Anders dan je ziet in hollywoodfilms zijn hackers nooit dusdanig goed dat ze absoluut ongemerkt hun gang kunnen gaan. Zelfs professionele hackers, de jongens die miljoenen verdienen, doen niet erg hun best om zich te verstoppen. Waarom? Ze hoeven er geen moeite voor te doen omdat de meeste systeembeheerders niet uit hun doppen kijken.

Aanwijzingen

De beste omschrijving wordt gegeven door de Data Breach Investigations Report van Verizon uit 2008, een document dat steeds meer in aanzien komt als het gaat om statistieken rond computermisdaad. Daarin staat: "Er waren in 82 procent van de beveiligingsincidenten bij bedrijven aanwijzingen dat er iets stond te gebeuren voordat de aanval daadwerkelijk plaatsvond. Hoe het netwerk ook in de gaten werd gehouden, het resultaat was altijd hetzelfde: de aanwijzingen werden niet opgemerkt, of ze werden genegeerd."

Hét wapen om kwaadaardige activiteiten mee waar te nemen is je verzameling logbestanden. Alleen zetten de meeste beheerders deze niet aan, en als ze dat al doen, dan controleren ze de bestanden niet. Daarnaast kiezen veel bedrijven ervoor om het loggen alleen op de servers plaats te laten vinden, terwijl de meeste inbraken worden uitgevoerd op werkstations.

Ieder bedrijf zou dus breed logbeheer moeten plannen en toepassen. Kort gezegd moet je alle gebeurtenissen op een centrale locatie bewaren, en moet je automatische waarschuwingen instellen bij abnormale activiteit. Je moet als bedrijf niet overdrijven en het systeem enkele honderden 'waarschuwingen' laten afgeven, want dat is de beste garantie dat niemand op de waarschuwingen zal reageren. Een goed opgezet systeem roept alleen op tot actie als dat ook nut heeft.

Hacktools en honeypots

Een andere effectieve manier om hackers op te sporen is door te scannen op veelgebruikte hacktools: wachtwoordkrakers, man-in-the-middle-tools, sniffers en ga maar door. De meeste antimalware-software zal het gros opsporen. Niet alle hackers gebruiken dezelfde tools, maar in veel gevallen doen ze dat wel.

Ik ben ook een groot voorstander van het paal en perk stellen aan het netwerkverkeer, waarbij je vooral de richting van het verkeer in acht neemt. De meeste gegevens worden van server naar werkstation gepompt en andersom. Ongewoon server-naar-serververkeer moet je onderzoeken, net als ongewoon werkstation-naar-werkstationverkeer. Ook is het een teken aan de wand als een werkstation elke server in de omgeving tegelijk gaat aanspreken. Veel aanvallen van binnenuit zijn voorkomen doordat oplettende netwerkanalisten grote hoeveelheden data naar het systeem van een enkele gebruiker hebben opgemerkt.

Het is het ook zeker waard om een intrusion detection system (IDS) te implementeren, zowel op de host als op het netwerk. De een ondervangt wat de ander niet opmerkt. Ook geloof ik heilig in het instellen van een aantal sappige honeypots als waarschuwingssysteem. Je hoeft maar een paar oude pc's die rijp zijn voor de schroothoop in te stellen en deze op het netwerk aan te sluiten. Schakel het loggen aan of installeer wat speciale honeypot-software. Kfensor en Honeyd zijn mijn favorieten. Spendeer een paar uurtjes of een dag om het legitieme verkeer in kaart te brengen. Iedere inlogpoging op het nepsysteem verdient aandacht. Hackers kunnen nog zo goed zijn, ze moeten wel toegang krijgen tot een systeem. Als ze toegang tot een honeypot zoeken, heb je ze op heterdaad te pakken.

Voorkomen

Als het om voorkomen van aanvallen gaat, dan is dit het beste advies dat ik kan geven: De beste manier om een hack te voorkomen is door eindgebruikers te weerhouden om per ongeluk trojaanse paarden uit te voeren. Dit kun je op verschillende manieren doen: je kunt ze systeemrechten ontnemen, application control-programma's gebruiken of het ze gewoon duidelijk maken met een goede, pentrante preek.

Zorg er ten tweede voor dat alle software, zowel OS als applicaties, gepatcht zijn, al helemaal je browser-addons. De meeste software heeft een auto-updatefunctie, maar niet allemaal. Secunia, een van mijn lievelingsbedrijven, heeft recent gratis software voor thuisgebruikers uitgebracht die ze kan helpen met het recent houden van hun patches.

Ten derde: gebruik antimalware-software, inclusief een hostgebaseerde firewall, antivirus, antiphishing en antispam. Ten vierde moet je weten waar je data opgeslagen staat zodat je die ook kunt beschermen. Zorg ten vijfde voor goede beveiligingscontrole en policies, dat gebruikers zich eraan houden en herinner ze eraan dat het heel erg niet in hun belang is als ze zich er niet aan houden. Alles waar de 'defense-in-depth' beter van wordt, moet je in beraad nemen, maar laat de geavanceerde producten en methodes je niet afleiden van de simpele dingen des levens die concreet resultaat opleveren.

Standaardcontrole

Helaas is er geen zilveren kogel waarmee je alle hackers de baas kunt zijn, maar je hoeft geen wiskundig genie te zijn om de meeste hackers het hoofd te bieden. Je moet er gewoon wat moeite in steken, en spullen gebruiken die het beste resultaat geven voor het minste geld.

Zoals het Verizonrapport meldt: "87 procent van de succesvolle hackaanvallen waren te voorkomen geweest met standaardcontroles."

Bron: Techworld