illustratie Norse
BURGERS ONDERSCHATTEN ONLINE RISICO
veiliger internet begint bij jezelf 14 | de ingenieur 4 | april 2015
Overzicht van cyberaanvallen die op een willekeurig moment plaatsvinden.
Cybercriminaliteit wordt steeds professioneler. Terroristen, afpersers en spionage diensten azen op allerhande online informatie en proberen systemen plat te leggen. De opsporing en preventie lopen achter, maar krijgen steeds meer pijlen op hun boog om ook online criminelen te pakken. ‘De belangrijkste beperking wordt niet gevormd door de benodigde techniek – daar beschikken we wel over – maar door de menselijke factor.’ tekst dr.ir. Christian Jongeneel
A
an alarmerende voorbeelden van cybermisdaad is geen gebrek. In augus tus 2012 drongen hackers die opereer den onder de naam ‘Het snijdende zwaard der gerechtigheid’ (maar waarachter de regering van Iran werd vermoed), binnen op het netwerk van de Arabische staatsoliemaatschap pij Saudi Aramco. Met een virus genaamd Sha moon besmetten ze dertigduizend computers, waarvan de harde schijven gewist werden. De operationele systemen van het bedrijf bleven buiten schot en dat was maar goed ook, want het herstel duurde tien dagen. Als gedurende die tijd de grootste olieproducent ter wereld had moeten stoppen met pompen, was de economische schade niet te overzien geweest. Weinigen bui ten de wereld van cybersecurity-experts zullen echter de zaak Shamoon kennen. In Nederland gaan meer belletjes rinkelen bij de zaak van Frank R. uit Cuijk, die honderden meisjes aan zette tot webcamseks, de beelden opnam om te verspreiden en twintig meisjes ook daadwerke lijk misbruikte.
Het zijn twee uitersten op het gebied van cybermisdaad, die niet alleen de enorme reikwijdte van het verschijnsel aangeeft, maar ook aan geeft welke dilemma’s er spelen bij de bestrijding ervan. De maat schappelijke gevolgen van haperende olietoevoer zijn groter dan die van een digitale kinderlokker, maar vraag het een willekeurige burger en hij zal zeggen dat hij liever bot vangt bij de benzinepomp dan dat hij ranzige filmpjes van zijn dochter op internet terugziet.
Strategie Volgens generaal Keith Alexander, tot maart vorig jaar de directeur van de Amerikaanse spionagedienst NSA, was de Shamoon-zaak een belangrijk keerpunt in de internationale beleving van cybermisdaad. Het effect van een aanval die de productie van Saudi Aramco had plat gelegd, zou over de hele wereld gevoeld zijn. Tot dan toe waren com plexe aanvallen gericht op specifieke organisaties, waardoor de gevol gen beperkt zouden blijven. Het bekendste voorbeeld is Stuxnet, een virus dat zich gericht verspreidde om specifieke onderdelen van het Iraanse atoomprogramma te saboteren. De Amerikanen zelf hadden hun wake-upcall al gehad in 2008. Toen hield de relatief simpele worm Agent.btz, die ongericht data steelt en wegsluist, het ministerie van Defensie veertien maanden bezig. Het leidde tot de oprichting van het United States Cyber Command, ook onder leiding van Alexander, de cyberpoot van het Amerikaanse leger, april 2015 | de ingenieur 4 | 15
die tot taak heeft grootschalige aanvallen op de digitale infrastructuur af te slaan, zoals het leger dat doet voor de fysieke infrastructuur. De Nederlandse equivalent is het Defensie Cyber Commando, dat in september vorig jaar het levenslicht zag. De lancering past in de Nationale Cybersecurity Strategie 2, ‘van bewust naar bekwaam’. Nederland heeft zich voorgenomen operationele capaciteit op te bouwen om niet alleen te kunnen reageren, maar ook terug te slaan. Naast het Cyber Commando bestaat overi gens ook het Nationaal Cyber Security Centrum, dat onder het ministerie van Justitie resorteert. Beide organisaties werken nauw samen.
illustratie Depositphotos/neyro2008
CYBERSECURITY
‘In militaire operaties zijn we steeds afhankelijker van digitale systemen als sensor-, wapen- en commandovoeringsystemen’, zegt kolonel Hans Folmer, die als militair ingenieur tot taak heeft het Defensie Cyber Commando op te bouwen. ‘Dat geldt ook voor een tegenstander. Daarom moet Defensie zijn eigen systemen beschermen. Het liefst wil je een aanval voorkomen, maar als dat niet lukt, moet je ten minste zorgen dat ze niet met informatie naar buiten gaan. Daarnaast moet je inlichtingen kunnen vergaren en offensief kunnen handelen, dat wil zeggen digitale syste men kunnen aanvallen, manipuleren of uitscha kelen. Vanuit militair oogpunt is dat volkomen logisch.’
Terughackwet Ook op civiel gebied zijn offensieve middelen in voorbereiding. Het boegbeeld is de terughack wet, die de politie de bevoegdheid zou moeten ge ven om in te breken op de computers van (ver meende) hackers. Tegelijkertijd zijn de defensieve middelen echter verzwakt, doordat de rechter in maart de bewaarplicht van internetproviders op schortte, omdat de mogelijkheden om criminelen te pakken niet opwogen tegen de inbreuk op de privacy van alle burgers wier gegevens een jaar bewaard zouden moeten worden. ‘Rampzalig, want met die gegevens kon je een heleboel kleine zaken oplossen’, zegt Arnoud Bruinsma, die met zijn bedrijf Business Security Management be drijven en overheden bijstaat bij het bestrijden van cybercriminaliteit. Uiteraard ziet hij ook de grote bedreigingen, zoals cybercriminelen die met gratis apps en toolbars proberen zich een te lefoon of pc binnen te wurmen met het doel bankgegevens te stelen. Maar op het niveau waar hij werkt, zijn zowel de problemen als de oplos singen vaak relatief eenvoudig. Bruinsma waarschuwt dan ook tegen een al te formele aanpak van cybercriminaliteit. ‘Er komen vanuit de overheid allerlei regels op 16 | de ingenieur 4 | april 2015
bedrijven en organisaties af, terwijl mijn ervaring is dat de grootste risico’s in de simpele dingen zitten. Ik heb eens een audit gedaan waar mensen weken bezig waren om allerlei vragenlijsten in te vullen, maar toen ik vroeg hoe het nu echt zat met het wachtwoord van de root server, moest men het antwoord schuldig blijven. Het risico van audits is dat mensen zich helemaal gaan focussen op het behalen van groene bolletjes op hun formulier, terwijl we weten dat geen audit waterdicht is. Je loopt het gevaar dat beveiliging een vorm van windowdressing wordt. De focus moet liggen op daadwerkelijk begrip van het systeem, niet op het doorlopen van protocollen.’ Ook in de opsporing zou wat Bruinsma betreft de nadruk meer op operationele capaciteit kunnen liggen. Zijn ervaring is dat hij in andere landen vaak aan één telefoontje genoeg heeft om een internetfraudeur te laten oppakken, terwijl het in Nederland soms weken kan duren voor het überhaupt mogelijk is aangifte te doen. ‘Er is in Nederland te veel gelegenheid om weg te komen met cybercriminaliteit.’ Sommige vormen van cybercriminaliteit zijn nauwelijks te bestrijden, zoals DDOS’en, het overbelasten van een server door hem te bombarde
CYBERSECURITY
bericht te verspreiden dat president Obama gewond zou zijn geraakt bij twee explosies in het Witte Huis. De Dow Jones duikelde onmiddel lijk. Ook dit soort op het oog eenvoudige acties hebben dus significante gevolgen in de echte wereld.’ Bruinsma vult aan: ‘De belangrijkste bron van cybercriminaliteit komt nog altijd van binnenuit, voormalige werknemers die een rekening te vereffenen hebben.’ Dat geldt voor kleine zaken, maar ook het grootste digitale informatielek uit de Amerikaanse geschiedenis kwam van bin nenuit, in de persoon van NSA-medewerker Edward Snowden. Daar bij vergeleken was de schade van Agent.btz minimaal. De bottom line is, net als bij gewone criminaliteit, dat het doorgaans eenvoudiger is om de kleine krabbelaars te ontmaskeren dan de goed georganiseerde syndicaten, of die nu de maffia of een overheid achter zich hebben.
Trends Hoewel hun professionele invalshoek volstrekt verschillend is, zijn Fol mer en Bruinsma het eens over de voornaamste trends in de cybercrimi naliteit. De belangrijkste observatie is dat aanvallen uit statelijke actoren en criminele organisaties steeds complexer en langdurig worden. De tweede trend (of non-trend, afhankelijk van hoe je er tegenaan kijkt) is de achterblijvende publieke bewustwording. Gezien de com plexiteit van de materie is dat niet zo verwonderlijk, maar zelfs het kie
Aan dringende prioriteiten is geen gebrek, wel aan personeel
ren met informatieverzoeken. Er zijn maar een paar organisaties in de wereld die tegen zo´n aan val van enige omvang bestand zijn en geen daar van is in Nederland gevestigd. Wie weet waar te zoeken kan voor vijftig euro al een aanval bestel len. Hollandse pubers gebruiken het om hun school plat te leggen, maar in 2007 gebruikten Russische cyberterroristen het middel om het digitale deel van de Estse overheid vrijwel geheel uit lucht te halen. De daders lagen op het kerkhof, zoals zo vaak. Opsporing is notoir moeilijk, laat staan bestraf fen. Folmer: ‘Je moet je altijd afvragen wat het doel is van een aanvaller. Statelijke actoren is het meestal te doen om inlichtingen. Criminelen zijn uit op geld. Terroristen proberen iets te ontwrich ten. Die laatsten bezitten nog niet echt de capaci teit, maar proberen het wel. Zo is het Twitter-ac count van persbureau AP al eens gehackt om het
zen van krachtige wachtwoorden is menige burger al te veel. Er moet eerst een ramp gebeuren voor mensen bereid zijn hun gedrag te wijzi gen – een gegeven dat overigens niet uniek is voor cyberspace. Beide trends zullen nog wel even aanhouden. Folmer: ‘De cybercom munity staat pas aan het begin van haar ontwikkeling. Digitalisering biedt naast de kansen zo veel bedreigingen dat die alleen zijn aan te pakken met nationale en internationale samenwerking. Er zijn nog tal loze denkbare maatregelen die wachten op implementatie.’ Bruinsma durft er wel een cijfer aan te verbinden: ‘Ik denk dat pas 1 % van de mogelijkheden voor misbruik van de huidige technologie daadwerke lijk wordt ingezet. De belangrijkste beperking wordt niet gevormd door de benodigde techniek – daar beschikken we wel over – maar door de menselijke factor.’ De vraag welk middelenarsenaal een land nodig heeft om zich effec tief tegen cybercriminaliteit te wapenen, zal voorlopig niet worden beantwoord, al was het maar omdat de technologie zich continu ont wikkelt. Aan dringende prioriteiten is geen gebrek, wel aan personeel. De onderschatting van de risico’s van cybercrime bij gewone burgers leidt via het democratische proces onvermijdelijk ook tot een relatief lage politieke prioriteit en dus beperkte middelen om het probleem aan te pakken. De jaarlijkse schade door cybercriminaliteit in Nederland wordt geschat op een krappe negen miljard euro, meer dan die door drugshandel en auto-ongelukken bij elkaar. Dat is schokkend veel, maar je dochter kan nog altijd beter het slachtoffer worden van een digitale kinderlokker dan van een dealer of een dronken automobilist. april 2015 | de ingenieur 4 | 17
CYBERSECURITY
Digitale verdediging Het Security Operations Center van het Delftse bedrijf Fox-IT houdt 24 uur per dag de datastromen van vijftig bedrijven in de gaten. ‘Hoe goed we alles ook monitoren, het is gewoon onmogelijk om alle gevaarlijke aanvallen te signaleren.’ tekst Marc Seijlhouwer MSc foto’s Fox-IT
E
en piep, een klik en poef, de melkwitte glaswand wordt doorzichtig. Achter het glas worden twee dozijn beeldschermen in een ronde kamer zichtbaar, vol met grafieken, programmeertaal en tekst. Het heeft veel weg van een war room, het crisiscentrum waar de hoogste leiders van een land overleggen over de volgende stap in een oorlog, zoals die bij voorbeeld in films over de Koude Oorlog zijn te zien. In deze kamer wordt niet gevochten tegen een ander land, maar tegen hackers, digitale inbrekers en andere cyberboeven die proberen via malware of andere kwetsbaarheden een bedrijf binnen te komen. In dit Security Operati ons Center (SOC) van het Delftse bedrijf Fox-IT houden de speurders dag en nacht de datastro men van zo’n tweehonderd sensoren bij vijftig bedrijven in de gaten. In- en uitkomend internetverkeer stroomt naar binnen en patroonherkenningssoftware maakt een schifting. ‘Maar als er echt iets is, blijft het mensenwerk’, vertelt Joost Bijl van Fox-IT. Het gebeurt niet vaak dat er iets aan de hand is: van de honderdduizend waarschuwingen die per dag binnenkomen, moeten er uiteindelijk tweehon derd door een van de veiligheidsexperts worden gecheckt. En daarvan zijn er dan maar twintig die een bedreiging kunnen vormen. Bij zulke echte aanvallen moeten de beveiligers pas serieus aan de bak. Binnen vijftien minuten, ook ’s nachts, moet de geïnfecteerde klant op de hoogte zijn van wat er precies aan de hand is en wat er moet gebeuren om het effect van de aan val te beperken. Fox-IT geeft advies en overlegt wat de volgende zet is: het systeem uitzetten, computers afschermen, of misschien zelfs af 18 | de ingenieur 4 | april 2015
wachten. Vervolgens maakt het bedrijf een plan om de infectie in te perken en zo snel mogelijk te verwijderen. Als alles goed gaat, is een crisis die het bedrijf platlegt zo te voorkomen, en kan de boel dus wor den gered voordat belangrijke data wordt gegijzeld of gestolen. Of voordat het productieproces in gevaar komt, want steeds vaker heeft ook de maakindustrie een deel van haar productie geautomatiseerd, waardoor hackers hele productielijnen plat kunnen leggen.
Yahoo Het systeem van Fox-IT, dat ProtACT heet, ontleent zijn bestaansrecht aan een ontnuchterend principe: 100 % cyberveiligheid bestaat niet: hoe goed je ook beveiligd, virusscanners en beschermingsmaatregelen lopen altijd achter op de hackers, of ze nou van de NSA of malafide Rus sische afpersers zijn. Zeker als zo’n hacker speciaal voor jouw bedrijf malware maakt, is het heel lastig beveiligen. Maar door je ogen open te houden valt er wel veel leed te voorkomen, als je maar weet waar je op moet letten. Dat is precies wat ProtACT doet: goed kijken en zo onregel matigheden, aanvallen, hacks en andere verdachte patronen opsporen.
CYBERSECURITY
Het Security Operations Center bij Fox-IT in Delft.
Zo stuurde Fox-IT vorig jaar een waarschuwing naar Yahoo, omdat de advertenties op de site van de zoekmachine malware verspreidden. Het Delfste bedrijf had, dankzij het internetverkeer van een paar van zijn klanten, gezien dat er nogal wat verdachte pakketjes over de internet lijnen kwamen. Die pakketjes naar de bron herleiden, leverde het ant woord: alles wees naar de advertenties van het internetbedrijf. Dat Yahoo het zelf niet door had, was op zijn minst opmerkelijk. Het haalde CNN en andere nieuwssites en Fox-IT was heel even wereldnieuws. ‘Het laat zien dat het principe van detectie werkt’, vertelt Bijl. ‘Daar waren we toen best trots op. Dat ons beveiligingssysteem sneller werkt dan dat van de top vijf website van de wereld.’ Het is niet voor niets dat het zo werkt; Fox-IT is al vijftien jaar bezig met detectie van cyber crime: telkens de software updaten, de nieuwste kwetsbaarheden die aan het licht komen in het programma verwerken en bij elke detectie en aanval kijken hoe een echte aanval nog beter is te herkennen. Wellicht opmerkelijk, maar geavanceerd speurwerk in de digitale gegevens vereist nog steeds een fysieke installatie. Fox-IT plaatst een sensor bij het bedrijf in de IT-structuur en die houdt bij wat er allemaal langskomt. Maar het bedrijf slaat die gegevens ook op, net als een flightrecorder. Dat is belangrijk voor als er iets misgaat, zodat precies is uit te pluizen hoe het misging, wiens schuld het is en – vooral – hoe is te voorkomen dat het nog een keer misloopt. Bij het grootste deel van de waarschuwingen herkent de computer zelf dat er niets aan de hand is. Gebruikers die rare dingen doen, systeem
De melkglazen ruit waardoor bezoekers het SOC kunnen zien.
beheerders die instellingen veranderen – het ziet er voor een onwetende observeerder allemaal uit als onregelmatig internetverkeer. Ze hebben ech ter wel een herkenbaar patroon, dat dus in het algoritme is verwerkt zodat de computer weet dat ze onbelangrijk zijn. Die verfijning zorgt voor steeds minder vals-positieven en dus voor veel
‘Ons principe van detectie werkt’ minder onnodige paniek bij de gemonitorde bedrijven. Het verminderen van het aantal valse meldingen heeft onvermijdelijk een negatief gevolg: het aan tal niet-ontdekte aanvallen neemt ook toe. Bijl is er realistisch over: ‘Het is, hoe goed we alles ook monitoren, gewoon onmogelijk om alle gevaar lijke aanvallen te signaleren. Maar we doen ons best en zorgen er ook voor dat we steeds beter worden. De analisten in het SOC besteden ook tijd aan het uitpluizen van de data van de afge lopen uren om te kijken of zij met hun menselijk blik misschien toch iets vinden dat het algoritme mistte.’ Het lastigste van observerende cyber april 2015 | de ingenieur 4 | 19
CYBERSECURITY
security is het vinden van de balans tussen zo min mogelijk onterechte meldingen en het signa leren van zo veel mogelijk echte dreigingen. Omdat er relatief zo veel onterechte meldingen binnenkomen, moet een SOC wel een manier hebben die automatisch te verminderen.
Populair Het maakt het SOC als concept en die van Fox-IT in het bijzonder er niet minder populair om. Sterker nog: steeds meer bedrijven willen hun eigen veiligheidscentrum in hun eigen kantoor. Je zou denken dat die trend voor een bedrijf als Fox-IT slecht uitpakt, maar cyberbeveiliger speelt er juist op in. ‘Grotere bedrijven die hun cybersecurity op orde hebben, willen niet altijd uitbesteden. Maar wij kunnen ze advies geven over hoe je zoiets opzet’, vertelt Liesbeth Kempen, die de projecten rondom het ProtACT-systeem overziet. ‘We werken nu zelfs aan een versie van ons detectiealgoritme dat andere bedrijven ook kunnen gebruiken. Het is nog niet af, maar klanten staan al te popelen.’ Cybersecurity leeft
dus, en veel bedrijven willen nu de beste veiligheid in huis halen. Het is zeker niet zo dat de klanten daardoor bij Fox-IT en andere cyber veiligheidsinstituten weglopen. Genoeg grote spelers willen juist niet de stress en kosten van een eigen securitycentrum. ‘T-mobile beseft bijvoorbeeld heel goed dat digitale veiligheid niet zijn expertise is en wel de onze.’ Of neem Globalsign, dat een van de leidende leveranciers van online certificaten is. De zogeheten Diginotar-hack van een paar jaar terug joeg flink schrik aan, waarop Globalsign meteen met Fox-IT in zee ging om zijn dienstverlening zo waterdicht mogelijk te houden. ‘Het opzetten van een SOC kost veel tijd en moeite. Vaak is het makke lijker als wij het meeste werk al hebben gedaan.’ Hoewel het bedrijf naar eigen zeggen wel voor elke klant personaliseert: Fox-IT bekijkt twee weken lang de online handelingen en bepaalt welk atypisch, maar natuurlijk internetverkeer het bedrijf vertoont. Die uitzonderin gen worden dan in het systeem gezet. Fox-IT ziet dat cyberveiligheid steeds hipper wordt. Het SOC, met het melkglas dat doorzichtig kan worden, is daarom ook een beetje neerge zet voor een professionele uitstraling richting de klanten. Vroeger zaten de speurders gewoon achter een bureau, maar zo’n officieel uit ziende crisiskamer komt wel goed over, geeft Bijl toe. ‘Het helpt hen echter ook om zich beter te concentreren en biedt overzicht over wat er allemaal gebeurt. Het is dus niet alleen voor de show.’
Hackgevaar Nu internet ook beschikbaar is in televisies, auto’s en koelkasten, groeit ook het risico dat dit soort alledaagse voorwerpen wordt gehackt. Siemens wil met het hacken van een brug demonstreren wat de gevaren zijn van slechte cyberveiligheid voor infrastructuur, fabrieken en gebruiksvoorwerpen. tekst Marc Seijlhouwer MSc
H
et internet of things, waarbij allerlei apparaten met het internet zijn verbon den, heeft veel voordelen: automatise ring van fabrieksprocessen kan sneller en makkelijker, thuiswerken komt voor meer mensen beschikbaar enzovoorts. Het internet der dingen heeft echter ook een schaduwkant: waar een gehackte laptop of smartphone meestal vooral tijdelijk ongemak met zich meebrengt, kan een gehackt kruispunt doden en gewonden tot gevolg hebben. Op dit moment onderschatten velen deze risico’s. Daar wil Siemens verandering
20 | de ingenieur 4 | april 2015
inbrengen door met het hacken van een brug op schaal te demonstre ren hoe makkelijk het in slecht beveiligde omgevingen kan zijn om het hele besturingssysteem over te nemen. Het schaalmodel van de brug, dat zo’n 2 bij 1 m meet, staat half april klaar bij de Global Conference on Cybersecurity. Tijdens de demonstra tie bedient iemand de brug en loopt er onopvallend een ander binnen met een laptop. Tien minuten later gaat de brug op en neer zonder dat de bediener iets doet. ‘Gehackt dus, hoewel het in werkelijkheid niet zo simpel is’, vertelt drs. Leo Freriks, manager Government Affairs bij Siemens. ‘Laatst sprak ik een collega die me verzekerde dat de laatste versie van het brugsysteem onhackbaar is. Dus moesten we een paar
CYBERSECURITY
foto Siemens
Hoe hack je een smartphone en w ww andere cybertrucs deingenieur.nl/hack
Het schaalmodel van de brug dat Siemens gaat hacken.
kwetsbaarheden inbouwen voor de demonstratie.’ Dat betekent niet dat alle bruggen voorgoed hackproof zijn. ‘Hackers lopen vaak voor op de beveiligers; ze zullen op een gegeven moment een manier vinden om het systeem weer binnen te dringen. Daarnaast zijn lang niet alle systemen up-to-date.’
Fabrieksvloer Dat laatste vormt een groot probleem nu ook de wat traditionelere bedrijfsonderdelen met ICT te maken krijgen. Dat de computergebrui kers hun pc’s goed onderhouden met de laatste updates en goede anti virussoftware is inmiddels voor een groot deel gemeengoed. Maar op de productievloer, en dus ook bij bijvoorbeeld bruggen, is het updaten nog veel minder ingeburgerd. ‘Dat is niet alleen een kwestie van na latigheid. Er kan bij een patch ook wel eens wat misgaan, waardoor het systeem niet helemaal goed werkt. Bij één computer is dat niet zo erg, maar bij een hele fabrieksvloer wel. Vandaar dat veel mensen ervan afzien om meteen de nieuwste versie van hun programma’s te down loaden. Wij willen dus laten zien wat de risico’s daarvan kunnen zijn.’ Bovendien zijn bedrijfsvloeren vaak al decennia relatief hetzelfde en daardoor niet gemaakt voor internet. Dat wordt vervolgens inge
bouwd omdat het kan, zonder dat de nodige vei ligheidsstructuur aanwezig is. De brug is, kortom, een metafoor voor alles dat met internet is verbonden. Siemens wil aantonen dat het niet vergezocht is om dit soort dingen te hacken. ‘Je hebt er misschien meer dan basale kennis voor nodig, maar uiteindelijk hoef je niet jaren te studeren om dit te kunnen. Online zijn genoeg trucjes te vinden om ergens binnen te dringen.’ Aangezien cybercriminaliteit steeds meer toeneemt, wordt ook de veiligheid belang rijker. ‘Vroeger waren digitale inbraken nog vaak voor de lol, om te laten zien dat het kon. Maar inbraken door overheden, terroristen en crimi nelen die op geld of informatie uit zijn komen steeds vaker voor. We hopen met een demo van de brug, waarbij direct het effect is te zien, ook niet-IT’ers te laten zien hoe makkelijk en gevaar lijk zo’n hack kan zijn.’ | april 2015 | de ingenieur 4 | 21
