met het huisnetwerkje de internetlijn te delen e.d.) hebben wel beveiligingsopties, maar zijn wanneer ze out-of-the-box worden ginstalleerd niet safe of het is gemakkelijk om een fout te maken in de configuratie.

Veel gebruikers die met Linux beginnen installeren het vanaf de CD met 'alles aan', en halen daarmee ook een verouderde nameserver (BIND) binnen. Bugs hierin (die inmiddels gefixt zijn!) zijn een goede voedingsbodem voor 'wormen' als Ramen en Lion.

Trojan horses, die in de payload van virussen en wormen worden meegevoerd en zich vervolgens nestelen, kunnen later misbruikt worden om grootscheepse aanvallen op te zetten.

Vaak bemerkt de eigenaar van een besmet of slecht geconfigureerd systeem niet eens dat er wat mis is en blijft de situatie lang bestaan.

Een aspect dat naar voren komt is dat de provider, wiens klanten slecht geconfigureerde systemen hebben, wordt aangesproken door de slachtoffers van abuse die via die systemen is gepleegd. Het gaat dan voornamelijk om spam, maar ook om DDoS attacks (distributed denial of service). Als de meldingen naar de abuse-desk van de ISP gestuurd worden dan kan er een mailtje naar de 'passieve dader' gaan met het verzoek om de boel dicht te spijkeren. In feite werkt men dan reactief.

In veel gevallen worden de meldingen niet eens gedaan. De abuse (spam, DDoS aanvallen) soupeert intussen waardevolle bandbreedte op, zorgt voor irritatie bij de klanten die het wel voor elkaar hebben, en kan voor problemen zorgen in de relaties met andere ISP's of met transit providers.

Als ISP zou men er toe kunnen overgaan om de passieve veroorzakers zelf maar op te sporen. Een poortscannetje op zoek naar spam relays en besmette systemen is zo gedaan. Juist ja, de ISP gedraagt zich als de eerste de beste scriptkiddie!

De vraag werpt zich op of een ISP zijn klanten ongevraagd mag trakteren op een 'security audit' (die je ook zou kunnen zien als een poging tot computervredebreuk). Een en ander wel met de bedoeling om misbruik tegen te gaan door de voedingsbodems weg te halen en de gebruikers beveiligingsbewust te maken.

De tweede vraag volgt nadat men een 'passive abuser' er op gewezen heeft dat zijn systeem lek is. De (onervaren en zich van geen kwaad bewust zijnde) gebruiker zit met zijn handen in het haar want hij weet niet hoe het moet.

Tools van virusscanners om systemen te 'ontsmetten' bieden vaak geen oplossing (zie recente virustest in Computertotaal, april 2001). Naar een FAQ verwijzen en de gebruiker aldus 'in het diepe gooien'? 'Installeert U Windows maar opnieuw....'? Afsluiten met verwijzing naar een veelal vaag 'kapstokartikel' in de algemene voorwaarden? De particuliere gebruiker doorsturen naar een internet security consultant?

Phons Bloemen is security officer van Planet Internet, en schrijft de column op persoonlijke titel.