de draadloze lekkende zeef

draadloze netwerken (ook gekend als wifi, wlan, 802.11, ..) zijn op korte tijd enorm populair geworden. iedereen wilt blijkbaar van in de tuin of van boven de dampende wc-pot ongehinderd door kabels het wereldwijde web op. dat die ongekende populariteit ook een paar gevaarlijke kantjes heeft, wordt dikwijls vergeten. of weten de enthousiaste gebruikers gewoon niet..
maar wat zou een onverlaat met zijn laptop in de wagen voor uw deur zoal op uw draadloos netwerk kunnen mispeuteren?
in oplopende volgorde van schadelijkheid:
* gewoon surfen (of mail afhalen) op jouw kosten. who cares, right?
* illegale software of muziek en films downloaden. da’s al iets minder fijn; als je beperkte download-capaciteit hebt (cfr. telenet telemeter) zou je sneller aan die limiet kunnen zitten. en je verbinding wordt eigenlijk gebruikt voor diefstal. politie en de verenigingen van de film- en muziekindustrie zullen er in eerste altijd van uitgaan dat jij -als gebruiker van de verbinding- de schuldige bent.
* illegale software of muziek en films uploaden. het wordt al iets warmer; het zelf aanbieden van mp3’s of divx’en wordt feller bestreden door IFPI en andere belangenorganisaties.
* hacken of spammen: een hacker of spammer wilt voor zijn sportieve of misdadige activiteiten liefst anoniem blijven. wat is er makkelijker dan met de laptop op de schoot in het centrum van een middelgrote stad anoniem andermans internetverbinding te ‘lenen’ om te proberen in te breken op -ik zeg maar wat- de internetsite van hugo coveliers.
onder de indruk? nee? ok, dan gaan we verder:
* zien wat jij op internet doet: met een network-sniffer je doen en laten op internet (alles wat niet geencrypteerd is tenminste) volgen. naar welke sites je gaat, welke paswoorden gebruikt, je binnenkomende en uitgaande mail mail, ..!
* informatie van je computer halen: elke gesharede drive (network-drive) zonder wachtwoord is onmiddelijk en zonder beperking leesbaar voor bezoekers van je draadloos netwerk.
* inbreken op je computer: een beetje zoals voorgaand risico, maar nog meer verregaand. aangezien wireless routers hun draadloze verbindingen als ‘trusted’ beschouwen, wordt het verkeer op die verbinding (meestal) niet door de firewall gestuurd. het is dan ook veel makkelijker om via de draadloze verbinding binnen te breken in een computer dan via het internet. en eenmaal binnen kan je computer gebruikt worden om inloggegevens van je online bank door te sturen, om te spammen, om ..
soit, het komt erop neer dat een open draadloos netwerk een heel groot risico inhoudt. volgende betrekkelijk eenvoudige stappen kunnen dat gevaar buitenshuis houden:
* beveilig je draadloos netwerk met een wachtwoord (WEP of liever nog WPA)
* stel je router zo in dat die de netwerknaam (SSID) niet uitzendt (broadcast)
* laat enkel computers op je netwerk met een gekend MAC-adres (het mac-adres is een voor elke netwerkkaart unieke identificatie-string). je kunt het mac-adres van de netwerkkaart van je computer te weten komen in apparaatbeheer (device manager) of vanuit een ‘dos-venster’ met ‘ipconfig /all’ (zie onder physical address). lijstje invullen in je router onder mac-adres-filtering en klaar is je beter beschermd draadloos netwerk..
en voor de rest: nog veel draadloos genot gewenst!

het kiwi-model voor u en ik, nu ook online ..

er is de laatste maanden al heel wat geschreven over onze sociale zekerheid, het te grote geneesmiddelen- budget en over hoe het kiwi-model dat zal oplossen. maar wist u dat u en ik ter eigen profijt (en dat van de staat) het kiwi-model nu al zelf kunnen toepassen? dat we het goedkoopste geneesmiddel kunnen kiezen? kijk maar op deze site van bond moyson. daar kun je opzoeken of er van jouw favoriete pilletje of siroopje een generieke versie is en wat die kost. de prijsverschillen zijn heel groot (dames; uw pil!), de werking is identiek!

the joy of port forwarding of waarom ik een linux-geek ben

U houdt het misschien niet voor mogelijk, maar zo af en toe (als ik op het werk aan mijn nieuwe krachtige laptop met Windows XP zit) vergeet ik waarom ik zo graag met linux en andere open source software werk. Tot ik weer iets nieuws ontdek in die wondere geek-wereld. Zo ben ik deze week overdonderd door een mij tot voor kort volkomen onbekend aspect van ssh; tcp port forwarding ofte vpn for the linux-masses ..
Voor wie zo moedig was om van de inleidende paragraaf (op mijn homepage) toch nog door te klikken naar dit artikel, een korte uitleg als ‘fond’:
SSH staat voor secure shell, een ‘protocol’ voor beveiligde communicatie met een linux/unix-server. Met ssh krijg je vanop afstand toegang tot zo een machine in de vorm van een shell (te vergelijken met een dos-venster in windows, maar dan veel krachtiger). De beveiliging bestaat uit zware encryptie van alle data die over en weer gaat tussen de server en het ‘dos-venster’. de meest voorkomende implementatie van ssh op linux/ unix is openssh (gratis en open source).
Enig begrip van wat een ‘port’ (poort) is, kan ook helpen om te snappen waar ik het straks over heb. Een computer die op het internet aangesloten is, heeft een op dat moment uniek ip-adres waarop je die machine kunt bereiken (te vergelijken met een huisnummer). Op die computer worden er typisch echter verschillende diensten aangeboden. Daarom wacht elk van die diensten in principe aan een eigen ‘port’ op aanvragen. Zo een poort zou je kunnen vergelijken met de tientallen huisbellen (met parlofoon) in de hal van een appartementsgebouw. De belangrijkste diensten hebben een vaste poort; zo gaat al het webverkeer over poort 80, mail over 25 (om te versturen en 110 om af te halen) en ssh over 22.
Omdat IT- en security-verantwoordelijken beroepshalve paranoia moeten zijn, wordt zoveel mogelijk verkeer van de boze buitenwereld afgeschermd door de firewall op te dragen verkeer voor bijna alle computers en poorten tegen te houden. Daarom kun je van thuis uit bv. niet aan je computer op je werk. Met VPN kan dat wel en ssh tcp forwarding is daar een heel leuk zelfbouw-alternatief voor (als je ssh-toegang hebt tot een linux/unix server op het werk die niet in een DMZ ofzo staat) 🙂
Tot daar de theorie, dan nu de praktijk! Port forwarding is functionaliteit in ssh die toelaat om, via de beveiligde tunnel die ssh opzet over poort 22, requests naar andere poorten (andere diensten dus) te laten forwarden. Hoe? Wel:
ssh -L 5900:mydesktop.mycompany.be:5900 mylinuxserver
naam en paswoord geven en klaar is frank! alle verkeer voor de normaal van thuis uit onbereikbare mydekstop kan nu vanop mijn thuiscomputer (via localhost op poort 5900 naar mylinuxserver naar mydesktop op poort 5900) bereikt worden. en waarvoor ik dat dan gebruik? wel, 5900 is de vnc-poort. ik kan van thuis uit, op mijn linux-laptop, mijn windowsXP-laptop op het werk overnemen (de vncviewer van tightvnc, ook al gratis en open source, doet dat zelfs al automatisch, met de “-via”-optie). en met
ssh -L 1139:fileserver:139 mylinuxserver
en daarna
smbmount //fileserver/myshare myremoteshare -o ip=127.0.0.1,port=1139
kan ik mijn windows-gesharede homedrive op de fileserver op het werk rechtstreeks op mijn thuiscomputertje mounten (aanspreken). smbmount is overigens onderdeel van samba, een gratis en open source implementatie van SMB, het protocol waarmee windows shares werken.
andere mogelijkheden; je mail op een veilige manier binnenhalen (met pop3 of imap4 wordt je wachtwoord in principe immers ongeencrypteerd verstuurd). of surfen via de proxy van het werk. of met de exchange connecteren. vandaar: met ssh port forwarding kun je zo ongeveer alles wat je via vpn zou willen doen, maar niet durfde vragen aan die autistische coorporate IT’er op je werk. en wedden dat die man geen probleem heeft met incoming connections op port 22? 😉
ik heb nu overigens op mijn usb-key (waarvoor ik eigenlijk nog geen echt nuttig gebruik had gevonden) vncviewer en putty gezet. met putty (een ssh client voor op windows, ook gratis en open source) kun je ook port forwarden. waar ik ook kom, ik hoef mijn usb-key maar in te pluggen, putty op te starten en in te loggen op een unix/linux-machine op het werk en ik kan met vncviewer aan mijn laptop..
en for the record: op die nieuwe blinkende dell latitude d505 komt eerstdaags ook wel linux te draaien. kwestie van geduldig op de nieuwe Ubuntu te wachten, die perfect met de Intel Centrino chipset zou moeten kunnen werken .. en in tussentijd zorgt cygwin voor een vertrouwde shell ;D

softwarepatenten in europa: no thanks!

het voorstel van de europese ministerraad over softwarepatenten ligt plotsklaps weer ter goedkeuring op tafel op de vergadering van de ministers van landbouw en visserij (!) nu maandag. alle wijzigingen die het europese parlement na een grondige inhoudelijke discussie had voorgesteld, zijn -nogal ondemocratisch- van tafel geveegd. meer info over hoe je hiertegen kunt protesteren vind je op softwarepatenten.be

en kijk hier eens om te zien waar het in de praktijk over zou kunnen gaan..

update: onder druk van polen is de stemming met een week uitgesteld.

Schuilen voor Armageddon en cyberterreur

“Cyberterroristen willen internet platleggen” blokletterde De Morgen op 23-08. De claim bleek (losjes) gebaseerd op wat Eddy Willems (Data-Alert) zei over de dreiging van W32.SoBig.F. Voorlopig is het zo ver nog niet, maar het zou nog maar een kwestie van tijd zijn vooraleer een virus het internet platlegt, met “catastrofale gevolgen voor zowel de beurs, luchthavens als ziekenhuizen”! Of toch niet?
We leven in angstaanjagende tijden; baardige terroristen bedreigen ieders vredige achtertuin, onbekende long- en andere ziektes liggen op de loer om onze gezondheid en onze medisch-wetenschappelijke zielerust te ondermijnen, .. En daarbovenop blijken onze eigen computers, die interactieve breedband-vensters op het wereldwijde dorp, wapens te zijn in de handen van terroristen en andere hackende misdadigers? Waar is het foutgegaan? Welke God moeten we aanroepen om al dit naderende onheil af te wenden?
Laat ons het melodrama van de onheilsprofeten maar laten voor wat het is om drie eenvoudige vragen te beantwoorden:
1. Kan een virus het Internet echt platgeleggen?
Eigenlijk niet, omdat het internet is gebouwd als een netwerk van onafhankelijke computers, zonder centrale infrastructuur.
Wat een virus wel kan, is bepaalde stukken van dat netwerk platleggen, door ‘de lijnen te overbelasten’ (Denial of Service ofte DoS). In dat geval kunnen delen van het internet onbereikbaar worden en zou het in een extreem geval kunnen dat de de ‘fat pipe’ tussen de USA en Europa dichtslibt. Een probleem, ongetwijfeld, maar het internet blijft wel werken, juist omdat er geen centrale infrastructuur is.
Een virus kan ook, zoals al gebleken is, de mailservers van bedrijven of ISP’s overbelasten. In dat geval valt het mailverkeer van die organisaties -tijdelijk- uit.
Dat virussen of wormen catastrofale gevolgen kunnen hebben voor ziekenhuizen, luchthavens en banken is dan ook maar gedeeltelijk waar: de kans is reëel dat een krachtig virus het mailverkeer of de internetconnectiviteit van zo een organisatie platlegt. Maar dat het functioneren van zo een bedrijf afhangt van zijn verbinding met het internet? Nee, dat is zelden of nooit het geval; voor cruciale verbindingen zal een bank of een luchthaven niet het publieke internet, maar een privé-netwerkverbinding gebruiken, die als het goed is niet enkel afgeschermd is van de boze buitenwereld, maar ook van de potentieel besmette computers van onkundige (of soms kwaadwillige) werknemers.
2. Wie of wat bedreigt mijn vredelievende computer dan?
Er zijn drie types bedreigingen; virussen, wormen en hackers. De eerste categorie probeert een onwetende gebruiker zover te krijgen om het malafide programma (dat meestal via mail wordt verspreid) op te starten. Eenmaal actief, probeert het virus zich in je computer te nestelen en zich verder te verspreiden (via mail naar alle mailadressen uit je adressenboek of naar alle mailadressen die op internetpagina’s staan die in het geheugen van je computer zitten).
Verveelde would-be hackers (en hun geautomatiseerde zelfverspreidende ‘exploits’ die wormen worden genoemd) buiten voornamelijk beveiligings-gaatjes in software uit om binnen te dringen in een computer via één van de vele kanalen (poorten) waarop uw computer luistert naar binnenkomend verkeer. De beveiligingsgaatjes worden over het algemeen door goedmenende (professionele of hobbyende) security-experten gevonden en gemeld aan fabricanten (Microsoft, Apple, …) die een ‘software-pleister’ (patch) uitbrengen om het gaatje te dichten. Die patchen geraken in de praktijk niet echt snel genoeg op uw en mijn computer geinstalleerd. En dan slagen hackers, maar vooral script-kiddies (onkundige indringers die kant en klare programma’s van echte hackers gebruiken om binnen te dringen) en wormen toe.
Zowel virussen als hackers/ wormen installeren regelmatig ‘achterdeurtjes’ om besmette computers later te gebruiken als uitvalsbasis voor spam-mailcampagnes, (DoS-)aanvallen op andere systemen of (dikwijls illegale) bestandsuitwisseling.
3. HELP!?
Panikeer niet, doe er iets aan! Om de risico’s van bovenstaande dreigingen enigszins in te perken, moeten zowel individuen als hun (breedband-)ISP’s en de bedrijven hun verantwoordelijkheid opnemen.
Recept voor particulieren: virusscanner, firewall en patches. Installeer een virusscanner, laat die alle binnenkomende mail controleren en besmette berichten onverbiddelijk verwijderen en haal minstens 1 keer per week (volautomagisch) virusdefintie-updates van uw virusscanner-fabricant binnen. Installeer een firewall die toegang tot uw computer beperkt tot het absoluut noodzakelijke kan beperken (juiste configuratie van deze software is heel belangrijk, vraag rond in uw kennissenkring wie u kan helpen). En ga elke dag (ook dit kan automatisch) na of er nieuwe beveiligings-patches geinstalleerd moeten worden. Wie deze maatregelen in acht neemt, komt al heel ver.
Particulieren als groep zouden ook gebaat zijn bij een grotere diversiteit in de software-biotoop: aangezien meer dan 90% van de computers Microsoft Windows, Microsoft Outlook Express en Microsoft Internet Explorer gebruikt (die onderling dan nog eens sterk geintegreerd zijn), zijn er meer virussen voor dit platform en verspreiden die e-beestjes zich ook enorm snel. Indien 30% van de Windows-gebruikers zou overschakelen op Apple Mac OS X of één van de gebruiksvriendelijker Linux-versies, zouden zij niet enkel meer kans op zielerust voor hun computer maken, maar zouden virussen zich ook minder snel kunnen verspreiden.
Maar ook (bedrijven en) breedband-ISP’s hebben een belangrijke rol te spelen: wormen en virussen verspreiden zich zo snel omdat te weinig van die beestjes worden tegengehouden nog voor ze de computer van de eindgebruiker bereiken en omdat een besmette computer te lang actief kan blijven. Concreet: elke ISP zou op de mailservers een virusscanner hebben moeten staan om zowel inkomende en uitgaande mail te controleren. En om wormen (en hackers) buiten te houden zouden ISP’s een groot aantal poortjes op de computers van hun klanten van buitenuit onbereikbaar moeten maken (verkeer dat als antwoord wordt verstuurd op een ‘vraag’ van de surfer zoals bv. een vraag om webpagina X, kan dan nog perfect binnen, maar uw en mijn computer zijn dan niet meer als ‘server’ bereikbaar om zelf vragen binnen te krijgen). En laat providers, als ze dan toch bezig zijn, de handen in elkaar slaan om automatisch adressen uit te wisselen van computers van waarop automatisch of door een hacker inbraakpogingen gedaan worden, zodat die machines tijdelijk worden afgesloten (naar het voorbeeld van de blocklist op dshield.org)
Een laatste partij die de dreiging van virussen en wormen sterk zou kunnen verminderen, zijn de softwarebouwers en dus in eerste instantie over Microsoft. De verregaande integratie van Internet Explorer in Windows en in Outlook Express maken het bv. mogelijk dat een mail die binnenkomt kan profiteren van een niet gedicht veiligheidsgaatje om een attachment ongezien, zonder gebruikersinteractie, te openen. Door die verregaande integratie is met een oppervlakkige kennis van webprogrammatie en wat opzoekwerk op google heel wat mogelijk (lezen van data op harde schijf van slachtoffers, ontfutselen van wachtwoorden voor logins op websites, ..). Om het simplistisch te stellen: indien Microsoft de gebruiker de kans gaf om mail enkel in niet opgemaakte tekst (geen html, geen richt text) te bekijken, zouden een aantal problemen al van de baan zijn. En indien Microsoft er dan ook nog voor zou zorgen dat attachments altijd in een ‘gevangenis’ worden geopend, waarin ze geen toegang tot de harde schijf of het netwerk hebben, zouden virussen het al heel wat moeilijker hebben om zich te vermenigvuldigen.
Vanzelfsprekend moeten particulieren, ISP’s, bedrijven en softwarehuizen investeren om een aantal van deze maatregelen te bekostigen. Maar om de duivel en andere hackers buiten spel te zetten (en zo voor vrede op aard en uw en mijn computer te zorgen) moet een moderne superman toch iets overhebben, niet?

muziek, commercie en internet

Het zijn moeilijke tijden, volgens de muziekindustrie. Er gaan miljarden verloren door filesharing van mp3-bestanden. U en ik zijn ordinaire pikkedieven en we kunnen beter schrik hebben, want één dezer worden we gepakt en gestraft!
Maar is er niet meer aan de hand dan de muziekindustrie ons wilt laten geloven? Want dat de downloaders (maar vooral diegenen die op kleine of grotere schaal zelf illegale cd’s aanmaken en verkopen) een negatieve invloed hebben op de verkoop, dat wil ik best geloven. Maar daarnaast dan? Zijn er geen andere factoren?
Een creatieve poging;

  • het is crisis, luxe-bestedingen lijden daar nu eenmaal als eerste onder.
  • dat het minder goed gaat dan 10 jaar geleden is niet meer dan logisch; de vervangings-aankopen (het kopen van muziek op CD ter vervanging van dezelfde LP) die de industrie ongelofelijk veel hebben opgebracht, zijn gestopt.
  • jongeren (een belangrijk doelpubliek van de muziekmarketeers) kicken tegenwoordig niet meer (enkel) op muziek, maar evengoed (of meer?) op gsm’s, dvd’s, computers, game-consoles, spelletjes voor die consoles, .. De strijd om de portomonnee van de jonge gasten is dan ook bijzonder hard.
  • de traditionele distributiemethodes die de muziekindustrie nog steeds zo graag gebruikt, voldoen niet meer aan de behoeften van een groot deel van het doelpubliek. het succes van apple’s iTunes toont dat het wel degelijk anders kan.
  • muziek is (net onder invloed van de marketeers van de industrie) veel meer een wegwerpartikel/ consumptiegoed geworden. de niet tastbare meerwaarde van een CD is daardoor gedaald. de aankoop en de eerste luisterbeurt van een LP was vroeger een bijna heilige aangelegenheid, het verdwijnen van het vinyl was misschien zelfs de eerste stap in de teloorgang van de industrie, eerst nog gecamoufleerd door de hiervoor al genoemde vervangings-aankopen..

Conclusie; er is waarschijnlijk echt wel heel wat meer aan de hand dan het vermaledijde downloadgedrag van de gemiddelde Clouseau-fan. Laat de muziek-marketeers misschien iets verder kijken dan hun neus lang is. Een bedrijfstak die zich op tijd en stond niet volledig kan heruitvinden, is tot mislukken gedoemd. Alle gedreig ten spijt..