internet awareness Open for Support Open for Support - Informatiebrochure Open for Support bv Versie 1.0 Augustus 2009

Transcriptie

1 bv internet awareness - Informatiebrochure Versie 1.0 Augustus 2009

2 bv O4S Informatiebrochure Internet Awareness Deze brochure is samengesteld door Michel van den Biggelaar voor bv, gevestigd te Maastricht-Airport. Deze brochure is tot stand gekomen uit onderzoek gebruikmakend van diverse online en offline informatiebronnen. Zoveel mogelijk -naar onze mening- interessante informatie is voor u gebundeld in deze O4S Informatiebrochure. Alles uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotocopie, internet, of op welke wijze dan ook. Als u ons vooraf maar even op de hoogte stelt. Informatiebrochure Internet Awareness pagina 1

3 bv Inhoudsopgave Inleiding Informatiebeveiliging Computercriminaliteit Schade Verschijningsvormen Defacing Denial of Service (DoS) Hacking Open Relay Password Guessing Phishing Port Scan Sniffing Social Engineering Social Networksites (misbruik van) Spam Spoofing Trojaans Paard Virussen (& Wormen) WiFi (misbruik van) XXS (Cross-Site Scripting) Informatiebrochure Internet Awareness pagina 2 3. Organisatorische aandachtspunten Technische aandachtspunten Conclusie... 29

4 bv inleiding De oorsprong van het internet is terug te voeren tot een in 1969 door een Amerikaans defensie-onderdeel gestart netwerk. Inmiddels is het internet een mondiaal fenomeen, dat het karakter van massamedium heeft gekregen en waarschijnlijk tot nu toe het meest gebruikte communicatiemiddel is ooit. Naast de positieve aspecten hebben zich, gedurende de opmars van het internet, ook vele negatieve aspecten gemanifesteerd. Nagenoeg parallel aan deze opmars, heeft ook de computercriminaliteit c.q. Cyber Crime zijn opmars gemaakt. Cyber Crime is een zeer ruim begrip en voor veel mensen een onduidelijk en vaag fenomeen. Duidelijk is wel dat -primairhet bedrijfsleven grote hinder kan ondervinden van de gevolgen van Cyber Crime en de risico s voor het bedrijfsleven, vooral gezien de huidige afhankelijkheid van ICT-omgevingen, bijzonder groot zijn. Dermate groot dat elke organisatie verplicht is preventieve maatregelen te nemen. Informatiebrochure Internet Awareness pagina 3 Collega, je bent toch wel erg veel online! wat.nl een.nl onzin.nl In deze O4S Informatiebrochure wordt primair de link gelegd tussen Cyber Crime, de invloed van de mens c.q. de interne medewerker en het bedrijfsproces informatiebeveiliging. Deze brochure richt zich primair op management- en directieleden. Het is de intentie om deze groep inzicht te geven in de diverse vormen van Cyber Crime en met name de organisatorische maatregelen -en in beperkte mate de technische maatregelen- die genomen kunnen worden om Cyber Crime te voorkomen. Deze kennis kan vervolgens worden gebruikt om in het kader van informatiebeveiliging in de organisatie Internet Awareness te creëeren. Deze Awareness -zich bewust zijn van- is het belangrijkste strijdmiddel tegen de meeste vormen van Cyber Crime zoals vermeld in deze brochure. Michel van den Biggelaar bv

5 bv 1. informatiebeveiliging Elke organisatie beschikt over informatie. Het is vaak deze informatie waar de organisatie haar bestaansrecht aan ontleent. Informatie opgeslagen in bestanden op servers, informatie in databases, in inkomende en uitgaande berichten. Informatie die liever niet in de verkeerde handen mag komen en die niet kwijt mag raken. Informatie die beveiligd moet worden: Informatiebeveiliging. informatiebeveiliging het waarborgen van de exclusiviteit, de integriteit (juistheid) en de beschikbaarheid (continuïteit) van informatie. Bovenstaand de definitie van informatiebeveiliging zoals deze in de Van Dale zou kunnen staan (maar nog niet is opgenomen als officieel woord). Elke organisatie moet maatregelen treffen om haar informatie te beveiligen. Het niet treffen van enige beveiligingsmaatregelen zal onheroepelijk leiden tot schade. Het verkeer zal stoppen als gevolg van bijvoorbeeld virussen. Het algemene netwerkverkeer zal vertragen of helemaal stoppen. De website zal plotsklaps heel andere informatie bevatten (of helemaal verdwijnen). Medewerkers beschikken over gevoelige informatie inzake de organisatie en/of collegea. Concurrenten beschikken al snel over deze zelfde informatie. De organisatie wordt al snel in een kwaad daglicht gesteld, doordat belangrijke informatie is uitgelekt. Het is duidelijk, informatiebeveiliging is een primaire levensbehoefte voor elke organisatie. Informatiebrochure Internet Awareness pagina 4 Een 100%-veilige organisatie aan de andere zijde, is echter ook een utopie-gedachte. Er zal een veilige balans moeten worden gevonden tussen deze twee uitersten. Met alle technische en organisatorische maatregelen die getroffen kunnen worden, blijft er één (bijzonder) zwakke schakel over: de mens (c.q. uw medewerkers) Computercriminaliteit Met de opkomst van de Informatie Technologie in het algemeen en internet in het bijzonder, krijgt het bedrijfsleven ook steeds meer te maken met computercriminaliteit. Onder computercriminaliteit wordt verstaan misdrijven die met een computer worden gepleegd. Hierbij doelt men echter niet op het neerslaan van iemand met een notebook. Bij computercriminaliteit speelt het gebruik van ICT-middelen een belangrijke rol. Een synoniem voor Computercriminaliteit is Cyber Crime. Cyber Crime is allang niet meer de hobby van bebrilde pubers die zwaar beveiligde systemen van defensie of banken willen binnendringen, puur voor de sport. Cyber Crime wordt steeds vaker gepleegd door georganiseerde misdaad, uit binnen- en buitenland, en in steeds meer situaties door interne (teleurgestelde) medewerkers en door externe (gefrusteerde) concurrenten. Sinds 1 september 2006 is in Nederland een nieuwe Wet Computercriminaliteit in werking getreden en is deze aanzienlijk aangescherpt ten opzichte van de eerste versie uit Zo zijn de meeste technieken omschreven in deze informatiebrochure strafbaar, waardoor het Openbaar Ministerie ingeschakeld kan worden om te komen tot strafrechtelijke vervolging.

6 bv 1.2. Schade De schade die het bedrijfsleven oploopt door Cyber Crime is aanzienlijk. De hoogte van de totale schade in Nederland is moeilijk -niet- te bepalen omdat de meeste organisaties uit angst voor negatieve publiciteit en gezichtsverlies geen aangifte doen. Echter kunt u voor uw eigen organisatie wel bepalen wat de schade zou zijn, als de diverse in deze brochure omschreven technieken uw organisatie zouden treffen. Wat zou voor uw organisatie de schade zijn indien: Uw verkeer voor enkele dagen wordt lam gelegd en gebruikmakend van uw eigen domeinnaam geen berichten meer kunnen worden verstuurd en ook niet kunnen worden ontvangen; Uw centrale server(s) dermate langzaam zijn, dat uw gebruikers niet meer kunnen inloggen en niet meer aan gegevensbestanden komen om verder te kunnen werken; Er plotsklaps foto s opduiken op internet van een belangrijke medewerker, waarbij de betreffende beelden bijzonder aanstootgevend zijn voor een groot deel van de mensheid (en van uw opdrachtgevers); Een voormalig medewerker zijn wachtwoord verkoopt die toegang geeft tot de Web Mail van diverse collega s, waardoor een concurrent gedurende langere termijn al uw stappen kan volgen (en voor kan zijn); Het adres van een belangrijke medewerker wordt gebruikt door een onbekende en diverse voor uw organisatie cruciale opdrachtgevers negatief gaat benaderen; Uw draadloos netwerk wordt gekraakt en belangrijke projectdocumenten worden gekopieerd die u vervolgens te koop worden aangeboden. Indien u ze niet koopt, zal de concurrent ze heel graag afnemen van de betreffende zakenlieden. Informatiebrochure Internet Awareness pagina 5 Indien het antwoord op al deze punten Euro 0,00 bedraagt kunt u stoppen met het lezen van deze brochure en verzoeken wij u per omgaande contact op te nemen om uw bedrijfsmodel te verklaren. het netwerk is weer eens niet beschikbaar...

7 bv Overdreven situaties? Niets is minder waar. Elk vermeld voorbeeld is uit de praktijk gegrepen. Deze situaties komen in zeer sterk stijgende aantallen voor en brengen steeds meer organisaties in de problemen of -in ieder geval- negatief in het nieuws. Het niet of te weinig aandacht spenderen aan Informatiebeveiliging kan bijzonder schadelijke gevolgen hebben. Een zéér belangrijke stap bij Informatiebeveiliging is het creëeren van bewustzijn ( Awareness ). Bij u en uw medewerkers. Bewust zijn van de gevaren en bewust zijn van de gevolgen. Hoewel deze eerste stap u en uw collega s tijd zal kosten, zijn er geen verdere kosten aan verbonden. Dit zou -los van u nerveus te hebben gemaakt- voor voldoende motivatie moeten zorgdragen. Informatiebrochure Internet Awareness pagina 6

8 bv 2. verschijningsvormen Cyber Crime is voor veel internetgebruikers een ruim begrip en een vaag fenomeen. Om Internet Awareness te creëeren zullen wij in dit hoofdstuk de meest voorkomende vormen van Cyber Crime omschrijven en toelichten. Per verschijningsvorm is aangegeven hoe de betreffende vorm van Cyber Crime zich manifesteert en hoe deze kan worden herkend. Hierbij wordt zo min mogelijk de technische kant belicht, maar wordt kort en duidelijk aangegeven wat de gevaren zijn. Tevens is zoveel mogelijk per vorm aangegeven wat de specifieke beveiligsmaatregelen kunnen zijn om de desbetreffende vorm tegen te gaan c.q. volledig uit te sluiten. Informatiebrochure Internet Awareness pagina 7

9 bv 2.1. Defacing Defacing is het zonder toestemming veranderen of volledig vervangen van een website of onderdelen van een website. Bij het toevoegen van teksten spreekt men ook wel van Web Graffiti. Voor zover bekend is Defacing een vorm van computercriminaliteit die in het bedrijfsleven nog niet heel veel voorkomt. Echter kunnen de gevolgen voor een organisatie met een slecht beveiligde website en/of Web Server vanzelfsprekend bijzonder vervelend zijn. Informatiebrochure Internet Awareness pagina 8 Bij nader inzien, had ik mijn concurrenten niet moeten laten adverteren op mijn website! Defacing van uw website is eenvoudig visueel te herkennen wanneer er elementen, teksten en/of plaatjes, verschijnen die niet in opdracht van uw organisatie zijn geplaatst; De technische herkenbaarheid van Defacing is terug te vinden door materiedeskundige in primair logbestanden van de betreffende Web Server. Ook zou kunnen worden geconstateerd dat vreemde bestanden zijn geplaatst op de betreffende Web Server en of bestaande bestanden zijn aangepast of verdwenen. De te nemen maatregelen om Defacing te voorkomen liggen primair bij uw Web Design Bureau en secundair bij uw Hosting partner die zorg moet dragen dat de Web Server(s) up-to-date en veilig zijn; Bij het onderhouden van de website, zoals inloggen op een Content Management Systeem of het uploaden van nieuwe of bijgewerkte bestanden middels FTP, dient er gebruik te worden gemaakt van een veilige SSL-verbinding. Een gewone (HTTP) verbinding kan eenvoudig worden afgeluisterd waardoor de Hacker vervolgens eenvoudig de door u niet gewenste wijzigingen kan doorvoeren.

10 bv 2.2. denial of service (dos) Een Denial of Service of DoS-aanval zijn aanvallen op een specifiek systeem met als doel, dit systeem dermate te belasten, dat het niet meer functioneert. Dit soort aanvallen vinden regelmatig plaats en zijn in de meeste gevallen erg schadelijk voor de getroffen organisatie. Middels een DoS-aanval kan bijvoorbeeld een Mail- of Web Server dermate worden belast, dat de dienst niet meer beschikbaar is voor normaal gebruik. In het geval van een Mail Server kan geen mailverkeer meer plaatsvinden en in het geval van een Web Server is de website niet meer benaderbaar. Informatiebrochure Internet Awareness pagina 9 Tegenwoordige DoS-aanvallen worden meestal niet vanaf één computersysteem geïnitieerd, maar vanaf meerdere (vele) computersystemen tegelijkertijd. Men spreekt dan van een DDoS-aanval c.q. Distributed Denial of Service. Een Hacker kan dermate misbruik maken van een onbeveiligd en kwetsbaar systeem, dat dit systeem voor de gewone gebruikers bijzonder traag is of zelfs geheel niet meer beschikbaar is; Een ouderwetse vorm van een DoS-aanval is een Mail Bomb. Een dermate omvangrijk bericht dat de ontvangende Mail Server het niet kan verwerken. Alle tegenwoordige Mail Servers zijn tegen een dergelijke Mail Bomb beveiligd. Echter kan ook een aanval van SPAM zorgdragen dat een Mail Server dermate wordt belast, dat normaal verkeer niet meer mogelijk is. Dit laatste komt (zéér) regelmatig voor. Gebruikmakend van moderne en up-to-date programmatuur voor bijvoorbeeld Web-, Mail- en FTP-servers, alsmede van een up-to-date firewall, kunnen DoS-aanvallen niet meer plaatsvinden; Bescherming tegen een DDoS-aanval is niet mogelijk. Indien dit plaatsvindt zal er of voldoende technische capaciteit moeten zijn om een dergelijke aanval aan te kunnen c.q. te verwerken, of eenvoudigweg dient de internetverbinding tijdelijk te worden afgesloten totdat de aanval voorbij is.

11 bv 2.3. hacking De term Hacking heeft betrekking op het zich op ongeautoriseerde wijze toegang verschaffen tot een computersysteem. Dit kan tot doel hebben het vernietigen van informatie, het achterlaten van schadelijke programmatuur en/of het verzamelen van voor de Hacker van belang zijnde informatie. Hacking is strafbaar en valt in Nederland onder artikel 138a van het Wetboek van Strafrecht Computervredebreuk. Het wetboek omschrijft computervredebreuk als het opzettelijk wederrechtelijk binnendringen in een geautomatiseerd werk voor de opslag of verwerking van gegevens, of in een deel daarvan. Voorwaarde voor computervredebreuk is dat de dader bij het binnendringen enige beveiliging doorbreekt of de toegang verwerft door een technische ingreep, met behulp van een valse sleutel (bijvoorbeeld een bij de Hacker bekend wachtwoord), dan wel door het aannemen van een valse hoedanigheid. Informatiebrochure Internet Awareness pagina 10 Diverse in deze brochure omschreven methodieken kunnen door een Hacker worden gebruikt om ongeautoriseerd een systeem binnen te dringen en/of aan bedrijfsgevoelige informatie te komen. Zie o.a. paragrafen Password Guessing, Phishing, Sniffing en zeer actueel: Social Engineering. Wij letten niet zo op informatiebeveiliging. Wij hopen dat onze concurrenten onze ideëen stelen, en even onsuccesvol zijn als wij zijn. Een Hacker kan op diverse manieren inbreken in een systeem. Door middel van een fysieke inbraak en daadwerkelijk plaatsnemen achter het systeem. Of een inbraak op afstand, bijvoorbeeld gebruikmakend van door de Hacker ontvreemde logingegevens; Het is mogelijk middels bijvoorbeeld een Port Scan (zie betreffende paragraaf) en verder onderzoek op afstand, te achterhalen dat een verouderd systeem wordt gebruikt dat kwetsbaar is voor bepaalde schadelijke programmatuur. Op deze wijze kan een Hacker toegang krijgen tot een systeem en tot bedrijfsgevoelige informatie. Om Hacken te voorkomen dient de organisatie zorg te dragen voor diverse technische en organisatorische maatregelen. Deze komen verderop in deze brochure aan bod.

12 bv 2.4. open relay Indien een Mail Server op een dermate wijze is geconfigureerd dat externe partijen de server kunnen gebruiken om berichten te versturen naar externe adressen, spreekt men van een Open Relay. Indien een Mail Server als Open Relay is ingesteld wordt dit meestal al snel ontdekt door Spammers en worden grote hoeveelheden verstuurd, gebruikmakend van deze Mail Server. Dit kan tot gevolg hebben dat de Mail Server zeer traag wordt en dermate veel berichten moet afhandelen dat het normale verkeer niet meer aan bod komt. Indien er dermate veel berichten worden aangeboden dat de Mail Server het niet meer aankan, spreekt men van een Denial of Service. Informatiebrochure Internet Awareness pagina 11 Een dergelijke situatie kan voor de organisatie schadelijke gevolgen hebben, gezien het normale inkomend en uitgaand verkeer niet meer afgehandeld kan worden. Een bijkomend probleem is dat de betreffende Mail Server automatisch op een Black List wordt geplaatst en vervolgens vanaf diverse afzenders geen berichten meer kan ontvangen. De organisatie zal er vervolgens zelf zorg voor moeten dragen om van de betreffende Black List te worden verwijderd. Een Mail Server kan eenvoudig worden getest op een Open Relay situatie. Dit kan op de volgende URL Na het uitvoeren van de test verschijnt een pagina of de betreffende server berichten van derden accepteert om te worden verzonden. Alle tegenwoordige Mail Servers zoals Microsoft Exchange, Lotus Domino e.d. beschikken over specifieke instellingen om Open Relay te blokkeren.

13 bv 2.5. password guessing Veel organisaties denken dat Hackers complexe kraak programmatuur gebruiken om zich toegang te verschaffen tot bedrijfscruciale systemen en/of informatie. Het zéér verontrustende feit is echter dat de meeste digitale inbraken mogelijk zijn door het juiste wachtwoord te raden. Of door eenvoudigweg te beschikken over het juiste wachtwoord! Tegenwoordig zijn veel accounts uitsluitend afgeschermd met een gebruikersnaam en een wachtwoord. Accounts die in veel gevallen via Internet benaderbaar zijn, zoals Web Mail. Gebruikers doen er dus goed aan om te kiezen voor een voldoende complex wachtwoord. Uit de praktijk blijkt echter maar al te vaak dat gebruikers toch kiezen voor te eenvoudige wachtwoorden. Hackers kunnen veelal op eenvoudige wijze allerlei combinaties van gebruikersnamen en wachtwoorden proberen. Zo is het bijvoorbeeld mogelijk een Dictionary Attack uit te voeren, wat eenvoudigweg betekent dat alle in het door de Hacker gebruikte woordenboek worden geprobeerd om in te loggen. Informatiebrochure Internet Awareness pagina 12 Indien er gebruik wordt gemaakt van een onbeveiligde verbinding (HTTP) is het overigens mogelijk voor Hackers om met speciale (vrij beschikbare) programmatuur deze verbinding af te luisteren en op deze wijze het wachtwoord te achterhalen. Technisch gezien is Password Guessing gelijk aan op een geautoriseerde wijze inloggen. Alleen zal bij Password Guessing dit waarschijnlijk op grote schaal plaatsvinden. Zorg dat die systemen die publiekelijk toegankelijk zijn en uitsluitend zijn afgeschermd met een gebruikersnaam en wachtwoord combinatie, beschikken over logmogelijkheden om deze pogingen te detecteren en -heel belangrijk- te traceren. Het is sterk te adviseren om voor bedrijfskritische toepassingen -zoals Web Mail- niet alleen te werken met een gebruikersnaam en een wachtwoord, maar om de authenticatie te versterken en deze af te handelen met certificaten (voor een beveiligde verbinding) en/of een Token; Zorg voor een gedegen uitgeschreven wachtwoordbeleid in de organisatie wat voldoet aan de richtlijnen die staan voor voldoende complexe wachtwoorden. Zorg voor een primair technische controle op de naleving van dit beleid. Voer aanvullend regelmatig controles uit van de in gebruik zijnde wachtwoorden; Activeer mogelijke logging om inlogpogingen -succesvol en niet succesvol- te registreren; Draag zorg voor bewustwording bij uw medewerkers voor het gebruik van voldoende complexe wachtwoorden en het niet overdragen van deze informatie. Ook niet aan collegea!

14 bv 2.6. phishing Phishing (vertaald vissen ) is een zeer actueel onderwerp. Phishing kan worden gezien als een onderdeel van Social Engineering en is een verzamelnaam voor activiteiten die tot doel hebben bepaalde persoonlijke informatie aan mensen te ontfutselen. Phishing is een bijzonder gevaarlijke vorm van Cyber Crime, gezien er wordt ingespeeld op de meest zwakke schakel van de organisatie: de mens. De gevolgen kunnen zéér ingrijpend zijn, afhankelijk van de gegevens die daadwerkelijk ontfutseld zijn. Phishing kan in een vergaande vorm uiteindelijk lijden tot indentiteitsdieftal en situaties waarbij grote uitgaves kunnen worden gedaan, in het geval van het verzamelen van creditcard gegevens. Een Phisher maakt in veel gevallen gebruik van een nagemaakte website van een bestaande organisatie zoals een bank. Vervolgens ontvangen niets vermoedende gebruikers een bericht, vaak niet van echt te onderscheiden, met de vraag de betreffende website te openen en de voor de Phisher gewenste gegevens in te vullen. Ook kan een bericht schadelijke programmatuur bevatten, in de vorm van een attachment die geopend moet worden, waardoor de gewenste gegevens richting Phisher worden verzonden. Het succes van Phishing is gebaseerd op techniek in combinatie met vertrouwen! Phishing neemt steeds professionelere vormen aan en het wordt voor leken steeds moeilijker om Phishing berichten en websites van echt te onderscheiden. Informatiebrochure Internet Awareness pagina 13 Informeer uw medewerkers om in eerste instantie sceptisch te zijn over elk bericht. Een bericht is niet altijd afkomstig van de afzender; Laat uw gebruikers alert zijn indien ze gebruikmaken van online diensten zoals telebankieren. Controleer of een pagina er correct uitziet, verschijnen geen vreemde foutmeldingen e.d. Van aller grootste belang is dat medewerkers worden geïnformeerd en zich bewust zijn van het feit dat niet zomaar elke en website is te vertrouwen: Awareness! Adviseer uw gebruikers om in het geval van bedrijfscruciale websites, nooit op links te klikken in een bericht om deze sites te openen, maar de betreffende sites uitsluitend te openen vanuit de eigen Favorieten of de betreffende URL handmatig in te geven. De vals ingegeven URL in het bericht wordt dan in ieder geval niet geopend; Indien bij het openen van een website een SSL-melding wordt getoond om een certificaat wel of niet te accepteren, kijk dan goed naar de naam van het certificaat en accepteer dit niet blindelings. Informeer uw medewerkers om verdachte berichten en/of websites kenbaar te maken en incidenten te melden bij de hiervoor aangewezen persoon of personen binnen uw organisatie.

15 bv 2.7. port scan Een Port Scan kan worden gezien als een inbreker die voelt aan de deurklink van uw kantoor. Elke organisatie beschikt over een Firewall. Een Firewall is een oplossing die de interne zijde van uw netwerk -uw server(s) en/of werkstation(s)- scheidt van het internet. Dit kan een softwarematige oplossing zijn, doch zijn de meeste Firewalls hardwarematige oplossingen. In de Firewall wordt vervolgens bepaald welk verkeer van buiten naar binnen mag, vanuit internet richting intern netwerk, en welk verkeer van binnen naar buiten mag. Dit verkeer maakt gebruik van zogenaamde Poorten. Elke dienst op internet maakt zo gebruik van een eigen unieke poort. Zo ontvangt uw Mail Server de post op poort 25 en wordt uw website gepubliceerd op poort 80. Dit zijn wereldwijde vastgestelde standaarden. Informatiebrochure Internet Awareness pagina 14 Een Port Scan is een geautomatiseerd proces waarbij een geïnteresseerde onderzoekt welke poorten van uw Firewall zijn opengesteld. Dit kan - en wordt meestal - gezien als het begin van een Hackpoging. Indien bekend is welke poorten zijn geopend, kan vervolgens worden gekeken welke diensten op deze poorten worden aangeboden, welke servers, welke software en welke versies. Deze informatie kan vervolgens worden gebruikt om te onderzoeken of er bijvoorbeeld bekende lekken zijn in de toegepaste software. Een relatief eenvoudige methodiek die uiteindelijk kan leiden tot veel schade. Firewalls uit een ietwat hoger segment beschikken over een Intrusion Detection (afgekort IDS) functionaliteit. Met behulp van deze functionaliteit kan een Port Scan worden gedetecteerd en met de Intrusion Prevention functionaliteit, kan de uitvoerder vervolgens worden geblokkeerd. Echter kunnen tegenwoordig ook zogenaamde Sneaky Scans worden uitgevoerd die door het IDS-systeem niet kunnen worden getraceerd. Om een Port Scan tegen te gaan is een Firewall noodzakelijk die beschikt over Intrusion Detection en Intrusion Prevention functionaliteit; Belangrijker is dat de diensten, servers en toepassingen, die op bepaalde poorten luisteren te allen tijde up-to-date zijn en zijn voorzien van de meest recente Security Updates; Het is aan te raden om publieke diensten niet aan de binnenzijde van het netwerk te plaatsen maar in een separate netwerkzone, een zogenaamde Demilitarized Zone (afgekort DMZ). Professionele Firewalls beschikken over een dergelijke zone, echter ook uw interne ICT-infrastructuur moet toestaan hier gebruik van te maken. Door deze diensten vanuit een aparte zone aan te bieden, hebben kwaadwillenden nimmer toegang tot de interne zijde van uw netwerk en tot uw bedrijfsgevoelige informatie.

16 bv 2.8. sniffing Sniffing is het bekijken van netwerkverkeer. Sniffing kan om legitieme redenen gebeuren. Bijvoorbeeld wanneer er prestatieproblemen zijn met het netwerk of in het geval dat bij het openen van een website eerst wordt gekeken welke browser wordt gebruikt en welke schermresolutie (Browser Sniffing). Echter kan Sniffing ook door kwaadaardigen worden gebruikt om vertrouwelijke informatie te achterhalen. Informatie zoals gebruikersnamen en wachtwoorden om vervolgens met behulp van deze gegevens cruciale bedrijfsinformatie te benaderen. Sniffing is met de komst van ontwikkelingen als draadloze netwerken en bijvoorbeeld Blue-Tooth eenvoudiger geworden. Sniffers kunnen speciale apparatuur en programmatuur gebruiken om te luisteren naar netwerkverkeer om vervolgens gewenste gegevens te verzamelen. Informatiebrochure Internet Awareness pagina 15 Indien gebruik wordt gemaakt van professionele Sniffer oplossing is detectie volstrekt onmogelijk! Deze apparatuur luistert uitsluitend naar het netwerk-verkeer en verstuurt zelf geen data. Detecteren is in die hoedanigheid dus onmogelijk; Gezien het detecteren van professionele Sniffer-oplossingen nagenoeg onmogelijk is, is het moeilijk om hiertegen maatregelen te treffen. De meest voor de hand liggende maatregel is zorg te dragen dat het af te luisteren netwerkverkeer geen bruikbare informatie bevat, bijvoorbeeld door dit verkeer te versleutelen (encryptie); Besteedt eveneens aandacht aan het feit dat het moeilijk -niet mogelijk- moet zijn om niet gewenste apparatuur aan het bedrijfsnetwerk te koppelen.

17 bv 2.9. social engineering Social Engineering is een sterk opkomende vorm van Cyber Crime en is volledig gericht op de zwakste schakel in ons informatiebeveiligingsbeleid: de mens. De aanval is gericht op het loskrijgen van gevoelige en/of geheime informatie van de persoon in kwestie. De aanvaller of Hacker doet dit door emotioneel zo dicht mogelijk bij zijn doel proberen te komen. Social Engineering is een verzamelnaam van diversie vormen van Cyber Crime omschreven in deze brochure. Kenmerkend van Social Engineering is dat er geen aanval op de techniek wordt uitgevoerd, maar op de mens. Phishing, misbruik van Social Network Sites, Spam, al deze vormen worden gebruikt om het gedrag van het doel - de mens - te beïnvloeden. Informatiebrochure Internet Awareness pagina 16 In weze probeert de Hacker bij zijn slachtoffer c.q. doel nieuwsgierigheid of medelijden te wekken of zelfs een slachtoffer angst aan te jagen. Alvorens de Hacker contact zoekt, vindt er eerst een onderzoek plaats. Online wordt gezocht naar relevante en bruikbare informatie waar het slachtoffer mee kan worden benaderd. De meest vergaande methodiek in deze is Dumpster Diving waarbij letterlijk wordt gezocht in het afval van het doel. Let wel, binnen een kantoorsituatie kan dit de prullenbak zijn of weggegooide documenten bij een kopieermachine. Vervolgens vindt er een persoonlijk contact plaats. Vaak is dit een telefoontje, maar ook kan dit een contact per zijn. In een bericht, voorzien van de juiste afzender, voorzien van het juiste onderwerp en voorzien van de juiste tekst wordt het doel verzocht een bepaalde actie te ondernemen. Het openen van een attachment, het bekijken van een plaatje, het klikken op een link om een website te openen kan hierbij voldoende zijn om lokaal de gewenste schadelijke software te installeren (zie paragrafen Trojaanse Paarden en Virussen). In veel gevallen zijn van de afzender zelfs persoonlijke pagina s vindbaar op Social Networks als Linkedin, Hyves, Facebook e.d. Op internet is een identiteit relatief snel gecreëerd! Het gevolg is vaak aanzienlijk. Gevoelige gegevens worden gedeeld met of zonder medeweten van het doel. De Hacker beschikt over de gewenste informatie en kan de organisatie hiermee schade berokkenen. In een groeiend aantal gevallen worden recent vele - vooral grote - organisaties gechanteerd. Veel van deze zaken halen het nieuws niet, gezien de getroffen organisaties in kwestie geen negatieve publiciteit wensen. Social Engineering kan pas worden geconstateerd als het feit al voor een deel heeft plaatsgevonden. De enige en belangrijkste maatregel die genomen kan worden is het informeren van de zwakste schakel: de mens. Het creëeren van bewustzijn door het wijzen op de gevaren en de risico s.

18 bv social networksites (misbruik van) Social Networksites zijn als zodanig vanzelfsprekend geen vorm van Cyber Crime. Met Social Networksites bedoelen we online omgevingen als Linkedin, Hyves, Facebook, Twitter et cetera. Echter vermelden wij deze omgevingen in deze informatiebrochure Internet Awareness, gezien deze omgevingen uw organisatie aardige schade kunnen toebrengen, indien verkeerd toegepast. In de loop der tijd is een vreemd verschijnsel ontstaan dat mensen alle mogelijke informatie, in de vorm van teksten en foto s, online plaatsen. Informatie die in sommige gevallen nimmer per ongeluk op de koffietafel terecht zou komen. Toch hebben internetgebruikers tegenwoordig het idee dat als een Mijn Foto-Album wordt aangemaakt, dit ook een album is uitsluitend bedoeld voor, en te gebruiken is door genodigden. Echter met de komst van de krachtige zoekmachines, kan al deze informatie snel worden gevonden en worden bekeken door heel andere mensen dan uit de eigen familie- en vriendenkring. Informatiebrochure Internet Awareness pagina 17 Een beetje verkeerde foto-album en/of omschrijving van interessegebieden en hobbies, alsmede de volledig zichtbare kennissenkring, kunnen een negatief beeld uitstralen richting potientiële opdrachtgevers, leveranciers of medewerkers. Herkenbaarheid is in deze moeilijk, anders dan het constateren op het moment dat het reeds heeft plaatsgevonden; Door het website gedrag op het zakelijk computersysteem van uw medewerkers te monitoren, kunt u in ieder geval analyseren of er veelvuldig gebruik wordt gemaakt van bepaalde sociale netwerksites om vervolgens een gerichtere controle uit te voeren binnen deze omgevingen. Wederom, creëer bewustzijn bij uw medewerkers wat wel en wat niet online geplaatst kan en moet worden; Google periodiek uw organisatie en uw medewerkers! Dit is precies wat uw potentiële opdrachtgevers, leveranciers en medewerkers ook doen. Kijk of de informatie die u achterhaalt naar wens is en zo niet, onderneem (tijdig) actie.

19 bv spam Spam zijn berichten die zonder toestemming van de ontvanger worden verzonden. Spam is een van de grootste problemen van afgelopen jaren op het gebied van . Ruim 95% van al het verkeer wereldwijd betreft Spam! Spam veroorzaakt veel irritatie bij gebruikers en zorgt voor veel tijdsverlies. Spam is vaak de drager voor schadelijke software (zie paragrafen Virussen en Trojaanse Paarden) en misschien nog gevaarlijker, Phishing pogingen (zie paragraaf Phishing). In ieder geval is Spam een syndroom waar elke organisatie haar maatregelen tegen moet nemen. Een veelvoorkomende situatie is dat een Spammer een afzenderadres gebruikt van een bestaande organisatie om grote hoeveelheden Spam te versturen. Dit betekent dat alle Spamberichten die niet kunnen worden afgeleverd en eventueel door ontvangers gestuurde reactie(s), allemaal bij de desbetreffende organisatie binnenkomen. In de meeste gevallen zorgt dit vervolgens voor het overbelasten van de Mail Server van deze organisatie waardoor het normale zakelijke verkeer zeer langzaam of zelfs helemaal niet meer wordt afgehandeld. Informatiebrochure Internet Awareness pagina 18 Vandaag heb ik alles gekocht wat de spammers mij hebben aangeboden. je zou zeggen dat ze nu wel zouden ophouden...? Er zijn diverse technische aspecten, aan de hand waarvan Spam kan worden geïdentificeerd, zoals een ongeldig afzenderadres. De meeste Spam Filters kunnen berichten identificeren en Spam met een percentage van 90% tot 99% terugdringen. Informeer uw medewerkers zo min mogelijk -bij voorkeur helemaal niet- bedrijfsmatige adressen online te publiceren c.q. in te voeren, waaronder op Social Networks, nieuwsgroepen, informatie-aanvraag formulieren e.d.; Gebruik een kwalitatief goed Anti-Spam systeem dat gebruik maakt van alle mogelijke technieken om Spam te onderscheiden van legitieme berichten. Technieken als DNS-verificatie, Black- en White Lists, inhoudsanalyse e.d.; Bijzonder belangrijk. Maak uw medewerkers bewust van het feit NOOIT te reageren op een Spam-bericht, zoals het sturen van een afmelding. De Spammers weten dan dat het betreffende afzenderadres bestaat en er zal een vloedgolf aan berichten volgen.

20 bv spoofing Spoofing is eenvoudig gesteld indentiteitsvervalsing. Je voordoen als iemand anders. Elke techniek waarbij de bron of afzender niet op een betrouwbare wijze wordt geverifieerd, is kwetsbaar voor Spoofing. Er zijn meerdere vormen van Spoofing, onderstaand de drie meest voorkomende. Mail-Spoofing Bij Mail-Spoofing worden specifieke eigenschappen van het bericht gewijzigd waardoor het lijkt alsof het bericht van iemand anders afkomstig is. Deze vorm van Spoofing vindt op grote schaal plaats bij Spammers en bij Phishing activiteiten (zie de paragraaf Phishing). Informatiebrochure Internet Awareness pagina 19 ARP-Spoofing Naast - is ARP-Spoofing de eenvoudigst toepasbare vorm van Spoofing. Met behulp van ARP-Spoofing is het mogelijk om het normaliter unieke MAC-adres van een netwerkkaart aan te passen. Dit kan nuttig zijn in situaties waarbij uitsluitend systemen worden toegelaten met een specifiek MAC-adres. DNS-Spoofing Dit is een technisch complexe vorm van Spoofing waarbij gegevens in een DNS-server worden aangepast, zodat een bepaalde domeinnaam niet meer naar de werkelijke website verwijst, maar naar een -veelal- door Hackers nagemaakte website. Deze techniek wordt ook wel Pharming genoemd. IP-Spoofing Bij IP-Spoofing neemt een Hacker het IP-adres van iemand anders om hiermee op het internet actie(s) te ondernemen. Tegenwoordig is deze techniek op internet in veel gevallen niet meer mogelijk. IP- en DNS-Spoofing kan worden gedetecteerd met speciale software. Ook kan het controleren van diverse logboeken, waaronder Firewall logboeken, leiden tot het detecteren van Spoofing; Mail Spoofing kan worden gecontroleerd door het controleren van de speciale Headers van een bericht. Deze zijn standaard niet zichtbaar maar kunnen in programmatuur zoals MS Outlook en Lotus Notes wel worden opgevraagd. Het tegengaan van IP-Spoofing en DNS-Spoofing is mogelijk met behulp van vergaande technische maatregelen; Door middel van het controleren van Mail Headers kan in ieder geval worden gecontroleerd of het bericht afkomstig is van het juiste en/of een bestaand domein. Of de betreffende afzender (de persoon) daadwerkelijk bestaat, is technisch niet te controleren.