Vorige aflevering | Search TidBITS | TidBITS Homepage | Volgende aflevering

TidBITS#704/03-Nov-03

Biedt jouw Classic Mac OS server de spammers hulpdiensten aan? Chuck Goolsbee ontdekte in de oudere server software een ernstige beveiligingsfout die nu wordt misbruikt, wij leggen het uit. Meer op het gebied van beveiliging, Glenn Fleishman kijkt naar de ondersteuning voor WPA bij de laatste software update van AirPort en we doen verslag van een paar beveiligingsreparaties in Panther. Ook deze week, Apple legt uit wat het probleem is met Panther en externe FireWire 800-schijven, en Eudora 6.0.1 is uit.

Onderwerpen:

Copyright 2003 TidBITS: Reuse governed by Creative Commons license
<http://www.tidbits.com/terms/> Contact: <[email protected]>

-> Denk je dat TidBITS interessant is voor <-
-> je vrienden, kennissen, collega's? Geef <-
-> hen de tip zich ook GRATIS te abonneren <-
-> of stuur deze aflevering naar hen door! <-

Je kunt je gratis abonneren op de Nederlandse afleveringen van TidBITS door een (blanco) mailtje te sturen naar: [email protected]. Je krijgt deze dan per e-mail toegestuurd.
Om je abonnement op te zeggen, kun je een mailtje sturen naar: [email protected].

Deze editie van TidBITS werd gedeeltelijk gesponsord door:

De Nederlandse editie van TidBITS is een letterlijke vertaling van de oorspronkelijke Engelse versie. Daarom is het mogelijk dat een deel van de inhoud niet geldt in bepaalde landen buiten de USA.

Dit nummer werd uit het Engels vertaald door:

Verder werkten mee:

Hoe je ons kunt bereiken kun je lezen op:
<./tidbits-nl/contact.html>

MailBITS/03-Nov-03

[vertaling:PEP]

Security Update 2003-10-28 uitgebracht -- Hoewel Mac OS X 10.3 Panther een aantal beveiligingsnalatigheden in de vorige versies van Mac OS X oplost, heeft Apple er geen gras over laten groeien en de afgelopen week meteen Security Update 2003-10-28 uitgegeven via Software Update. Security Update 2003-10-28 lost een lek op dat ongeautoriseerde toegang verschaft tot een systeem door een onvolkomenheid in QuickTime voor Java. De update is alleen voor computers met Mac OS X 10.3 Panther en is een 782K download.

<http://docs.info.apple.com/article.html?artnum=61798>
<http://docs.info.apple.com/article.html?artnum=120266>

Ook heeft Apple toegegeven dat Panther drie pas ontdekte beveiligingsproblemen oplost. Het bedrijf werkt tevens aan een update voor computers met Mac OS X 10.2.8 en lager. [JLC]

<http://www.atstake.com/research/advisories/2003/#102803-1>

Eudora 6.01 uitgegeven -- Qualcomm heeft een update naar Eudora versie 6.0.1 uitgebracht die een aantal kleine bugs wegwerkt en het e-mailprogramma van het bedrijf compatibel maakt met Mac OS X 10.3 Panther. Eudora 6.0.1 is beschikbaar als een gratis update voor Mac OS X (in een 5.5 MB download) of Mac OS 9 (in een 5.7 MB download). [JLC]

<http://www.eudora.com/download/eudora/mac/6.0.1/Release_Notes.txt>
<http://www.eudora.com/download/>

Reparaties verkrijgbaar voor sommige Panther FireWire-problemen

door Jeff Carlson <[email protected]>
[vertaling: EB]

Wanneer een nieuwe versie van een besturingssysteem wordt uitgebracht, verwachten we tegen fouten en compatibiliteitsproblemen aan te lopen die er in de testfase niet zijn uitgerold. Helaas is er een heel akelig probleem aan de oppervlakte gekomen: Mac OS X 10.3 Panther kan onder bepaalde omstandigheden de gegevens op een externe FireWire-disk compleet vernietigen. Disk-herstelprogramma's zoals DiskWarrior en Norton Disk Doctor zijn niet in staat gebleken de disks weer te herstellen.

Vorige week heeft Apple een probleem vastgesteld met FireWire 800-harddisks die de Oxford 922 bridge chipset gebruiken met firmware versie 1.02. Volgens verslaggeving op het Web begint het probleem met het herstarten van de Mac met de disk aangesloten; Apple beveelt aan elke FireWire 800-disk die is aangesloten op een Mac met Panther onmiddellijk af te sluiten en los te koppelen.

<http://www.apple.com/macosx/firewire800specialmessage.html>

Deze situatie is de oorzaak van een regen aan firmware updates en wijzende vingers. Fabrikanten zoals WiebeTech, LaCie, Other World Computing en FireWire Direct hebben firmware updates gepubliceerd voor hun producten (jammer genoeg zijn de firmware updates merk-specifiek, dus neem contact op met de verkoper van je disk). Je moet de updates installeren met een Mac die op een oudere versie van Mac OS X loopt dan Panther.

<http://www.wiebetech.com/techsupport.html>
<http://www.lacie.com/support/drivers/>
<http://eshop.macsales.com/Reviews/Framework.cfm?page=/hardwareandnews/oxford/oxfordandpanther.html>
<http://www.firewiredirect.com/site/panther.shtml>

Als reactie op de aankondiging van Apple, heeft Oxford Semiconductor zijn eigen verklaring uitgebracht, waarin wordt gesteld dat het probleem ligt in Apple's implementatie van FireWire in Panther, en niet in de 922 chipset, aangezien systemen met Mac OS X 10.2 Jaguar er geen hinder van hebben.

<http://www.oxsemi.com/>

Daarbij komt dat gebruikers rapporteren dat het probleem niet beperkt is tot FireWire 800-disks; een collega Mac-auteur werd getroffen door het probleem toen hij een FireWire 400-disk gebruikte met de Oxford 911 chipset. Voor het moment adviseren we Panther en FireWire-disks ver van elkaar te houden, tot de zaak is opgelost. Als je een externe FireWire-disk toch moet gebruiken in Panther, zorg er dan voor dat je de disk handmatig opstart nadat de Mac is opgestart, en sluit hem af voordat je herstart. En alsjeblieft, zorg zorgvuldig voor backups, bij voorkeur op CD of DVD, of via een netwerk.

Als je pech hebt gehad en gegevens bent verloren door dit probleem, is er tenminste een beetje hoop om je kritische data terug te krijgen. We hebben vanuit verschillende bronnen gehoord dat Prosoft Engineering's Data Rescue X enig succes heeft gehad met het terugwinnen van bestanden, soms na het wissen van de disk met Disk Herstel (dat slechts de directory wist, beangstigend als dat lijkt). Jay Nelson van Design Tools Monthly vertelt ons ook dat Prosoft $10 korting biedt aan mensen die gegevensverlies lijden door Panther; gebruik code PAN911 wanneer je bestelt.

<http://www.prosoftengineering.com/products/data_rescue.php>
<http://www.design-tools.com/>

Als alternatief vertellen onze vrienden bij DriveSavers dat ze succesvol zijn in het terugbrengen van gegevens van disks die het probleem hebben meegemaakt. Beter nog, DriveSavers biedt klanten die als gevolg van het Panther en FireWire 800-probleem gegevens hebben verloren, een korting aan. Als je van plan bent je disk naar DriveSavers of een vergelijkbaar bedrijf te sturen, probeer dan niet je data te herstellen met gebruik van diskherstelprogramma's, dat kan het probleem verergeren en maakt het minder waarschijnlijk dat je data gered kan worden. (Ik kan DriveSavers persoonlijk aanbevelen, ze hebben me een keer geholpen een kapotte disk te herstellen, zie "DriveSavers Komt Ter Hulp" in TidBITS-495).

<http://www.drivesavers.com/>
<http://db.tidbits.com/getbits.acgi?tbart=05530>

PayBITS: Heeft Jeff's artikel voorkomen dat je gegevens kwijtraakte door
deze Panther bug? Stuur hem dan een paar pegels via PayBITS!
<http://www.paypal.com/xclick/business=jeff%40necoffee.com>
Lees meer over PayBITS: <./paybits.html/>

(Natuurlijk is een gift aan de Nederlandse vertaalploeg ook welkom: <https://www.paypal.com/xclick/business=d.flach%40chello.nl&item_name=TBNL>.)

AirPort 3.2 Update voegt nieuwe beveiligingsopties toe

door Glenn Fleishman <[email protected]>
[vertaling: PEP, TK]

Direct na het uitbrengen van Mac OS X 10.3 Panther heeft Apple verleden week de AirPort 3.2 Update uitgebracht, met de verwachtte toevoeging van Wi-Fi Protected Access (WPA) encryptie, een nieuwe beveiligingsmethode voor het regelen van stevige encryptie voor draadloze verbindingen tussen een AirPort Extreme kaart en een AirPort Extreme Basisstation. De AirPort 3.2 software omvat de AirPort Extreme Firmware 5.2 update voor het AirPort Extreme Basisstation; een aparte installer voor de firmware update is ook beschikbaar als een 1.1 MB download op de website van Apple.

<http://docs.info.apple.com/article.html?artnum=120267>
<http://docs.info.apple.com/article.html?artnum=120268>

De toevoeging van ondersteuning voor WPA encryptie is belangrijk nieuws voor gebruikers en beheerders van draadloze netwerken. WPA is de opgeknapte versie van de originele Wired Equivalent Privacy (WEP) encryptie in de 802.11 draadloze standaard. WEP bleek zo veel problemen en zwakke plekken te hebben dat een boosdoener met gratis beschikbare software makkelijk een WEP sleutel kon opsporen door passief 'mee te luisteren' voor enkel 15 minuten ofwel een paar dagen, afhankelijk van het verkeersvolume op het Basisstation (zie "Draadloze Viskommen" in TidBITS-592).

<http://db.tidbits.com/getbits.acgi?tbart=06520>

WPA gebruikt een eenvoudige 'passphrase' - een set van letters, nummers en punctuering - om een encryptiesleutel aan te maken, dit is precies zoals Apple altijd de complexiteit van de aanpak van WEP verborgen hield. Achter de schermen echter knapt WPA de fouten op waarmee WEP altijd de mist in ging, waardoor dit nu een betrouwbare manier is om draadloos verkeer te beveiligen. (Om een netwerk van bekabelde en draadloze verbindingen te beveiligen heb je wellicht een virtueel privé netwerkverbinding nodig; Apple heeft twee soorten VPN-cliënten en servers in Panther en Panther Server.) Met WPA geïnstalleerd kom je enkel nog het netwerk binnen door het toepassen van 'social engineering': iemand ervan overtuigen om jou zijn toegangscode te geven.

Vroege WPA-struikelblokken -- Deze eerste implementatie van WPA heeft jammer genoeg drie grote minpunten. De interface voor het invoeren van een "WPA Personal"-sleutel (de Apple-term voor wat beter bekend staat als een "pre-shared key") lijkt niet op de interfaces voor de ons bekende draadloze toestellen van Linksys en Buffalo. Je hebt de keuze tussen een wachtwoord van 8 tot 63 teksttekens of een Pre-Shared Key, die bestaat uit 64 hexadecimale tekens. Mensen toch, dat is heel wat typwerk, en het is niet duidelijk of je de hex-versie ook op andere toestellen kunt gebruiken; je houdt het dan ook best bij een op tekst gebaseerd wachtwoord. (Apple biedt ook ondersteuning voor wat ze WPA Enterprise noemen, waarbij een gebruiker van een AirPort Extreme kaart zijn gebruikersnaam en wachtwoord door een RADIUS-server kan laten bevestigen, zodat die gebruiker meteen ook een unieke encryptiesleutel heeft.) In de interfaces voor de toestellen van Buffalo en Linksys voer je een wachtwoord van 8 tot 32 teksttekens in. Geen van beide biedt de hexadecimale versie van de "pre-shared key".

Het tweede minpunt is dat Apple momenteel alleen pure WEP- of pure WPA-netwerken toelaat, zelfs al laat WPA ook oudere machines die alleen WEP kennen in een WPA-netwerk toe (door zowel WEP en WPA toe te laten, zelfs al wordt het geheel dan wat minder veilig).

Het laatste minpunt is dat, althans voorlopig, gebruikers van 802.11b AirPort kaarten en AirPort Basisstations, evenals gebruikers van Mac OS 8.6/9.x, geen toegang krijgen tot deze geavanceerde en veilige beveiligingsmethode - iedereen met oudere hardware krijgt voor wat betreft WPA het deksel dus op de neus. Het kan echter ook anders: WPA werd specifiek ontworpen als een firmware upgrade-optie voor alle bestaande 802.11b-toestellen. Het is natuurlijk heel goed mogelijk dat Apple en Agere - de producenten van de 802.11b-apparatuur van Apple - hard aan een oplossing voor dit probleem aan het werken zijn, en Proxim, de huidige eigenaar van de consumenten-hardware die gelijkwaardig zijn aan de AirPort kaarten heeft een witboek uitgebracht waarin ondersteuning voor WPA op korte termijn wordt aangekondigd. Dat betekent echter niet dat alle bestaande 802.11b-toestellen gebouwd zijn voor een dergelijke upgrade: onze huidige indruk is dat het AirPort Basisstation van Apple niet 'upgradable' naar WPA is. Aangezien dit geen geld in het laatje brengt, kunnen we de prioriteiten van Apple moeilijk voorspellen, behalve dan dat ze beter zonder miljoenen geërgerde klanten kunnen.

<http://www.proxim.com/learn/library/whitepapers/WPA_White_Paper.pdf>

Afgezien van deze drie minpunten, installeer en gebruik deze update onmiddellijk als je netwerk volledig uit AirPort Extreme bestaat, aangezien hij een fundamenteel goede beveiliging biedt voor alle types van installatie, klein of groot.

De AirPort 3.2-upgrade, een download van 7 MB, werkt alleen met Mac OS X 10.3 of later, en Apple beveelt deze upgrade aan zowel voor AirPort als AirPort Extreme kaarten en basisstations. De update voor de niet-Extreme AirPort-toestellen blijkt echter alleen maar een foutbericht te geven dat WPA niet beschikbaar is.

Adam Engst en ik hebben net een grote revisie van ons boek, The Wireless Networking Starter Kit, klaargestoomd. Dit bevat nu een uitgebreide uitleg van het gebruik van WPA en de beveiligingsprincipes die aan de basis liggen, naast nog tientallen nieuwe onderwerpen. De tweede editie is later deze maand verkrijgbaar.

<http://wireless-starter-kit.com/>

PayBITS: Heeft de uitleg van Glenn je de grenzen van de
AirPort-update uitgelegd? Misschien wil je hem wel wat centen sturen via PayBITS!
<http://www.paypal.com/xclick/business=glenn%40glennf.com>
Lees meer over PayBITS: <./paybits.html/>

(Natuurlijk is een gift aan de Nederlandse vertaalploeg ook welkom: <https://www.paypal.com/xclick/business=d.flach%40chello.nl&item_name=TBNL>.)

Oude Mac OS servers misbruikt door spammers

door Chuck Goolsbee <[email protected]>
[vertaling: RAW, DPF, JG, PAB, EV]

Het volume aan spam op het internet is de laatste vier maanden exponentieel toegenomen. Hoe? Spammers hebben een nieuwe manier gevonden om hun spam te versturen, in veel grotere hoeveelheden dan voordien mogelijk werd geacht. Helaas, en misschien wel voor het eerst, vormen Macs een klein deel van het probleem.

Als het over wormen, virussen en andere vormen van netwerkmisbruik gaat, waaronder ook spam, beschouwt de Macintosh-gemeenschap zichzelf vaak als een eiland van immuniteit in een wereld van onveiligheid, gedomineerd door Windows. Mac OS X heeft tot nu toe puike resultaten neergezet, en de voorgaande versies van het oude Mac OS waren blijkbaar vrijwel perfect waar het netwerkveiligheid betrof, al zullen veel experts, waaronder ik zelf, je vertellen dat de onschendbaarheid van het oude Mac OS eerder te danken was aan puur geluk dan aan opzettelijk ontwerp.

Dat geluk is nu op. De Mac OS internetservers, ooit beschouwd als immuun voor misbruik, zijn nu ook in het spam- en netwerkmisbruikprobleem betrokken geraakt. Hoe kon dit gebeuren? Op dezelfde manier als ieder ander besturingssysteem dat in gebruik is als internetserver misbruikt kan worden door booswichten: een ongelukkige combinatie van software die "standaard open" geleverd wordt en systeembeheerders die de tijd niet nemen om hun servers te begrijpen en ze correct in te stellen om misbruik te voorkomen.

Wie is nu precies de schuldige in deze situatie? Spammers gebruikten vroeger vooral open mail relays, mailservers die zonder restricties mail accepteren van iedereen op het net en ze doorsturen naar de eindbestemming. Nu systeembeheerders en mailserver-ontwikkelaars op de hoogte zijn van de idioterie van een mailserver die mail doorstuurt zonder enige authenticatie te eisen, zijn spammers van tactiek veranderd en begonnen met het gebruik van een nieuwe methode: de open proxy server.

Wat is een proxy server? Een proxy server is een stukje software dat het surfen op het web van gebruikers op een intern netwerk vergemakkelijkt, meestal op netwerken die met een firewall beschermd worden tegen de internet-buitenwereld. In feite zit de proxy server tussen het web en alle gebruikers op het interne netwerk, stuurt de verzoeken voor webpagina's van de gebruikers naar buiten, ontvangt de betreffende pagina's en stuurt ze door naar de gebruikers in kwestie. Instanties gebruiken proxy servers om de prestaties te verbeteren (omdat de proxy server een kopie van de opgehaalde webpagina's kan opslaan waar andere gebruikers op het interne netwerk gebruik van kunnen maken zonder dat ze die van het internet moeten halen) en voor het uitfilteren van bepaalde inhoud (proxy servers kunnen weigeren om gevraagde webpagina's op te halen als die veel vieze woorden bevatten; scholen gebruiken proxy servers vaak als inhoudsfilters).

Je zou dus denken dat proxy servers handig zijn voor de beveiliging, en dat kunnen ze ook zijn, mits juist ingesteld en in gebruik gesteld door een competente netwerkbeheerder. Helaas wordt er maar zelden aan deze voorwaarden voldaan. Goedbedoelende software-leveranciers, zoals (onder andere) Microsoft in de Windows-markt en StarNine (nu eigendom van 4D Inc.) in de Macintosh-markt, begonnen vanaf de late jaren negentig proxy servers als onderdeel van hun "webserverpakketten" te leveren. Dat was logisch, want klanten vroegen om deze opties, maar om de instelling te vereenvoudigen en alles rechtstreeks uit de doos te laten werken, werden deze pakketten meestal ingesteld om de proxy server standaard te installeren en op te starten, en wat erger is, om toegang toe te staan van iedereen, niet alleen van gebruikers op het interne netwerk. Deze beslissingen, nu gemakkelijk te herkennen als fouten, brengen ons terug bij de huidige situatie. Vandaag de dag zijn er overal standaard open proxy servers te vinden op het internet, en een deel daarvan zijn Macs.

Hoeveel van deze Macintosh internetservers bestaan er eigenlijk? Google, het alziende oog van het internet, kan je een idee geven met de onderstaande koppeling, die zoekt naar de standaardpagina die geïnstalleerd werd door WebSTAR 4 van 4D. Veel gebruikers wissen of overschrijven dit document, dus de lijst in Google zal slechts een klein deel laten zien van het werkelijke aantal WebSTAR servers dat potentieel de bijgeleverde proxy server standaard aan zou kunnen hebben staan. Vergeet niet om te klikken op de koppeling "de zoekbewerking herhalen met de weggelaten resultaten"!

<http://www.google.com/search?q=Server+Suite+4+Test+Page>

Op welke manier zijn open proxies een veiligheidsrisico? Het probleem met open proxies is dat iedereen op internet ze kan gebruiken als 'tussenpersonen' om zo ongeveer iedere actie uit te voeren die gerelateerd is aan internettoegang. Om te zien hoe je een proxy server zou moeten configureren voor een aantal soorten internetverkeer in Mac OS X, kun je op de Proxies-tab klikken in het Netwerk voorkeurenvenster. Meest voorkomend misbruik van een open proxy is het omzeilen van locale inhoudsfilters - ironisch genoeg maakt men hierbij gebruik van de ene proxy filter om de andere te omzeilen. In de vele open proxy logs die ik onderzocht heb valt 95 procent van de hits in deze categorie.

Spammers lijken open proxies ergens in het afgelopen jaar ontdekt te hebben, waarschijnlijk toen het aantal mailservers dat open relaying toestond dramatisch daalde. Een aantal van de recente Windows/Outlook virusepidemieën waren in feite Trojaanse paarden waarbij de verborgen open proxy code het echte gevaar was. Rumoerige en actieve wormen als Blaster leidden de aandacht van iedereen (inclusief de media) af terwijl de andere wormen in staat waren gedurende twee weken honderden, duizenden (misschien nog wel meer) open proxy servers te infecteren die op een later tijdstip gebruikt konden worden. Vervolgens konden de spammers al deze open proxies vinden.

Op dit punt werden de Macs gevonden omdat ze ook oude Macs tegenkwamen waarop WebSTAR versies 3 en 4 draaide met ongebruikte en onbekende proxy software. Daar deze Macs net zo bruikbaar waren, werden ook zij gebruikt.

Zodra een spammer toegang heeft tot een open proxy kan hij al het volgende doen met volledige anonimiteit, met gebruikmaking van de bandbreedte van een ander:

Afgelopen week heb ik met verschillende mensen gesproken van het ontwikkelteam van de versie van WebSTAR die voor het eerst een proxy server bevatte, inclusief de voormalige product manager en de ontwikkelaar die de proxy server code schreef. Ik vroeg ze waarom ze ervoor kozen om een proxy server te bundelen met WebSTAR.

Als antwoord gaven ze het voorbeeld van een school, waar een leraar een klas zou vragen om een bepaalde URL te bezoeken, waarbij iedereen dezelfde pagina's zou downloaden op hetzelfde moment, wat de prestaties enorm terug zou brengen. Met een lokale proxy server hoefde die website maar 1 keer bezocht te worden en zou de content vervolgens lokaal verspreid kunnen worden. Op deze manier zou de verbinding van de school niet vol lopen, in die tijd vaak niet meer dan een 56 Kbps frame relay of 144 Kbps ISDN-lijn, of misschien zelfs een modem. Verder noemden ze landen met bandbreedte-beperkingen als Australië of Nieuw Zeeland waar dit zeer prettig was. En ik herkende de situatie: toen ik in Europa werkte halverwege de jaren 90 kwamen proxies bij ISP's veel voor (hoewel ze vaak caching servers genoemd werden) om te besparen op de verbinding over de Atlantische oceaan.

Bij deze gesprekken maakte ik de opmerking dat wij nooit de proxy component van WebSTAR geïnstalleerd hadden op de servers van digital.forest, maar dat ik het programma vond op één van de servers die we delen, dus ik vroeg hen hoe het geïnstalleerd kon zijn zonder dat iemand dat wist. De voormalige product manager legde uit hoe dit gebeurd kon zijn door een nieuwe installatie of een upgrade. Bovendien schijnen er situaties te zijn (ik heb nog niet ontdekt welke) waarbij de proxy standaard open staat. Dit heeft dus tot de situatie van misbruik geleid.

Toen ik vertelde van het misbruik waren ze verbaasd, maar voelden ze ook spijt. Verbaasd over het feit dat iemand zich bezighoudt met dit soort dingen, en spijt dat men zich dat niet gerealiseerd heeft. Ik had dezelfde reactie, omdat ik niet denk dat veel mensen dit aan hadden kunnen zien komen. Zeven jaar terug, de tijd dat deze producten ontwikkeld werden, was spam voornamelijk vervelend op Usenet, en niet de enorme vloedgolf van e-mail van vandaag de dag.

Hoe ontdekte ik deze misbruikte Macs?Eerder dit jaar hoorde ik mijn collega's in de netwerkgemeenschap praten over open proxy misbruik. Geïntrigeerd las ik een paar uitstekende verhandelingen gepresenteerd op conferenties door onderzoekers die zich met dit onderwerp bezighielden.

<http://www.uoregon.edu/~joe/proxies/open-proxy-problem.pdf>
<http://spamlinks.port5.com/proxy.htm>
<http://www.westdam.com/spamlinks/proxy.htm>

Zodoende weet ik al een paar maanden van het probleem, maar realiseerde ik me niet hoe dicht bij huis het was. Bij digital.forest verkopen we internet colocatie-diensten, en berekenen we klanten die een bepaalde bandbreedtegrens te buiten gaan zoals gemeten bij de Ethernet-laag (die al het verkeer naar en vanuit de computer opneemt, in plaats van slechts naar een service te kijken zoals HTTP). Maar sinds de meeste klanten die een hoop bandbreedte gebruiken web-servers met groot volume hebben lopen, vergelijken ze gewoonlijk hun HTTP-toeganglogboeken met hun verbruiksrekeningen. Afgelopen maand merkte een van digital.forest's klanten een groot genoeg verschil tussen onze rekening voor netwerkgebruik en de hoeveelheid bandbreedtegebruik zoals vermeld werd in zijn webserverlogboek om een accountantscontrole aan te vragen. Ik verwachtte dat de extra protocols FTP en SMTP-mail de tegenstelling zou verklaren, maar in plaats daarvan ontdekte ik dat hun WebSTAR server's proxy de bron van het extra bandbreedtegebruik was. Uit nieuwsgierigheid begon ik verder te onderzoeken, en een boodschap op een netwerkmisbruik-newsgroup waarschuwde me voor nog meer open proxies in ons netwerk (gelukkig niet op de TidBITS-servers).

<http://groups.google.com/groups?selm=59c3aad4.0310192058.6683a403%40posting.google.com>
<http://chuck.forest.net/images/tidbits/port8000.txt>

Zoekend in deze gepubliceerde lijst, zag ik er meer dan 100 met WebSTAR's standaard proro-poort van 8000, en een paar duidelijke Mac-gerelateerde DNS-namen, en dus begon ik contact op te nemen met hun webmasters om ze te vertellen over hun kwetsbaarheid. Ik heb heel wat webmasters gesproken, maar het is onmogelijk om alle mensen waarvan de Macs op de lijst staan te zoeken en te bellen. Nog erger, deze lijst bevat slechts een klein deel van de mogelijke open proxies op Macs, en nog veel erger, omdat deze Macs zo makkelijk op te zetten waren en zo betrouwbaar geweest zijn, zijn veel van de mensen die het oorspronkelijke werk gedaan hebben vertrokken, en zijn anderen met minder technische ervaring in hun plaats achter gebleven.

Ben je zelf deel van het probleem? Het is gelukkig eenvoudig te zien of je een open proxy in WebSTAR draait, in tegenstelling tot de open proxies in Windows. Deze door een worm veroorzaakte open proxies zijn onzichtbaar en leggen hun activiteiten niet vast. Om te controleren of de proxy plug-in van WebSTAR is geïnstalleerd kijk je in WebSTAR 3 of 4 in de map Plug-ins van de WebSTAR-map. Controleer ook alle mappen die in de map Plug-ins zitten. Om de WebSTAR proxy plug-in uit te schakelen, moet je ervoor zorgen dat de plug-in zich buiten de WebSTAR map en alle onderliggende mappen bevindt. Voordat je dit doet moet je echter in WebSTAR zelf in het Plug-ins menu kiezen voor "WebSTAR Proxy Log" (hieronder een link naar een schermafbeelding).

<http://chuck.forest.net/images/tidbits/ProxyLogMenu.gif>

WebSTAR opent dan een venster met de activiteiten van de proxy server, die laat zien wat de proxy server aan het doen is (zie voor een schermafbeelding de link hieronder). Bovenin het venster wordt het aantal actieve verbindingen getoond, het totaal aantal verbindingen, het totaal aantal verzonden bytes, een percentage dat aangeeft hoe effectief de cache is (dit heeft geen waarde als de proxy misbruikt wordt) en het maximum aantal verbindingen. Het tweede (onderste) deel van het venster geeft een overzicht van de recente activiteiten. In het voorbeeldscherm (link hieronder) heb ik IP-nummers, domeinnamen en URLs veranderd, maar het geeft je een idee wat er gebeurt. Er zijn twee login-pogingen op twee verschillende accounts bij Yahoo Mail, een zoekmachine-"hit" en drie "hits" op websites voor volwassenen, dit alles in minder dan twee seconden:

<http://chuck.forest.net/images/tidbits/proxylogwindow.gif>

Als je de proxy server niet wilt uitschakelen omdat die jou (en je organisatie) goed van pas komt, kun je hem beveiligen tegen spammers en ander misbruik. Het programma Server Admin van WebSTAR geeft (grafisch) de mogelijkheid om je eigen beperkingen aan te brengen in zowel de "to"- als de "from"-kanten van de proxy. Kijk in de WebSTAR-handleiding voor details.

Bedenk ook dat je het risico loopt afgewezen, geblokkeerd of op een zogeheten "blackhole"-lijst geplaatst te worden als je netwerk misbruikt wordt door spammers. Als systeembeheerders op het internet nu ook streng worden met proxies, zoals eerder met "open relays", neemt het risico alleen maar toe dat je nuttige netwerkverkeer op een zwarte lijst komt.

Als je denkt dat je je pas zorgen hoeft te gaan maken als spammers je netwerk gaan misbruiken, denk dan eens aan de gevolgen van niet meteen actie ondernemen. Het kan gebeuren dat jouw netwerkadressen op "blackhole"-lijsten geplaatst worden, die samengesteld worden door goedbedoelende individuen over de hele wereld die continu op zoek zijn naar open proxies, zelfs voordat ze misbruikt worden. Die zwarte lijsten worden vervolgens weer gebruikt door Internet Service Providers (ISP's), universiteiten en bedrijven om e-mail te blokkeren, en dat kan heel vervelend zijn. TidBITS-collega Glenn Fleishmans mail-server is hierdoor eens op zo'n lijst terecht gekomen en het heeft hem weken gekost om zijn mail-server weer overal van die zwarte lijsten af te krijgen. Hij heeft zelfs de bestuursvoorzitter van een grote ISP rechtstreeks moeten benaderen omdat door de procedures van die ISP zijn mail-server op de zwarte lijst bleef. Een open proxy is dus niet alleen voor jou en je bandbreedte een probleem: het is rommelig en vervelend het geheel weer recht te krijgen, waarbij ondertussen iedereen op jouw netwerk belemmerd wordt e-mail te verzenden.

En hoe zit het met Mac OS X? WebSTAR V, de huidige Mac OS X compatibele versie van WebSTAR, ontwikkeld en verkocht door 4D, heeft geen proxy server en is dus niet kwetsbaar voor misbruik van een open proxy. Desalniettemin doen de mensen van 4D het goede, door klanten te waarschuwen voor de kwetsbaarheid van oudere versies van WebSTAR.

<http://www.4d.com/products/webstar.html>

Mac OS X Server van Apple heeft nooit een proxy server standaard bijgeleverd gehad. Ik sprak met de betreffende product manager en hij zei dat er wel overwogen is er een bij te voegen. Ik denk dat Apple na ons gesprek zich nog wel een keer zal bedenken om dat alsnog te doen, of zich ervan zal overtuigen dat het veilig is voor het vrijgegeven wordt.

Hoe lossen we dit op? Wat nu resteert is hard werk en dit artikel is slechts het begin. Ik heb de laatste twee weken ieder wakker uur besteed aan het onderzoeken van dit probleem op ons netwerk, het rapporteren van het probleem aan de afdeling voor misbruik bij de grootste ISP's en het contacteren van vele webmasters die open proxies draaien zonder dat ze zich dit probleem realiseren. Mijn werk werpt nu al vruchten af. Een gedeelte van de data die ik gedeeld heb met AOL heeft hun geholpen met het voltooien van hun onderzoek naar een "bekende criminele spammer" en Yahoo sluit duizenden e-mailaccounts af gebaseerd op informatie uit misbruikte open proxy logs die ik met hun deelde.

Maar ik kan dit niet alleen. We moeten allemaal samenwerken om deze kennis te verspreiden, verder dan waar zelfs TidBITS kan reiken, naar andere Macintosh nieuwspagina's en naar individuen die misschien open proxies draaien. Mijn hoop is dat alle open proxies op alle platformen uiteindelijk overal gesloten kunnen worden en dat de Macintosh-gemeenschap de weg kan leiden. Gelukkig is het vervullen van deze taken op een Mac veel gemakkelijker dan op andere platformen.

Wanneer je een webmaster of systeembeheerder bent, kijk dan even naar jouw servers en beveilig ze wanneer nodig. Wanneer je een netwerkbeheerder bent, dan lijkt het me erg belangrijk dat je Joe St Sauver's "Open Proxy Problem" leest; een PDF (eerder werd de link vermeld) met de complete, goed geschreven analyse van dit probleem. Gebruik vervolgens de voorgestelde methodes om open proxies te vinden op jouw netwerk. Wanneer je er een vindt die een Log heeft bijgehouden (WebSTAR's proxy server doet dat automatisch) kun je andere netwerkbeheerders en misbruik-meldplaatsen erg helpen met het afsluiten van hun open proxies en wat nog belangrijker is: het vinden en afsluiten van spammers en andere netwerkmisbruikers..

Het spijt me dat ik de brenger ben van het slechte nieuws dat spammers onze oude Macs zouden kunnen uitbuiten, maar nu dat we ons bewust zijn van het probleem zal het werken aan de oplossing ook de genoegdoening geven van het stoppen van de stroom van spam.

PayBITS: Chuck verdient een medaille voor het vinden van dit probleem,
laten we hem daarom belonen met een paar duiten via PayBITS!
<http://www.paypal.com/xclick/business=goolsbee%40forest.net>
Lees meer over PayBITS: <./paybits.html/>

(Natuurlijk is een gift aan de Nederlandse vertaalploeg ook welkom: <https://www.paypal.com/xclick/business=d.flach%40chello.nl&item_name=TBNL>.)

Recente onderwerpen in TidBITS Talk/03-Nov-03

door TidBITS Staff <[email protected]>
[vertaling: EB]

[De discussies waarnaar verwezen wordt zijn in het Engels, daarom hebben we de titels niet vertaald - Tb-NL.]

Panther vs. external FireWire drives -- Wie is getroffen door Panther's neiging externe FireWire-disks op te eten? Hoewel Apple het probleem bij FireWire 800-disks legt, zien anderen het probleem ook bij FireWire 400-disks. (11 berichten)

<http://db.tidbits.com/getbits.acgi?tlkthrd=2100>

Take Control and E.U. VAT issue -- Het berekenen van de juiste BTW voor Take Control e-boeken in Europa is gecompliceerder dan men zou denken. (4 berichten)

<http://db.tidbits.com/getbits.acgi?tlkthrd=2099>

Panther Installations -- Lezers delen hun ervaringen met het installeren van Mac OS X 10.3 Panther. (4 berichten)

<http://db.tidbits.com/getbits.acgi?tlkthrd=2098>

Translating Take Control ebooks -- Wat is er nodig om onze Take Control boeken te vertalen? We praten over potentiële betalingen en de verdeling van werkmodellen. (4 berichten)

<http://db.tidbits.com/getbits.acgi?tlkthrd=2096>

Pricing Take Control ebooks -- Dekt de prijs van $5 elke Take Control-uitgave wel goed, of zou de prijsstelling afhankelijk moeten zijn van de lengte en complexiteit van elk werk? (4 berichten)

Niet-winstgevende en niet-commerciële publicaties en Websites mogen artikels overnemen of een HTML link maken als de bron duidelijk en volledig vermeld wordt. Anderen gelieve ons te contacteren. We garanderen de precisie van de artikels niet. Caveat lector. Publicatie-, product- en firmanamen kunnen gedeponeerde merken zijn van hun ondernemingen.

Vorige aflevering | Search TidBITS | TidBITS Homepage | Volgende aflevering