Achtergrond

Bestuur/Beleid

Het liberale netwerkbeleid van de TU/e

Veiligheid/Lennart Wesel

De veiligste computer is een computer die uitstaat. Dat is het devies van de Dienst ICT, die verantwoordelijk is voor het TU/e-netwerk en werkstations. Lastig als je computer 24 uur per dag moet aanstaan, zoals bij de bedrijfshulpverlening (BHV). Een computer bij de BHV werd in de nacht van 23 op 24 november gehackt, net als een werkstation van de brandweer.

Gehackt worden overkomt de besten. Vorige week werd een aantal computers op de campus gehackt, waaronder een pc op de redactie van Cursor, een werkstation van de brandweer en een systeem van de BHV. Of er -gevoelige- informatie is gelekt bij laatstgenoemde computers is onbekend, maar veiligheidshalve zijn alle wachtwoorden binnen de afdeling gewijzigd. Geen vreemde maatregel voor een dienst die zorg moet dragen voor de beveiliging van de TU/e en moet voorkomen dat er schade aan gebouwen en infrastructuur plaatsvindt. Hoofd BHV- en beveiliging ing. Mirjam Jahnke wil niet al teveel kwijt over het hackwerk: “Ze zoeken computers die aanstaan, de onze staat 24 uur per dag aan”. Jahnke wil geen uitspraken doen over de hacks op het BHV-systeem. “Dat is de verantwoordelijkheid van de Dienst ICT.”
Marian de Vaan van de Dienst ICT heeft achterhaald wat er gebeurd is. “Die BHV-pc heeft geen directe verbinding naar buiten met het internet. Hij is gehackt via een -ook weer gehackte- pc bij Bouwkunde, die het netwerk van de TU/e scande op openstaande poorten.” De gehackte pc’s hadden allemaal één overeenkomst: ze hadden bestands- en printerdeling aanstaan en stonden ’s nachts aan. Dienst ICT voert een streng ontmoedigingsbeleid voor de deling van printers en bestanden. De Vaan: “Het is toch gevaarlijker dan we een tijd terug dachten. Afgelopen september is een medewerker alle diensten afgelopen om de bestandsdeling uit te zetten. Je hebt nu een heel goede reden nodig om het wél aan te zetten en bij de brandweer was dat het geval vanwege een gedeelde kleurenprinter. Ondertussen wordt naar een andere oplossing gezocht, bijvoorbeeld een echte netwerkprinter”.
Of er bij de hacks van november gevoelige informatie is gelekt, weet De Vaan niet, maar ze vermoedt dat computercriminelen in eerste instantie iets anders zoeken: “Bandbreedte. Het snelle TU/e-netwerk is zeer interessant als distributiekanaal voor bijvoorbeeld films en software. Als je een server weet te installeren op een werkstation aan de TU/e, kun je aardig wat wegpompen”. En dat merk je niet als gebruiker, weet De Vaan. “Ik heb ooit een demonstratie gezien waar je niet vrolijk van wordt. Hackers kunnen zo de helft van je harddisk kapen. Als je dan de eigenschappen van je schijf controleert, zie je daar niets van.”
Zolang ze geen dataverkeer genereren, vallen gehackte pc’s niet op, zegt dr.ir Ronald Waterham, hoofd Dienst ICT. “Maar als jouw pc ineens poortscans gaat uitvoeren op het netwerk, zien we dat natuurlijk wel.” Het probleem is alleen dat er ’s nachts niemand kijkt, en dat is net het tijdvak waarin hackers toeslaan. De computer uitzetten na werktijd is dan ook een goed voorbehoedsmiddel, vindt Waterham. “Het is niet alleen beter voor het milieu, maar het is ook veiliger. Veel mensen laten hun computer ’s avonds aanstaan, maar dat begrijp ik niet. Voor mensen die ’s avonds vanuit huis willen inloggen op hun pc, of berekeningen moeten uitvoeren, kan ik me een uitzondering indenken, maar in andere gevallen snap ik het niet.” Volgens Waterham is een computer kwetsbaar zolang hij aanstaat. “Als ie uitstaat, kan ie ook niet gehackt worden en andere computers besmetten.”

Geen oplossing
Volgens computerbeveiligingsexpert dr. Sjouke Mauw van de faculteit Wiskunde en Informatica is het na werktijd uitzetten van pc’s geen oplossing. “Je vermindert slechts het tijdsframe waarbinnen een hacker kan aanvallen. Het voorkomt echter geen enkel type aanval.” Naast het updaten van besturingssysteem en virusscanner vindt Mauw het een ‘redelijke eis’ om iedere eindgebruiker een persoonlijke firewall te laten gebruiken, en die tenminste in te stellen op ‘medium level security’.
Waterham ‘gelooft niet’ in firewalls.
“Er lopen hier een kleine tienduizend slimme mensen rond. Zo’n muurtje daagt ze alleen maar uit om er overheen te klimmen en straks hebben we allemaal mensen die daarin getraind zijn. Als er geen muur is, kun je die ook niet kapot maken. En bovendien: als je de boel afschermt, moet je de schermen ook goed bijhouden.” Daarmee is Mauw het niet eens. “Omdat een firewall nooit waterdicht is, kan ik me voorstellen dat iemand er vanaf ziet. Met betrekking tot security geldt in dit geval echter dat hoe hoger de drempel is om een systeem binnen te komen, hoe geavanceerder en gemotiveerder de aanvaller moet zijn.”
Wie die aanvallers van de hacks aan de TU/e zijn, wil niemand zeggen, maar dat het vertegenwoordigers zijn van de ‘tienduizend slimme mensen’ die hier rondlopen, ligt voor de hand. “We hebben recentelijk een paar hackgevallen gehad en vaak is het toch een Chello-gebruiker uit Nederland”, zegt netwerkspecialist Tonny van Lankveld van de Dienst ICT. “Natuurlijk komt er ook een hoop uit Verweggistan, maar de meeste pogingen komen uit de buurt.”

Liberaal Eindhoven
Volgens Mauw is het beleid van de TU/e een ‘stuk liberaler’ dan bij andere onderzoeksinstituten. “Het varieert over de tijd, maar in Utrecht zijn ze op bepaalde afdelingen heel streng en bij het Centrum voor Wiskunde en Informatica is het regime ook een tijdje zeer strikt geweest. Bij de TU/e is het securitybeleid eigenlijk altijd heel vrij geweest. Dat maakt het werken wel prettiger, maar het geeft wel veiligheidsrisico’s.”
Bij Waterham staat de gebruikersvrijheid hoog in het vaandel. “We zijn een universiteit. Ons primaire proces is informatie uitwisselen. Als je onze onderzoekers en studenten gaat inperken, ben je raar bezig. Wij gaan, in tegenstelling tot bijvoorbeeld het bankwezen, uit van een systeem dat in principe open is. Dat geldt niet alleen voor het netwerk, maar ook voor onze gebouwen.”
Volgens Van Lankveld ben je als gebruiker van Windows 2000, bij de diensten het meest gebruikte systeem, zonder firewall in principe onbeschermd. Als je daarnaast bestands- en printerdeling hebt aanstaan, is dat volgens hem vragen om moeilijkheden. “Sinds het Blaster-virus is er een voortschrijdend inzicht dat je vrij snel het haasje bent als je je poorten niet dichtzet.” Van Lankveld vindt net als Waterham dat pc’s in principe uit moeten na werktijd, maar: “Als een systeem heel goed is beveiligd, is er niets aan de hand. Je moet alleen wel rebooten na een update van Microsoft”.
Volgens Mauw is er spanning tussen de gebruiksvriendelijkheid van een computersysteem en zijn veiligheid. “Hoe sterker de eisen zijn aan de complexiteit van een password, des te groter de kans is dat mensen hem op een briefje schrijven en op hun computer plakken. Dus hoe hoger het beveiligingsniveau, hoe meer de gebruiker -bijvoorbeeld aan vrijheid- moet inleveren. Een ander aspect dat meespeelt, is het feit dat computerbeheer steeds decentraler plaatsvindt. Vroeger was er een centrale afdeling verantwoordelijk en moesten de gebruikers werken binnen de mogelijkheden die door het systeembeheer werden geboden. Tegenwoordig beschikt iedereen over zijn eigen computer en kan die ook deels zelf beheren. Deze decentralisatie brengt natuurlijk risico’s met zich mee omdat gewone gebruikers zich -terecht- geen zorgen willen maken over technische zaken als beveiliging. Het lijkt me in een organisatie als de TU/e redelijk als er een soort tussenpositie wordt ingenomen. Centrale sturing waar mogelijk, zonder de gebruikers te sterk te beperken in hun mogelijkheden.”
Vanaf februari begint de Dienst ICT met de uitrol van Windows XP met Service-pack 2. Volgens Mauw een hele verbetering, maar het kan nog beter: “Het is zeker het overwegen waard om nieuwe systemen standaard uit te rusten met de browser Firefox. Internet Explorer (IE) is sterk verbonden met Windows en kwetsbaarheden van IE hebben meer kans om uitgebuit te worden door aanvallers”./.