<!DOCTYPE HTML PUBLIC
"-//W3C//DTD HTML 3.2//EN">Hacken zonder computer
Herbert Blankesteijn
Beveiligingen kraken en beveiligingen kraakbestendig
maken zijn sterk verwant. Om het ene te kunnen moet je veel van het andere
weten en andersom. 'Hacking exposed', een boek van meer dan zevenhonderd
pagina's en een gewicht van bijna twee kilo, lijkt in eerste instantie een
handleiding voor het inbreken op computernetwerken maar is in feite het
tegenovergestelde. Minutieus leggen de auteurs zwakke plekken bloot in
besturingssystemen, netwerkontwerpen en toepassingssoftware, om vervolgens
manieren te behandelen om de gevaren het hoofd te bieden.
Dit boek is te oppervlakkig voor de beveiligingsexpert.
Windows 2000 bijvoorbeeld krijgt slechts één hoofdstuk - naast hoofdstukken
over andere Windowsvarianten, NetWare en Unix - terwijl van dezelfde auteurs
een even dik boek bestaat over Windows 2000 alléén ('Hacking Exposed Windows
2000'). Het is wel veelzijdig. Gebruik van modems, voicemail, draadloze
netwerken, firewalls, Trojaanse paarden, het kan niet op. Maar voor de
geïnteresseerde leek bevat het teveel jargon en programmacode. Waar is het dan
voor bestemd? Beveiligingdeskundigen in opleiding? IT-journalisten? Beginnende
hackers?
Waarom kopen mensen over zo'n onderwerp trouwens nog een
boek? Dit product, nog geen jaar oud, vertoont al tekenen van veroudering. Zo
wordt er een onbelangrijke kwestie rond Napster behandeld, terwijl dit bedrijf
vrijwel verdwenen is, en de opvolger KaZaA zijn eigen, nijpender
veiligheidskwesties de wereld in heeft gebracht. Een betaalde website is voor
informatie over een dergelijk onderwerp een veel natuurlijker middel.
Om de veiligheid van computers te waarborgen is het vaak
nodig vrijheden van gebruikers (bijvoorbeeld het gebruik van diskettes, het
installeren van software) of die van het systeem (het uitvoeren van
mailattachments) te beperken. De legendarische hacker Kevin Mitnick toont in
'The art of deception' aan dat dat niet alleen voor digitale informatie geldt.
Hoewel hij geldt als duivelskunstenaar op het gebied van computer- en
telefoonnetwerken maakt hij hier duidelijk dat veel van zijn wapenfeiten
gebaseerd zijn op slim manoevreren in telefoongesprekken. Vráág gewoon wat je
weten wilt; er is altijd iemand zo dom om het te vertellen.
De algemene procedure is als volgt. Bel de telefoniste
van een groot bedrijf. Geef je uit voor klant en vraag met een smoes de namen
van afdelingen, een paar medewerkers en hun doorkiesnummers. Bel dan een van
die mensen rechtstreeks, liefst iemand die er pas kort werkt, doe je voor als
collega van een andere vestiging en laat merken dat je namen op de afdeling
kent. Bel een tweede keer, dan kennen ze je. Na nog een paar van die stappen
zijn interne telefoonlijsten, personeelsnummers en wachtwoorden je deel. Je
kunt het zo gek niet verzinnen of Mitnick weet eraan te komen.
Social engineering heet dit. Ook hiertegen kun je beveiligen,
volgens Mitnick. Kernpunt daarbij is, dat employé's niet zomaar informatie
verstrekken aan mensen die bellen - ook niet als de informatie onschuldig lijkt
en de persoon betrouwbaar. Informatie wordt in categorieën ingedeeld, en
afhankelijk van de categorie moet de bellende persoon zich uitgebreider
identificeren.
Het is de vraag of een bedrijf met dat soort regels nog
wel normaal kan functioneren. Zeker is dat 'The art of deception' leest als een
thriller, en eeuwigheidswaarde heeft. Verplichte kost voor telefoniste en
directeur, hacker en systeembeheerder, whizzkid en leek.
Stuart McClure, Joel Scambray, Georde Klutz: Hacking
Exposed. Osborne, $49,99. ISBN 0-07-219381-6
Kevin Mitnick, William Simon: The Art of Deception.
Wiley, $27,50. ISBN 0-471-23712-4