E-mail naar adres onbekend
Het nieuwe techno-lifestyleblad Bright blies in de bus met een onthulling over criminele overname van internet. Weblogs reageerden laatdunkend. Netkwesties zocht het uit.
Uiteindelijk draait het allemaal om DNS-spoofing: rommelen met de adresservers van internet, met als doel het internetverkeer te laten verdwalen. Hierdoor kan een internetter op een andere website belanden dan waarheen hij wil. En het gaat nog verder: ook e-mail kan worden omgeleid.
Bright hield het bij het eerste type fraude en kondigde dit aan als een forse georganiseerde misdaad. De aankondiging staat nog steeds op de site: "In 01 staat een exclusief verhaal over hoe criminelen de slagaders van internet in hun greep hebben. En ermee doen wat ze willen. Tegen betaling."
Er staat netjes dat het een 'verhaal' is, geen artikel. In ieder geval was het bedoeld om het eerste nummer van Bright bekendheid te geven, hoewel het onderwerp eigenlijk niets met de opzet van het blad van doen heeft. Bright-hoofdredacteur Erwin van der Zande, al in 1994 bekend in de internetwereld met het e-zine Wave, leerde de afgelopen jaren van zijn verblijf in de reclamebranche. De opzet slaagde.
De primeur werd gelanceerd met een persbericht op dinsdagavond 1 februari 2005, dat de Volkskrant als eerste overschreef - een van de twee auteurs is er columnist. Ook De Telegraaf pikte het bericht op met Criminelen de baas op internet.
Planet Multimedia liet een bron, Ted Lindgreen, aan het woord en relativeerde het verhaal tot een 'potentieel gevaar' waarvoor een oplossing in zicht is, maar bracht het wel prominent. Daarop volgde Webwereld met aanhalingstekens en citaten om met 'Criminelen manipuleren slagaders internet' te benadrukken dat er nog maar één geval bekend was.
Ondertussen had Bright het hele artikel online gezet: "Criminelen hebben de slagaders van internet in handen en kunnen er mee doen wat ze willen. En dat doen ze ook, tegen betaling. Een expert: 'De manipulatie is dagelijkse praktijk. Maar op welke schaal is onbekend.'"
Het verhaal in zijn geheel is helder en bevat de nodige nuanceringen, maar dat gaat bedolven onder de sensatiezucht: "De 'Amerikaan' uit het ICQ-venster was geen derderangs hacker. Hij bleek in staat internet compleet over te nemen."
Deze frasen van Bright leidden tot afkeurende reacties. Beveiligingsclub Sans was het felst in de veroordeling, na een vertaling van het Telegraaf-artikel. De conclusie: "To us it sounds to good (or should I say bad) to be true. Nice marketing campaign though, with that level of press coverage the magazines will be sold out much faster. But should we loose sleep over it ? Not yet."
Let op die laatste woorden - we komen terug op dat 'not yet'.
Harde weblogs
Zoals het weblogs betaamt, waren de reacties op de Bright-pr wat harder dan die van Sans, maar met dezelfde teneur: een marketingtruc. Er wordt zelfs even gedacht aan een hoax, onder meer op jongerenlog Fok, op gezag van Goedzo.nl. Kritisch zijn artikelen en reacties op Sargasso. Bij Personal Computer Magazine grapt een reageerder: "Die Amerikaan was toch niet Al Gore, de uitvinder van het internet?".
GeenStijl, dat nog een appeltje te schillen had met een van de twee schrijvers van het artikel, ging er het hardst in met Francisco van Jole de internetarcheoloog en wees erop dat DNS-spoofing al oud is. Maar dat stond ook al in het Bright-verhaal zelf. In een latere verklaring publiceert GeenStijl wat er exact mis is met het betreffende artikel. Vervolgens wordt het nog eens afgeserveerd met een fotofuck en een peiling met een boel antwoorden.
E-mailprobleem
Terug naar de belangrijkste Nederlandse bronnen, de Europese uitgever van domeinnummers Ripe in Amsterdam en NLnet Labs, allebei gerenommeerde instituten op internet. DNS-spoofing houdt hen opnieuw bezig, dat zeker.
Wat Olaf Kolkman van Ripe vooral tegen de borst stuit is de suggestie van massaal gevaar: "Ik ken geen mensen in de internetorganen die melding hebben gemaakt van dit soort aanvallen op grote schaal. Ik weet dat op vrije kleine schaal je aanvallen op de DNS kunt doen. Er zijn enkele gedocumenteerde gevallen gepubliceerd. Maar de conclusies van het verhaal in Bright neem ik met een korreltje zout, ook omdat ik het nooit met eigen ogen heb gezien."
Kolkman aarzelt ook over genoemde concrete geval van die ene pornoportaalhouder: "Er zijn veel manieren om verkeer naar een site te genereren. Er is recent een worm geweest die de hostfile op Windows-pc's overschreef. Dat bestand regelt de omzetting van IP-nummer naar de domeinnaam. Dat kun je gebruiken in plaats van de DNS op een server. Met zo'n besmetting kun je op die besmette pc's verkeer naar een bepaalde site omleiden."
Kolkman noemt ook draadloze en eventueel tijdelijke netverbindingen - WaveLan of wifi - als groot risico: "De betreffende beheeder kan lokaal worden aangevallen, waardoor de aangeslotenen een risico lopen dat hun verkeer wordt afgevangen. Dus zijn er in potentie heel veel oorzaken mogelijk voor wat die mijnheer Verheul in dat Bright-verhaal zag."
Ted Lindgreen benadrukt nog eens het gevaar van DNS-spoofing, maar kan zich maar moeilijk voorstellen dat dit in de praktijk zin zal hebben. Hij is vooral met de techniek bezig: "We weten niet wat er precies aan de hand is, dus geloven we niet dat het zo zwaar is als het wordt opgediend. Ja, het kan, maar wat dan? Je gaat naar een pornosite in plaats van de site die je zoekt. Dat lijkt me niet zo vreselijk spannend. En als het grootschalig gebeurt, kun je de bron wel achterhalen."
Onschuldige technici
Olaf Kolkman van Ripe is het met Lindgreen eens, maar juist over het laatste niet: "Vrij ongemerkt kun je verkeer omleiden als de wegwijzers verkeerd staan."
Kolkman heeft niet op de eerste plaats het webverkeer op het oog, maar meer e-mail: "Indien je inderdaad kunt ingrijpen in de routering van het DNS, dan kan dat ook met e-mail. Dit lijkt me een principieel groter gevaar dan het omleiden van verkeer naar andere websites."
Kolkman heeft nagedacht over een 'cybercrime' met gebruikmaking van deze kwetsbaarheid van internet. Hij publiceerde die ook, maar aarzelt wat om erop te wijzen daar ook criminelen wakker kunnen worden, als ze dat al niet zijn. Bij Apnic, de Amerikaanse evenknie van Ripe in Europa, publiceerde Kolkman in het december 2004-nummer van huisblad Apster. Onder het kopje 'BE-rt and erNie merger stung in DNS scam' geeft Kolkman een verzonnen praktijkgeval weer: onderschepping van e-mail bij een fusie tussen bedrijven leidt tot voorkennis en op grond daarvan tot een aandelenfraude van 50 miljoen dollar.
"Dat is niet denkbeeldig", zegt Kolkman. Juist deze inbraak zal niet opvallen: "E-mail wordt even omgeleid, gekopieerd, maar bereikt vervolgens toch snel zijn bestemming. Dat valt nauwelijks op, daarvoor is meer bewijs nodig."
Het probleem met de internettechnici is dat ze een kwade geest ontberen om zich misbruik te kunnen voorstellen. Ze lieten zich verrassen door vrijwel alle malheur die internet vandaag de dag teistert. Ze werken aan het gemeenschappelijk belang, doen zelf geen vlieg kwaad, met uitzondering van hun flamewars over technische details.
Lindgreen is wel bereid om dit toe te geven: "Er zijn kennelijk criminele toepassingen mogelijk en die worden dan ook ontwikkeld. Blijkbaar vergissen we ons daar nog in."
Wat DNS-spoofing betreft verliest Lindgreen, een aartsvader van internet in Nederland, zijn onschuld snel: "Eén ding is zeker: we zullen het dus gaan merken."
De NLnet Labs-onderzoeker heeft recent wel een misdaad kunnen bedenken: "Waar wij bang voor zijn is dat mensen voor de gek gehouden worden met het equivalent van een namaak-pinautomaat. Dat je naar de verkeerde website wordt geleid om te betalen. Zoiets als 'phishing' maar dan op een hoger niveau, niet vanuit e-mail."
Kolkman over praktijkvoorbeelden van DNS-misleiding: "Als een computer een naam nodig heeft, vraagt hij de naam aan een nameserver die dat doorgeeft, een zogenaamde 'forwarder'. Deze staat meestal bij een internetprovider. Een aantal jaren geleden waren die gevoelig voor een bepaald type aanval. Na een vraag kon je van buitenaf tussen die aanvraag vanaf de pc en het antwoord van de server komen. Als je heel snel was. Je kon dan een lus maken, een omweg ertussen proppen."
Volgens Kolkman is dit vandaag de dag "... heel erg veel moeilijker. Maar nog niet onmogelijk, gezien de gebreken in de beveiliging. Maar grote schaal, internet in bezit van criminelen? Dat neem ik met een korreltje zout."
Zijn gevaarlijke aanvallen op het DNS uitgesloten?
Kolkman: "Nee, ook al hebben we het nog niet gezien."
De kernprotocollen van de routering van domeinen zijn niet beveiligd, hoewel dit al een stuk is verbeterd. Maar net als bij pc-gebruikers blijken ook providers met DNS-servers laks. Vandaar de waarschuwing van Sans bij het commentaar op het Bright-verhaal: ze moeten nu toch echt haast maken met de installatie van de Nieuwste Bind-software (Berkeley Internet Name Domain, een uitwerking van het domeinnamensysteem of DNS).
Terechtwijzen
Al met al had Bright op zich wel gelijk met het aanstippen van het gevaar van DNS-misleiding. Maar het lijkt onjuist om op basis van een enkel geval met 'een Amerikaan' op de ICQ te schrijven dat het hele internet crimineel bezit is geworden.
Saillant is de rol van weblogs in deze kwestie. Werden onlangs nog Geenstijl en enkele andere weblogs door een van de auteurs publiekelijk terechtgewezen om hun onverantwoordelijke uitingen, nu zijn het juist de webloggers die de misleidende vermenging van journalistiek en marketing bekritiseren.
[Peter Olsthoorn, 11 februari 2005]
|
