SMCO050: Omarm hackers

In de 20 jaar dat ik actief ben in de securitywereld is er veel gebeurd. We zien in onze praktijk verschillende trends en ontwikkelingen die het beeld dat in CSBN 2017 wordt geschetst onderschrijven. Tijdens SMC050 op 10 juli sprak ik samen met Jobert Abma van HackerOne over het thema ‘You will be hacked and you know it’. Onze boodschap: We moeten goede hackers omarmen.

Cybercriminaliteit loont

Cybercriminaliteit is een belangrijk punt van aandacht. Criminelen zetten ransomware of cryptoware (gijzelvirussen) steeds vaker in om hun doeleinden te bereiken. In tegenstelling tot andere veel voorkomende malware blokkeren de criminelen met cryptoware de toegang tot gegevens met encryptie. De bereidheid van mensen en organisaties om de criminelen te betalen (vaak in bitcoins), zorgt voor hoge gemiddelde opbrengsten per doelwit. Bovendien is de pakkans laag. De afgelopen jaren is de populariteit van het gebruik van ransomware en (vooral) cryptoware verder toegenomen. En niet alleen criminelen zetten ransomware in

Ransomware Wannacry

Vrijdag 12 mei 2017 verscheen een bericht over Britse ziekenhuizen die getroffen zijn door cyberaanvallen waarvoor ransomware gebruikt is. De aanval maakte gebruik van software die door ShadowBrokers is gestolen van de Amerikaanse geheime dienst NSA. De software maakt gebruikt van een lek in Windows, een zogenaamde zeroday, genaamd EternalBlue. Hierdoor kon WannaCry zich via het netwerk verspreiden. Dit is bijzonder, want vóór WannaCry verspreidde ransomware zich vooral via ‘phishing’. Inmiddels lijkt duidelijk wie achter WannaCry zat. Het beveiligingsbedrijf F-Secure wist de code van WannyCry te herleiden tot een groep die zichzelf Lazarus noemt. Deze groep zit achter de aanvallen van twee jaar gelden op SWIFT. In totaal werd hierbij zo’n 100 miljoen dollar buitgemaakt. Lazarus is ook verantwoordelijk voor de SONY hack waarbij de film The Interview, waarin de Noord-Koreaanse leider Kum Jung-un wordt vermoord, werd ‘gestolen’. Noord-Korea zit achter Lazarus.

Security alert Petya

Petya of Notpetya

Vlak na WannaCry sloeg Petya toe. Petya werd als eerste opgemerkt in de Oekraïense energie-, telecom- en mediasector. Bedrijfscomputers gingen plotseling op zwart; in beeld verscheen alleen nog een tekst waarin om 300 dollar aan losgeld werd gevraagd. Al snel werd Petya ook in andere landen opgemerkt. APM Terminals, afgelopen weekend nog in het nieuws, werd hard getroffen. In totaal zijn zeker duizenden computers getroffen.

In eerst instantie leek Petya een variant van een gijzelvirus uit 2016. Er worden weliswaar elementen van Petya gebruikt, maar zitten er ook allerlei nieuwe elementen in de schadelijke software. Sommige onderzoekers zijn de nieuwe variant daarom NotPetya gaan noemen. Uit een analyse van de code is gebleken dat er geen bestanden worden versleuteld. In plaats daarvan wist Petya simpelweg delen van de schijf, waardoor hij onherstelbaar wordt beschadigd. Het is onduidelijk wie achter (Not)Petya zit. Vermoedelijk een staat. Bij zowel WannaCry als Petya, krijg je je gegevens niet terug als je betaalt.

Mirai botnet

De ontwikkeling van internet of things brengt naast kansen ook veel risico’s met zich mee. Veel apparaten bevatten kwetsbaarheden waarvoor geen beveiligingsupdates uitkomen. Op die manier kunnen deze apparaten worden misbruikt voor bijvoorbeeld DDoS-aanvallen. Eind 2016 werden een aantal websites getroffen door een DDoS aanval. Deze werd uitgevoerd via het Mirai botnet (Japans voor de toekomst). Een botnet van dingen, voornamelijk internetcamera’s en routers. Slecht beveiligde ‘dingen’ kun je eenvoudig vinden via bijvoorbeeld Shodan.

Internet of things

Software is de achilleshiel van digitale veiligheid

Software is een cruciaal onderdeel van onze digitale infrastructuur, omdat software de mogelijkheden van hardware en de steeds groeiende hoeveelheid data ontsluit. Met software op nieuwe plaatsen, zoals medische apparatuur of als onderdeel van internet of things, neemt het belang van veiligheid verder toe. Helaas blijkt de software in deze apparaten regelmatig elementaire kwetsbaarheden te bevatten. Updates, die vaak handmatig geïnstalleerd moeten worden, zijn door de aard van deze apparaten niet eenvoudig te installeren.

Software is de achilleshiel van (onze) online beveiliging. En software is overal. Ook in steeds meer dingen. Van auto’s, televisies tot het koffiezetapparaat. Software is complex. En bedenk je dan nu eens dat een goede softwareontwikkelaar gemiddeld tien fouten per duizend regels code maakt. Ik maakte in die context al eerder de vergelijking tussen de Eiffeltoren en een gemiddelde ‘smart’ TV. En wist je dat de Tesla (‘software op wielen’) meer dan 100 miljoen regels aan geprogrammeerde code bevat? Dit betekent dat de code van een Tesla naar alle waarschijnlijkheid meer dan 10.000 fouten bevat. En dan te bedenken dat we meestal de handleiding van die apparaten niet eens lezen, laat staan het standaard wachtwoord vervangen. Dat is vragen om moeilijkheden.

Nieuwe helden

De nieuwe helden zouden de softwareontwikkelaars moeten zijn. Edwin van Andel is een van mijn persoonlijke helden, een ‘helpende hacker’. Hij is CEO van Zerocopter. Zerocopter is een door ervaren hackers geselecteerde toolset om je online omgeving te beveiligen. Van geautomatiseerde scanners tot de inzet van de beste ethical hackers wereldwijd voor de online veiligheid van jouw organisatie. Jobert Abma en Michiel Prins zijn twee andere hackers die ik beschouw als nieuwe helden. Hun bedrijf heet HackerOne. Met ethisch verantwoorde hackers helpen ze hun klanten, door op verzoek van die klanten, zoals Uber, General Motors en het Pentagon, in te breken in hun computersystemen.

Hackers bewijzen dagelijks dat het anders móet. Zij zijn de nieuwe helden. Mijn advies? Omarm ze!

Lees ook het artikel in Dagblad van het Noorden, of bekijk de hele presentatie nog eens terug via Youtube:

 

Informatie aanvragen

Meer artikelen

Bekijk al het nieuws