SATAN BREEKT LOS

 Programmeur Dan Farmer was zelf het eerste slachtoffer van SATAN, een programma dat in staat is `lekken' in de beveiliging van computersystemen op te sporen. Ruim een week voordat het mede door hem ontworpen programma zou worden vrijgegeven werd hij ontslagen bij het prestigieuze computerbedrijf Silicon Graphics. De manier waarop Farmer het probleem van hackers te lijf wilde gaan zinde het bedrijf niet. Geholpen heeft dat niet. Geheel volgens plan werd de officiële versie van SATAN afgelopen woensdag, op de 33-ste verjaardag van Farmer, gratis ter beschikking gesteld aan iedere belangstellende. En dat waren er nogal wat. Binnen een etmaal werden via Internet tienduizenden exemplaren opgevraagd en kon de race tussen systeembeheerders en hackers beginnen met als slagveld de vier miljoen op het internationale computernetwerk Internet aangesloten systeemcomputers.
 Het gebeurt niet vaak dat software voor zoveel commotie zorgt. In de Verenigde Staten wijdden tv-stations er zelfs aandacht aan. Op het internationale computernetwerk Internet schreeuwden nerveuze systeembeheerders moord en brand en beveiligingsorganisaties stuurden ruim tevoren uitvoerige waarschuwingen de elektronische wereld in om Internetgebruikers voor te bereiden op de geboorte van SATAN. Er klinken echter ook relativerende geluiden. `SATAN wordt de Michelangelo van 1995,' aldus de on-line editie van het Amerikaanse weekblad Time. De constatering verwijst naar de wereldwijde paniek die een aantal jaren geleden uitbrak rond het Michelangelo-computervirus dat op een bepaalde datum zou `afgaan'. Op de datum zelf bleek het overgrote deel van de computergebruikers reeds zoveel voorzorgsmaatregelen genomen te hebben dat de gevreesde massale destructie uitbleef.
 SATAN is het provocerende acroniem voor Security Administrators Tool for Analyzing Networks. Het is een uiterst gebruikersvriendelijk programma dat controleert of netwerkcomputers geen gaten in de beveiliging vertonen door het systeem te checken op twaalf bekende `bugs', programmafouten. Hackers zijn in staat in computers in te breken door gebruik te maken van dergelijke `bugs'. Want ondanks de bekendheid blijven de `bugs' vaak ongerepareerd. Het grote probleem met beveiliging is immers dat het opsporen en herstellen van dergelijke systeemfouten arbeidsintensief werk is. SATAN heeft die controle geautomatiseerd. De controverse rond SATAN is voornamelijk gerezen naar aanleiding van de opmerkelijke distributiemethode. Vergelijkbare controleprogramma's zijn of uiterst kostbaar of worden slechts mondjesmaat verspreid onder zorgvuldig geselecteerde systeembeheerders. SATAN daarentegen is sinds afgelopen woensdag voor iedereen die het wil hebben gratis beschikbaar.
 Tegenstanders van deze methode vrezen dat hackers het programma gebruiken om lekken in systemen op te sporen en die vervolgens te kraken. SATAN kan namelijk niet alleen aangewend worden om het eigen systeem te checken maar ook dat van anderen als die zijn aangesloten op hetzelfde netwerk. Het is overigens niet mogelijk om met het programma zelf in te breken. `Het is geen koevoet. Er wordt alleen gekeken of de deur op slot zit.' Tegenstanders vrezen niettemin dat hackers het wel gemakkelijk tot een koevoet kunnen opbouwen.
 `Om dat gevaar tegen te gaan hebben we maatregelen genomen,' stelt Wietze Venema, beveiligingsexpert aan de Technische Universiteit Eindhoven. Hij schreef het programma samen met Farmer. `Lang van tevoren hebben we demo-versies beschikbaar gesteld die duidelijk maken wat het programma gaat doen, we hebben alle betrokken organisaties ingelicht over onze plannen. Het programma is immers juist bedoeld als een wapen tegen hackers.' Computerbeveiliging is bij veel bedrijven en instellingen nog een ondergeschoven kindje. Uit onderzoek blijkt dat een ruime meerderheid van de beheerders het als het grootse probleem ziet. `Beveiliging levert geen direct aanwijsbaar rendement op en daarom wordt er geen tijd voor vrij gemaakt. Het gevolg is dat veel systemen met lekken kampen en hackers vrij hun gang kunnen gaan.'
 Hacken is daarbij extra problematisch omdat een kraker die eenmaal toegang heeft tot een netwerkcomputer van daaruit weer gevoelige informatie kan verzamelen over andere systemen. Op die manier zijn in het verleden in enkele weken tijd tienduizenden op Internet aangesloten computers gekraakt. De kritiek op de verspreidingsmethode wuift Venema weg. `De echte deskundigen zijn alleen maar blij. Het zijn de pseudo-deskundigen die in paniek raken,' constateert hij zelfverzekerd. `Het is een illusie om te denken dat de verspreiding van een dergelijk programma controleerbaar zou zijn. Je kunt er veel geld voor vragen maar dat is - in weerwil wat veel mensen geloven - absoluut geen garantie voor veiligheid. Gefortuneerden zijn niet per definitie eerlijk. Bovendien leert de ervaring dat zo'n programma uiteindelijk toch in verkeerde handen valt en dan is er pas echt sprake van een gevaarlijke situatie. De kraker beschikt daarmee over een middel dat anderen zich niet kunnen veroorloven. Nu kan iedereen zelf maatregelen nemen. Dat betekent wel dat er gewerkt moet worden, ja.'
 Het doel van het programma is volgens Venema in één keer de kennisachterstand van systeembeheerders ten opzichte van hackers weg te werken. `De strijd tussen systeembeheerders en hackers is oneerlijk. De eersten hebben door hun dagelijkse werkzaamheden nauwelijks tijd om beveiligingscontroles uit te voeren. De krakers daarentegen kunnen daar dagen voor uit trekken. Het programma vertelt hen ook niets nieuws. Alle `bugs' die bekeken worden zijn allang bekend. Bovendien zijn er middelen beschikbaar om die fouten te herstellen. We hebben bewust de mogelijkheid achterwege gelaten om naar systeemfouten te zoeken waar geen nog reparatiemogelijkheid voor bestaat.' Om dezelfde reden controleert het programma bijvoorbeeld niet of de gebruikte passwords wel veilig genoeg zijn. `Met het blootleggen daarvan verschaf je immers direct toegang.'
 SATAN is in feite de geautomatiseerde versie van een strategie die door sommige bedrijven wel wordt toegepast: het in dienst nemen van een hacker. Net als de hacker rammelt het programma aan alle deuren. `Het verschil is dat je een hacker niet kan vertrouwen. Je weet nooit zeker of hij alle lekken rapporteert.' Om dat laatste probleem tegen te gaan passen bedrijven een tactiek toe die te vergelijken is met een controlemethode voor schoonmaakpersoneel: het opzettelijk laten liggen van geld om te zien of het wordt weggenomen. In het geval van computersystemen worden er opzettelijk fouten aangebracht om te controleren of de ingehuurde hacker die meldt. `Je kunt je afvragen of dat wel zo'n veilige methode is.'
 Dan Farmer werd ontslagen naar aanleiding van het uitbrengen van SATAN, Wietze Venema heeft echter geen problemen ondervonden. `Ik heb alleen alle verwijzingen naar de universiteit uit de software moeten verwijderen omdat het een privé-aangelegenheid is.' De hysterie rond SATAN speelt dan ook voornamelijk in de Verenigde Staten bevestigt Don Stikvoort van het Nederlandse bureau van de internationale beveiligingsorganisatie Computer Emergency Response Team CERT. `De discussie over de distributiemethode is achterhaald. De techniek maakt een dergelijke verspreiding nu eenmaal mogelijk. Je kunt het niet tegenhouden. Ik ben blij dat het programma is ontworpen door zulke betrouwbare mensen als Venema en Farmer. Zij hebben iedereen van tevoren nauwkeurig ingelicht. Een hacker had het programma ook kunnen schrijven en dan was de ramp niet te overzien geweest.' Stikvoort is uitermate te spreken over de kwaliteit van het programma. `Het ziet er mooi uit en neemt veel werk uit handen. Bovendien is het effectief. Wij ontdekten gisteren toch nog wat kleine foutjes in een systeem dat we in onze overtuiging geheel dichtgespijkerd hadden.' Stikvoort had donderdag nog geen aanwijzingen dat het programma ook door krakers werd ingeschakeld. `Mensen die denken dat SATAN een bedreiging is, volgen een struisvogelpolitiek. Die bedreiging is er namelijk reeds. Het programma maakt deze alleen maar zichtbaar.' Rest de vraag waarom het programma SATAN heet. `Ach, Dan Farmer is nu eenmaal goed in het bedenken van acroniemen die de aandacht trekken,' grinnikt Venema. `Zijn vorige programma, gericht op de interne beveiliging van systemen, heette COPS.'

Francisco van Jole


NB: Deze tekst bestaat uit ongecorrigeerde kopij en is eigendom van Francisco van Jole. Er is geen enkele garantie dat tekst en publikatiedatum overeenstemmen met de gedrukte versie. Gedrukte artikelen zijn op te vragen bij de documentatiedienst van de Volkskrant. Verdere verspreiding of gebruik niet toegestaan zonder voorafgaande schriftelijke toestemming van de auteur.

Geraadpleegde bronnen

Home