HET NIEUWSTE HACKERSDOELWIT: ROUTERS
De interantionale beveiligingsorganisatie CERT waarschuwde onlangs voor de slechte beveiliging van routers. En niet ten onrechte: een geslaagde aanval op een router zou een internetprovider kunnen afsluiten van internet, of het hele internetverkeer flink kunnen vertragen.
Van een gehackte website (defacement) kijkt tegenwoordig nauwelijks nog iemand van op. Alleen al het feit dat Attrition.org, de wereldvermaarde chroniqueurs van de defacements, er in 2001 mee is opgehouden, spreekt boekdelen. Het aantal hacks groeide de makers van deze site gewoonweg boven het hoofd.
Een serieuze hacker richt zich daarom ook niet meer op websites, maar op de infrastructuur van het internet. Vorig jaar bleek al dat DNS-servers kwetsbaar zijn. Een gehackte DNS (Domain Name Server) kan er bijvoorbeeld toe leiden dat het adres www.netkwesties.nl niet meer leidt tot het artikel dat u nu aan het lezen bent, maar naar een totaal andere site.
Een ander vitaal onderdeel van de internet vormen de routers. Routers zijn zeg maar de ANWB-borden langs de digitale snelweg. Ze zorgen ervoor dat al het internetverkeer de juiste afslag neemt om zo snel mogelijk bij de juiste bestemming aan te komen.
De vergelijking met ANWB-borden laat ook precies zien wat de gevolgen zijn van een gekraakte router: het internetverkeer komt niet meer op de juiste bestemming aan, waardoor sites onbereikbaar worden. Of nog erger: het verkeer komt in een 'loop' te zitten, waardoor ook andere routers worden overbelast en grote delen van het internet worden ontwricht.
Hackers kunnen routers ook gebruiken voor digitale bombardementen. De opzet is eenvoudig: hack enkele routers en laat die al het langslopende verkeer doorsluizen naar één specifiek internetadres. Het doelwit zal binnen de kortste keren bezwijken onder de stortvloed van verdwaalde data.
Aan de andere kant moet men de kwetsbaarheid van routers ook weer niet overschatten. Een gehackte router kan aanzienlijke vertragingen op internet veroorzaken - denk maar aan de gevolgen van een treinongeluk rondom Utrecht voor het hele treinverkeer in Nederland - maar er moet heel wat gebeuren voordat het héél internet plat komt te liggen.
Microsoft
Het hacken van routers is eigenlijk nog maar één keer wereldnieuws geweest. Eind januari 2001 werd Microsoft slachtoffer van een digitaal bombardement. Belangrijke sites als Microsoft.com en MSN.com waren daardoor vrijwel onbereikbaar.
Opvallend bij dit incident was dat de getroffen sites zelf nog prima functioneerden. Ze waren 'slechts' afgesloten van internet door een geslaagde aanval op de Microsoft-router, die als sluis fungeert tussen het lokale Microsoft-netwerk en de rest van internet.
Pas later in 2001 wees ook het Computer Emergency Response Team (Cert) op de kwetsbaarheid van routers - tweemaal zelfs. In juni meldde het Cert een authenticatie-bug van Cisco-routers. De routers van Cisco zijn namelijk niet alleen direct aan te sturen, maar ook via een webbrowser. Door de fout zouden hackers in de huid kunnen kruipen van beheerders en via hun browser volledige controle kunnen krijgen over alle routers.
Een tweede waarschuwing volgde afgelopen najaar in een rapport (PDF-formaat) over de huidige ontwikkelingen in digitale bombardementen (Denial of Service). Het rapport bestaat grotendeels uit waarschuwingen die het Cert in de afgelopen jaren al had gepubliceerd, maar bevat op de valreep nog een aantal zorgwekkende ontwikkelingen. Routers worden daarbij met nadruk genoemd.
Het Cert noemt diverse manieren om een router te hacken. De eenvoudigste manier is door standaard-wachtwoorden uit te proberen. Veel beheerders gebruiken de wachtwoorden die leveranciers hebben bedacht en laten na die naderhand aan te passen.
Verder circuleren op internet steeds meer documenten met tips en trucs voor hackers, zo constateert het Cert. Een bekende truc is dat de hacker zich 'vermomt' als een router en zo andere routers misleidt. Ook hebben deskundigen gesignaleerd dat hackers via chatkanalen hiertoe kant-en-klare kits uitwisselen.
Border Gateway Protocol
Een ander belangrijk risico is gelegen in het Border Gateway Protocol (BGP). Als sinds 1994 is BGP de standaard voor gegevensuitwisseling tussen routers. BGP zorgt er niet alleen voor dat routers weten wat de snelste weg is van A naar B, het protocol is flexibel genoeg om bij storingen een niet al te lange omweg achter de hand te hebben.
Vooral in de afgelopen twee jaar is echter duidelijk geworden dat BGP kraakbaar is. SecurityFocus.com legt uit waarom: BGP is een tamelijk obscuur protocol, dat alleen door échte specialisten is te doorgronden. Daarom specialiseren veel ICT'ers zich in dit protocol in de hoop hun marktwaarde op te vijzelen. Maar ze zouden niet allemaal de beste bedoelingen hebben, zo denkt de beveiligingssite.
Inmiddels werkt men volop aan een nieuwe versie van BGP, namelijk Secure Border Gateway Protocol (S-BGP). Het vernieuwde BGP leunt sterk op encryptie- en authenticatie-technieken om misleiding van routers tegen te gaan.
Het probleem met S-BGP is dat het nog lang kan duren voordat het wereldwijd is geaccepteerd als standaard. Invoering van S-BGP kan pas plaatsvinden als netwerkbeheerders, verkopers van routers en internetaanbieders het allemaal eens zijn over de implementatie van het nieuwe protocol.
In hoeverre Cisco, de marktleider op het gebied van routers, zelf werkt aan productverbetering, is niet bekend. Cisco wil daarover geen uitspraken doen.
[WZ, 10 januari 2001]
