6 juni 2007 14:05

Nieuwe technologie brengt nieuwe gevaren

Nieuwe technologie, en met name Web 2.0, Voice over IP en virtualisatie, brengt ook nieuwe veiligheidsrisico’s mee, omdat de ontwikkelaars de fouten uit het verleden herhalen. Die waarschuwing bracht IT-beveiligingsbedrijf ISS, tijdens een recent seminar waar resultaten werden voorgesteld van een onderzoek door de eigen onderzoeksgroep X-Force.

ISS werd vorig jaar overgenomen door IBM, maar blijft verder opereren als een aparte organisatie. Het levert vooral intrusion prevention systems en andere beveiligingssystemen, en de diensten daar rond. Binnen ISS is er een X-Force onderzoeksgroep, die zich bezighoudt met het analyseren van nieuwe vulnerabilities, zwakke plekken van IT-systemen dus, en de exploits of aanvallen die er gebruik van maken.

In Brussel presenteerde ISS een overzicht van de beveiligingsproblemen van 2006, op basis van het onderzoek van X-Force. In 2006 werden 7247 vulnerabilities ontdekt, zegt Jean-Paul Ballerini, senior technology solutions expert bij X-Force. Dat is zo’n 40% meer dan in 2005. ISS verwacht dat die groei zich doorzet, naar 10.000 dit jaar en zo’n 14.000 in 2008. Eén van de factoren die meespelen in die toename, is het gebruik van fuzzers: programma’s die automatisch de zwakke plekken in een stuk software afspeuren. Van de 7247 kwetsbaarheden, waren er 3,1 procent in software van Microsoft en 2,1 procent bij Oracle. Apple volgt met 1,9 procent.

EXPLOITS
Vorig jaar waren er, volgens ISS, zo’n 250.000 van die exploits of aanvallen die van deze zwakheden gebruik maken. Zo’n 69.000 daarvan waren zogenaamde downloaders, die een ander stuk code gaan halen. Daarmee was dat de topcategorie van malware.

Voor veel van de kwetsbaarheden was al onmiddellijk of na enkele dagen een aanval die er misbruik van maakte. En dat heeft voor een stuk te maken met de manier waarop kwetsbaarheden worden aangekondigd, zegt Ballerini. In 44% van de gevallen wordt zo’n aankondiging vergezeld van voorbeeldcode, die de hackers al een fl ink eind op weg helpt. Toch viel op dat, van de top vijf exploits van 2006, er drie waren gericht op gaten die al in 2004 en 2005 werden ontdekt en gepatched.

Exploits zijn tegenwoordig steeds moeilijker op te sporen via de traditionele techniek van het herkennen van een stuk programmacode of signature. Niet alleen omdat er steeds sneller nieuwe varianten van dezelfde aanval komen (van het Stration worm kwamen in enkele maanden 172 varianten), maar ook omdat nieuwe exploits hun eigen code steeds vaker vermommen (obfuscation). ‘De traditionele aanpak met signatures kan dit niet bijhouden’, aldus Ballerini, ‘We moeten dus naar behavioral technieken’.

De aandacht van hackers verschuift de jongste jaren steeds meer naar de vulnerabilities die geld opbrengen. En dat zijn gaten op veelgebruikte platforms – vooral Windows dus – die nog niet met een patch kunnen worden opgelapt, en die toelaten om van op afstand de controle over een computer over te nemen. Zo’n ontdekking kan een hacker voor 50.000 dollar verkopen, aldus ISS.

VIRTUALISATIE
Sales engineer Robin Toornstra wees op de gevaren van drie technologische ontwikkelingen. Web 2.0 test volgens Toornstra de grenzen af van waar browsers voor ontworpen zijn. Blogs en RSS-feeds vormen bovendien nieuwe kanalen om malware te verspreiden. Het idee van een ‘Web 2.0-gemeenschap wekt vertrouwen bij gebruikers, en dat kan misbruik vergemakkelijken. Ook Voice over IP brengt gevaren mee, onder meer vanwege de complexiteit van het SIP-protocol en het gebrek aan beveiligingsstandaarden.

En tenslotte brengt ook virtualisatie nieuwe risico’s mee. Verschillende machines zijn wel van elkaar afgeschermd, maar zijn op zich niet veiliger dan een fysieke machine. ‘Een virtueel systeem is nog altijd een systeem dat beveiligd en beheerd moet worden’, zegt Robin Toornstra. Bovendien komt er een extra laag van kwetsbaarheid bij, namelijk de virtualisatiesoftware zelf. Blue Pill en Subvirt zijn twee voorbeelden van malware die specifi ek VMsystemen aanvalt.

ISS heeft zijn EMEA-hoofdkwartier in Strombeek-Bever. Daar werken een vijftigtal mensen. De organisatie zijn producten in ons land momenteel via vijftien partners, waaronder Telindus en Nextiraone.