Onderzoekers komen met bescherming tegen portscanners

De gratis software, TCP Stealth geheten, moet het werk van zogeheten portscanners aanzienlijk bemoeilijken. Die speuren internet af op zoek naar systemen die mogelijk zwakke plekken hebben. De Duitse nieuwsdienst Heise Online maakte vorige week bekend dat de inlichtingendiensten van Canada, de VS, Groot-Brittannië, Australië en Nieuw-Zeeland samen met zulke portscanners al sinds 2009 in de weer zijn.

Redactie AG ConnectMeer van deze auteur

Het betreffende spionagaprogramma is bekend onder de naam Hacienda en heeft 27 landen als doelwit. Daarbij is het de bedoeling alle servers die daar draaien op mogelijke ingangen te scannen. Dat is zeer wel mogelijk, gezien de ervaringen met portscanner Zmap die vorig jaar werd geïmplementeerd. Hiermee kan de totale IPv4-adressenruimte binnen een uur met gescand worden, vanaf een enkele pc.

De onderzoekers gaan er van uit dat volgens TCP, het transmission control protocol, een gebruiker zich moet identificeren bij een server door er een datapakketje naartoe te sturen. Het antwoord van de server bevat echter al informatie die een kwaadwillende kan gebruiken voor aanvallen. TCP Stealth gaat uit van een nummer dat alleen de client en de server kennen. Op basis van dit nummer wordt een geheim token gegenereerd dat onzichtbaar verstuurd wordt terwijl de eerste verbinding tussen de twee systemen wordt opgebouwd. Als het token niet correct is, zal het systeem niet antwoorden.

Ook beschermt de software tegen een man-in-the-middle aanval waarbij de aanvaller zich tussen de gebruiker en de server plaatst in een al bestaande verbinding. De data die de gebruiker naar de server stuurt worden dan opgevangen en vervangen door andere data. TCP Stealth voorkomt dat door een verificatiecode te sturen terwijl de eerste verbinding wordt opgezet. De server kan die vervolgens gebruiken om te controleren of hij wel de juiste data heeft ontvangen.