Department of Information and Computing Sciences

Departement Informatica contact intern
people education research library calendar archive services jobs

Hacking

NOTENOTE There is also an english version of this page. NOTE

In het kort...

In het kort geldt voor alle gebruikers de gedragsregel:
HACKEN IS VERBODEN

en iets langer ...

Voor bijna alle gebruikers is deze gedragsregel duidelijk genoeg. Behoor je tot de kleine groep die het niet begrijpt dan moet je je afvragen of je heel slim of heel dom bent.
  1. HACKEN IS VERBODEN

  2. raadpleeg in geval van twijfel (over de toepasbaarheid van de regel tav voorgenomen gedrag) vooraf de helpdesk
  3. gebruikers die deze leidraad voor gewenst gedrag niet begrijpen, dienen zich tav het gebruik van computers van het Departement Informatica te beperken tot werk waarvoor ze zijn aangenomen (staf) of dat hun is opgedragen (studenten)
  4. er is geen grijs gebied
  5. er zijn geen uitzonderingen

  6. overtreding van de regel leidt altijd tot aangifte bij de faculteit
  7. overtreding van de regel heeft, per geval vast te stellen, verstrekkende, erg vervelende consequenties voor de overtreder
  8. bij het bepalen van de strafmaat doen de beweegredenen (het waarom) of de intenties (het waartoe) van de overtreder niet erg ter zake
  9. overtreding van de regel kan leiden tot aangifte bij de politie
  10. het Departement Informatica kan materiële en immateriële schade voortvloeiend uit overtreding van de regel verhalen op de overtreder

achtergrond

In de hoop te kunnen bereiken dat bovenstaande regels ervaren worden als redelijk, zal geprobeerd worden enige achtergronden toe te lichten. Daarbij wordt zachtjes voorbijgegaan aan het feit dat hacking veel irrationele aspecten kent.
de wet
Voor een goed begrip van de formele kant van 'hacking' is het belangrijk dat je kennis neemt van de surfnet brochure Ik en de Wet Computercriminaliteit.

doel, prioriteiten
Het Departement Informatica heeft een duidelijke doel: het geven van goed onderwijs en het doen van goed onderzoek. Om dat doel te bereiken met de gegeven middelen, moet het Departement prioriteiten vaststellen bij het inzetten van mensen en middelen (zoals bijvoorbeeld de inspanningen van de GCS).

Er zijn wettelijke minimum eisen tav het nivo van bescherming van beheerde computersystemen. Al het meerwerk dat gedaan moet worden om hackers voor te zijn, gaat ten koste van de realisatie van leuke en interessante faciliteiten tbv onderwijs en onderzoek. De kosten van meerwerk zijn, tot een zeker nivo, verdedigbaar. Voor het overige moet vertrouwd worden op de effectiviteit van regels.

Het hackerproof maken van studenten machines zal nooit een eerste prioriteit van het Departement (mogen) worden.

Op zeker moment stond het Departement voor een keus: wel of niet introduceren van NT systemen in de practicum omgeving. Enerzijds bestond de uitdrukkelijke wens om het practicum in te richten met gereedschap waar studenten ook thuis over beschikken. Men hoopte daarmee studeerbaarheid en rendement te vergroten. Na een inventarisatie onder studenten bleek NT de grootste gemene deler te zijn.
Anderzijds zijn beheersbaarheid en betrouwbaarheid voor een practicum omgeving van het grootste belang.

Ondanks de bekende risico's is gekozen voor introductie van NT in het practicum.

security
Tav security kan je zeggen dat de systemen secure zijn als gebruikers slechts die handelingen kunnen verrichten die voortvloeien uit de permissies geassocieerd met de hun door het Departement ter hand gestelde login's en password's (toegangscodes).

Tav security onderkennen we verschillende groepen gebruikers: derden, studenten, staf, gcs. Dit is een ordening van minder naar meer rechten.

Het primaire doel van de security policy van het Departement Informatica is om groepen met meer rechten te beschermen tegen groepen met minder rechten. Een secundair doel is het onderling, tegen elkaar, beschermen van leden binnen een bepaalde groep.

De rationale is dat de gekozen groepen cooperatief zijn. Binnen een groep hebben de leden weinig belang bij het verkrijgen van rechten van andere leden. Bovendien zijn er hoge (sociale) kosten verbonden aan de `ontdekking' van illegaal verkregen rechten binnen de eigen groep.
Voor inbrekers is er binnen de groep eigenlijk nix te halen, betrapte inbrekers worden door de groep uitgekotst.

'dichttimmeren' versus 'regels'
Voor het bereiken van security zijn er twee methoden:

Met 'dichttimmeren' kan je proberen altijd vooraan te lopen in de race van 'hackers' versus 'admins': nauwgezet volgen van de BUGTRAQ mailing lists en altijd laatste service-packs en patches installeren.

Aan de andere kant van het spectrum vind je de 'regels'. Door hacking eenvoudig te verbieden en het verbod dmv gepaste maatregelen bij overtreding te handhaven, kan je proberen te bereiken dat gebruikers het wel uit hun hoofd laten om in te breken bij anderen.

Het zal duidelijk zijn dat in een kosten/baten analyse de methode 'regels' in het algemeen gunstig afsteekt, tenminste als men bereid is ook de kosten tgv handhaving (af en toe inbrekende gebruikers de laan uit sturen) bereid is te dragen.

Departement Informatica
Lettend op de kosten/baten is bij het Departement Informatica tav het bereiken van security tussen de verschillende groepen nadrukkelijk gekozen voor de methode 'dichttimmeren'.

Daarnaast steunt security binnen de verschillende groepen (vooral staf en studenten) op de methode 'regels'. Systemen zijn meer dan afdoende (in de zin van de wet) dichtgetimmerd, maar zijn beslist niet waterdicht. Doelbewuste, doelgerichte pogingen om in te breken zullen op den duur een keer succesvol zijn.

De systemen zijn uitgerust met veel software; software die exploiteerbare fouten kan bevatten. Echter, bij de keuze wel of niet installeren, spelen overwegingen tav exploiteerbare fouten zelden (of nooit) een rol.
Als niet vertrouwd zou kunnen worden op de effectiviteit van 'regels', zou de inrichting van systemen anders (en beperkter) moeten zijn. Dat is niet wenselijk in een academische omgeving.

Het zetten van hoge hekken tussen verschillende groepen wordt (terecht) als hinderlijk ervaren: van buitenaf kan je moeilijk bij je spullen, data communiceren tussen staf en studenten kan maar op een paar manieren, samenwerken tussen staf en studenten (in /projects) gaat maar moeizaam etc.
Verder dichttimmeren binnen de groepen zou (andere maar even) vervelende consequesties hebben.

Systeembeheer
Na het constateren van een inbraak (overtreding van de regel) zal het hele systeem teruggebracht moeten worden in de laatst bekende 'secure' toestand voor de inbraak. Hierbij moet worden uitgegaan van een 'worst case' scenario. Alle clients en servers waar de inbreker zich mogelijk illegaal rechten heeft verschaft moeten opnieuw worden geinstalleerd.

Het zal duidelijk zijn dat dit een dure operatie is.