1. Hacker verbindt BIND

In de jaren 80 werd BIND ontwikkeld en vandaag de dag is het nog steeds de standaardsoftware die wordt gebruikt voor het netwerkprotocol dat domeinen vertaald naar IP-adressen. In 1998 dook er een bufferoverflow-kwetsbaarheid op in deze software, waardoor aanvallers rootrechten konden verkrijgen op DNS-servers. US-CERT waarschuwde in april 1998 voor het gat en in mei publiceerde een groep hackers een worm die zich kon verspreiden via het BIND-gat.

Er was een patch beschikbaar, maar die werd niet vlug genoeg toegepast. De jonge hacker Max Butler, een beheerder van open source Intrusion Detection database voor Snort genaamd arachnIDS, zag het allemaal met lede ogen aan en nam contact op met de FBI, waar hij regelmatig als consultant voor diende. Hij ontdekte namelijk dat veel overheidsorganisaties, waaronder die van de luchtmacht en nucleaire laboratoria nog altijd kwetsbaar waren. Maar Butler kreeg het gevoel niet serieus genomen te worden door de FBI.

Hij besloot het daarom zelf op te lossen en gebruikte de worm om roottoegang te krijgen, maar als payload gebruikte hij de fix van CERT. Dus terwijl de worm zich verspreidde, werd meteen het gat in BIND gedicht. Als Butler het daarbij had gelaten, was er misschien niet eens zoveel aan de hand geweest. Maar hij bouwde ook een toegangsoptie in, zodat hij later nog eens kon terugkomen in de systemen. Daarmee had hij een backdoor tot kritieke locaties in handen.

Het ongevraagd 'guerilla-patchen' werd al niet zo gewaardeerd, het behouden van toegang leidde al helemaal tot verontwaardiging en een rechtszaak. De FBI wilde hem als informant inzetten tegen andere beveiligingsonderzoekers en grey hats, maar toen Butler daar onderuit probeerde te komen, verdween hij voor anderhalf jaar de gevangenis in.

Meer weten over dit stukje geschiedenis? Wireds hoofdredacteur Kevin Poulsen schreef een lezenswaardig boek over Butlers weg van white hat-hacker naar uiteindelijke baas van 's werelds grootste ondergrondse handelsplaats voor gestolen creditcards.

Nadat hij weer vrijkwam, zocht Butler wanhopig naar IT-werk om te voorkomen dat hij zijn vrijlatingsvoorwaarden zou schenden.

Afbeelding via een mailinglist van SecurityFocus. Lees verder: Een systeembeheerders heeft de sleutel van de stad (vrij letterlijk) in handen en vreest de incompetentie van anderen. Dus...

2. Gijzeling om IT-gerommel te voorkomen

De oer-BOFH Terry Childs is bekend (of liever berucht) vanwege het gijzelen van het gemeentelijke glasvezelnetwerk van de stad San Francisco. Hij was een van de beheerders en ontdekte tot zijn afgrijzen dat er afdoende authenticatie ontbrak. Omdat hij bang was dat dit ertoe zou leiden dat er gerommeld werd op het netwerk - en dat de resulterende ellende vervolgens hém in de schoenen zou worden geschoven - zorgde hij ervoor dat alleen hij nog toegang had tot het netwerk.

Dat zou misschien nog acceptabel zijn geweest gezien zijn taakomschrijving als beheerder, maar vervolgens weigerde hij anderen toegang te verschaffen zolang er geen autorisatiebeleid was. Het stadsbestuur probeerde Childs te ontslaan, maar omdat hij de routerconfiguratie had weggeschreven op het geheugen, zou een simpele reset een heel nieuwe configuratie vereisen. De kosten van de uiteindelijke nieuwe inrichting bedroegen 900.000 dollar. Kortom, de stad had Childs nodig.

De netwerkbeheerder werd opgepakt wegens het uitvoeren van een DoS-aanval en in de cel overtuigde de burgemeester van San Francisco hem ervan zijn voormalige collega's toch maar toegang te verschaffen tot het netwerk. Daarna volgde een rechtszaak.

De jury had op zich sympathie voor Childs, maar liet zich leiden door het verhaal van de aanklagers. Het netwerk bleef gewoon in de lucht, niks aan de hand wat dat betreft, maar juridisch was hij wel schuldig aan het veroorzaken van Denial of Service. De IT'er werd veroordeeld tot vier jaar cel en een schadevergoeding van 1,5 miljoen dollar aan de gemeente.

Terry Childs in de boeien. Afbeelding van IDG News Service. Op de volgende pagina: Een informaticastudent doet in de jaren 80 onderzoek naar het groeiende internet en besluit het te meten met een nieuw trucje. Slecht idee.

3 Testje: eerste worm losgelaten

Robert T. Morris, eerstejaars student Informatica aan Cornell University, zei nadat in 1988 dé worm op de wereld was losgelaten dat het de bedoeling was geweest om de grootte van het internet in kaart te brengen. Het programma dat hij had geschreven was 's werelds eerste grote kennismaking met de worm (en het concept van zombies) en het legde het toen nog in de kinderschoenen staande internet stevig plat.

Belangrijke universitaire netwerken waren dagenlang afgescheiden van de backbone. Dat had grote gevolgen voor het securitybewustzijn van pioniers die opeens beseften dat het van kritiek belang was om systemen goed te patchen en te onderhouden.

Wat dat betreft had de Morris-worm een belangrijke impact op de ontwikkeling van IT-security. Bovendien demostreerde Morris de potentie van botnets: de voornaamste reden dat Morris zich niet ontwikkelde tot een botnet van epische proporties, was dat Morris geen C&C-infrastructuur had om zombies van instructies te voorzien.

De worm had geen schade moeten aanrichten. Het geheugen van de geïnfecteerde servers en pc's liep vol omdat er een probleem was met de propagatie van de worm die zich maar bleef vermenigvuldigen. De universiteit vond dat Morris, gezien zijn kennisniveau, dit had moeten kunnen zien aankomen.

Bovendien was de software geschreven om onopgemerkt te blijven en de worm maakte gebruik van niet juist geconfigureerde of ongepatchte servers. Aan zijn ideële motief om internetservers in kaart te brengen viel dus behoorlijk wat af te dingen.

Maar in mainstream media werd de actie veelvuldig geportretteerd als een heldhaftige daad die een inherente zwakte aan genetwerkte systemen demonstreerde. Cornell zag dat anders. In een later onderzoeksrapport schreef een commissie van de school dat het loslaten van de worm "een fundamenteel kinderachtige daad die de duidelijke potentiële consequenties negeerde" (PDF). De conclusie van de onderzoekscommissie van de universiteit over het beter beschermen van netwerken:

Een gemeenschap van geleerden zou niet zulke hoge muren hoeven te bouwen om privacy te waarborgen, vooral als zulke muren de vrije stroom van informatie zouden belemmeren.

Morris had met zijn worm het vertrouwen dat wetenschappers in elkaars systemen stellen ondermijnd, vond de universiteit. Met de nog niet eerder ingezette CFAA in de hand (zie ook de volgende pagina) werd hij vervolgd en kreeg hij drie jaar voorwaardelijk, een werkstraf van 400 uur en een boete van meer dan 10.000 dollar. Met Morris kwam het overigens goed: hij richtte later onder meer startup-investeringsmaatschappij Y Combinator op en geeft tegenwoordig les op MIT.

Een uitleg over de aanval van de worm om systeemwachtwoorden te bemachtigen uit /etc/passwd om zich te kunnen verplaatsen naar belangrijke servers. Hierna: crimineel of filantroop? Hoe een fraudeur wegkwam met 's werelds eerste ransomware.

4. Losgeld voor een 'goed doel'

's Werelds eerste ransomware werd geschreven door wetenschapper Joseph Lewis Popp die de trojan via een diskette met informatie over de toentertijd betrekkelijk nieuwe ziekte aids verspreidde. De malware staat dan ook bekend als de AIDS-trojan. Het was de eerste keer dat deze inmiddels bekende IT-plaag op de wereld werd losgelaten.

De schrijver van de malware bouwde een timer in, zodat de versleuteling pas zou aanvangen na een reeks opstartsessies. Ondertussen zagen gebruikers een legitiem ogend, maar gebrekkige informatiemodule (compleet met het rake advies dat mensen aids kunnen vermijden door het virus niet te krijgen) en kregen ze het verzoek de diskette verder te verspreiden. Op die manier infecteerde de AIDS-trojan in december 1989 tienduizenden slachtoffers voor het werd opgemerkt (PDF).

Bestanden van zo'n twintigduizend artsen werden versleuteld, tenzij de slachtoffers geld overmaakten naar een rekening in Panama. Tijdens de latere rechtszaak beweerde Popp dat het geld bedoeld was voor aidsonderzoek. De malware-auteur kwam er goed mee weg: hij werd vervolgd, maar nooit veroordeeld.

Begin jaren 90 had het Amerikaanse ministerie van Justitie de grootste moeite dit soort nieuwe criminaliteit aan te pakken, wat uiteindelijk leidde tot aanpassingen aan de computercriminaliteitswet CFAA in 1994, 1996 en later in de Patriot Act in 2001 waarmee de overheid een paardenmiddel in handen kreeg om hackers te vervolgen. De eerste persoon die onder de CFAA werd vervolgd, was overigens Robert Morris vanwege zijn worm.

Bij de AIDS-diskette beantwoordde je een aantal vragen over je leefstijl waarna het programma je risico inschatte en met vage en onjuiste adviezen kwam. Op de achtergrond werd malware meegeïnstalleerd als je A:/INSTALL uitvoerde.