SATAN BREEKT LOS
Programmeur Dan Farmer was zelf het eerste slachtoffer van SATAN,
een programma dat in staat is `lekken' in de beveiliging van computersystemen
op te sporen. Ruim een week voordat het mede door hem ontworpen programma
zou worden vrijgegeven werd hij ontslagen bij het prestigieuze computerbedrijf
Silicon Graphics. De manier waarop Farmer het probleem van hackers te lijf
wilde gaan zinde het bedrijf niet. Geholpen heeft dat niet. Geheel volgens
plan werd de officiële versie van SATAN afgelopen woensdag, op de 33-ste
verjaardag van Farmer, gratis ter beschikking gesteld aan iedere belangstellende.
En dat waren er nogal wat. Binnen een etmaal werden via Internet tienduizenden
exemplaren opgevraagd en kon de race tussen systeembeheerders en hackers
beginnen met als slagveld de vier miljoen op het internationale computernetwerk
Internet aangesloten systeemcomputers.
Het gebeurt niet vaak dat software voor zoveel commotie zorgt.
In de Verenigde Staten wijdden tv-stations er zelfs aandacht aan. Op het
internationale computernetwerk Internet schreeuwden nerveuze systeembeheerders
moord en brand en beveiligingsorganisaties stuurden ruim tevoren uitvoerige
waarschuwingen de elektronische wereld in om Internetgebruikers voor te
bereiden op de geboorte van SATAN. Er klinken echter ook relativerende
geluiden. `SATAN wordt de Michelangelo van 1995,' aldus de on-line editie
van het Amerikaanse weekblad Time. De constatering verwijst naar de wereldwijde
paniek die een aantal jaren geleden uitbrak rond het Michelangelo-computervirus
dat op een bepaalde datum zou `afgaan'. Op de datum zelf bleek het overgrote
deel van de computergebruikers reeds zoveel voorzorgsmaatregelen genomen
te hebben dat de gevreesde massale destructie uitbleef.
SATAN is het provocerende acroniem voor Security Administrators
Tool for Analyzing Networks. Het is een uiterst gebruikersvriendelijk programma
dat controleert of netwerkcomputers geen gaten in de beveiliging vertonen
door het systeem te checken op twaalf bekende `bugs', programmafouten.
Hackers zijn in staat in computers in te breken door gebruik te maken van
dergelijke `bugs'. Want ondanks de bekendheid blijven de `bugs' vaak ongerepareerd.
Het grote probleem met beveiliging is immers dat het opsporen en herstellen
van dergelijke systeemfouten arbeidsintensief werk is. SATAN heeft die
controle geautomatiseerd. De controverse rond SATAN is voornamelijk gerezen
naar aanleiding van de opmerkelijke distributiemethode. Vergelijkbare controleprogramma's
zijn of uiterst kostbaar of worden slechts mondjesmaat verspreid onder
zorgvuldig geselecteerde systeembeheerders. SATAN daarentegen is sinds
afgelopen woensdag voor iedereen die het wil hebben gratis beschikbaar.
Tegenstanders van deze methode vrezen dat hackers het programma
gebruiken om lekken in systemen op te sporen en die vervolgens te kraken.
SATAN kan namelijk niet alleen aangewend worden om het eigen systeem te
checken maar ook dat van anderen als die zijn aangesloten op hetzelfde
netwerk. Het is overigens niet mogelijk om met het programma zelf in te
breken. `Het is geen koevoet. Er wordt alleen gekeken of de deur op slot
zit.' Tegenstanders vrezen niettemin dat hackers het wel gemakkelijk tot
een koevoet kunnen opbouwen.
`Om dat gevaar tegen te gaan hebben we maatregelen genomen,'
stelt Wietze Venema, beveiligingsexpert aan de Technische Universiteit
Eindhoven. Hij schreef het programma samen met Farmer. `Lang van tevoren
hebben we demo-versies beschikbaar gesteld die duidelijk maken wat het
programma gaat doen, we hebben alle betrokken organisaties ingelicht over
onze plannen. Het programma is immers juist bedoeld als een wapen tegen
hackers.' Computerbeveiliging is bij veel bedrijven en instellingen nog
een ondergeschoven kindje. Uit onderzoek blijkt dat een ruime meerderheid
van de beheerders het als het grootse probleem ziet. `Beveiliging levert
geen direct aanwijsbaar rendement op en daarom wordt er geen tijd voor
vrij gemaakt. Het gevolg is dat veel systemen met lekken kampen en hackers
vrij hun gang kunnen gaan.'
Hacken is daarbij extra problematisch omdat een kraker die eenmaal
toegang heeft tot een netwerkcomputer van daaruit weer gevoelige informatie
kan verzamelen over andere systemen. Op die manier zijn in het verleden
in enkele weken tijd tienduizenden op Internet aangesloten computers gekraakt.
De kritiek op de verspreidingsmethode wuift Venema weg. `De echte deskundigen
zijn alleen maar blij. Het zijn de pseudo-deskundigen die in paniek raken,'
constateert hij zelfverzekerd. `Het is een illusie om te denken dat de
verspreiding van een dergelijk programma controleerbaar zou zijn. Je kunt
er veel geld voor vragen maar dat is - in weerwil wat veel mensen geloven
- absoluut geen garantie voor veiligheid. Gefortuneerden zijn niet per
definitie eerlijk. Bovendien leert de ervaring dat zo'n programma uiteindelijk
toch in verkeerde handen valt en dan is er pas echt sprake van een gevaarlijke
situatie. De kraker beschikt daarmee over een middel dat anderen zich niet
kunnen veroorloven. Nu kan iedereen zelf maatregelen nemen. Dat betekent
wel dat er gewerkt moet worden, ja.'
Het doel van het programma is volgens Venema in één keer de kennisachterstand
van systeembeheerders ten opzichte van hackers weg te werken. `De strijd
tussen systeembeheerders en hackers is oneerlijk. De eersten hebben door
hun dagelijkse werkzaamheden nauwelijks tijd om beveiligingscontroles uit
te voeren. De krakers daarentegen kunnen daar dagen voor uit trekken. Het
programma vertelt hen ook niets nieuws. Alle `bugs' die bekeken worden
zijn allang bekend. Bovendien zijn er middelen beschikbaar om die fouten
te herstellen. We hebben bewust de mogelijkheid achterwege gelaten om naar
systeemfouten te zoeken waar geen nog reparatiemogelijkheid voor bestaat.'
Om dezelfde reden controleert het programma bijvoorbeeld niet of de gebruikte
passwords wel veilig genoeg zijn. `Met het blootleggen daarvan verschaf
je immers direct toegang.'
SATAN is in feite de geautomatiseerde versie van een strategie
die door sommige bedrijven wel wordt toegepast: het in dienst nemen van
een hacker. Net als de hacker rammelt het programma aan alle deuren. `Het
verschil is dat je een hacker niet kan vertrouwen. Je weet nooit zeker
of hij alle lekken rapporteert.' Om dat laatste probleem tegen te gaan
passen bedrijven een tactiek toe die te vergelijken is met een controlemethode
voor schoonmaakpersoneel: het opzettelijk laten liggen van geld om te zien
of het wordt weggenomen. In het geval van computersystemen worden er opzettelijk
fouten aangebracht om te controleren of de ingehuurde hacker die meldt.
`Je kunt je afvragen of dat wel zo'n veilige methode is.'
Dan Farmer werd ontslagen naar aanleiding van het uitbrengen
van SATAN, Wietze Venema heeft echter geen problemen ondervonden. `Ik heb
alleen alle verwijzingen naar de universiteit uit de software moeten verwijderen
omdat het een privé-aangelegenheid is.' De hysterie rond SATAN speelt dan
ook voornamelijk in de Verenigde Staten bevestigt Don Stikvoort van het
Nederlandse bureau van de internationale beveiligingsorganisatie Computer
Emergency Response Team CERT. `De discussie over de distributiemethode
is achterhaald. De techniek maakt een dergelijke verspreiding nu eenmaal
mogelijk. Je kunt het niet tegenhouden. Ik ben blij dat het programma is
ontworpen door zulke betrouwbare mensen als Venema en Farmer. Zij hebben
iedereen van tevoren nauwkeurig ingelicht. Een hacker had het programma
ook kunnen schrijven en dan was de ramp niet te overzien geweest.' Stikvoort
is uitermate te spreken over de kwaliteit van het programma. `Het ziet
er mooi uit en neemt veel werk uit handen. Bovendien is het effectief.
Wij ontdekten gisteren toch nog wat kleine foutjes in een systeem dat we
in onze overtuiging geheel dichtgespijkerd hadden.' Stikvoort had donderdag
nog geen aanwijzingen dat het programma ook door krakers werd ingeschakeld.
`Mensen die denken dat SATAN een bedreiging is, volgen een struisvogelpolitiek.
Die bedreiging is er namelijk reeds. Het programma maakt deze alleen maar
zichtbaar.' Rest de vraag waarom het programma SATAN heet. `Ach, Dan Farmer
is nu eenmaal goed in het bedenken van acroniemen die de aandacht trekken,'
grinnikt Venema. `Zijn vorige programma, gericht op de interne beveiliging
van systemen, heette COPS.'
Francisco van Jole
NB: Deze tekst bestaat uit ongecorrigeerde kopij
en is eigendom van Francisco van Jole. Er is geen enkele garantie dat tekst
en publikatiedatum overeenstemmen met de gedrukte versie. Gedrukte artikelen
zijn op te vragen bij de documentatiedienst van de
Volkskrant. Verdere verspreiding of gebruik niet toegestaan zonder
voorafgaande schriftelijke toestemming van de auteur.
Geraadpleegde
bronnen
Home
|