Welcome to the Website of

Ferry van Eeuwen

 

Start PC Forensics Carnivore BDE Software

 

Beveiliging PC

Nog niet eens zo lang geleden waren de meeste PC's 'stand alone'. Hooguit waren we met de boze buitenwereld verbonden via een dial-up modem. Sinds het succesvolle huwelijk van onze amateurspullen met de PC en de toch wel noodzakelijke verbinding via het Internet met die toch ook wel boze buitenwereld (hoe zouden we anders zo gauw aan al die mooie amateur-software moeten komen) zijn er talrijke veiligheidsrisico's ontstaan. Sommige risico's zijn goed bekend, andere minder. De bedoeling was om een aantal zaken de revue te laten passeren en enige passende maatregelen te bespreken. In een aantal afleveringen werd deze reeks geschreven voor mede radioamateurs en gepubliceerd via het bulletin van de Goudse vereniging van zendamateurs. Dit bulletin wordt elke zondag verzonden via de Goudse verenigingszender met de roepnaam PI4GAZ via de modes RTTY (Radio Teletype ofwel Telex) op een frequentie van 145.475 Mhz en PSK31  (Phase Shift Keying 31 Herz: bandbreedte van deze digitale mode) op 3575 kHz, een frequentie in de 80-meter amateur band. Deze afleveringen worden hieronder integraal herhaald. De behandelde onderwerpen zijn:

Inleiding beveiliging PC

Virussen

Cookies

Wire-tapping van e-mails

Junk mail, ads, banners

Spyware

Firewall

'Ping' en 'TraceRt'

Hidden File Extensions

Paswoorden

Encryptie/codering

Honeypot en Honeynets

Spyblocker

Keurmerk Privacy

Net Spying Tools

Intrusion Detection Systems

Packet Sniffers

Carnivore

Monitor Glow Detection           (English)

Brilliant Digital Entertainment   (English)

Computer Forensics                  (English)

 

Inleiding beveiliging PC

Nog niet eens zo lang geleden waren de meeste PC's 'stand alone'. Hooguit waren we met de boze buitenwereld verbonden via een dial-up modem. Sinds het succesvolle huwelijk van onze amateurspullen met de PC en de toch wel noodzakelijke verbinding via het Internet met die toch ook wel boze buitenwereld (hoe zouden we anders zo gauw aan al die mooie amateur-software moeten komen) zijn er talrijke veiligheidsrisico's ontstaan. Sommige risico's zijn goed bekend, andere minder. De bedoeling is om een aantal zaken de revue te laten passeren en enige passende maatregelen te bespreken.

Aanval chatsessie Willem-Alexander en Maxima

Al schrijvende denk ik soms begin ik niet een beetje te overdrijven of ben ik paranoÔde geworden? Wat mij dan weer enigszins 'geruststelt' is dan weer de aanval op de chatsessie zoals bovengenoemd. Een achttal Nederlandse hackers heeft inmiddels de verantwoordelijkheid opgeŽist van het platleggen van de KPN-server(s). De groep genaamd Down Under Crew (DUC) wilde KPN wel eens een lesje geven. Daartoe werd met behulp van 3.000 gekraakte computers een DDoS-aanval uitgevoerd. De groep zou zelfs over 10.000 computers kunnen beschikken om een dergelijke 'spoofing'-aanval in te kunnen. Daar zitten wellicht de computers van u en mij bij..., wie weet. Een Engelse ISP balanceert door een dergelijke aanval schijnbaar op de rand van een faillissement. Hoezo overdrijven?

Virussen

Hieraan zal ik weinig woorden vuil maken. Dit risico is inmiddels wijd en zijd bekend, ook al door de periodieke virus uitbarstingen en de wereldwijde publiciteit die dan hieraan gegeven worden. Bij onze beveiligingsuitrusting hoort gewoon een goed antivirus programma waarvan er vele te verkrijgen zijn. Aanbeveling verdient een programma dat liefst zelf aangeeft dat er (via het Internet) geŁpdate moet worden. Bij tussentijdse problemen kan er zonodig snel een patch opgehaald worden.

Ondanks alle voorzorgen zijn op mijn PC onlangs een groot aantal files geÔnfecteerd door het WIN32/FunLove.4099 virus. Het tast o.a. EXE files aan maar ook files die als extensie OCX en SCR hebben. Het vervelende is dat het in staat is om via het netwerk andere PC's te besmetten. Dit bleek bij mij ook het geval te zijn. Het virus is gerelateerd aan de 'Bolzano' virus familie. Een kenmerk is dat een file FLCSS.exe gecreŽerd wordt in de WINDOW/SYSTEM directory. Deze file is trouwens niet te deleten, dat moet in de zuiver DOS-mode gebeuren. Er blijkt een handige gratis detectie-tool te bestaan voor dit virus. Ga naar: http://www.fireav.com/downloads/freeutils.htm  en download de file FireLite.exe van ruim 800 Kb. Hiermee kunnen de drive(s) onderzocht worden op dit virus. Blijkt dit virus inderdaad aanwezig te zijn  -   en dan gaat het meteen om honderden geÔnfecteerde files etc.    -    dan kan tevens op deze pagina het programma CleanFLC.exe van slechts 19 Kb gedownload worden. Omdat het virus ook Firelite en CleanFLC blijkt te infecteren heb ik dit laatste programma vanaf een tegen 'schrijven' vergrendelde diskette gestart. Wel via F8 de PC in de DOS-mode brengen.

Cookies

Er bestaan zowel goedaardige als kwaadaardige cookies. Goedaardige zijn b.v. cookies die geÔnstalleerd worden om statistische informatie te verkrijgen over het gebruik van onze PC, anderen verzamelen informatie die via de website-beheerders aan marketing clubs voor goed geld verkocht worden. Het is bijna altijd onduidelijk welke informatie precies uit onze PC verzonden wordt naar de plaatser van de Cookies, ondanks dat hier wel iets van te achterhalen is. Zie verderop. Er zijn zelfs websites die je niet kunt betreden zolang je weigert een Cookie te laten installeren. Die mijd ik dan zeker! In de door ons gebruikte browsers zijn de Cookies via instellingen te managen of uit te schakelen. Zelf heb ik mijn browser zo ingesteld dat Cookies nooit geaccepteerd worden. Toen ik ooit eens in mijn Cookies bestand keek bleken er intussen meer dan 100 Cookies geÔnstalleerd te zijn waarvan ik bijna geen enkele kon thuisbrengen. Ik heb ze van schrik meteen 'gekild'. Doe dat ook eens in je PC. Misschien sta je net zo versteld als ik. Bij mij gaat dat heel eenvoudig (N6.1) via Edit/Preferences/Privacy and Security. Ik kan kiezen tussen in- of uitschakelen en alleen Cookies toelaten van een bezochte Website. In dit scherm kan tevens het Cookie-bestand bekeken worden. Hierin is ook een mogelijkheid om enig inzicht in de eigenschappen van de Cookie te verkrijgen. Bij mij kan dat door dubbel te klikken op een bepaalde Cookie in het scherm 'View Stored Cookies'. Behalve de naam wordt er een string van karakters gegeven over welke informatie gevolgd wordt, welke je interesse zijn etc. Tevens wordt aangegeven of de Cookie een Host of Domain Cookie is. Een host cookie gaat terug naar de host; een domain cookie gaat terug naar meerdere servers in hetzelfde domein. Bij sommige Cookies is een soort 'uiterste houdbaarheidsdatum' ingebakken en verlopen. De PC verwijdert dan meestal automatisch deze verouderde cookies. Indien een website een Cookie wil installeren dan verschijnt er bij mij een pop-up schermpje met het verzoeke om toestemming. Zo hoort dat. Netjes de eventuele gastheer om toestemming vragen alvorens zijn huis te betreden.

SPAM en Cookies in de EU

Afgelopen donderdag stemden de Europese telecommunicatie ministers tegen het gebruik van SPAM en tegen het stiekem plaatsen van Cookies. Als alles goed gaat zal dit binnen afzienbare tijd verboden worden. Dat wordt nog schrikken voor de 'Save the Cookie' lobby. SPAM zijn commerciŽle e-mails waarvan we er tegenwoordig veel binnenkrijgen. De kreet SPAM is typisch Amerikaans en betreft aldaar een vettig, goedkoop vleesproduct in blik. Wij hadden vroeger in ons land iets soortgelijks: SMAC. Zoals meer aan de orde is met vettige producten wordt de smaak in het algemeen door het grote publiek gewaardeerd. Het nadeel is dat door langdurig en veelvuldig gebruik de aderen in het lichaam dichtslibben, met alle gevolgen van dien. De analogie zit in het feit dat door de elektronische SPAM onze Internetverkeersaders dichtslibben. Ik ben benieuwd hoe dit verder gaat. Het betreft hier dus alleen maatregelen tegen binnen Europa gegenereerde SPAM en Cookies.

Wire-tapping van e-mails

Recent is pas bekend geworden dat een eenvoudig verborgen JavaScript code blokje in de HTML geformatteerde e-mail derden in staat stelt om onze e-mail te lezen. Mijn browser geeft altijd het advies om het HTML-formaat te gebruiken en dat deed ik dan ook altijd trouw ...

Toeval? In mijn browser gaat het uitschakelen van deze mogelijkheid erg eenvoudig: Edit/Preferences en Advanced-option aanklikken. Het vinkje in het vakje voor 'Enable JavaScript' for Mail and New' verwijderen en klaar. Let op: Het vinkje staat er na installatie dus standaard voor!

Dit kan geen toeval meer zijn, ook al omdat de de vorige editie van deze browser (was N4.7 bij mij) dit nare vinkje niet aanwezig was ... Kennelijk is de Browser-leverancier gezwicht voor druk van bovenaf om dit standaard zo in te stellen of ben ik te wantrouwig worden? Een meevaller is dat het uit te schakelen is. Een zeer interessante website in dit verband is: http://www.privacyfoundation.org

Beslist een bezoekje waard. Met een HTML-editor is een e-mail eenvoudig te onderzoeken op een bepaalde string die er alleen in voorkomt als de e-mail inmiddels naar derden verzonden is. Zie de genoemde URL.

Bron: Ferry PA0EEU

Junk mail, ads, banners

(deel 2, vervolg van PI4GAZ afl. 543, d.d. 4-11-2001)

Stel er zijn geen contesten gaande, alle amateur-bladen zijn gelezen, de soldeerbout vertoont kuren en uit onze set komt een sterke brandlucht. Om de hoog oplopende emoties de baas te blijven en tot de begeerde, broodnodige rust te geraken besluiten we voor de verandering eens een avondje dom TV kijken in te lassen. Zouden we het kastje kijken nog leuk vinden als we wisten dat dezelfde seconde dat we een kanaalnummer toetsen dit bekend is bij de kanaaleigenaar? Dat ons hele kijkgedrag (naar welke kanalen) kijken we en hoe lang en dus ook welk soort programmaís interesseren ons) bij anderen bekend is? En dat de 'anderen' behalve de informatie zelf te gebruiken ook kunnen doorverkopen aan telemarketing bureaus? En als we b.v. naar een programma dat over auto's gaat plotseling gebeld worden door een verkoper die ons ter plekke een nieuwe auto probeert te slijten? Wat er allemaal kan gebeuren als we naar b.v. naar een erotisch programma kijken laat zich raden: Jan, er staat een dame aan de voordeur die je dringend wil spreken ... Dat laatste is wellicht wat overdreven, maar in principe gaat het wel zo toe in het schemergebied van de Internet wereld. Onder andere de 'Cookies', zoals besproken in het eerste deel, leveren dit soort informatie loepzuiver aan. Het is ons allemaal al eens overkomen dat een mysterieuze advertentie of banner binnen beeld schuift als we b.v. een website bezoeken die onmiddellijk gerelateerd is aan het onderwerp waarin we geÔnteresseerd zijn. Het bezoeken van een website of het klikken op zo'n ongevraagde advertentie of banner is dikwijls voldoende om een Cookie te doen installeren op onze PC, die dan ons gedrag gaat bijhouden en te pas en te onpas terug rapporteert aan de 'eigenaar'. Is dit niet een beetje paranoÔde? Helaas, het antwoord is nee.

Europese internet gebruikers zijn trouwens stukken slechter af dan die in de Verenigde Staten en Canada. In de praktijk zijn we vogelvrij, want in 80 procent van de gevallen wordt in Europa geen toestemming gevraagd om informatie te verzamelen.

Opmerkelijk is dat wij in Europa wel een wet hebben die het vragen van toestemming verplicht stelt, terwijl in de VS en Canada dit op vrijwillige basis geschiedt. Toch is men daar verder. In het algemeen geldt, dat 'iets' niet werkt als er niet gecontroleerd wordt. Voorbeelden te over hiervan in ons landje. Er worden momenteel wel pogingen aangewend om die achterstand wat in te lopen door een voorgestelde 'privacy directive' van de Europese Commissie. De internet advertentie lobby in Brussel verzet zich hevig en stelt momenteel alles in het werk om deze directieven te torpederen. En dat onder het wervende motto: 'Save our Cookies'! De vraag is echter wat doen we eraan en is het wel nodig om er iets aan te doen? De beantwoording van deze laatste vraag laat ik aan de oplettende lezer van dit stuk over.

In het licht van datgene wat hierboven werd omschreven lijkt het mij wel handig om er toch iets aan te doen. 'Mouse Click Tracking' is in mijn beleving niet netjes en uiterst ongewenst. Het gedoe met plotseling verschijnende reclame-uitingen gaat ten koste van de snelheid van het browsen. De flikkerende en flakkerende beelden/beeldjes zijn onrustig aan het oog. Verder kost het wegklikken ons extra moeite. Afgezien van de schending van de privacy zijn dit redenen genoeg om althans te proberen om hieraan enige paal en perk te stellen. Er is een uitstekende web-site http://www.junkbusters.comwaarin aan de hele materie uitgebreid aandacht wordt geschonken. Ik ga dat hier niet herhalen. De materie is behoorlijk uitgebreid. Hier kan ook het Junkbusterprogramma

IJB20.zip (208 K) geladen worden. De installatie ervan is een beetje werk. Wil je dit niet, dan kan er van een andere web-site, waarnaar met een link verwezen wordt, het programma 'Guidescope' geladen worden, dat wel eenvoudig is te installeren maar shareware (15.- US dollar) is.

De files sblock.ini en scookie.ini worden om juridische redenen niet door Junkbusters erbij geleverd, maar die zijn elders te laden. Zonodig wil ik wel mijn sblock.ini file beschikbaar stellen. Deze file moet geregeld aangevuld worden met nieuwe adressen etc. Glipt er weer een advertentie of banner tussendoor, die nog niet in de ini-file voorkomt, dan moeten we door b.v. op de bewuste Advertentie rechts te klikken de Source bekijken waarin de benodigde gegevens staan waarmee sblock.ini bijgewerkt moet worden. Dat een 'aanval' met succes is afgeslagen kan ik bij mij op het scherm zien omdat er dan een leeg pop-up scherm verschijnt. Aan de ene kant is dat lastig (toch weer wat weg te klikken), maar aan de andere kant kun je zo zien dat de zaak naar behoren werkt. Op de Junkbuster web-site gaat men uiteraard ook weer uitgebreid in op Cookies, omdat deze de aanzet geven tot dit soort ellende. Er wordt ook aandacht geschonken aan telemarketing en junkmail en aan junk e-mail, ook wel SPAM genoemd en hoe dit te voorkomen. O.a. door middel van door Junkbusters aangeleverde voorbeeld van web-site pagina's: 'No e-mail sollicitations' en een daarin genoemde boeteclausule van 10.- US dollar per gebeurtenis als men toch doorgaat met junk te sturen. Dat gaat waarschijnlijk alleen op in de VS en Canada! Al met al een niet geheel fris, maar toch wel fascinerend onderwerp.

Nog een mogelijkheid is om de file PopUpstopper26.exe (427 Kb) te downloaden van: 

http://www.panicware.com/product_dpps.html Pop-Up Stopper van Panickware

 

Noorse netbrowser Opera

Het ligt niet in de bedoeling om in deze reeks plotseling op de muzikale toer te gaan. Toch wilde ik de aandacht vestigen op het Noorse Opera-programma. Deze firma heeft een prima Web-browser, die bovendien eenvoudig en bijzonder snel werkt. Het programma Opera 6.0 is pas uit en gratis te downloaden van UKRL:   http:/www.opera.com

Met deze browser is het mogelijk om Advertising tegen te houden. Dat is dan ook de reden dat ik deze browser hier noem. Er moeten dan wel bepaalde instellingen gemaakt worden. Zelfs de eigen Opera-reclame in het scherm kan uitgeschakeld worden. Er is ook een betaalde versie te verkrijgen met extra mo≠ge≠lijk≠heden.

Bron: Ferry PA0EEU 

(deel 3, vervolg van PI4GAZ afl. 545, d.d. 11-11-2001)

 

Spyware

Cookies zijn over het algemeen nog eenvoudig op te sporen en te verwijderen. Bij Spyware ligt dit anders. Daarom is dit onderwerp een stuk onfrisser. Spyware zijn kleine program≠maatjes die op de meest uiteenlopende plaatsen, ook weer stiekem, op onze harde schijf gezet worden door programma's, b.v. freeware en gratis spelletjes etc. waarmee we gewerkt hebben of door het bezoek aan een web-site, klikken op een advertentie of banner etc.

Van sommige Cookies kan nog gezegd worden dat ze wellicht nuttig zijn en dus niet per se ongewenst zijn. Spyware is per definitie ongewenste software. De naam zegt het al. We worden aan alle kanten begluurd. Van mouse-click-tracking tot wellicht meezenden van vitale informatie. De verzamelde informatie wordt doorverkocht aan telemarketing buro's e.d. Spyware blijft werkzaam ook als het programma waarmee het is binnengebracht niet actief is of als we al Lang weer een website verlaten hebben. Gratis software om Spyware op te sporen is te vinden op de web-site http://www.lavasoft.de  en een aantal mirror-sites waar het bijzonder fraaie programma Adware V5.62 (=laatste versie, 834K) is te downloaden. Het wordt aanbevolen om dan meteen de file Refupdate.exe, groot 396K, te downloaden. Het programma 'Refupdate 1.1' automatiseert de update procedure. Adware V5.62 laat ik zelf opstarten met Windows, maar dat is een keuze. Een week geleden was ik 'schoon', nu heb ik al weer 12 verdachte sleutels gevonden, 5 verdachte directories en 19 verdachte bestanden. Tel uit je winst. Het programma scant niet alleen het geheugen, maar ook de registers en de harde schijven. Ik heb wederom Ezula en OnFlow in het register staan met sleutels die er uitzien als 'Ezula HKEY_LOCAL_MACHINE/.../...' Ook Cydoor weet geregeld binnen te dringen.

'Advertising Systems' die Adware kan detecteren zijn o.a. Alexa, Aureate, Comet, Cydoor, Doubleclick, DSSAgent, EverAd, EzJUla, Expedioware, Flyswat, Gator, Hotbar, OnFlow, Transpondert, TimeSink, Web3000, Webhancer, Wnad en ga maar door. Het arsenaal Spyware wordt voortdurend aangevuld en het is daarom noodzakelijk om regelmatig te updaten om Adware volledig effectief te doen zijn.

http://www.cexx.org/ 

http://www.cleanclients.tk/ 

Een aanrader is om meteen maar het programma RegHance te downloaden dat kan samenwerken met Adware. Door te klikken op een HKEY-sleutel kan met Reghance de betreffende sleutel in het register bekeken worden. Spyware komt dikwijls door middel van freeware bij ons binnen. De gratis software is het lokaas en hap zeggen we dus....: Net als het Trojaanse paard wandelt het onopgemerkt met de freeware mee naar binnen.

Op dezelfde web-site is het programma Ad-search V1.1 te downloaden (ash10.zip 222k en de data-file klar.zip 8k). Hiermee kunnen we zo'n fraai, gratis cadeautje onderzoeken op wellicht verstopte Spyware. Eigenlijk moeten we alle 'gratis' hebbedingetjes per definitie als verdacht aanmerken en onderzoeken op Spyware, want voor niks gaat alleen de zon op! Tot zover het derde deel.

Een paar voorbeelden van belangrijke programma's die schijnbaar default Spyware in onze computers installeren zijn RealNetwork RealDownload, Netscape/AOL Smart Download en NetZip Download Demon. Elke keer dat deze 'utilities' gebruikt worden om een file te downloaden, waar ook vandaan van het Internet, worden de volgende gegevens verzonden naar de betrokken programma≠makers:

-URL adres waar de file van gehaald wordt,

-een UNIQUE ID TAG dat specifiek aan onze computer is gekoppeld,

-het Internet IP-adres van onze computer (alleen bij Netscape's SmartDownload).

Deze gegevens verdwijnen in een persoonlijke file in de databank van de genoemde programmamakers met daarin de gehele, persoonlijke download geschiedenis en alles netjes en ordelijk gekoppeld aan onze computer. Voor officiŽle instanties zou zo'n bestand een begerenswaardig object zijn wat ongekende mogelijk≠heden kan bieden. Justitie zou bijvoorbeeld de porno ridders eruit kunnen halen en koppelen aan specifieke over≠tre≠din≠gen/≠mis≠daden. Er zijn vele voorbeelden te verzinnen van eventueel goed of verkeerd gebruik van de gesprokkelde gegevens in de databank. In feite is het onbekend wat ermee gebeurt.En dat is het griezelige. Wat kunnen we er tegen doen? Eigenlijk is de oplossing eenvoudig en voor de hand liggend. Via 'Instellingen', 'Configuratiescherm', 'Software' en 'Toevoegen/verwijderen" de betreffende programma's, zover aanwezig, verwijderen.

Tot slot vermeld ik nog dat in de Verenigde Staten op 16 november door Senator Edwards een wetswijziging werd ingediend, de "Spyware Control and Privacy Protection Act", die een einde zou moeten maken aan deze ongewenste situatie. Hierin wordt ge≠re≠geld dat er altijd toestemming gevraagd moet worden alvorens een Spyware-programma geÔnstalleerd mag worden.

In een volgende aflevering zal de noodzaak tot het installeren van een 'Firewall' besproken en een concreet voorbeeld hiervan behandeld worden, alsmede enige andere verwante zaken.

Nog een aanvulling op het eerste deel. Daar werd een 'recept' gegeven voor N6.1 voor het uitschakelen van de mogelijkheid om e-mails te wiretap-en. Het recept om Java script uit te schakelen in MS-IE is een stuk ingewikkelder. Daarvoor verwijs ik dan ook naar de al genoemde web-site http://www.privacyfoundation.org 

waar de hele procedure nauwkeurig en stap voor stap beschreven wordt.

Bron: Ferry, PA0EEU

(deel 5, vervolg van PI4GAZ afl. 547, d.d. 24-11-2001)

Latest Spyware Developments

A new  -  hightech  -  spyware technology has been developed by researchers in Scotland. A kind of Web monitoring software that is claimed to collect enormous amounts of data on Web surfers while remaining nearly undetectable. The technology came to light when it was chosen as one of 40 technologies funded this year by the Scottish Enterprise, Scotland's economic development agency. Dr. Lykourgos Petropoulakis of the University of Strathclyde, who is heading the 18-month project, declined to comment on the technology, calling it 'highly classified' information. The technology is capable of tracking people from site to site and is called by the Scottish Enterprise a 'breakthrough', outpacing any other web spying technology or, more generally, technology that facilitaties law enforcement and national security. The technology traces Internet use via 'sensors' rather than cookies. The technology can be operated on any Web server and can monitor Internet use in real time. In addition, the software can also block access to sites, e-mails and documents. Further details of the technology remain scarce, cut some security and privacy advocates said they question its novelty. It is clear that the normal anti-spyware tools described above for instance, are useless against this newly developed spying technology. So the uphill battle is continuing.....

Firewall

Naar het Nederlands vertaald betekent een Firewall 'een brand≠vrij schot', het vuur komt er niet doorheen. Althans dat is de bedoeling. Waarom is een Firewall eigenlijk een onmisbaar instrument? Laten we even teruggaan naar de tijd dat Internet nog nauwelijks interessant was en slechts voor de 'happy few'. Er was toen al wel een gigantisch wereldwijd telefoonnetwerk, dat door sommigen de grootste 'man-made machine' op aarde wordt genoemd. Alles hangt aan alles verbonden door een spaghetti van land- en zeekabels, straalverbindingen en nu nog verder aangevuld door satellieten, waardoor de verste uithoeken van de wereld bereikt kunnen worden. Een ideale ambiance voor listige scharrelaars. Z.g. "Wardialers' waren toen erg in trek. Een Wardialer als Toneloc belde onvermoeibaar en zo nodig dag en nacht reeksen van telefoonnummers af. Kwam er geen modemtoon dan werd meteen opgehangen en verder gescand. Totdat er een modemsignaal ontdekt werd: snel noteert Tonelec dan het nummer. Zo kunnen/konden miljoenen nummers afgebeld worden (brute forcing) en wat overbleef was een respons van 0,001 - 0,1 procent. Met deze modemlijst probeerde men, dikwijls met succes, in te breken in systemen, o.a. door het kraken van paswoorden.

Alhoewel dit nog steeds gebeurt is het nu veel interessanter om via het Internet reeksen van IP-adressen met een veel grotere snelheid af te tasten. Zoals bekend heeft elke Internetter een uniek IP-adres. In principe heeft een computer 65535 poorten, waarvan de meeste gelukkig voor ons niet actief zijn. Maar er zijn er nog genoeg over om te scannen. Probeer het zelf eens. Het gratis programma SuperScan V3.00 is te vinden op http://www.foundstone.com en werkt heel simpel. IP-adres reeksen kunnen naar verkiezing ingesteld worden, ook de te scannen poorten. De scan geeft per adres aan welke poorten er open staan en dat is natuurlijk voor sommige lieden aardig om te weten. Een IP-nummer is dikwijls (maar niet altijd, omdat dit afhangt van de gebruikte ISP en e-mail server) uit de verborgen tekst van een e-mail te halen. Sla de e-mail ergens op en lees dit met b.v. WordPad. Een goede HTML-reader downloaden kan ook, b.v. Arachnophilia (Vrees voor spinnen) van het URL http://www.arachnoid.com  Het programma is Careware, betaal je wat dan stelt de auteur dat op prijs, zoniet dan vindt hij het ook goed. De verborgen tekst wordt dan zichtbaar gemaakt.

Probeer met het gevonden IP-nummer en met SuperScan dit eens uit bij een bekende. De meeste mensen zullen er bepaald van opkijken als het resultaat aan hen bekend wordt. Schade kan hiermee niet veroorzaakt worden. Het is geen 'hack' programma. Behalve de http-poort 80, zijn vooral de NETBIOS-POORTEN 137, 138 en 139 kwetsbaar en dus gewild.

Van URL http://grc.com  is het programma Leaktest.exe (27Kb) te downloaden. Doe dat eens en open het programma. Dit programma test of van 'binnenuit' de PC onopgemerkt informatie verzonden kan worden. Ja, een Firewall wordt geacht tweezijdig te werken anders hebben we er nog weinig aan. Als er geen Firewall aanwezig is kan Leaktest de Leaktest-server bereiken en deze stuurt het bericht terug dat er in dit geval geen beveiliging aanwezig is. Dit is toch een interessante web-site met veel beveiligingsinformatie.

Kijk hier en-passant ook eens naar de grote problemen rond Windows XP en ook Windows 2000, waarmee 'spoofing' gepleegd zou kunnen worden. Onverlaten hebben onlangs de GRC-server platgebombardeerd door miljoenen pakketten (spoofing) naar poort 666 van de server te sturen. Men heeft dit onderzocht en schijnbaar vastgesteld dat dit soort verkeer door middel van Windows XP, maar ook met Windows 2000 gegenereerd kan worden. Spoofing is nog maar een onderdeel van het uitgebreide pakket van mogelijkheden om frauduleus verkeer te genereren met behulp van deze programma's. Als dit werkelijk zo is, dan zullen we er nog wel van horen. Fijntjes wordt vermeld dat hiervoor geen speciale kennis is vereist, een 13-jarige kan 'de was' doen. Met Windows 95, 98 en ME is dit onmogelijk. Een hele vooruitgang dus...

Na het downloaden en installeren van het programma ZoneAlarm -  http://www.zonelabs.com  -  moet dit eerst geconfigureerd worden. Per programma op onze computer, dat met de buitenwereld wil communiceren, kan de gebruiker zelf bepalen of dit toegestaan is of niet. Als er vanuit de computer op de buitendeur geklopt wordt, meldt ZoneAlarm dit netjes. De keuze om het programma toegang te verschaffen tot het Internet is geheel aan ons. ZoneAlarm zorgt er bovendien voor dat onze computer en alle aanhangende poorten 'onzichtbaar' wordt voor malafide lieden, hackers etc. Verder meldt ZoneAlarm als er van buitenaf aan de 'deur' van de computer gerommeld wordt, compleet met het IP-adres en het nummer van de aangevallen poort. Let op, het grootste deel van deze 'aanvallen' zijn goedaardig. Via het programma kan op de server van ZoneLabs verdere informatie verkregen worden over de 'aanvaller' en de oorsprong aangegeven worden. Dit wordt aangegeven tot de eerste door de 'aanvaller' gebruikte server. Dat is goed nieuws en het is nog gratis ook!

ZoneAlarm Pro kost geld, maar hierbij wordt gratis het programma Visual Route bijgeleverd dat, na het inplakken van het bewuste IP-nummer alle gegevens van alle gepasseerde servers laat zien en een grafische voorstelling van de route naar de 'aanvaller' geeft. Tegen malafide verkeers≠bom≠bar≠de≠men≠ten kunnen ook ZoneAlarm en ZoneAlarm Pro echter niets uit≠richten. Alleen het inschakelen van bepaalde filters zou dit kunnen voorkomen, tenminste als er informatie in voorkomt dit zich laat filteren. Dit soort filters hebben wij normaliter niet zo maar in onze gereedschapkist en dit zal bovendien bij ons nauwelijks voorkomen.

Tot slot nog even voor de goede orde wordt nog vermeld dat we weliswaar nu toegerust zijn met een Firewall zoals ZoneAlarm. Het is trouwens niet het enige programma op dit gebied. Voor de meeste moet betaald worden, echter geeft dit nog geen volledig garantie dat er nooit informatie door de Firewall heen glipt. De kans erop is echter aanzienlijk verkleind.

Bron: Ferry PAEEU

(deel 6, vervolg van PI4GAZ afl. 548, d.d. 2-12-2001)

'Ping' en 'TraceRt'

Beide programma's zijn normaliter op onze PC's aanwezig. Let op: Windows XP kent geen DOS meer! (zie noot 1) De benaming 'Ping' is analoog aan de echo-ping van een onderwater sonar. Er wordt door de sonar een zendpuls uitgezonden en de echo is hoor- of zichtbaar te maken. Ga naar DOS en type na de DOS-prompt 'Ping' in en geef vervolgens een 'enter' of 'return'. De opties die in te stellen zijn worden dan zichtbaar op het scherm. Indien 'Ping' gevolgd wordt door een IP-adres dan worden een aantal pogingen ondernomen om de 'Ping'-faciliteit van de bedoelde computer te activeren. Deze computer hoort dus het Ping-verzoek en geeft antwoord.

Het Windows commando 'Tracert', wat kort is voor 'Traceroute', kan op dezelfde wijze worden behandeld. Het programma was ooit een hack programma. In elk IP-pakket komt een TTL (Time-To-Live) veld voor. Het getal in dit veld geeft aan na hoeveel maal een IP-pakket 'gedropt' wordt. Elke 'router' die gepasseerd wordt trekt het getal 1 af van de teller in het TTL-veld. Bij het getal 0 wordt het pakket gedropt en een ICMP, zoals dat heet, teruggezonden met de inhoud: 'TTL exceeded in Transit' onder vermelding van de naam en gegevens van de bewuste 'router'. Bij een 'Tracert' commando wordt een aantal pakketten verstuurd met opeenvolgende getallen in het TTL-veld, te beginnen bij 1, dan een met 2, een met 3 etc. We krijgen dan van elke 'router' een ICMP terug met de 'router'-gegevens. Door 'Tracert' in combinatie met een IP-adres te gebruiken wordt dan op bovenbeschreven wijze de route tot aan de ISP (Internet Service Provider), waaronder het bewuste adres valt, zichtbaar gemaakt op het scherm.

Programma's als Visual Route dat bij de Pro-versie van Zonelabs wordt meegeleverd zijn gebaseerd op o.a. deze twee commando's. Dergelijke programma's geven op een grafisch fraaie wijze de route weer op het scherm. Ook het eerder genoemde programma 'Superscan' maakt er gebruik van.

noot: Onder Windows XP, 2000 en NT zijn 'ping' en 'tracert' net als onder Windows 9x beschikbaar. Start hiervoor een 'command prompt', of start 'cmd.exe' via het 'run' commando (Peter PE1NNH).

 

Hidden File Extensions

E-mail virussen maken dikwijls gebruik van het feit dat onder Windows bepaalde 'file extentensions' door de optie 'Hide file extensions for known file types' verborgen worden. De eerste majeure aanval waar hiervan gebruik gemaakt werd was de VBS/LoverLetter worm. De bijlage van de e-mail was "LOVE-LETTER-FOR-YOU.TXT.vbs" De 'vbs wordt echter default door Windows onderdrukt en is dus niet zichtbaar. Normale tekstfile dus.....  Andere voorbeelden Het is mogelijk om het Windows operating systeem zo in te stellen dat de gehele en complete bestandsna(a)m(en) zichtbaar gemaakt kunnen worden.

Windows 9x en Windows NT 4.0:

-Open het Windows Start menu.

-Selecteer Setting/Instellingen -> Control Panel/Configuratiescherm.

-Selecteer View/Beeld -> Options/Opties of Mapopties en klik op de View/Beeld-tab.

-Uncheck/ontvink onder 'Hide files of these types'/'Verborgen bestanden' en 'Hide file extensions for know file types'/'Bestandsextenties verbergen voor bekende bestandstypes' en vink 'Show all files'/'Alle bestanden weergeven' aan. De lay-out is wat verschillend, afhankelijk van de Windows-versie. Klik tot slot 'OK'

Er staat ons nog wat te doen en wel om de waarde 'NeverShowExt' uit het register te verwijderen. Dat gaat als volgt:

Open het Windows Start menu. Selekteer Run/Uitvoeren en type 'regedit' in het vakje en geef 'return'. Selekteer uit het Edit/Bewerken-menu de tab Find/Zoeken. Vink Keys/Sleutels en Data/Waarden onder 'Look at'/'In' aan en ontvink Values/Waarden. Type NeverShowExt in het 'Find what'/'Zoeken naar' vakje en klik op Next/Volgende. Wanneer een waarde NeverShowExt gevonden wordt, klik dan hierop met de rechter muisknop en selekteer delete/Verwijderen en klik hierop met de linker muisknop.

Herhaal het zoeken door telkens F3 in te drukken. Zelf schat ik het aantal Deletes op wel 20! De computer moet nu of eventueel later opnieuw opgestart worden om alle wijzigingen te actualiseren. Rommelen in de Registry kan gevaarlijk zijn. Als alles correct uitgevoerd wordt is er geen probleem. U doet dit dan ook op eigen risico!

Bron: Ferry PA0EEU

(Deel 8, vervolg van aflevering 550, d.d. 16-12-2001)

Paswoorden

Grote bedrijven met een uitgebreid 'corporate' netwerk passen zogenaamde 'Password Crackers' toe om te onderzoeken of de in een bijvoorbeeld UNIX-omgeving gebruikte paswoorden en login ID's makkelijk te kraken zijn. Alle Login ID's en paswoorden worden in zo'n UNIX-omgeving opgeslagen in een centrale databank. Heel lang werden deze in de directory met de toepasselijke naam 'Password' opgeslagen, waarschijnlijk omdat men bang was dat anders krakers wellicht hun doel voorbij zouden kunnen schieten... Uiteraard zijn de paswoorden in het bestand tegenwoordig versleuteld onder andere met Crypt(3) dat gebaseerd is op de Data Encryption Standard (DES). Het indertijd door IBM ontwikkelde DES protocol is nu een algemeen geaccepteerde encryptie methode.

Password Crackers putten uit een groot databestand waarin alle bekende 'makkelijke', maar ook minder makkelijke paswoorden staan. Verder wordt er default een aantal 'cracking modes' afgewerkt. Een cracking mode is een slim geschreven algoritme of een wiskundig model/formule die op de te onderzoeken paswoorden wordt losgelaten. Het algoritme kan een aantal Booleaanse algebra formules bevatten en/of gebruik maken van 'fuzzy logic'. Zo'n 150 jaar geleden vond de Engelse dominee Boole deze tak van wiskunde uit. Wiskunde was zijn grote liefde. Wellicht zat de arme man in het verkeerde vak, misschien omdat zijn Pa wiskunde maar niks vond en het niet of nauwelijks bijdroeg aan de familiestatus. Pa was toen nog de baas zoals bekend. De theorie werd internationaal door andere wiskundigen in orde bevonden, men kon er echter verder niets mee. Tot in onze tijd de EN- en OF poorten uitgevonden werden. De wiskundige verklaring van dit fenomeen bleek toen al geruime tijd kant en klaar voorhanden te zijn. Was Boole zijn tijd ver vooruit?

Er wordt bij het onderzoek gebruik gemaakt van simpele 'rules' of regels, zoals:

-Wissel tussen hoofd- en kleine letter,

-Spel het woord voor- en achterwaarts,

-Tel het getal 1 op bij het begin en/of einde van elk woord.

Mail en News readers, zoals die in Netscape, maken gebruik van het ROT-13 algoritme. Dat is kort voor 'Rotate 13'. Het betekent: schuif een letter of karakter 13 plaatsen op. De letter 'a' wordt 'n' en de 'b' wordt 'o'. Eigenlijk heel flauw, maar de versleutelde tekst ziet er behoorlijk onbegrijpelijk door uit. Voor een supersnelle en meedogenloos voortploeterende computer voorzien van een goede trukendoos is dit alles geen probleem.

Een bekende cracker is 'John the Ripper' die behalve op het UNIX-platform ook op andere platformen gebruikt kan worden. John the Ripper ondersteunt bijvoorbeeld het encryptie protocol DES en andere hiervan afgeleide encyptie protocollen.

Bron: Ferry, PA0EEU

(Deel 9, vervolg van aflevering 553, d.d. 6-01-2002)

Encryptie/codering

Encryptie, of het op een meer of minder intelligente manier door elkaar husselen van tekst (zie b.v. ROT-13) kan op vele manieren bedreven worden. Een paswoord is een stukje tekst. De wens tot het overbrengen van verborgen berichten is al heel oud.

Een methode, die door de Grieken vroeger veel werd toegepast, was om een slaaf kaal te scheren en op de kale schedel de boodschap te tatoeŽren. Vervolgens liet men het haar weer groeien waarna de slaaf op pad werd gestuurd naar de geadresseerde. Daar werd de arme man weer kaal geschoren en het bericht 'uitgelezen'. Het is overigens bekend wat er soms met de slaaf gebeurde als het bericht niet beviel of de geadresseerde met het verkeerde been uit bed was gestapt.

Deze manier van verborgen berichten overbrengen past tegenwoordig minder goed in onze hectische wereld waar elke vergoten druppel bloed, waar dan ook op deze aardkloot, binnen een minuut in 'full colours' in onze huiskamers verschijnt. Alle beelden die ons bereiken zijn dan wel door verschillende satelliet encryptie cycli gegaan, uiteraard.

Waar moeten we op letten bij het kiezen van paswoorden?:

-Gebruik niet het woord 'paswoord' of 'password' als paswoord. Misschien klinkt dat wat overbodig, maar naar het schijnt is 'password' het meest toegepaste paswoord......

-Hoe langer hoe beter (8 - 10 karakters).

-Gebruik nooit een woord wat in van Dale staat of in een anderstalig woordenboek.

-Vermijd (voor)namen van familieleden of namen van beminde huisdieren.

-Kies ook geen straat- of plaatsnamen.

-Maak geen gebruik van geboortedata.

-Combineer cijfers met letters.

-Gebruik hoofd- en kleine letters.

Uiteraard zijn dit algemene adviezen die voor elk paswoord of pincode opgaan. Is er de behoefte om deze gegevens thuis te bewaren, doe dat dan niet op een briefje. Dat is pas echt gevaarlijk, vooral als dit briefje bij een betalingspas bewaard wordt. Dit naÔeve gedrag komt trouwens veel voor. Doe zoals dit bij bedrijven gebeurt en codeer ze met behulp van b.v. PGP dat vrij verkrijgbaar is. Gratis Windows 9x/ME/NT/2000 PGP-versies zijn te verkrijgen op URL: http://www.pgpi.org/products/pgp/versions/freeware/win32/ 

Zelf gebruik ik versie PGP 7.0.3. De software is wel aan de maat. Genoemd programma is 7491 Kb groot.

Bewaar het gecodeerde bestand, behalve op de harde schijf, ook op een of twee diskettes. Geef het bestand geen naam als pincodes etc.! Kopieer het bestand op een of twee diskettes en voorzie deze van een neutrale omschrijving. Als het twee diskettes zijn, bewaar deze dan op verschillende plekken.

Er is op het internet gratis software beschikbaar dat ons een aantal taken uit handen kan nemen. Dus geen gedoe met PGP. De vraag is hoe veilig zo'n programma is. Indien de in aanmerking komende gegevens handmatig met b.v. PGP versleuteld wordt is het praktisch gesproken niet te kraken. Een voorbeeld van zo'n gratis programma is Password Tracker Deluxe (PTD). Het programma is te downloaden van: http://www.slrpc.com/download/ptrack.zip   De grootte van het programma bedraagt 1007 Kb. Het programma slaat paswoorden en gebruikersnamen (ook niet te versmaden!) gecodeerd op. Het kan ook gebruikersnamen en paswoorden, indien gewenst, invoegen en scant daartoe voortdurend de computer om dergelijke schermen met invuloefeningen automatisch te vinden. Verder kan het programma 'random' of willekeurig gegenereerde paswoorden voor ons aanmaken en nog veel meer. Lees de omschrijving op de web site.

Bron: Ferry, PA0EEU

(Deel 11, vervolg van aflevering 555, d.d. 20-01-2002)

Honeypot en Honeynets

Een Honeypot of een pot met honing waar Bruintje Beer zo verlekkerd op is, dient om hackers juist aan te trekken. Meestal zijn we druk doende met het omgekeerde, hackers buiten de deur te houden. Meestal wordt een al wat ouder 'operating system' op een Honeypot-machine gezet, zoals WinNT 4 of Solaris van Sun Microsystems waarvoor diverse hack-technieken bestaan. Er wordt verder speciale 'aantrekkelijke' software geÔnstalleerd. Het programma doet voorkomen dat de hack geslaagd is, zonder echter toegang te verschaffen tot het echte systeem. Een separaat of ingebouwd Intrusion Detection System volgt alle handelingen nauwlettend en rapporteert hierover. Honeypots geven ook antwoord (Faking Replies), alsof er niets aan de hand is.

Terwijl een Honeypot toegepast wordt om hackers aan te trekken en te identificeren en vervolgens gerichte actie te ondernemen, is een Honeynet bedoeld om alleen onderzoek te verrichten.

Internationaal bestaat er een Honeynet Project waarin onderzoekers ervaringen uitwisselen. Een Honeynet, zoals het woord al zegt, bestaat uit een aantal systemen in een netwerk. Het Honeynet verzamelt informatie en analyseert deze. Getracht wordt om de 'tools', tactieken en motieven van de hackers te achterhalen. In het Honeynet wordt diverse operating systemen toegepast, behalve Windows, Linux DNS-server, web servers in soorten en maten, om zoveel inzicht te verkrijgen in de diverse technieken en tactieken die bij het hacken toegepast worden. Zo'n netwerk lijkt een normaal productie netwerk met echte systemen en applicaties en zijn daar veelal van overgenomen. Op deze slimme wijze worden de risicofactoren en de zwaktes van de verschillende onderdelen zonder risico te lopen geÔnventariseerd. Op basis van deze informatie worden dan weer verbeteringen in het Honeynet en op de echte systemen aangebracht enz. Het concept is dus simpel te noemen, een leerproces en te vergelijken met een aquarium. In het aquarium kunnen we allerlei soorten vissen doen en vervolgens vanaf de buitenkant zien wat er zoal in het aquarium afspeelt.

Bron: Ferry, PA0EEU

May 2, 2002 4:00 PM PT

Contest: Crack this hacking tool

The Honeynet Project, a group of security researchers that create networks of computers to lure hackers in for observation, will kick off the Reverse Engineering Challenge on Monday.

The contest provides interested programmers with the program code found on a compromised Honeynet system. The code is a program that hasn't been seen before, but helps an intruder turn a compromised system into a zombie server, fully controlled by an intruder. Participants in the challenge will have four weeks to decode the program and submit their work to the Honeynet team.

Robert Lemos, Special to ZDNet News

 

(Deel 12, vervolg van aflevering 556, d.d. 27-01-2002)

 

Spyblocker

In het kader van 'nagekomen berichten' wil ik nog wijzen op het programma SpyBlocker. De nieuwste versie 4.75 is te downloaden van URL: http://www.topshareware.com/SpyBlocker-download-2889.htm

Het verkeer vanaf het internet wordt via SpyBlocker de computer binnengesluisd en kan zo verschillende zaken onderscheppen en blokkeren zoals:

-Spyware, het eerder besproken Trojaanse paard dat allerlei informatie over het intergebruik van de geÔnfecteerde partij noteert en terugzendt naar de basis, ook gebruikt voor het binnensmokkelen van ongewenste 'ads' etc,

-Cookies, die ook al gebruikt worden om ons gebruik van het internet te volgen en de verzamelde gegevens terug te melden aan de verzenders ervan,

-Web Bugs monitoren voor ons ongemerkte wijze onze bezoeken aan bepaalde web-pagina's en noteren dit vervolgens ijverig. Op besmuikte wijze een paginaatje bezoeken is er dus veelal niet meer bij.

-Advertenties. Deze zijn in staat om alweer informatie te verzamelen, waaronder welk operating systeem wij gebruiken, ons IP-adres, URL's die bezocht worden en zelfs op welke resolutie onze monitor staat ingesteld. Ook dit gaat linea recta naar de betreffende Ad Server. Plotseling verschijnende reclame uitingen zien we na de geslaagde blokkage opduiken als lege GIF-plaatjes.

-Annoying Content. Gedacht moet worden aan Flash Movies, Ad Graphics en nog veel meer ongevraagd en ongewenst fraais.

SpyBlocker verwijdert op zich geen spyware. Het is daarom aan te raden om dit programma te gebruiken in combinatie met het eerder besproken programma Ad-Ware wat hiertoe wel in staat is. SpyBlocker is gratis (freeware). Het is aan te bevelen om meteen het update programma 'sb-updater.exe' te downloaden. Zoals heb ik mijn oude versie 4.63 onlangs automatisch ge-update naar 4.75 Het programma heeft bij mij tot nu toe 11 cookies onderschept en verder 56 web bugs, 59 stuks spyware en 1600 Ads.

 

Keurmerk Privacy

Een aantal web-sites voeren een logo van een van de momenteel bestaande privacy-organisaties, een soort keurmerk. Genoemd wordt het groen-zwarte logo van Truste. Op deze sites komt een verklaring voor waarin de kenmerken en voorwaarden van de web-site vermeld worden. Webtrust controleert dan regelmatig of zo'n web-site nog aan de voorwaarden voldoet. Webtrader doet dat niet. Het logo geeft aan dat redelijkerwijs verwacht mag worden dat er op een fatsoenlijke wijze met onze gegevens omgegaan wordt. Deze hele materie wordt uitvoerig beschreven in ondermeer de hieronder genoemde URL's:

http://www.truste.org

http://www.cpawebtrust.org

http://xs4all.nl/~respub/afluisteren/index.html

Bron: Ferry PA0EEU

(deel 13 vervolg van aflevering 557, d.d. 03-02-2002)

Net Spying Tools

De FBI in Amerika maakt al sinds een aantal jaren gebruik van het Carnivore programma. Het is een klein software pakket bedoeld om e-mails van verdachte partijen te onderscheppen eventueel via alle ISP's ter wereld. In feite is het een aanvulling op het Echelon-gebeuren. Het internet heeft overheden voor de moeilijke taak gesteld om malafide communicatie te kunnen onderscheppen. Zeg maar rustig dat ook onze politie en justitie steeds gefrustreerder werden door gebrek aan medewerking van de ISP's om afluisterapparatuur te installeren. Er wordt voor onderzoek naar malafide praktijken onder andere ook gebruik gemaakt van 'Data Mining', het doorploegen van gigantische hoeveelheden digitale informatie. Op zoek naar de bekende speld in de hooiberg bijna. De FBI heeft al laten weten dat het van mening is dat Carnivore de 'privacy laws' niet schendt, maar sommigen hechten aan deze uitspraak weinig waarde zolang de 'source code' nog onbekend is. Met andere woorden zolang niet duidelijk is wat het programma precies kan en doet. Carnivore kan waarschijnlijk heel eenvoudig aangepast worden om bijvoorbeeld bedrijfsspionage te plegen. Bij Echelon bestaat al langer het vermoeden dat dit systeem al langer werd en wordt ingezet ten behoeve van bedrijfsspionage. Verwacht mag dan worden dat deze lijn doorgetrokken zal worden naar systemen als Carnivore.

Intussen is bekend geworden dat de FBI nog meer pijlen op haar boog heeft en aan een andere, ook al controversiŽle internet spionage technologie met de naam 'Magic Lantern' ontwikkelt. Door deze technologie is het mogelijk om de computer van een verdachte partij binnen te dringen en door 'keystroke recording' paswoorden te vangen, die bijvoorbeeld door de verdachte gebruikt worden om teksten en berichten te encrypten. Deze spyware, want dat is het in feite dus, worden onder het mom van een computer virus binnengebracht of via een e-mail. Voor hackers ouwe koek. Het is al langer bekend dat zij op deze wijze Trojaanse paarden binnen een computer kunnen brengen. Zie ook het hiervoor beschreven item over de recent getorpedeerde chatsessie. Toen het nieuws over Magic Lantern in november uitlekte, haastten de grote anti-virus programma leveranciers om te verklaren dat zij nooit vrijwillig (sic!) zouden meewerken aan het zodanig aanpassen van hun programma's om deze Magic Lantern virussen bewust niet te laten detecteren. De FBI heeft in dergelijke gevallen al eerder de ISP's benaderd om een bepaalde technologie in hun netwerk te installeren om heimelijk e-mails te kunnen lezen. Naar het TV-nieuws kijkend vermoed ik dat sinds 11 september vorig jaar, in ieder geval de Amerikaanse ISP's uit patriottische overwegingen als een blok positief op dergelijke verzoeken zullen reageren. Dit geldt uiteraard ook ten aanzien van de eventuele installatie van technologieŽn zoals Carnivore en Magic Lantern. Ook de anti virus leveranciers zullen om dezelfde reden, naar het zich nu laat aanzien, zonder protest meedoen. Voor instanties zoals de FBI zijn er wat dit betreft betere tijden aangebroken; de periode van 'softly, softly' is duidelijk voorbij. Dichter bij huis is al bekend dat in Engeland elke ISP op eigen kosten afluisterapparatuur moet installeren! De verwachting is dat binnenkort ook hier aan de privacy-poort gerommeld zal worden en dat 'Engelse toestanden' binnenkort ook in dit land haar intrede zal doen. De GSM aanbieders hier te lande zijn al sinds de Telecommunicatiewet van 1998 verplicht tot het (alsnog) aftapbaar maken van hun netwerken, ook weer voor 'eigen kosten'. Dit was bij het 'vaste net' trouwens al lang het geval. Ik herinner me dat dit voor KPN toentertijd om een investering van meer dan 100 miljoen -toen nog- guldens ging om het GSM-netwerk aftapbaar te maken. Weigering om tot installatie over te gaan zou dan automatisch kunnen leiden tot intrekking van de machtiging. Zoals een computerblad onlangs opmerkte is het installeren van dergelijke apparatuur uiteraard voor onze eigen bestwil. Zie ook URL: http://www.nlip.nl 

(Aftappen van internet gaat door, maar anders dan gedacht)

Bron: Ferry PA0EEU

Intrusion Detection Systems

Firewalls zijn tot op zekere hoogte nuttig, maar er zijn duidelijk grenzen aan de mogelijkheden omdat zo'n programma door ons geprogrammeerd wordt om een beperkt aantal zaken tegen te houden. Via de HTTP-(internet)poort 80 die door de Firewall bewaakt wordt, kunnen zaken die het programma niet kent naar binnen glippen. IDS is meer een passieve dan actieve vorm van netwerkbewaking. Data die spoort met een set van IDS-patronen wordt opgemerkt en gelogged. Een aanslag op de integriteit of de beschikbaarheid van een computer of netwerk wordt feilloos geconstateerd. Een IDS grijpt niet in, dat moet op een andere, handmatige wijze gebeuren.

Het is te vergelijken met SOSUS (Sound Surveillance System), ten tijde van de Koude Oorlog, dat als een soort Intrusion Detection System diende. Een netwerk van op de oceaanbodem bijna geheel ingegraven arrays van sensoren, de behuizing zo groot als olietanks op een raffinaderij en verbonden met elkaar via ingegraven - waarschijnlijk glasfiber kabels - om zo passief en dus onopgemerkt onderzeebootgeluiden op te vangen. En om deze vervolgens te 'fingerprinten', zeg maar het type/klasse van de onderzeeboot vast te stellen en koers en snelheid te bepalen. Op deze wijze hoopte men een mogelijke bedreiging van een onverwachtse nucleaire onderzeebootaanval te kunnen onderkennen en vervolgens het hoofd te bieden.

Terug naar 'onze' IDS. Een groot nadeel is dat het versleutelde informatie niet kan analyzeren. Er zijn zowel software als hardware-uitvoeringen van een IDS. Hackers proberen een IDS lam te leggen door deze te verzadigen (flooding of spoofing) of programma's te schrijven die een IDS van slag brengen. Het 'over de schouder meekijken' is een dure hobby. Een evaluatie programma 'NFR Intrusion Detection System' is te downloaden van http://www.nfr.net  Een ander programma is Dragon 4 en nu ook 5. Het kost echter voor ons eenvoudige amateurs een klein vermogen, bijna 5000 Euro's. Meer informatie is te vinden op URL: http://www.enterasys.com/ids/ *)  Een evaluatie-programma is ook niet zomaar te krijgen.

Ferry  -   PA0EEU

 

Packet Sniffers

Voor de liefhebbers noem ik volledigheidshalve het bestaan van zogenaamde 'Packet Sniffers'. Deze programma's zijn ideaal voor het opsporen van 'malicious codes and strings' op een LAN of een back-bone van een netwerk of domweg op de internet- ingang van onze computer . De filters kunnen naar behoefte ingesteld worden. Helaas kunnen de filters ook ingesteld worden om bepaalde e-mails en/of paswoorden uit de data-brei te vissen..... E-mail capturing, zoals dat fraai heet, op een LAN of back-bone is uiteraard een verwerpelijke zaak. Uiteraard zijn deze Packet Sniffers zeer geschikt om ook SPAM en Spyware en dergelijke zaken op te sporen.

De beste Packet Sniffer is momenteel naar verluidt 'The Spynet Sniffer' en is te downloaden van URL: http://www.programfiles.com/default.asp?LinkID=7715  Het slechte nieuws is dat dit een duur programma is ($ 1745.- en een jaarlijkse 'maintenance fee' van $550.-). Het goede nieuws is dat er 30 dagen gratis mee gestoeid kan worden.

Een andere programma, eenvoudiger maar stukken voordelige ($99,- voor een single home user), is het programma Commview dat is te downloaden van URL: http://www.tamos.com/products/commview   Ook hier is het na 30 dagen weer gedaan met de pret. Het is echter de moeite waard om eens de vele mogelijkheden van dit programma aan de tand te voelen.

Ferry   -   PA0EEU

Monitor Glow Detection

Latest privacy threat: Monitor glow

By Robert Lemos

Staff Writer, CNET News.com

May 14, 2002, 6:05 AM PT

BERKELEY, Calif.--Law enforcement and intelligence agents may have a new tool to read the data displayed on a suspect's computer monitor, even when they can't see the screen.

Marcus Kuhn, an associate professor at Cambridge University in England, presented research Monday showing how anybody with a brawny PC, a special light detector and some lab hardware could reconstruct what a person sees on the screen by catching the reflected glow from the monitor.

The results surprised many security researchers gathered here at the Institute of Electrical and Electronics Engineers' (IEEE) Symposium on Security and Privacy because they had assumed that discerning such detail was impossible.

"No one even thought about the optical issues" of computer information "leakage," said Fred Cohen, security practitioner in residence for the University of New Haven. "This guy didn't just publish, he blew (the assumptions) apart."

Many intelligence agencies have worried about data leaking from classified computers through telltale radio waves produced by internal devices. And a recent research paper outlined the threat of an adversary reading data from the blinking LED lights on a modem. Kuhn's research adds the glow of a monitor to the list of dangers.

Eavesdropping on a monitor's glow takes advantage of the way that cathode-ray tubes, the technology behind the screen, work. In most computer monitors, a beam of electrons is shot at the inside of the screen, which is covered in various phosphors, causing each pixel to glow red, green or blue, thereby producing an image.

The beam scans from side to side, hitting every pixel--more than 786,000 of them at 1024-by-768 resolution--in sequence; the screen is completely scanned anywhere from 60 to 100 times every second. The light emitted from each pixel of phosphor will peak as the pixel is hit with electrons, creating a pulsating signal that bathes a room. By averaging the signal that reflects from a particular wall over nearly a second and doing some fancy mathematical footwork, Kuhn is able to reconstruct the screen image.

Not so fast

Yet Kuhn, who is still completing his doctoral thesis, is quick to underscore the problems with the system.

"At this point, this is a curiosity," he said. "It's not a revolution."

First off, Kuhn performed the experiments in a lab at a short distance--the screen faced a white wall 1 meter away, and the detector was a half meter behind the monitor. There have been no real-world tests where, for example, other light sources are present and the detector is 30 feet across a street.

Other light sources, including the sun, make things much more difficult if not impossible. Normal incandescent lighting, for example, has a lot of red and yellow components and tends to wipe out any reflections of red from the image on a screen.

And several countermeasures are effective, including having a room with black walls and using a flat-panel liquid-crystal display. LCD monitors activate a whole horizontal line of pixels at once, making it immune to this type of attack.

Still, other researchers believe that Kuhn may be on to something.

"Anyone who has gone for a walk around their neighborhood knows that a lot of people have a flickering blue glow emanating from (their) living rooms and dens," said Joe Loughry, senior software engineer for Lockheed Martin.

While Kuhn calculated that the technique could be used at a range of 50 meters at twilight using a small telescope, a satellite with the appropriate sensors could, theoretically, detect the patterns from orbit, said several security experts.

That could open a whole new can of worms for privacy. If Kuhn's technique proves to be practical, the result of the research could be a new round of battles between law enforcement agencies and privacy advocates in the courts over whether capturing the faint blue glow from a home office is a breach of privacy.

Until that's resolved, the safest solution is to compute with the lights on.

 

Brilliant Digital Entertainment

"You hereby grant (Brilliant) the right to access and use the unused computing power and storage space on your computer/s and/or Internet access or bandwidth for the aggregation of content and use in distributed computing," the terms of service read. "The user acknowledges and authorizes this use without the right of compensation."  -  This nice piece of proza could also be embedded somewhere on your harddisk. Not that you have not granted anything but the BDE program probably piggybacked itself on your computer via file swapping programs like Kazaa, installed itself and communicates with BDE sites and maybe worst of all also uses your computer power, hence slowing down your computer's speed. So please beware. 

If you want to use Kazaa you can better download Kazaalite in which all undesirables such as all spyware and also BDE's software, have been removed. This much to the grief of the Kazaa people. You will find the Kazaalite version at:  http://www.kazaalite.com/ 

You can also download a freeware program called B3D killer from the following URL:  http://www.wilderssecurity.com/B3DKiller.html  which deinstalls this unwanted program. 

Features of B3D Killer:

-Removes all traces of the Brilliant Digital software (dlls and executables) from your computer.

-Deletes most, if not all, registry keys associated with the program and its "auto-install" function (which lets it re-install itself silently when you browse a webpage).

-Displays output of all actions performed.

-Is only 52 kb.

-------------------------------------------------------------------------------------------------------------------------------------------

http://www.keir.net/index.html      Interesting site!

Norton