Erik de Jong: Hoe moet je omgaan met cryptolocker?

Wat moet er gebeuren als je organisatie geconfronteerd wordt met een datalek. Natuurlijk is het eerst achterhalen wat er gebeurd is en wat de acties zouden moeten zijn. Maar hoe moet het forensisch onderzoek plaatsvinden, hoe moet je een crisis team inrichten, welke expertise moet daarin vertegenwoordigd zijn. Erik de Jong van Fox-it legt aan Brenno de Winter uit welke stappen een organisatie moet nemen om te achterhalen of er een datalek is en hoe daar mee om te gaan. Stel je hebt last van een cryptolocker wat kun je dan doen? Moet je ingaan op de eisen van de aanvallers en geld betalen? Hoe werkt het proces dan, als je ingaat op de chantage eisen hoe gaat dat dan?

Eerder vertelde Erik de Jong al over datalekken. Welke stappen moet je nu zetten om later datalekken te kunnen opsporen en te achterhalen wat er precies gebeurd is?

Erik de Jong: Ik heb een datalek. Wat nu?

Sinds 1 januari 2016 geldt er een meldpunt datalekken voor alle organisaties in Nederland. Iedere organisatie moet datalekken melden aan de Autoriteit Persoonsgegevens. De vraag is hoe je erachter komt dat jouw organisatie een datalek heeft. Erik de Jong van FoxIT legt aan Brenno de Winter uit hoe je datalekken kunt opsporen en wat je moet vastleggen om bij misdaad eventuele daders te identificeren.

Als de macht geen kennis heeft

Kennis is macht, maar heeft de macht ook kennis? Met het wetsvoorstel van Ard van der Steur om de politie te laten hacken is veel mis. Neem het gebrek aan kennis bij mensen met veel macht.

Rechter

Als de hackbevoegdheid wordt ingezet dan gaan de rechter-commissaris en de Officier van Justitie daarover. In de toelichting bij de wet erkent de minister dat het bij hen ontbreekt aan kennis. Volgens de minister moet daarom worden afgegaan op de expertise van de politie.

In tegenstelling tot bijvoorbeeld een huiszoeking kijkt een rechter-commissaris niet mee tijdens het hacken. Dat zou ook weinig uithalen, want probeer maar een handeling te destilleren uit allerlei ingewikkelde plaatjes op het scherm of langs vliegende karakters. De rechtelijke macht heeft gewoon die kennis niet en krijgt die van Van der Steur ook niet.

Advocaten

Voor de advocaat is het nog lastiger. Hij moet afgaan op het verslag van de agent. Daar moet maar uit blijken of de juiste apparaten zijn gehacked, het bewijs klopt of er is gerommeld met het bewijs. Dat laatste lijkt misschien vergezocht, maar in 2013 bleken tapgesprekken in een drugszaak door de politie verzonnen. Een gesprek is terug te luisteren, maar bij een proces-verbaal van een hack ontbreekt het onderliggende bewijs.

In het wetsvoorstel staat of valt een zaak met die ene hackende expert met veel kennis en vooral veel macht. En de advocaat krijgt niet de toegang tot die informatie om onschuldige mensen straks uit de cel te kunnen houden.

Politiek

En de politiek? Die gaat straks stemmen over een wetsvoorstel, waarbij de toelichting op de wet beschrijft dat ze veel informatie (en dus kennis) niet hebben. Bijvoorbeeld: Hoe stellen we vast of de gebruikte hulpmiddelen correct functioneren? Hoe waarborgen we het updaten van hacking tools en de correcte werking na een update? Hoe voorkomen we dat er fouten worden gemaakt? Hoe  regelen we toezicht tijdens het hacken?

Al deze vragen moeten in een later stadium na het aannemen van de wet nog eens beantwoord worden. De kamer ontbeert dus zeer belangrijke kennis en op ict-gebied concluderen ze zelf ook al kennis te ontberen:

“De Kamer maakt haar controlerende taak niet waar door een gebrek aan interesse voor ICT en een gebrek aan deskundigheid op ICT-gebied.”

Tja kennis is macht, maar bij de hackbevoegdheid ontbreekt het aan kennis bij hele machtige mensen…

De duivel uitdrijven met Beëlzebub

Het klinkt simpel: als hackers inbreken in computers, dan moeten we de politie ook de mogelijkheid tot hacken bieden. Het lijkt een nuttig middel om hackers te stoppen. Alleen worden wij er onveiliger van. Het is de duivel uitdrijven met Beëlzebub.

In het wetsvoorstel, dat nu bij de Tweede Kamer ligt, krijgt de politie de bevoegdheid om ook te mogen hacken in computers, mobieltjes en andere apparaten die met internet verbonden zijn. Eufemistisch noemt Minister Van der Steur het “heimelijk en op afstand (‘on line’) onderzoek doen in computers”.

Inbrekerstuig

Hacken is niet de digitale variant van inbreken in een huis. Om binnen te komen in een computersysteem (of mobiel) zijn zwakheden nodig. Zodra die lekken zijn verholpen werkt de aanval niet meer. Je kunt digitaal niet een deur intrappen of een ruit open maken en die achteraf vervangen.

Wil de politie binnenkomen dan zijn zogenaamde 0day-lekken nodig ofwel lekken die nog niet publiekelijk bekend zijn. Bedrijven als Hacking Team leveren dit soort digitaal inbrekerstuig aan overheden.

Lekken niet dichten

De lekken worden aangeboden in een schimmige wereld. Bij het kopen van 0day-lekken van hackers beloven ze naast tienduizenden euro’s te betalen de zwakheden niet bij de leverancier te melden, zodat de aanval blijft werken.

Zoals beschreven in deze e-mail met afspraken met een Russische hacker:

“You promise to not report this 0day to vendor or disclosure it before the patch. obviously it is not our interest!”

Duistere zaken

Om te kunnen inbreken op enkele computers van verdachten blijven honderden miljoenen computers lek. Want zodra de zwakheid is gemeld bij de softwarebouwer kan die het probleem dichten. Als dat is gedaan dan is deze route om binnen te komen afgelopen.

Het kopen van dit soort 0day-lekken is een duistere business, waarin veel geld omgaat. Sommige experts zijn zeer actief in het vinden van deze lekken voor de handel. Niets staat ze in de weg om naast het verkopen van de lekken aan Hacking Team ze ook aan criminelen te verkopen.

Schimmige zaken

Ondertussen blijkt onze politie serieus geïnteresseerd te zijn om met Hacking Team zaken te doen. Een pijnlijke bijkomstigheid daarbij is dat deze beoogd leverancier hun tools ook leveren aan twijfelachtige regeringen van landen als Azerbeidzjan, Kazachstan, Uzbekistan, Rusland, Bahrein, Saudi Arabië, de Verenigd Arabische Emiraten, Nigeria en Ethiopië.

In deze landen nemen de overheden het niet altijd even nauw met de mensenrechten. Het digitaal inbrekerstuig wordt regelmatig gebruikt om in te breken op computers van journalisten. Dat brengt zowel hen als hun bronnen in gevaar. Ook bijvoorbeeld tegenstanders van dergelijke regimes worden door dit soort hackertools aangevallen.

Duivel uitdrijven

Krijgt de minister zijn zin krijgt dan wordt het aanschaffen van digitaal inbrekerstuig legitiem We houden daarmee een industrie in stand met als gevolg het minder snel dichten van lekken met bijkomende onveiligheid.

De lekken zijn ondertussen voor iedereen beschikbaar: twijfelachtige regimes, de politie met goed bedoelde intenties, criminelen en organisaties die bedrijfsspionage willen plegen. Alleen daarom is de voorgestelde hackbevoegdheid een klassiek voorbeeld van de Duivel uitdrijven met Beëlzebub.

Alert Online over social engineering

Eenmaal per jaar is er in Nederland aandacht voor de risico’s van online werken op internet. In het kader van deze bewustwordingscampagne is onderstaande video beschikbaar over de gevaren van social engineering (het je voordoen als iemand anders). Om veiliger te zijn kunt u zelf veel eenvoudige stappen zetten. Zie daarvoor de adviezenpagina op Alert Online of verdiep u via De Beveiligingsupdate.

Alert Online – Pas op voor Phishing

Eenmaal per jaar is er in Nederland aandacht voor de risico’s van online werken op internet. In het kader van deze bewustwordingscampagne is onderstaande video beschikbaar over de gevaren van phishing mails. Om veiliger te zijn kunt u zelf veel eenvoudige stappen zetten. Zie daarvoor de adviezenpagina op Alert Online of verdiep u via De Beveiligingsupdate.

De techno-optimisten van Ivo Opstelten

Dit weekend debatteerden hackers, beveiligingsindustrie en politie over beveiliging tijdens #OpCyberpaint of ‘Operation Black Hat Down’

Tijdens de debatten kwamen belangrijke thema’s aan bod: is de overheid bij machte fatsoenlijk met technologie om te gaan? Is het nog veilig om lekken te melden als je vervolging riskeert? Is het verstandig om de politie te laten hacken in het buitenland? Waar ligt de grens in het mogen aantonen van het falen van een bedrijf of de overheid in het beveiligen van onze gegevens?

Mooie vragen, waarop geen eenduidig antwoord kwam. Al waren de aanwezigen eigenlijk allemaal techneuten die allemaal zien dat het in Nederland niet goed gaat, dat is niet waar het om draait. De techno-optimisten van minister Ivo Opstelten (Veiligheid en Justitie) bepalen wat er beleidsmatig gebeurt. Dat de politie niet met de goede zaken bezig is, blijft immers een keuze van het Openbaar Ministerie.

Techno-optimisten
De techno-optimist gaat niet snel in debat, want dan komt het op inhoudelijke argumenten aan en technologie heeft in hun ogen geen problemen. En als die toch worden gemeld pakt men volgens goed Hollands gebruik vooral de boodschapper aan. Net zo lang tot nagenoeg niemand meer iets durft te melden.

Bovendien was het jammer dat de techno-optimisten er niet waren omdat na het debat werd er gepaintballd. En wat zou het stoer zijn geweest om als hackers, politie, medewerkers van het Nationaal Cyber Security Center en industrie het eens tegen de mannen en vrouwen van Opstelten op te nemen.

Alles digitaal
Maar de beleidsmakers van Opstelten werkten onvermoeibaar door. In de week dat een relatief simpel administratief systeem bij de politieacademie mislukt bleek, kwam het idee om voor 2017 de hele BV Nederland digitaal te hebben.

Je hoeft geen wetenschapper te zijn om te begrijpen dat dit een miljarden verslindend kansloos ICT-project gaat worden. Want wie met de huidige mentaliteit op kleinere schaal (zeg honderden miljoenen) veel verprutst gaat dat op grotere schaal echt niet beter doen. De stemcomputer, het EPD of de OV-chipkaart: het blijft tobben.

Toekomstbeeld
Deze week wordt in de Tweede Kamer over de hackbevoegdheid in de opsporing gesproken, waarmee mijns inziens een soort cyberoorlog start. Daar worden we niet bepaald veiliger van. Een dag later ben ik een van de mensen die aan politici bij een hoorzitting mag uitleggen waarom het nu verkeerd gaat met de beveiliging bij banken.

Misschien moeten we het volgend jaar omdraaien: dan laten we politici met beleidsambtenaren paintballen en begrip voor elkaar krijgen. Ondertussen knutselen beveiligingsexperts en hackers aan wetten, waarborgen digitale vrijheid, stoppen megalomane kansloze projecten en ontwikkelen een echte visie voor onze digitale toekomst.

Opstelten en hackers: niet lullen maar poetsen!

Na miljarden aan belastinggeld te hebben verstookt voor het redden banken, wordt ons betaalverkeer via ‘systeembanken’ platgelegd door kinderlijk eenvoudig uit te voeren cyberaanvallen.

Volgens minister Opstelten moesten de banken dit vooral zelf regelen om nu enorm laat met een ‘topoverleg’ te komen.

De realiteit is echter dat het maar beperkt mogelijk is je te wapenen tegen een zogenaamde DDoS-aanval. Wie een paar tientjes over heeft legt met gemak een webwinkel of bank een uur of wat plat. Allemaal aanvallen die je via internet kunt kopen. Bij RSA Security hebben ze experts die enorm bedreven zijn in het in kaart brengen van de netwerken achter dit soort criminaliteit. Dat bedrijf investeert hoogwaardige, intelligente expertise op dit gebied en heeft een kundig centrum in Israël.

Weinig actie

In Nederland is sinds 11 september 2001 weinig anders geroepen dan dat opsporing meer macht moet hebben, wetten moeten worden opgerekt en we onze privacy maar moeten inleveren voor betere bescherming. De behoefte lijkt onverzadigbaar, want Opstelten komt zelfs met plannen om nog meer macht te krijgen. Spioneren op pc’s van argeloze burgers? Inbreken in andere landen? Nog intensiever tappen? Nog meer in de gaten houden wat wij op sociale media uitvreten? Geen probleem!

Maar waar blijven de resultaten? Natuurlijk, als een database van pensionado’s van de politie slecht beveiligd is, komt de opsporing op volle toeren in actie. Maar de dader(s) van de hack op Diginotar lopen nog vrij rond. Dat was wel een zaak waar de nationale veiligheid in het geding kwam, digitale handtekeningen bijna onderuit gingen en Nederland aanzien verloor. Angstvallig worden documenten hierover geheim gehouden, en ik moet juridische procedure op procedure voeren om nog maar iets helder te krijgen.

Botnet

Of neem het Pobelka-botnet dat grotendeels op Nederland was gericht. Rickey Gevers van het bedrijf Digital Investigations kreeg keihard bewijs in handen dat 150 duizend computers niet alleen waren geïnfecteerd, maar nauwgezet overheids- en bedrijfsnetwerken in kaart brachten en kopieën maakten van documenten die anders zorgvuldig geheim worden gehouden. Gevers leverde de informatie bij de politie op een presenteerblaadje aan, maar die deed niets. Pas toen er reuring kwam, ontdekte men dat de data niet leesbaar was.

Diezelfde politie en justitie heb ik tot drie maal toe erop gewezen hoe Russische criminelen zichzelf geraffineerd toegang verleenden tot honderden databases met de gegevens van miljoenen Nederlanders. Het bewijs lag kant en klaar, maar maanden verstreken en niets gebeurde. Uiteindelijk schreef ik diverse artikelen en dat was het dan. Nou ja de politie belde nog een keer met de mededeling dat ik te kritisch naar de overheid was.

Aan de slag!

Nu ligt er een daadwerkelijk probleem: systeembanken worden onderuit geschoffeld, webwinkels leiden miljoenen schade, het vertrouwen in banken neemt af en dus ondervindt de economie hier hinder hiervan. Maandag gaat Opstelten praten met de banken om het beeld hoog te houden dat de regering geïnteresseerd is in wat er allemaal gaande is. Wij moeten vrijheden opgeven voor bescherming. Dus is het nu niet tijd voor een maatschappelijke aai over de bol, maar hard resultaat.

De wetswijzigingen mogen er niet zijn voor de controlestaat, maar moeten echt iets opleveren. Waarom kan een bedrijf als RSA wel zaken goed in beeld brengen zonder allerlei machtsmiddelen en lopen wij zo enorm achter? Het is duidelijk dat de focus echt heel anders moet liggen. Het is tijd dat Opstelten zich weer als Rotterdammer gaat gedragen: niet lullen maar poetsen!

Privacybescherming is een digitale watersnoodramp

Laat ik maar met de deur in huis vallen: het gaat niet goed met privacybescherming in Nederland en daar hebben we last van. Niet alleen als individu, maar ook bedrijfsmatig. De problematiek tast onze concurrentiepositie en digitale ambities aan. In november deed ik uit wanhoop een oproep voor een Nationaal Privacy Debat.

Dat is er nu, gelukkig. We hebben namelijk te maken een digitale watersnoodramp. Maar met al mijn ervaring kan ik niet meer bepalen of de dijken al zijn doorgebroken of dat we nu te maken hebben met het eerste water wat door de dijken sijpelt.

Lek op lek
Al waarschuw je inmiddels meer dan 10 jaar, het besef dat er iets aan de hand is begint nu pas mondjesmaat te komen. In 2011 werden eigenlijk de eerste contouren van de gevolgen zichtbaar toen Pepper.nl werd gehacked en er persoonsgegevens van ruim 50.000 datende mensen op straat lagen. In de maanden volgend op de hack heb ik mensen gesproken die me vertelden op het werk werden gepest met hun ‘wanhopig op zoek zijn’. Een onwenselijk gevolg dat je ook in de toekomst altijd weer parten kan spelen. Niet iets waar je je zorgen over zou moeten maken.

Als je als dissident naar Gmail gaat om je land te verbeteren, moet je weten dat vertrouwelijkheid niet wordt geschonden. Zeker niet door een klein landje aan de andere kant van de wereld. Met dank aan de directie van Diginotar hebben wij ons van onze donkerste kant laten zien. Een volledig onnodige schandvlek op ons land. Overigens een gedachte die ik heb geleerd te bestrijden, omdat ik anders ’s nachts niet zo goed slaap. Sommige dingen zijn gewoon erg.

Enorme gevolgen
Elk individu of bedrijf moet beseffen dat persoonsgegevens verwerken een gunst is beladen met verplichtingen. Als je die niet goed nakomt benadeel je veel mensen. Een gelekt dossier op papier treft enkele personen, maar digitaal gelekte informatie treft duizenden, tienduizenden, honderdduizenden of zelfs miljoenen mensen. Dat vergt een andere manier van denken. Je kunt plat kijken en zeggen dat een hacker een bedrijf benadeelt, maar het echte slachtoffer zijn wij allemaal: de burgers. Toen ik in 2011 Lektober organiseerde ging er een schokgolf door Nederland. Hard was de klap toen ik met een datalek van 2,3 miljoen persoonsgegevens kwam. Dit moet anders en daarom de oproep voor een debat.

Open zijn over problemen
Belangrijker nog dan lek zijn, is de manier waarop wordt omgesprongen met het probleem. Vaak is de reflex om diegene die de misstand aantoont te beschuldigen. Daarbij maken zowel bedrijven als overheden zich schuldig aan intimidatie, bedreiging en zwaar ontkennend gedrag. Maar het kan ook anders. Een kinderdagverblijf lekt allerhande gevoelige gegevens rond ouders, kinderen en  salarissen. Al anderhalve week werken zij aan een oplossing, waarbij zij zelf schuld erkennen en zoeken naar verbeteringen. Niet het dichten van een lek, maar een fundamenteel andere aanpak van gegevensverwerking. Naar buiten treden kan  wel eens een toonbeeld zijn van hoe het moet, in plaats van de problemen te ontkennen.

Het routinematig krijsen dat over beveiliging geen mededelingen worden gedaan, is voor mij synoniem voor ‘bij ons staat het er slecht voor’. Wees open! De belangen overstijgen immers die van een onderneming. Op maatschappelijke belangen concurreer je niet. Banken concurreren ook niet met elkaar op de aanpak van fraude en criminaliteit. Iedereen heeft er last van als problemen het vertrouwen in een totale industrie ondermijnen. Het is ‘be good and tell it’ en niet ‘tell it and be good’. Dat is maatschappelijk verantwoord opereren.

Complex debat
Maar de discussie gaat over meer dan openheid rondom een datalek. De opmars van de technologie stelt ons voor complexe vraagstukken. Het beantwoorden van die vragen is ingewikkeld en vergt moed. Dus wat zien we? We zijn oh-zo-bedreven geworden in het ontwijken van de vraagstukken met holle kreten. ‘Voor veiligheid moeten we privacy opgeven’. Dat heb ik vorig jaar keihard gelogenstraft door aan te tonen het opgeven van de privacy een enorm beveiligingsrisico vormt. De sfeer is er tot vandaag een van het debat vermijden en weglopen voor verantwoordelijkheden. De overheid vraagt ons transparant te zijn, maar maakt van de transparantieplicht een ware martelgang. En daarmee blijven vragen over de effectiviteit van maatregelen uit.

Hoop
Maar gelukkig blijven veel burgers stoïcijns roepen om het debat. En niet zonder succes: de vingerafdruk staat onder druk. Onderzoek leert dat het ineffectief is en dus is er nu een politieke roep om ermee te stoppen. Beter ten halve gekeerd dan ten hele gedwaald, zeg ik dan dankbaar. De dwazen van de maatschappij die maar bleven stampvoeten en procederen verworden langzaam tot de wijzen. Steeds luider wordt ook de roep om nog eens heel kritisch te kijken naar de bewaarplicht verkeersgegevens. Ook dit blijkt twijfelachtig in succes en wordt wel erg misbruikt door opsporingsinstanties.

Ik juich daarom de houding van het Openbaar Ministerie toe om publiekelijk de grenzen op te zoeken en de knuppel in het hoenderhok te gooien. Dat komt ze op veel kritiek te staan, maar ik vind dat moedig. Want zij doen namelijk wat moet gebeuren: het debat aanwakkeren. Waar ligt de grens? Wat vinden wij acceptabel en wat niet? Een noodzakelijk debat dat nu moet worden gevoerd, want nogmaals: de watersnoodramp komt eraan of is er al.

Dijkbewaking
En de dijkbewaking? Ze is er wel in de vorm van het College Bescherming Persoonsgegevens (CBP), maar eigenlijk bestaat ze niet. We hebben in dit land ruim een miljoen bedrijven, maar slechts tachtig medewerkers bij het CBP. Ofwel één medewerker per 1250 ondernemingen. Een gemiddelde zaak kost ze twee tot drie manjaar. Ik maak het grapje vaker: er zijn momenteel twee keer zoveel animal cops als medewerkers bij het CBP. En het klimaat is guur. Het CBP krijgt er binnenkort taken bij, maar geen medewerkers. Weer een teken aan de wand dat we de problematiek nog steeds niet in volle omvang willen erkennen. Alleen als je Trans Link Systems, Google, RET, NS of GVB heet, moet je op je tellen passen. Of je moet zo dom zijn als het VU Medisch Centrum en schreeuwen om aandacht.

Ik voel me soms Hans Brinker die met de vinger in de dijk staat en met mijn voeten in de modder. De vermoeidheid begint toe te slaan. Af en toe komt iemand langs die roept “Lekker bezig Brenno!”. Daarom ook de oproep concreet na te denken wat er nu moet gebeuren. Het Nationaal Privacy Debat is een unieke kans iets moois te beginnen en mensen uit te dagen mee te doen met de maatschappelijke discussie. Laten we die kans grijpen en werken aan een Deltaplan. Nederland weer tot voorbeeldland maken. Een voorbeeld als rechtstaat voor wat betreft de bescherming van de burger. Daarin zijn we op ons best!