BINNEN ZONDER KLOPPEN: PORT SCANS
Wie pas een firewall heeft geïnstalleerd schrikt zich meestal
wezenloos. Van alle kanten lijkt de pc belaagd te worden door indringers.
Vaak is het vals alarm. Maar ook wemelt het op het net van de cybervandalen
die niets liever doen dan op andermans pc inbreken. Firewalls geven
opvallend vaak melding van port scans.
De port scan is een van de eerste stappen die cyberinbrekers
zetten. Met name internetgebruikers die via de kabel of ADSL altijd
online zijn, zullen via de meldingen van hun firewall merken dat
hun pc heel vaak op openstaande poorten
wordt onderzocht. Openstaande poorten zijn dé manier om de computer
van een ander binnen te dringen.
Elke pc bevat tienduizenden poorten. Ze worden gebruikt voor
het regelen van diensten op de pc, zoals e-mail, webverkeer, ftp
en ICQ. Poorten zijn genummerd van 0 tot 65536. De poorten 0-1024
hebben een officiële functie. De nummers daarboven kunnen vrij
toegewezen worden aan een dienst.
Een bekende poort is 80. Die wordt gebruikt voor webverkeer.
De poort voor ftp is 21. Via een port scan kun je bekijken welke
poorten openstaan. Het meest gebruikte port scan-programma is
Nmap
('network mapper'). Er zijn ook speciale programma's waarmee je
je pc meteen kunt verbinden via een openstaande port met de pc
die je wilt hacken.
Beveiligingsspecialisten onderscheiden
verschillende soorten port scans. Een port scan die alleen bedoeld
is om te kijken welke poorten op een pc openstaan wordt 'vanilla'
genoemd. Wil de cybervandaal ook meteen zijn computer via een
openstaande poort verbinden met de pc van het slachtoffer wordt
de port scan 'strobe' genoemd. Een 'stealth scan' is een port
scan die geen sporen nalaat. Een 'sweep' is een port scan op één
poort op verschillende computers tegelijk. Deze vorm van port
scanning wordt ook wel 'service scanning' genoemd.
Port scanning op zich is niet verboden. Net zoals je mag proberen
of een deur open of gesloten is, mag je kijken of een poort openstaat.
De stap erna, het huis of de pc vervolgens binnendringen, is wel
verboden. Op computervredebreuk staat in Nederland maximaal vier
jaar gevangenisstraf. In de Verenigde Staten kan hacken met een
veel langer verblijf achter tralies tot gevolg hebben.
Het feit dat port scanning niet verboden is volgens het Wetboek
van strafrecht wil niet zeggen dat er niets tegen te doen is.
Providers kunnen over het algemeen via hun algemene voorwaarden
optreden tegen gebruikers die port scannen, en eventueel civielrechtelijk
overtreders vervolgen.
"Wij komen er in hoofdlijnen op twee manieren achter wanneer
een klant stevig aan het portscannen is: ofwel omdat hij zijn
scans richt op onze eigen systemen, bijvoorbeeld de webservers,
de e-mailservers of netwerkapparatuur etc. Ofwel omdat wij klachten
krijgen van andere 'eigen' klanten of van andere ISP's, of klanten
van andere ISP's", zegt Simon Hania, technisch manager van Xs4all.
Tegen het port scannen van het eigen systeem heeft Xs4all niet
veel bezwaar. Hania: "Daar hebben we over het algemeen niet veel
last en we doen daar ook niet veel aan. Tenzij het dusdanig frequent
of heftig is dat het lijkt op een denial of service attack, of
een poging om een bekende of net (niet) ontdekte zwakte in systemen
uit te buiten.
Dan grijpen we in: eerst sturen we een waarschuwing en daarna
volgt eventueel afsluiten. Ik kan me niet herinneren dat dat laatste
is gebeurd. Alleen al het feit dat je mensen aanspreekt en laat
blijken dat ze betrapt zijn, is vaak al genoeg."
In het geval van een klacht van een andere provider is de procedure
van Xs4all anders, zegt Hania. "We stellen dan de klant in kennis.
Het moeten er wel heel veel zijn, c.q. het moet een hele IP-reeks
betreffen of het moet op een systematische aanpak lijken. 'Port
scanning' is minder erg dan 'service scanning'. Het eerste is
als iemand op één IP-adres een hele reeks ports scant, het tweede
is als iemand een beperkt aantal poorten in een hele reeks IP-adressen
scant. Serevice scanning beteknt vaak blijkt dat iemand probeert
kwetsbaarheden van bepaalde services (achter één port number)
te achterhalen om ze misschien later uit te buiten/te exploiteren.
We zijn dan aanzienlijk minder tolerant."
Niet iedereen die port scans uitvoert, is zich daarvan bewust,
zegt Hania. "Het zou namelijk kunnen zijn dat hij een virus of
een trojan met een backdoor heeft opgelopen, waardoor hij niet
geheel meer de controle over zijn eigen pc heeft. (Of dat het
een thuiswondende tiener is op dezelfde ADSL-verbinding...) De
klant, zoals we die aanspreken, kan dus geheel te goeder trouw
zijn. Hoe dan ook: we maken de klant in elk geval duidelijk dat
dit gedrag niet gewenst is, en dat kan na een beperkt aantal waarschuwingen
uiteindelijk tot afsluiting leiden. Meestal houdt het dan op,
soms nadat we wat hulp geboden hebben om ongwenste rommel van
de pc van de klant te verwijderen."
Volgens Hania gebeurt het steeds vaker voor dat cybervandalen
pc's van nietsvermoedende internetgebruikers kapen om de machines
te gebruiken voor allerlei hack- en crackactiviteiten. "Het tijdelijk
afsluiten van de verbinding is dan niet zozeer een 'strafmaatregel'
maar eerder onderdeel van de activiteiten om de klant weer 'gezond'
online te krijgen."
[MJK, 18 juli 2002]
Meer over port scannen:
The
Ethics and Legality of Port Scanning (SANS)
Is a portscan of a machine malicious/illegal/unfriendly?
Port
scan legal, judge says (SecurityFocus)
Test je eigen
pc op open poorten
