De trucs van de cyberboef

Stuur ons een bericht


We proberen binnen 2 werkdagen te reageren.
Verder gelden deze spelregels.
Annuleren
? Contact
26-06-2014

Opnieuw relevant Ronald Noble, de hoogste baas van Interpol, windt er geen doekjes om: de aanpak van cybercriminelen is wereldwijd verre van voldoende. Ook de AIVD maakt zich zorgen. Vorig jaar werden 480 duizend aanvallen gedaan. En aanvallen op bedrijven worden populairder.

 

'Steek je hand op als je weet dat je je ict-systeem hebt beveiligd tegen gebruik door onbevoegden.' Een inkoppertje. Welk bedrijf heeft nu geen inlogscherm met wachtwoord en een virusscanner? Het meeste is echter ouwe meuk, zeggen veel experts. De techniek gaat zo snel, de verdiensten kunnen zo enorm zijn en de kennis in het cybercriminele circuit is zo groot, dat zelfs een gedicht lek al een risico is. Want hackers gaan ervan uit dat veel computers niet meteen worden geüpdatet zodra een beveiligingslek bekend gemaakt is. En dan is het voor criminele techneuten een kwestie van: kijk naar de gepresenteerde oplossing voor het lek en ontwikkel dan terug. Zo kan de oplossing voor een probleem dus de bron worden van een nieuwe besmetting. Weinig aan te doen. Tenzij iedereen altijd consequent en heel snel updatet.
Ronald Noble, de secretaris-generaal van Interpol, sprak eind juni tijdens een interview voor CNN over cybercrime. Noble is aan zijn laatste weken als Interpolbaas bezig en maakte de balans op van de afgelopen zestien jaar onder zijn leiding. Zijn totale budget steeg de afgelopen tien jaar van 60 naar 70 miljoen dollar. Dat is niet eens genoeg om de inflatie te compenseren, zegt Noble. Volgens hem heeft Interpol minstens een miljard euro nodig om de boeven bij te houden. 'We zijn het spel aan het verliezen', stelt Noble. 'De boeven zijn aan het winnen. Onderschat niet hoeveel geld en kennis er bij cybercriminele organisaties is. En het zijn wereldwijd opererende misdaadsyndicaten.' De VN schatten dat cybercrime na drugshandel de meeste succesvolle vorm van 'zakendoen' is.

 

Lage dijken
Plaatsvervangend hoofd van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD), Marc Kuipers, sprak afgelopen maand van een 'ongemakkelijke waarheid'. Van slecht nieuws dat we liever niet willen horen. 'Onze digitale dijken zijn te laag', aldus de AIVD-chef. 'We zien steeds meer aanvallen en die zijn steeds geavanceerder. Wil ons land de digitale toegangspoort tot Europa blijven, dan moeten we onze digitale grensovergangen beter beveiligen.'
Vooral bedrijven worden nu slachtoffer, en dan met name die uit topsectoren als hightech, energie en chemie. De aanvallen worden veelal uitgevoerd door andere landen die uit zijn op intellectueel eigendom en vertrouwelijke bedrijfsgegevens zoals blauwdrukken van producten, stelt de AIVD. Kuipers wil alleen de bekende namen als China, Rusland en Iran noemen, maar veel geheime diensten – ook die van bevriende landen – hebben de opdracht om aan economische spionage te doen. Nederland is voor cyberspionnen een aantrekkelijk doelwit vanwege de hoogwaardige kennisindustrie en het veelvuldige gebruik van bedrijfssoftware. Ook maken cybercriminelen steeds vaker gebruik van Nederlandse infrastructuur om vanuit ons land aanvallen te doen op buitenlandse bedrijven, zegt de AIVD. Hoe betrouwbaarder en essentiëler een systeem is, hoe minder vaak het geüpdatet wordt, zegt de AIVD. Updaten kost tijd, dat legt de productie stil (bijvoorbeeld van een boorplatform) en de werking van het systeem kan na een update niet gegarandeerd worden.
De menselijke factor is de zwakke schakel blijkt uit een inventarisatie van Santiago Pontiroli van Kaspersky. Pontiroli is security researcher Global Reseach & Analysis Team (GReAT) bij het van oorsprong Russische computerbeveiligingsbedrijf. Hij pleit voor een sterke rol van de ict-afdeling bij het handhaven van de regels. 'Je moet een compromis sluiten tussen veilig en werkbaar. Als gebruikers een beveiligingsmethode lastig vinden, zullen ze een manier vinden om die beveiliging te omzeilen. Veiligheid moet geen set-and-forget-oplossing zijn. En externe partijen moeten regelmatig komen kijken of een bedrijf eigenlijk wel voldoet aan de heersende standaarden voor beveiliging.'

 

Geen celstraf

Niet alleen mensen moeten nog wennen aan de digitale omgeving. Ook wet- en regelgeving is nog niet helemaal aangepast. Zo is het kopiëren van bedrijfsgeheimen nog geen diefstal volgens de wet maar computervredebreuk. Er is immers niets weggenomen. Het bedrijf heeft zijn ontwerpen, bouwtekeningen of marktstrategieën nog in bezit. Degene die de bedrijfsgeheimen kopieert, maakt zich dan hooguit schuldig aan computervredebreuk. Het verschil in straf: computervredebreuk levert maximaal een jaar cel op, diefstal maximaal vier jaar. De straffen worden overigens wel zwaarder als het aan het kabinet ligt. De regering volgt daarmee een Europese Richtlijn op. De maximale celstraf op computervredebreuk wordt verhoogd van één naar twee jaar. Bij hackaanvallen met ernstige schade wordt de maximale straf verhoogd van vier naar vijf jaar. Op het beheren van een botnet (een serie gehackte computers die aanvallen uitvoeren in opdracht van de beheerder, de herder) komt drie jaar te staan. 

 Negen manier om cyberbestolen te worden

Slordige_werknemers_negenwegencyberboef1. Slordige werknemers
Een jaar of tien geleden had het ministerie van Defensie een probleem. Medewerkers laadden gegevens op USB-sticks om elders verder te werken. In een paar jaar tijd raakten medewerkers zeker vijf USB-sticks met vertrouwelijk informatie kwijt. De frequentie was zo hoog dat de Tweede Kamer vragen stelde. Daaruit bleek ook dat er geen plicht was om gegevens te versleutelen. En denk niet dat het alleen om 'voetvolk' ging. Ook een medewerker van de militaire inlichtingendienst moest bekennen dat hij een stick kwijt was.
'Het is niet erg hightech', zegt Santiago Pontiroli, security researcher van Kaspersky, 'maar de reply-to-all-knop is zeker een risico.' En een andere is slordige mailadressering. Zo komt een mail waarvan je zeker weet dat hij is verstuurd bij de verkeerde terecht. En die gaat daar niet altijd discreet mee om te. 'Werknemers moeten alleen toegang kunnen krijgen tot de gegevens die ze nodig hebben. Dat hoort in protocollen en workflows vast te liggen'.

Verkeerdezuinigheid_negenwegenvandecyberboef2. Verkeerde zuinigheid
Beveiligen is duur. Goed beveiligen helemaal. Er is software voor nodig, maar ook menskracht die de ontwikkelingen in de gaten houdt. Bedrijven die erg afhankelijk zijn van ict, hebben steeds vaker een chief information officer. Die is ook verantwoordelijk voor het beveiligingssysteem.
Veel bedrijven vinden het moeilijk hun belang bij goede beveiliging te zien. Bij ons valt niets te halen, klinkt het dan. Waarom moeten we er dan zoveel tijd en geld in investeren? Maar hackers kunnen met de gegevens uit de ene server heel veel kwaad doen bij anderen. Denk aan namen, adressen, rekeningnummers en aankopen van klanten. Die gegevens kunnen worden gebuikt om onder een valse naam artikelen te bestellen (en die na aflevering niet te betalen) of voor allerlei bankzaken. Veel hacks zijn mogelijk dankzij slechte en verouderde software.
Volgens Santiago Ponteroli (Kaspersky) wordt vaak vergeten communicatie te versleutelen. En als het wél wordt gedaan, worden externe opslagmedia niet meegenomen. 'Via die externe media kunnen hackers snel een glimp opvangen van het reilen en zeilen van een bedrijf.'

Chantage_negenwegenvandecyberboef3. Chantage

Met zogenoemde DDoS-aanval kunnen criminelen het internetverkeer van en naar een website helemaal plat legen. Ze sturen zoveel verkeer naar de site, dat de toegang verstopt raakt. Soms is de aanval een afleidingsmanoeuvre om via een achterdeurtje naar binnen te glippen. Maar er zijn er ook die een DDoS-aanval gebruiken als dreigmiddel (chantage). In augustus werden Nederlandse banken getroffen door een grootschalige aanval, waarschijnlijk om ze te chanteren.
Schadelijk is ook het op slot zetten van een computer doordat de gebruiker van de pc op valse pagina's of nep-advertenties klikt. Daarmee wordt dan een programma geladen dat de computer op slot zet. De criminelen gokken er op dat mensen makkelijk klikken op buttons, vooral als ze naar de site geleid zijn via een bevriende dienst of persoon (zie ook Grooming). Zodra een fiks bedrag is overgemaakt, beloven criminelen de blokkade op te heffen. Maar dat kan de geïnfecteerde wel op zijn buik schrijven. De politie heeft een speciale website met oplossingen voor deze blokkade. Oplossing: alt-F4 om pop-ups te sluiten, de pagina-terug-pijl om een website te verlaten.

9wegenvandecyberboef_bringyourowndevice4. Bring your own device

Lekker makkelijk, apparatuur van het werk gebruiken voor thuis en andersom. Vooral mobiele telefoons en tablets worden zowel voor werk als privé gebruikt, maar er wordt natuurlijk ook vaak werk verricht op de pc thuis. Werknemers vinden het makkelijk, werkgevers vaak ook. Daar zit wel een risico aan. Doorgaans heeft een bedrijf dan weinig controle over de beveiliging. Is er wel een goede beveiliging? Worden alle updates trouw geïnstalleerd?
Bij mobiele telefoons is er een ander probleem: de onbetrouwbaarheid van de software. Apps kunnen van alles bijhouden over de communicatie, vertrouwelijkheid is niet per se gegarandeerd. Daarnaast brengen veel mobiele software ontwikkelaars nog niet uitontwikkelde bèta-versies in de verkoop om zo snel mogelijk in te spelen op nieuwe trends. Daar zitten nog fouten en beveiligingslekken in. Onlangs ontdekten Amerikaanse onderzoekers dat duizenden apps voor Android-apparaten lek zijn, zoals apps van Facebook, LinkedIn en Amazon Web Services.

slechtekamermeisje_negenwegenvandecyberboef5. Het slechte kamermeisje

De methode van het slechte kamermeisje (evil maid) is gebaseerd op het principe dat kwaadwillenden meermalen bij een computer kunnen. Ze kunnen zo software laden om in te breken op een op zich goed beveiligde computer. Ook een versleutelde computer heeft een onbeveiligd deel dat nodig is om de pc op te starten. Het 'kamermeisje' plaatst via een hackprogramma op een USB-stick een programmaatje op de pc dat ervoor moet zorgen dat deze niet meer goed afsluit. De persoon die daarna de computer start, merkt daar niets van. De tweede keer komt het 'kamermeisje' dan via een open achterdeur in de pc en is het een koud kunstje om via die ingang in de server te komen. En dan is het een kwestie van kopiëren maar.

Grooming_negenwegenvandecyberboef6. Grooming

'Goedemorgen, er zijn wat problemen met het systeem. Volgens mij werkt je pc niet naar behoren. Daar willen we even naar kijken. Kun je je inlognaam en wachtwoord even reply-en? Groet, afdeling ict.' Met amicale mailtjes proberen criminelen toegang te krijgen tot een systeem. Ze gaan er niet onterecht van uit dat mensen welwillend reageren op een vriendelijke mail van een collega. Ook opgewekte aansporingen om nieuwe foto's te bekijken op Facebook zijn veel gebruikte manieren om aandacht te krijgen van mogelijke slachtoffers.
Vaak is het genoeg om naar het mailadres van de afzender te kijken. Negen van de tien keer is dat helemaal niet bekend. In geval van twijfel: niet reply-en. Wél even contact opnemen met de betreffende collega of afdeling. Overigens wil de ict-afdeling het ook vaak wel weten als het overduidelijk een valse mail is: ict is dan gewaarschuwd dat er is geprobeerd aan te vallen.

laksmetbeveiliging_negenwegenvandecyberboef7. Laks omgaan met beveiliging

Beveiliging is iets waarvan iedereen weet dat het moet, maar waar vrijwel niemand zin in heeft. Wachtwoorden moeten om de paar maanden vervangen worden. Maar als je een lekker wachtwoord hebt, is het vervelend om weer een nieuwe te verzinnen en te onthouden. En ze moeten ook een beetje ingewikkeld zijn. De reeks Jan01, Jan02, Jan03 is door een beetje hacker wel te bedenken.
Een team hackers van techsite The Tech Herald wist in 2012 in vijf uur 81 duizend beveiligde wachtwoorden te decoderen na een cyberinbraak. Binnen een seconde waren accounts met logische wachtwoorden als 123456, 11111111 en 123qwe al gekraakt. Het team gebruikte een speciaal programma (The Tech Herald benadrukte dat het legaal verkrijgbaar is), standaardlijsten, waaronder digitale versies van woordenboeken, en een gewone pc. 'Wel vet dat iemand die bij de Nationaal Coördinator Terrorismebestrijding werkt gewoon 0000 als wachtwoord gebruikt', tweette technologie-goeroe Alexander Klöpping.
Beveiliging is ook voorzichtig omgaan met relatiegeschenken. USB-sticks zijn handig, maar er kan ook spionage software op zitten. Uit angst voor bedrijfsspionage verplicht een Duits bedrijf medewerkers die naar China gaan een digitaal schone laptop en telefoon mee te nemen. Thuis moeten ze de apparatuur weer helemaal opschonen. Een beetje cru misschien, maar wel zeker.

sniffing_trucsvandecyberboef8. Sniffing

Stel, er is een technologiebedrijf dat het waard is om bespioneerd te worden. Door het mailverkeer af te luisteren (deze methode komt vaak voor in combinatie met andere hacks om toegang te krijgen tot het systeem), kunnen concurrenten afleiden waar het bedrijf mee bezig is. En misschien ook wel waar belangrijke ontwerpen en testresultaten zijn opgeborgen, wie er voor verantwoordelijk is (zie ook Grooming) en wat de toegangscodes zijn. In feite is het afluisteren van de NSA een vorm van sniffing.

spearfishing_negenwegenvandecyberboef9. (Spear)phishing

Phishing is het met mails uitlokken dat medewerkers wachtwoorden geven. Vaak wordt één mail aan veel mensen en meerdere bedrijven gestuurd. Criminelen gooien zo 'een hengel' uit en kijken welke vis bijt. Spear phishing (Speervissen) is het heel gericht proberen te hacken van een computersysteem van een specifiek bedrijf. Bijvoorbeeld voor spionagedoeleinden of om met de gegevens van het klantenbestand geld te verdienen. Cybercriminelen proberen dan alle methoden die ze kunnen bedenken. Staten die de eigen industrie een kontje willen geven, doen ook aan spear phishing. En behoorlijk kapitaalkrachtige cybercrimesyndicaten.
Een goede methode om het risico te verkleinen dat je gegevens verliest, is volgens Santiago Pontiroli (computerbeveiliger Kaspersky) duidelijk aangeven welke informatie door wie gebruikt mag worden en waar deze opgeslagen is. Dat gebeurt volgens hem veel te weinig. Vitale en geheime informatie die nauwelijks via de digitale weg te bereiken is, is het veiligst. Over opslaan in de 'cloud', is Pontiroli niet erg positief: 'Het opslaan van informatie in de cloud wordt een zelf uitgevoerde hack als we niet oppassen. Een bedrijf moet een helder beleid hebben welke informatie wel bij derden opgeslagen mag worden en welke in eigen bezit moet blijven.' 

Campagne Alert Online

De jaarlijkse campagne Alert Online vindt dit jaar plaats van 3 tot en met 14 oktober. Doel is Nederland bewuster te maken van de noodzaak van cybersecurity. De campagne is ontwikkeld door de Nationaal Coördinator Terrorismebestrijding en Veiligheid, een onderdeel van het ministerie van Veiligheid en Justitie, in nauwe samenwerking met onder andere VNO-NCW, de politie en de Cyber Security Raad. Overheid, bedrijfsleven en wetenschap organiseren eigen activiteiten. Thema van de campagne dit jaar is Cyber Skills.

Remko Ebbers
redacteur Forum
+31 70 3490 163