01 :: Hitmen manipuleren het net

Userpica

Criminelen hebben de slagaders van internet in handen en kunnen er mee doen wat ze willen. En dat doen ze ook, tegen betaling. Een expert: 'De manipulatie is dagelijkse praktijk. Maar op welke schaal is onbekend.'

door Francisco van Jole & Tonie van Ringelestijn

Onlangs ontving Toine Verheul, een dertiger die eigenaar is van de internationale pornozoekportal AskJolene, een bericht in zijn ICQ-venster van een hem onbekende Amerikaan. 'Jij wilt je site toch promoten? Wij hebben iets speciaals voor je.'

De man vroeg of Verheul misschien belangstelling had voor het kopen van gericht bezoekersverkeer afkomstig van internetgebruikers uit Europa en de Verenigde Staten. Dat klinkt voor de leek wellicht opwindend, maar het is zoiets als aan een autohandelaar vragen of hij wat kan met een partij goedkope Japanse occasions van goede kwaliteit. De vraag is zo'n open deur dat alle belangstelling meteen wegtocht. Amper geïnteresseerd tikte Verheul terug: Wat heb je voor me dan? 'Een nieuwe techniek voor keywords', luidde het antwoord. Bijna klikte Verheul het venster weg omdat hij dacht dat het om een verschijnsel ging dat hij al kende. 'Wat dan?' vroeg hij routinematig. Het antwoord klonk zo absurd dat hij vermoedde met een bluffer te maken te hebben. 'Laat maar zien', tikte hij in. Vervolgens voltrok zich op zijn scherm een tafereel waardoor hij bijna van zijn stoel viel. Dit had hij nog nooit meegemaakt.

Andere koek
Verheul is een doorgewinterde internetgebruiker die weet hoe hackers op afstand controle kunnen krijgen over andermans computers. Hoe ze met behulp van Trojaanse paarden je systeem binnen kunnen wandelen en bijvoorbeeld teksten op je eigen beeldscherm kunnen tikken, of onverwacht je cd-romlade open en dicht kunnen doen. Bij een Windows-computer is dat soort toverij een fluitje van een cent. Maar Verheul draait Linux en wat hij op zijn scherm zag was andere koek. De 'Amerikaan' uit het ICQ-venster was geen derderangs hacker. Hij bleek in staat internet compleet over te nemen.
'Ik kan beslissen waar gebruikers op internet heen gestuurd worden', had de Amerikaan gezegd. 'Geef me je ip-nummer en ga naar Google.' Vervolgens diende Verheul een bepaalde zoekterm in te tikken. Hij voerde de opdracht uit, maar nadat hij op 'zoeken' had geklikt kreeg hij niet zoals gebruikelijk een lijst met zoekresultaten. In plaats daarvan verscheen er een pornosite op het scherm. Zoekresultaten waren nergens te bekennen. Sterker nog, heel Google was er niet meer. Hij was direct naar een andere site gevoerd door alleen maar op 'zoeken' te klikken. De Amerikaan gaf hem een andere zoekterm en hetzelfde voltrok zich. Verheul dacht snel na. Dit was geen hack. En Google zelf had er niets mee te maken. Deze lui moesten zelf aan de knoppen zitten, ergens heel hoog in de technische hiërarchie van internet.

Omleidingstruc
'Wij zijn een groep netwerkbeheerders die de belangrijkste routers op het net controleren', legde de Amerikaan uit. Routers zijn knooppunten van netwerkverkeer, ze verbinden het ene netwerk met het andere, bijvoorbeeld dat van de ene provider met dat van een andere. 'Wij kunnen het verkeer overal heen sturen waar we maar willen en met een heel klein, nauwelijks opvallend deel doen we dat ook.' Veel meer toelichting wilde hij niet geven. Niet wie ze waren of met hoeveel.
Verheul: 'Zij zijn in staat de belangrijke knooppunten dusdanig te programmeren dat wanneer iemand een bepaalde zoekterm invoert bij Google, en langs zo'n gecontroleerde router komt, de bestemming automatisch wordt veranderd. Die 'service' boden ze te koop aan. Voor duizend dollar zouden ze een miljoen nietsvermoedende mensen naar onze site kunnen sturen. In een dag!'
Maar er was meer mogelijk. Verheul werd verzocht naar de site van CNN te gaan en op een bepaalde link te klikken. Wederom kwam hij terecht op een site die niets met de link noch met CNN te maken had. Daar kon 'de groep' ook voor zorgen. Dat iedereen die op een bepaalde link op een bepaalde site klikte automatisch naar AskJolene gevoerd zou worden. Zonder dat de site in kwestie er ook maar iets mee te maken had. Sterker nog, die zou er zelfs niets van merken. Niemand zou er iets van merken. Omdat de omleiding slechts een heel klein deel van het verkeer betrof, was de kans op ontdekking minimaal. Niemand zou twee keer achter elkaar 'omgeleid' worden. Gebruikers zouden hooguit denken dat ze per ongeluk verkeerd hadden geklikt. 'Je kunt het vergelijken met een frauderende bankmedewerker die bij overschrijvingen steeds een cent naar zijn eigen rekening overboekt. De kans dat iemand een cent mist is verwaarloosbaar. Maar als het om honderdduizenden overschrijvingen per dag gaat lopen de verdiensten snel op', legt Verheul uit.

Vitale knooppunten
Het vermoeden van Verheul wordt door deskundigen desgevraagd beaamd. De vitale knooppunten van het net blijken nauwelijks tegen misbruik beveiligd. Het gaat daarbij om de zogeheten Domain Name System-servers. Dat zijn de computers die het verkeer op internet dirigeren door bij te houden welke domeinnamen horen bij welke ip-nummers. Ip-nummers zijn een soort telefoonnummers voor internet. Elke aangesloten computer heeft zijn eigen ip-nummer. Zo bepalen de DNS-servers naar welk fysiek systeem iemand gestuurd wordt als hij bijvoorbeeld cnn.com in zijn browser intikt. Het is een vitale functie die het best te vergelijken is met een telefoonboek waarin staat welk nummer Jansen heeft. Wat de groep frauduleuze systeembeheerders als het ware doet, is het vervangen van de rechtmatige nummers door die van sekslijnen. Telkens maar eventjes en telkens bij andere nummers.
De kern van het Domain Name System bestaat wereldwijd uit dertien zogenaamde 'rootservers'. Het zijn computers die al het internetverkeer regelen, of liever gezegd, dat zouden ze moeten doen. Want om overbelasting van de rootservers te voorkomen worden op veel andere systemen zogeheten 'lokale caches' aangemaakt, geheugens waar de meest voorkomende verzoeken in opslagen worden. Deze hulpjes sturen bezoekers van veel voorkomende websites meteen door naar de gevraagde bestemming. En juist deze servers blijken relatief gemakkelijk te manipuleren.

Wat zeggen de experts?
'Het is in het huidige DNS-systeem vrij eenvoudig om verkeer van een website ergens anders heen te sturen', zegt Ted Lindgreen, directeur van NLnet Labs en een van de grondleggers van het Nederlandse internet. 'Het DNS-systeem staat ook andere trucs toe. Zo is het bijvoorbeeld heel gemakkelijk om voor elkaar te krijgen dat e-mails niet bij de geadresseerde maar op een ander adres bezorgd worden.'
Olaf Kolkman van RIPE-NCC, de organisatie die in Europa, de voormalige Sovjet-Unie, Noord-Afrika en het Midden-Oosten alle ip-nummers verdeelt onder providers, bevestigt dat: 'In het DNS-systeem is manipulatie op verscheidene plaatsen mogelijk. Het systeem is niet tegen misbruik beveiligd en houdt niet bij of adresgegevens ook daadwerkelijk kloppen. Alle wijzigingen van wie dan ook worden door de DNS-servers voor zoete koek aangenomen. Er is niemand die de integriteit van de DNS-servers controleert.'
Het meest kwetsbaar voor DNS-bedrog, ook wel 'DNS spoofing' of 'DNS cache poisoning' genoemd, zijn de systemen van grote internetproviders. Lindgreen: 'Als ik naar zo'n server van bijvoorbeeld Planet Internet een ander ip-nummer stuur voor Wehkamp.nl, dan krijgen veel Planet-abonnees vervolgens niet Wehkamp.nl voor hun neus maar een totaal andere site.'

Top level-domeinen
Door manipulatie van servers bij grote providers kunnen er volgens de experts enorme aantallen internetters worden omgeleid, miljoenen zelfs. Kolkman: 'De fraudeurs hebben wellicht ook toegang tot servers van top level-domeinen, zoals .org of .net. Dat is weliswaar lastiger, maar niet onmogelijk. En als er systeembeheerders in het complot zitten, kan het natuurlijk zeker. Hoe dichter op de backbone - de hoofdleiding van internet - hoe beter', aldus Kolkman. 'Het zou ook kunnen dat ze routers ergens bij de backbone onder hun controle hebben, al dan niet gehackt.'
Elke nameserver is zo te programmeren dat de omleidingstruc maar enkele minuten werkt en onopgemerkt blijft. Daarna keert alles terug naar de normale staat. Diverse versies van veelgebruikte nameserver-software, zoals het populaire BIND en Microsoft DNS, laten deze 'spoofing' toe. Het Noorse IT-onderzoeksbureau Men & Mice stelde begin 2003 in een rapport over beveiliging dat ongeveer eenderde van de servers op internet deze DNS-spoofing toestaat. De conclusie: 'Het is beangstigend dat in deze tijd waarin de beveiliging van internetverbindingen de belangrijkste zorg is, de meeste IT-managers de gevaren van DNS-bedrog onderschatten.'

Beveiliging
Lindgreen windt er geen doekjes om: 'Het is vooral de schuld van de providers dat dit mogelijk is. Zij moeten ervoor zorgen dat ze niet met oude spullen werken. De nieuwste uitgave van BIND heeft een beveiliging tegen deze praktijken, maar op tachtig procent van de systemen draait nog de oude versie.' Jaap Akkerhuis, een expert die tot voor kort werkte bij SIDN, de organisatie die Nederlandse domeinen beheert: 'Deze manipulatie is inderdaad dagelijkse praktijk. Maar op welke schaal het gebeurt, is onbekend.' Kolkman wijst erop dat die onbekendheid het gevaar in stand houdt: 'Systeembeheerders sluiten uit dat het op grote schaal gebeurt omdat het dan zou opvallen. Maar dat is het probleem nu net: het valt heel moeilijk waar te nemen en te bewijzen, juist omdat het heel kort duurt.'
Lindgreens NLnet Labs werkt al tien jaar aan een oplossing. 'Dat doe ik samen met wereldwijd hooguit dertig wetenschappers.' Zij bedachten DNSSec, een beveiligingssysteem dat gegevens in nameservers voorziet van een digitale handtekening. 'Alleen de oorspronkelijke leverancier kan de informatie dan veranderen.' Dat lijkt het ei van Columbus maar de invoering van DNSSec wordt al jaren vertraagd door politiek gesteggel in de internationale internetgemeenschap. Maar het lijkt er nu aan te komen. Dit voorjaar wordt het als officiële standaard aangenomen door de Internet Engineering Taskforce (IETF). 'Het systeem is uitgebreid getest en alles werkt', zegt Lindgreen. Zweden is het eerste land waar het wordt ingevoerd. 'Vervolgens kan DNSSec zich als een olievlek over internet verspreiden', hoopt Akkerhuis.

Tot die tijd kunnen de kwetsbaarheden dus nog misbruikt worden om nietsvermoedende internetters om te leiden naar sites waar tegen betaling porno te zien is of waar andere diensten en goederen worden verhandeld. Verheul, die het aanbod kreeg daaraan mee te doen, vermoedt dat het niet louter het werk is van een club systeembeheerders, maar dat er doorgewinterde criminelen achter schuilen. 'De Amerikaan die mij benaderde moest in ieder geval steeds 'zijn technicus' raadplegen als ik om nadere uitleg vroeg.' AskJolene besloot uiteindelijk niet in te gaan op de aanbieding. 'Het was allemaal te mistig en bovendien waren ze wel erg benauwd voor de FBI.'

door Erwin van der Zande, 01-10-2005 20:31 1 reactie, 31187 views

ekid, 7 jaren geleden
afbeelding van ekid
Het kan ook zijn dat de computer van de beste man gehackt is en een backdoor geinstalleerd werd. Als men de C:\Windows\system32\drivers\etc\host file aanpast (domeinnaam toevoegen met een ipadres waarna verwezen moet worden, bv: 82.94.255.60 www.rabobank.nl) dan zal de persoon die op die computer www.rabobank.nl naar de server van bright worden gestuurd. Klinkt iets minder spannend dan het verhaal hierboven. Maar het resultaat is hetzelde.


NB: Om te kunnen reageren dien je aangemeld en ingelogd te zijn op de Bright Bunch, het gratis lidmaatschap van Bright. Je bekijkt dan de site bovendien advertentie-vrij.

The Bright Bunch
inloggen aanmelden

Wie is nu Hier?

Er zijn momenteel 7 Bright Bunch leden en 141 bezoekers online.