Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/4.12.4
4.12.4. Automatische en handmatige aanvallen
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS580011:1
- Vakgebied(en)
Civiel recht algemeen (V)
Voetnoten
Voetnoten
ETSI TR 187 014. V. 2.1.1 (2009); http://pottal.etsi.org/docbox/.../2009/.../TVRA_006_TVRA_web_user_-guide.pdf.
Hieronder wordt verstaan een onervaren kwaadwillige hacker, die programma's gebruikt die door andere hackers zijn ontwikkeld om informatiesystemen aan te vallen en websites te bekladden; www.honeynet.org/papers/enemy/.
Keanini, 2003.
F.Lau, e.a.; 2000, p. 2275- 2280: 'A denial of service attack is characterized by an explicit attempt by an attacker to prevent legitimate users of a service from using the desired resources. Examples (...) include attempts to flood a network thereby preventing legitimate network traffic, attempts to dispute connection between two machines thereby preventing access to a service, attempts to prevent a particular individual from accessing a service and attempts to disrupt service to a specific system or person.'
www.ejure.ni/exturls/dossier_id=264/id=1088/show.html.
Kankanhale, e.a., 2003, p. 19-154.
B-J. Koops, e.a., 2005, p. 24.
Van de Weijer, 2009, p. 9.
Allen, 2001.
www.sciam.com/article.cfm?id=code-red-worm-assault-on.
www.sciam.com/article.cfm?id=computer-viruses-are-25-years-old: 'The first computer virus wasn't much of a threat. Created by a mischievous Pittsburgh high school student, Elk Cloner annoyed unwitting Apple II users with a brief poem extolling its power to proliferate: It wild gel on all your disks, It wild infiltrate your chips, Yes it's Cloner! ...The year was 1982. The IBM personal computer had only been born the year before (its first virus would not crop up until 1986)'.
Moyer, 2009, p. 18.
Leyden, 2007.
De ETSI (European Telecommunications Standards Institute) TIPHON (Telecommunications and Internet Protocol Harmonization over Networks)/TISPAN (Telecoms & Internet converged Services & Protocols for Advanced Networks)1 bedreigingsanalyse kent vier soorten `threat agents':
Manual Threat agents.
Scripted automated threat agent.
Controlled automated threat agents.
Autonomous automated threat agents.
a. Manual threat agent
Een manual threat agent is persoon die een schadetoebrengende aanval uitvoert op een asset (het object waarop de bedreiging zich richt en waardoor de bedreiging kan ontstaan (bijvoorbeeld de gebruikers, ISP, identiteitsverschaffer).
b. Geprogrammeerde of geautomatiseerde (scripted) aanval
Het betreft hier een geautomatiseerde aanval op het informatiesysteem die vervolgens over het internet wordt verspreid, waardoor personen met aanmerkelijk minder expertise (de zgn. script kiddies),2maar in het bezit van generieke pc-hardware, een aanval kunnen uitvoeren. Het gaat om een automatische methode die in een netwerk of informatiesysteem inbreekt op het niveau van 'point-andclick'.3 Deze ontwikkeling houdt in, dat voor een geautomatiseerde aanval weinig expertise is vereist van systemen, er weinig tijd nodig voor is en er ook geen geavanceerde computers gebruikt hoeven te worden voor een dergelijke `scripted' (geprogrammeerde) aanval.
c. Onder controle van derden staande threat agents (Botnet)
Botnet is een verzameling van software robots, ook wel bots genoemd, die zelfstandig en automatisch hun werkzaamheden uitvoeren door middel van zgn. `zombie' computers die op afstand worden beheerd door hackers via commando en gecontroleerde infrastructuur. Deze geautomatiseerde aanval vereist geen interactie van de gebruiker. Als de aanval in werking is gezet, wordt de aanval verder overgenomen door 'zombie' computers die een gecoördineerde veelvoud van nieuwe opvolgende aanvallen oplevert. Het grote gevaar van een Botnet is dat er veel meer rekenkracht, bandbreedte en IP-adressen voor een aanvaller beschikbaar zijn. Hierdoor is het mogelijk bepaalde aanvallen uit te voeren die normaal niet mogelijk zijn. Dit kan leiden tot `Distributed Denial of Service' (DDoS)4 aanvallen, maar dergelijke geconcentreerde aanvallen kunnen ook voor andere doeleinden worden gebruikt, zoals `Distributed password cracking'. Bovendien is het veel lastiger om aanvallen te detecteren of tegen te gaan wanneer deze van verschillende IP-adressen afkomstig zijn.
Ernstiger is het dat deze vorm van aanval zonder interventie van een gebruiker op een systeem nog minder kennis van de aanvaller vereist dan die nodig is om een `scripted' aanval te downloaden en uit te voeren. Het wordt steeds makkelijker om een (ro)botnet op te zetten, waardoor het niveau van potentiële bedreiging hoger wordt. Bovendien is het gevolg van dergelijke gecoördineerde aanvallen aanmerkelijk ernstiger, dan de aanvallen die sequentieel worden uitgevoerd.5
Omdat informatietechnologie steeds strategischer voor organisaties aan het worden is, worden organisaties en daarmee ook de persoonsgegevens steeds kwetsbaarder voor aanvallen.6 Algemeen wordt verwacht dat steeds minder kennis van de aanvaller nodig is om een ernstige bedreiging uit te voeren (zie figuur 4.9).7 Van de Weijer meldt in de Volkskrant van 21 april 2009 over `CAPTCHA'S' (Completely Automated Public Test to Tell Computers and Humans Apart) (dat is plaatje met verdraaide en doorgestreepte letters en cijfers) die door service providers meegestuurd worden om door ontvangers van bepaalde diensten ontcijferd te worden, geen bescherming meer tegen spam bieden. `Spammer bots' kunnen deze CAPTCHA's zo goed ontrafelen dat zij de bescherming tegen spam doorbreken. Google stuurt nu afbeeldingen die de gebruiker vervolgens weer rechtop moet zetten. Dat kan de spambot nog niet.8
Figuur 4.9: Ontwikkeling van aanvallen op systemen. Stippellijn toegevoegd Borking;9 In 1980 ging het nog om het raden van wachtwoorden waar veel kennis voor nodig was, maar in de loop van dertig jaar zijn de aanvallen steeds verfijnder geworden, terwijl er steeds minder kennis voor nodig is.
d. Autonome geautomatiseerde threat agents (worm/virus)
Een geautomatiseerde aanval kan met een worm10 of een virus11 worden uitgevoerd. Iemand hoeft geen directe controle over zo'n aanval uit te oefenen, want de aanval wordt gestart op basis van een bepaalde kloktijd in de computer of een bepaalde tijd nadat de computer met een worm of virus is geïnfecteerd of zelfs door een externe gebeurtenis door bijvoorbeeld een bepaald sleutelwoord op de hoofdpagina van een (openbare) website. Dit type aanval kan zowel plaatsvinden vanuit internet als een gesloten netwerk. Het is mogelijk dat een worm of virus een gesloten netwerk binnendringt. Het virus kan tijdenlang een slapend bestaan leiden totdat het virus een computer met een bepaald IP-adres of domeinnaam bereikt en dan pas actief wordt. Dit gebeurde met de Confickerworm die wereldwijd meer dan tien miljoen computers infecteerde en op 1 april 2008 plotseling actief werd. Moyer beschrijft het mechanisme als: "a worm takes advantage of security holes in ubiquitous software - in this case Microsoft Windows — to spread copies of itself. It uses flaws in Windows software to co-opt machines and links them into a virtual computer that can be commanded remotely by its authors".12 Geïnfecteerde gegevensdragers (bijvoorbeeld een USB-sleutel besmet met een USB-stickvirus)13 kunnen in een beveiligde ruimte worden binnengebracht en kunnen daardoor binnen het overigens goedbeveiligde netwerk een aanval openen.