Raiders of the Lost Proxy

door Jozef Schildermans

(eerder verschenen in Data News als Villa PC)

Handige dingen, proxyservers. Niet alleen versnellen ze de Internet-toegang van en naar uw bedrijf, ook zijn ze een soort firewall-voor-de-arme man. Immers, als u surft via een proxyserver dan laat u bij uw bezoeken alleen maar de sporen van die proxy achter, niet het adres en de eventuele configuratie van de pc waarmee u surft. Omgekeerd "ziet" wie naar uw bedrijfssite surft alleen de gegevens van de proxyserver, niet van uw webserver.

Als u een direct contact opbouwt, kan een webserver via zogenaamde omgevingsvariabelen moeiteloos uw IP-adres te weten komen en achterhalen met wat voor software u werkt. U kunt op http://cache.jp.apan.net/cgi-bin/proxy-checker/showenv.cgi of http://www.ugtop.com/spill.shtml   zien wat voor omgevingsvariabelen uw webbrowser zoal doorstuurt. Als u via een proxyserver werkt, krijgt de website de omgevingsvariabelen van de proxyserver en niet van uw eigen pc. Er zijn nog wel omgevingsvariabelen die specifiek aan een proxyserver gevraagd kunnen worden, maar dat kunt u makkelijk genoeg omzeilen. Er bestaan programma's zoals Proxomitron (http://www.241computers.com/software/ProxN2.zip) waarmee u zelf vrij kunt bepalen wat er in de omgevingsvariabelen staat die uw systeem zo vrijelijk aan allerlei webservers meedeelt. Proxomitron staat u zelfs toe de inhoud van cookies te bepalen!

Op het Internet zwerven een hoop handige harry’s rond die eveneens hebben ontdekt hoe handig proxy’s zijn. Ze kapen onbeschermde proxyservers en gebruiken die om hun eigen Internet-toegang te versnellen en om anoniem te surfen.

De prijs die u betaalt, is een verlies aan bandbreedte. Als uw vaste verbinding met het Internet verstopt lijkt, hoeft dat niet altijd te betekenen dat u toe bent aan een verbreding van uw leased line. De kans is groot dat een een of andere onverlaat uw proxy heeft gekaapt en er zijn "ding" mee doet. Resultaat: u en uw werknemers kunnen plots niet meer tegen een fatsoenlijke snelheid het Internet op. En het kan even duren voor u of uw ISP ontdekken wat er precies aan de hand is.

De gevolgen kunnen nog zwaarder zijn. Een surfer die de huurlijn van een bedrijf in de buurt gebruikt om sneller en dus goedkoper te werken, is klein bier. Een proxyserver - vooral als hij FTP ondersteunt - is immers ook heel handig om bijvoorbeeld illegale bestanden uit te wisselen. Als u op een dag het bezoek van de gerechtelijke politie krijgt met de mededeling dat via uw servers kinderporno op het Internet wordt verspreid, is het aartsmoeilijk aan te tonen dat iemand van buiten het bedrijf de schuldige is en dat u daar niets mee te maken hebt. Bedrijven en instellingen met proxyservers hebben er dus alle belang bij de toegang te beperken. Zo kunt u de proxyserver een login-ID en wachtwoord laten vragen, maar nog beter is de toegang tot de proxy te beperken tot IP-adressen die binnen het eigen bedrijf of instelling vallen.

Vergis u niet: hackers zoeken constant op Internet naar "open" proxyservers om te misbruiken. De logs van de proxyserver bij Data TestLab tonen glashelder aan dat automatische programma’s op elk moment van de dag op zoek zijn naar niet-beschermde proxyservers. Tijd om uw proxyserver(s) tegen raiders te beschermen, voor zover dat nog niet gebeurde.

Zie ook: http://www.bikkel.com/~proxy/tools.html

Afbeelding: Proxy Hunter 2.8

Misbruik van proxyservers

Het hemd is nader dan de rok

door Johan Zwiekhorst

(eerder verschenen in Clickx)

Een proxyserver is een soort cache voor websites. Het helpt dus je toegang te versnellen. Dat is natuurlijk niet alles: snoodaards kunnen de proxyserver van iemand anders gebruiken om hun eigen toegang op andermans kosten te versnellen, of om hun eigen identiteit te verbergen bij het up- of downloaden van bestanden. Johan Zwiekhorst volgde een spoedcursus hacken en trok op onderzoek uit.

Het principe is erg eenvoudig. Een proxyserver houdt een kopie bij van alle webpagina's die hij moet inladen, zodat hij ze een volgende keer vanaf zijn harde schijf kan presenteren en ze niet opnieuw van het web moet halen. De gebruiker wordt zo sneller bediend. Internet-providers stellen meestal ook zo'n proxyserver ter beschikking voor hun abonnees en het heeft voordelen om die te gebruiken. Als je geen proxyserver gebruikt, communiceert je systeem rechtstreeks met de webserver van de gevraagde site en haalt daar alle pagina's onmiddellijk op. Op deze manier ben je dus beperkt door de bandbreedte die je ter beschikking staat. Je provider heeft een veel grotere bandbreedte ter beschikking omdat hij onder andere met snelle T1-lijnen werkt terwijl jij het met een modem moet doen. Als je dus de proxy van je provider gebruikt, communiceer je dus enkel locaal terwijl het de server van je provider is die de communicatie met de gewenste website uitvoert en alle pagina's ophaalt. Als het om veelbezochte websites gaat, is de kans heel groot dat de proxyserver van je provider die al in zijn cache heeft zitten en dan krijg je ze uiteraard het snelst binnen. Zo kun je dus heel wat tijd en geld besparen.

Op andermans kosten

Je kunt deze redenering nog wat doortrekken. Stel dat je weet dat er bij je in de buurt een bedrijf of een academische instelling zit met een omvangrijke huurlijn (laten we zeggen een veelvoud van ISDN) én dat ze een proxyserver hebben draaien. Als die proxyserver publiek is, dus geen wachtwoord vereist en ook adressen van buiten de eigen firma of instelling bedient, kun je die probleemloos als proxyserver in je webbrowser definiëren. Je webbrowser stuurt dan alle webaanvragen door naar die proxyserver en die haalt op zijn beurt alles voor je binnen. Kassa! Bedrijven en academische instellingen stellen zoiets natuurlijk niet op prijs, maar als ze hun proxyserver of -servers niet daartegen beveiligd hebben, kan het dus wel.

Anoniem surfen

Ook als je er niet op uit bent om op de hierboven beschreven wijze geld te besparen, kun je een goede reden hebben om op zoek te gaan naar een publieke proxyserver en die te gebruiken: anonimiteit. Voor een website is de proxyserver namelijk degene die haar contacteert en erop rondsurft. Als je een direct contact opbouwt, kan een webserver via zogenaamde omgevingsvariabelen moeiteloos te weten komen wat je IP-adres is en met wat voor software je werkt. Je kunt op http://cache.jp.apan.net/cgi-bin/proxy-checker/showenv.cgi   of http://www.ugtop.com/spill.shtml   zien wat voor omgevingsvariabelen je webbrowser zoal doorstuurt. Je kunt dat ook doen met een website die je Internetverbinding analyseert. Als je via een proxyserver werkt, is de proxyserver degene die contact zoekt en de website krijgt dan ook de omgevingsvariabelen van die proxyserver doorgespeeld als ze erom vraagt. Er zijn nog wel omgevingsvariabelen die specifiek aan een proxyserver gevraagd kunnen worden om zo weer te geven wie de oorspronkelijke aanvrager is, maar dat kun je makkelijk genoeg omzeilen. Als je dat nu doet met behulp van een proxyserver die zich niet in je normale verbindingspad bevindt, dus niet bij je provider, je eigen firma of instelling, kun je al van een behoorlijke anonimiteit genieten bij het surfen. Er bestaan tegenwoordig programma's zoals Proxomitron waarmee je zelf vrij kunt bepalen wat er in die omgevingsvariabelen staat die je systeem zo vrijelijk aan allerlei webservers meedeelt. Proxomitron staat je zelfs toe de inhoud van cookies te bepalen!

Zoek de proxy

Onze haren gaan natuurlijk allang recht overeind staan bij de gedachte dat men met behulp van de informatie die je systeem verstrekt zonder problemen je surfgedrag op Internet in kaart kan brengen. Door gebruik te maken van een publieke proxyserver, ook wel anonieme proxyserver genoemd, kun je dat in kaart brengen heel wat moeilijker maken. Onderaan vind je vier IP-adressen van anonieme proxyservers die van onze contreien uit aan een redelijk snel tempo te gebruiken zijn. Je kunt adressen van alternatieve proxyservers ook gebruiken indien je eigen proxyserver of die van je provider buiten dienst zou raken. Je webbrowser laat je normaal maar één enkel adres voor een HTTP-proxy invullen. Misschien heb je al gezien dat de pagina Internet Options bij Internet Explorer onderaan ook een knop bevat waarmee je gegevens kunt invullen voor een volautomatische configuratie van proxyservers. Dat is eigenlijk bedoeld voor netwerken, waar het handig is om een centrale proxyconfiguratie bij te houden waarvan ieder netwerkstation dan gebruik kan maken. Het is echter ook handig voor anoniem surfen, omdat je zo'n automatische configuratie ook kunt gebruiken om je systeem bijvoorbeeld ieder half uur volautomatisch van proxyserver te laten veranderen. Op de website van Netscape vind je alle uitleg over hoe je zelf zo'n automatisch proxyconfiguratiebestand kunt aanmaken. Hoe je zo'n bestand gebruikt vanuit Internet Explorer en Netscape Navigator of Communicator vind je op http://www.bikkel.com/~proxy/pac.html.   Er zijn natuurlijk ook voorbeelden van configuratiebestanden waar een hacker het warm van krijgt.

Verberg de proxy

De medaille heeft natuurlijk ook een keerzijde. Anonimiteit en privacy is één zaak, misbruik is helaas alomtegenwoordig. Het concept van anonieme proxyservers, vooral als ze meerdere protocollen naast HTTP ondersteunen, is natuurlijk heel handig voor mensen die anoniem willen werken. Het boven aangehaalde voorbeeld van een surfer die de huurlijn van een bedrijf in de buurt gebruikt om sneller en dus goedkoper te kunnen werken, is natuurlijk klein bier. Een proxyserver - vooral als hij FTP ondersteunt - is natuurlijk ook heel handig om bijvoorbeeld illegale pornografie uit te wisselen. Het is reeds gebeurd dat een bedrijf of instelling daardoor in serieuze moeilijkheden komt en op een dag het bezoek van de gerechtelijke politie krijgt met de mededeling dat via hun servers kinderporno op het Internet werd verspreid. Dan is het vaak aartsmoeilijk aan te tonen dat iemand van buiten het bedrijf de schuldige is en dat het bedrijf en de werknemers daar niets mee te maken hadden. Bedrijven en instellingen met proxyservers hebben er dus alle belang bij de toegang te beperken. Zo kun je de proxyserver een login-ID en wachtwoord laten vragen, maar nog beter is de toegang tot de proxy te beperken tot IP-adressen die binnen het eigen bedrijf of instelling vallen. Vergis je niet: er wordt constant op Internet gezocht naar proxyservers die men kan gebruiken. Zelfs op Data TestLab hebben wij geregeld last van inbraakpogingen op onze proxyserver.

URL’s:

Proxy Checker: http://cache.jp.apan.net/proxy-checker/

Omgevingsvariabelen: http://www.bikkel.com/~proxy/env.html

Toon je eigen omgevingsvariabelen: http://cache.jp.apan.net/cgi-bin/proxy-checker/showenv.cgi ; http://www.ugtop.com/spill.shtml

Analyse van je Internetverbinding: http://consumer.net/Analyze/

Proxys-4-All: Proxy Tools: http://www.bikkel.com/~proxy/tools.html

Alles over het bestandsformaat voor automatische proxyconfiguratie (Netscape): http://home.netscape.com/eng/mozilla/2.0/relnotes/demo/proxy-live.html

Hoe gebruik je PAC-bestanden met je eigen browser: http://www.bikkel.com/~proxy/pac.html

Voorbeelden van automatische proxyconfiguratiebestanden:

http://www.bikkel.com/~proxy/tools.html#pac

Proxomitron: http://www.241computers.com/software/ProxN2.zip

Dichtbijgelegen publieke proxyservers:

194.213.91.6:80

194.247.225.58 en .59:80

195.24.73.186:80