Ius mentis Homepage | Categorieën | Lijst A-Z | Willekeurig artikel | Herpubliceren? | Over deze site | Blog | Contact
 

De kwetsbaarheid van kabelmodems

Nu kabelmodems steeds populairder worden, komt het steeds vaker voor dat mensen hun computer 24 uur per dag op Internet aansluiten. Zonder telefoonkosten is er geen reden meer om op te hangen als je even niet online hoeft te zijn. Bovendien kun je dan je eigen Webserver draaien, of het ophalen van een groot bestand de hele nacht laten duren. Helaas kun je dan ook je computer 24 uur per dag laten hacken.

Het via een modem online gaan mag dan zijn nadelen hebben, een voordeel is wel dat de gebruiker actief bezig is met de inbelverbinding. Ongebruikelijke activiteiten, zoals harde schijven die ineens actief worden, netwerkverkeer terwijl er niets gedownload wordt, of CD-spelers die ineens open en dicht gaan vallen dan direct op. Als dit midden in de nacht gebeurt bij een computer die via de kabel online is, zullen weinig mensen dit zien. Enkele extra maatregelen zijn dan ook gewenst.

Inhoudsopgave

Binnendringen

Een hacker kan alleen op een computer inbreken als er op die computer een programma draait dat hem binnenlaat. Dit is meestal een server, zoals een Webserver. Als een computer 24 uur per dag aan het Internet hangt, ligt het voor de hand om daar je eigen Website op te zetten. Echter, het risico bestaat dan dat de Webserver die daarvoor wordt gebruikt, niet goed ingesteld is en aan iedereen toegang biedt tot alle bestanden op de harde schijf, in plaats van alleen maar de bestanden uit de Website.

Echter, ook e-mailprogramma's die continu draaien en e-mail ontvangen, of programma's als ICQ die continu berichten ontvangen van een server, vormen een klein risico.

Sommige programma's bevatten programmeerfouten waardoor ze zich "verslikken" in aangeboden gegevens, zoals binnenkomende mailtjes of al te grote bestanden die worden gedownload. Het is dan mogelijk dat er stukken van die aangeboden gegevens op een plek in het geheugen terechtkomen waar normaal instructies voor de computer horen te staan. Vervolgens worden deze gegevens dan uitgevoerd alsof het legitieme instructies zijn. Een hacker die precies weet op welke wijze een programma zich verslikt, kan er dus voor zorgen dat instructies die hij zelf uitkiest bij zijn slachtoffer uitgevoerd worden. Deze instructies installeren dan bijvoorbeeld een programma waardoor hij toegang krijgt tot diens systeem.

Het kan echter nog veel simpeler. Een hacker kan een programma zoals Back Orifice installeren bij zijn slachtoffer, en heeft dan meteen volledige toegang. En dat installeren is niet zo moeilijk: hij hoeft alleen maar zijn slachtoffer wijs te maken dat het gaat om een leuke screensaver, een grappig filmpje of een handig programmaatje.

Aparte vermelding verdient het delen van harde schijven, een standaard feature in Windows 95. Hiermee kan iedereen teogang krijgen tot een harde schijf, vaak zelfs zonder wachtwoord. Het is dus erg verstandig om te controleren of dit uitgeschakeld is, of om op zijn minst dit delen te beperken tot lokale gebruikers en een wachtwoord in te voeren. Voor Linux-systemen is hetzelfde mogelijk, als Samba of NFS aanstaat en niet goed geconfigureerd is.

Portscannen

Of een hacker nu misbruik maakt van een reeds aanwezige server, of via allerlei trucs zijn eigen programma installeert, het resultaat is dat er een programma draait bij het slachtoffer dat iemand toegang verschaft tot die PC. Zulke programma's draaien op een zogeheten "poort". Een Webserver draait normaal op poort 80, een Back Orifice server op poort 31337. De hacker moet nu verbinding leggen met die poort om van het programma gebruik te kunnen maken.

Wie een specifiek slachtoffer op het oog heeft, weet wel op welke poorten hij moet zijn en welk programma hij daar kan verwachten. Echter, wanneer veel mensen hun computer continu met het Internet verbinden, dan wordt het interessant om eens bij iedereen te kijken welke servers zij draaien. Dit fenomeen heet "portscannen". Het levert dan een lijst op met alle computers waar Webservers draaien, waar Back Orifice op geinstalleerd is, enzovoorts. Vervolgens kan de hack beginnen.

Beveiligingsmaatregelen

Veel van deze gevaren gelden niet specifiek voor kabelmodem-gebruikers. Echter, vanwege het feit dat hun computers 24 uur per dag verbonden zijn met Internet, lopen zij continu het risico gehackt te worden. Het is bijzonder eenvoudig om alle kabelmodems van een bepaalde provider te "portscannen". Dit gebeurt dan ook met grote regelmaat. Aangezien veel mensen niet op de hoogte zijn van de beveiligingsrisico's, zijn zij dan een gemakkelijk slachtoffer.

Een eerste tegenmaatregel is daarom het installeren van een programma dat portscans detecteert. Hiermee is in ieder geval vast te stellen dat iemand de computer heeft "uitgeprobeerd". Een stap verder is het installeren van een firewall-programma, waarmee het onmogelijk wordt voor willekeurige anderen om een verbinding te leggen met de computer. Ook firewalls kunnen bijhouden wie heeft geprobeerd binnen te komen, en kunnen zelfs worden geconfigureerd om per geval dit wel of niet toe te staan.

Een volgende stap kan zijn het installeren van een aparte computer met daarop een besturingssysteem als Linux. Deze computer dient dan als firewall, en verbindt de andere computer(s) met het Internet. De firewall-computer kan dan aanvallen onderscheppen, en voorkomt dat hackers direct bij alle gegevens op de "gewone" computers kunnen.

En natuurlijk kan het nooit kwaad om regelmatig backups te maken van belangrijke bestanden en gegevens, en om te controleren of er geen gekke dingen gebeuren op het systeem.

Stappen ondernemen tegen de hacker

Hackpogingen waarbij de gebruiker zijn hele harde schijf kwijtraakt komen (gelukkig) zelden voor. VOor veel hackers zit de "lol" er eerder in om ongemerkt bij anderen rond te kunnen snuffelen. Wie dus zijn systeem redelijk dichttimmert, voorkomt daarmee al een aardige hoeveelheid ongein.

Portscan-detectors en firewall-software kunnen logfiles bijhouden waarin precies staat aangegeven vanaf welke computer op welk tijdstip een poging werd gedaan om binenn te komen. Aan de hand van deze logfiles is in ieder geval de Internet-provider van deze hacker te achterhalen, en in sommige gevallen zelfs de persoon zelf. Het adres van diens computer is immers bekend, en wanneer deze persoon nu bijvoorbeeld een Webserver op zijn eigen PC draait, is hier vaak zijn identiteit mee te achterhalen.

De logfiles, samen met een korte beschrijving van wat er is gebeurd, leveren voor de provider meestal voldoende aanwijzingen om na te gaan of er werkelijk sprake was van een hackpoging. Een portscan op zich is geen computerinbraak, maar voor veel providers wel reden genoeg om het account af te sluiten of op zijn minst een fikse waarschuwing te geven. Een portscan gevolgd door het uitproberen van bekende inbreektrucs is een duidelijk geval van computervredebreuk.

Een logische reactie voor sommige mensen wiens computer gehackt is, is om de dader nu eens terug te gaan hacken of om zijn computer te bestoken en hem zo het leven zuur te maken. Dit is echter niet verstandig. Ten eerste vallen dergelijke pogingen meestal nogal op. Hackers willen bovendien nogal eens gebruik maken van gehackte computers om bij anderen in te breken. De reactie treft dan een onschuldige derde.

Gerelateerde artikelen

Gespecialiseerd advies nodig?

Heeft u na het lezen van dit artikel nog vragen, of zit u met een juridisch probleem waar u advies over wilt? Neem dan contact op met ICT-jurist Arnoud Engelfriet, auteur van dit artikel.

© Arnoud Engelfriet. Dit werk mag vrij worden verspreid en gepubliceerd zoals bepaald in de licentievoorwaarden.

Laatste wijziging:
16 december 2016