Brussel/Parijs, november 2004 – Sinds kort wordt internet geteisterd door een nieuwe aanval. Bee Ware, een Europese onderneming gespecialiseerd in de beveiling van webapplicaties, heeft die cyberaanval geïdentificeerd: “MASS_SCAN_PHP”. In diverse discussieforums zijn de getuigenissen en verzoeken tot hulp van slachtoffers haast niet te tellen. Sommige hostingbedrijven erkennen ook dat ze te lijden hebben van gedistribueerde aanvallen (de zogenaamde DDoS of Distributed Denial of Service). Bee Ware heeft een intelligente plug&play-firewall die deze massa-aanval afblokt: IntelliWall.
De nieuwe aanval is uiterst gevaarlijk, omdat hij onzichtbaar blijft voor nagenoeg alle bestaande beveiligingssystemen. Hij verschilt ook op diverse vlakken van de gebruikelijke aanvallen. Hij richt zich in de eerste plaats op webservers die het http-protocol (poort 80) gebruiken dat op alle firewalls open staat. MASS_SCAN_PHP profiteert bovendien niet van een zwakke plek in het systeem zoals gewoonlijk het geval is. De aanval misbruikt een slecht geprogrammeerde PHP-script dat het mogelijk maakt om een parameter van de include-functie te wijzigen, langs de url die wordt doorgegeven. Zo kan de aanvaller een site op afstand definiëren waar die functie bijvoorbeeld de te gebruiken code kan gaan zoeken. Alle internetservers die de PHP-technologie gebruiken zijn met andere woorden potentiële slachtoffers. En dat zijn er heel wat, want PHP is vandaag de meest gebruikte technologie.
Nicolas Dirand, directeur R&D bij Bee Ware, licht toe: “De cyberaanval begint met een eenvoudige scan, die op zoek gaat naar alle 80-poorten die openstaan en de aanwezigheid van een index.php-script. De sites die de scan opspoort en waarvan de programmering en de PHP-configuratie niet voldoende beveiligd zijn, krijgen een ‘achterdeurtje’. Die is ontworpen om de gekraakte server om te vormen tot relais voor een volgende DDoS-aanval en om de uitvoering van opdrachten op afstand mogelijk te maken. Het gaat om een gerichte aanval met een uiterst agressieve scan, die vanuit één enkele bron gestuurd wordt. Het vraagt maar een kleine en eenvoudige technische ingreep om de aanval om te zetten in een zelfverspreidende worm.”
De eerste slachtoffers van de MASS_SCAN_PHP zijn ontsteld over deze nieuwe aanvalsvorm. De webhostingbedrijven ondervinden de meeste schade. De huidige beveiligingssystemen zijn ontoereikend, waardoor ze maar één alternatief hebben: aan al hun klanten vragen hun scripts te controleren, met als alternatief de beschadiging van hun infrastructuur.
Intelliwall werd speciaal ontworpen om dit soort cyberaanvallen te stoppen. Nicolas Dirand legt uit waarom: “Deze recente aanvallen manipuleren het gebruik van parameters en zullen daarom altijd onbekend blijven voor de traditionele beveiligingssystemen. Witte en zwarte lijsten, maar ook pattern matching-technologie, hebben hun limieten bereikt. Intelliwall hanteert een heel andere aanpak. Dankzij de intelligente technologie van het neuronennetwerk (op basis van artificiële intelligentie) kunnen we Intelliwall onze kennis over het wettig en onwettig gebruik van webtaal, waaronder PHP, ‘aanleren’. Webtaal staat bekend als krachtig en eenvoudig en vraagt een nauwgezette opvolging. De opties die de uitvoering van een script op afstand mogelijk maken, trekken de aandacht van Intelliwall. We hebben het concreet over gedragsanalyse. Ingeval een van de doorgegeven parameters bijvoorbeeld een gekoppeld IP- en poortadres vertegenwoordigt, wordt dit onderschept. En dat is precies de reden waarom zelfs een nieuwe aanval geblokkeerd wordt door Intelliwall, zelfs als de toepassingen niet gecorrigeerd worden.”
Traditionele systemen zijn duidelijk niet in staat om een applicatieomgeving in al zijn specificiteit en diversiteit de nodige bescherming te garanderen. Meer zelfs, de omgeving blijkt uiterst kwetsbaar te zijn en een volledige overname door hackers mogelijk te maken. Dit illustreert dan ook de noodzaak om niet alleen de toegang te beveiligen, maar zeker ook de werking van de applicaties.
Op de website www.intelliwall.com van Bee Ware staan naast alle nodige technische aanvullingen en een beschrijving van MASS_SCAN_PHP, ook de richtlijnen voor controle en cleaning.
Over BeeWare
Bee Ware SAS is een van oorsprong Franse onderneming met een kapitaal van 37 000 EUR, opgericht door Nicolas Dirand en Christophe Guyard. Ze is gespecialiseerd in softwareontwikkeling. De technische en commerciële medewerkers van Bee Ware bieden informatiebeveiligingsoplossingen voor de bescherming van websites (internet, intranet en extranet) tegen aanvallen op het applicatie-niveau.
Nicolas Dirand heeft de kwetsbaarheidsscanner van QUALYS bedacht en ontwikkeld. Dit is een Franse start-up die overgenomen werd door Amerikaanse investeringsfondsen en die wereldleider is in zijn sector.
Bee Ware heeft naast haar kantoren in Aix-en-Provence en Parijs, ook een uitvalsbasis in Brussel. De onderneming wil via een netwerk van partners de Europese markt bespelen.
Voor meer info: www.bee-ware.net