Leren van de massale digitale infecties met WannaCry wereldwijd

Volgens onderzoekers zijn honderdduizenden computers getroffen door de gijzelsoftware die bestanden op computers ontoegankelijk maakt (versleuteld). Pas na betaling van een bedrag van 300 dollar belooft de aanvaller de schade ongedaan te maken. Op basis van wat we nu weten kunnen we veel leren om de kans op dergelijke digitale virusuitbraken te verkleinen en de gevolgen te beperken.

Tussen de slachtoffers van de kwaadaardige software, met de onder andere de namen WannaCry of WannaCrypt, zitten in ieder geval Britse ziekenhuizen, de Deutsche Bahn, het Russische Ministerie van Binnenlandse Zaken, automobielbouwer Renault, Universiteiten, telecomproviders, vervoersbedrijf FedEx, de betaalautomaten QPark en veel particulieren. Het virus is inmiddels al door meerdere experts bekeken en daardoor zijn er veel technische details beschikbaar:

  1. De software werkt op het Windows-platform. Apple OS X en Linux zijn voor dit specifieke probleem niet gevoelig;
  2. De verspreiding gaat volgens de Nederlandse overheid in eerste instantie via e-mail;
  3. Om te kunnen functioneren maakt WannaCry gebruik van een zwakheid in Windows. Dit probleem is op op 14 maart 2017 door Microsoft in een update verholpen. Wie tijdig zijn Windows-computer heeft bijgewerkt is dan ook niet kwetsbaar voor dit specifieke probleem. Als gevolg van de massale uitbraak heeft Microsoft zelfs updates uitgebracht voor Windows XP, Windows 8 en Windows Server 2003. Deze besturingssystemen worden eigenlijk niet meer ondersteund door de softwaregigant;
  4. Er zijn meerdere gevallen van besmetting met de software waar de versleutelingssoftware niet heeft gewerkt. In die gevallen detecteerde antivirussoftware dat ook gedrag van programmatuur in de gaten houdt het afwijkende gedrag;
  5. De misbruikte zwakheid in het systeem en de technologie om er misbruik van te maken is ontwikkeld door de Amerikaanse NSA. Zij gebruiken de techniek naar alle waarschijnlijkheid om toegang tot bestanden van hun doelen te krijgen en een achterdeur op machines te plaatsen. De hackersgroep ‘The Shadow Brokers’ brachten die op 14 april 2017. De aanvallers gebruiken de techniek nu om bestanden te versleutelen en ze te gijzelen;
  6. De malware met de naam WannaCry is niet nieuw, omdat eerdere varianten al eerder slachtoffers maakte. Wat deze aanval anders is de omvang waarmee nu computers worden getroffen en dat daarbij opvallende organisaties worden getroffen;
  7. In de kwaadaardige software zit de mogelijkheid om het virus uit te schakelen. Een 22-jarige beveiligingsexpert, die twittert onder de naam @MalwareTechBlog, ontdekte dat de software zoekt naar een domeinnaam. Door dit domein te registreren stopt de uitbraak. Inmiddels zijn nieuwe varianten van dit virus niet op deze manier te stoppen;

Leren

Op basis van voorbeelden waar zaken misgaan kunnen we veel leren. De bekende details van WannaCrypt maken duidelijk dat hier al snel een aantal lessen te trekken zijn.

Maatregelen die dit incident hadden voorkomen en in de toekomst de kans op dit soort incidenten fors kleiner maken:

  1. Snel installeren van updates. WannaCrypt misbruikt een bekend lek, waarvoor Microsoft inmiddels een update heeft uitgebracht. Het updaten kunt u handmatig doen of Windows zo instellen dat dit automatisch gebeurt. Veel besmettingen – ook dit specifieke geval – zijn mogelijk dankzij het niet bijwerken van systemen. Het inbreken op computersystemen is vaak ook mogelijk door verourderde software. Een paar grote voorbeelden zijn bijvoorbeeld DigiNotar, KPN en het Groene Hart Ziekenhuis was verouderde software de oorzaak waarop de aanvaller binnen komt;
  2. Klik niet op links of bijlages die u niet volledig kunt vertrouwen. Dit virus in eerste instantie wordt verspreid via e-mail. Al jaren verspreiden virussen zich via e-mail. Ook bij grotere hacks zien we vaak dat de aanvaller via kwaadaardige software binnenkomt. De verspreiding vindt dan vaak plaats via e-mail door mensen te verleiden op een link te klikken of een bijlage te openen. Op deze manier kwam ook de volledige bedrijfsadministratie van het Italiaanse bedrijf Hacking Team op straat te liggen en kregen de aanvallers van de Democratische Partij in de VS toegang tot de mail van de campagne van Hillary Clinton;

 

Factoren die de gevolgen van deze aanval kleiner kunnen maken:

  1. Antivirus. Een infectie is niet altijd te voorkomen. Veel antivirus-paketten detecteerden de software niet toen het op het systeem kwam. De werking van de malware wordt door veel pakketten wel gedetecteerd. Dat is nuttig. Daarom helpt antivirussoftware. Dat detecteert in een aantal gevallen de kwaadaardige software als het op de computer dreigt te komen. Daarnaast detecteren veel leveranciers ook afwijkend gedrag. Als de malware begint met schade te maken dan valt dát op dan stopt de software de werking;
  2. Goede backup. De criminelen kunnen geld voor ontcijferen van gegijzelde data vragen, omdat veel mensen en bedrijven niet beschikken over goede backups. Dan is de keuze: betalen en data krijgen of niet betalen en geen gegevens meer hebben. Met een goede reservekopie verdwijnt de kracht van de chantage;
  3. Politiek gericht op beveiliging. Het virus is afkomstig van een lek dat is ontdekt door de NSA. De Amerikaanse dienst zoekt – net als in andere landen gebeurt – actief naar zwakheden in systemen om te misbruiken in digitale oorlogsvoering of in opsporing. Een digitaal wapenarsenaal heeft als gevolg dat deze overheden een belangen hebben om deze lekken niet te laten liggen. Dit soort zwakheden komen vroeg of laat in handen van criminelen, zoals ook nu gebeurt. Een logische stap zou zijn om niet lekken te gebruiken om in te breken, maar ze te laten dichten door leveranciers en zo iedereen veiliger te maken. Dat is wel een politieke keuze om te maken;
  4. Niet alles hetzelfde systeem. Door te werken een enkele omgeving – in dit geval Microsoft Windows – betekent dat een uitbraak succesvol is door een hele organisatie. Wie kijkt naar een mix van verschillende systemen (bijvoorbeeld door kantoorfunctionaliteit te splitsen van andere functionaliteit) zorgt ervoor dat een virus niet automatisch succesvol is over de hele organisatie;

We kunnen veel stappen zetten om een herhaling van dit incident te voorkomen of de gevolgen te verminderen. Natuurlijk zijn er meer op basis van dit incident te identificeren. Wie begint de basis op orde te brengen, maakt de kansen kleiner om niet getroffen te worden.

Valentijnsvonnis: Microsoft’s liefde voor partners

Microsoft heeft alle geldstromen van een zakenpartner platgelegd. De onderneming heeft zeer waarschijnlijk te veel geld aan de gigant betaald en dat is nu gestopt. Ook een zusterbedrijf dat helemaal geen Microsoft-producten gebruikt maar het concurrerende Linux levert, is getroffen door een beslaglegging.

Dat blijkt uit een vonnis waar de Amerikaanse gigant de pijlen richt op Wipa Nederland B.V. Een onbekende mkb-onderneming, die online werkplekken op basis van Microsoft-producten aanbiedt. Klanten loggen in op de server van dit bedrijf en werken zo in de cloud. In 2008 sluiten Microsoft en Wipa een zogenaamde SPLA-licentieovereenkomst af. Om sjoemelen tegen te gaan, kan er een audit op de boeken worden gedaan.

Geen audit

Zo’n audit naar de administratie komt er volgens Wipa en het vonnis nooit. Wel belt een persoon en doet hij alsof hij een nieuwe klant wil worden. Op basis van zo’n verkoopgesprek handelt Microsoft alsof ze een deugdelijke audit hebben uitgevoerd. Wat ontbreekt, is cruciale informatie of klanten zelf al beschikken over licenties, of het salespraatje correcte cijfers geeft of dat de medewerker slechts heeft geschat en welke klanten nu welke licenties nodig hebben.

Wat Microsoft niet doet, doe ik wel: de feiten controleren en kijken in de licentie-administratie. Als de mij getoonde informatie correct is dan kom ik tot een opmerkelijke conclusie: het mkb-bedrijf betaalt zeer waarschijnlijk duizenden euro’s teveel aan licenties. Wipa Nederland B.V. meldt niet altijd een licentie na gebruik af en voor sommige klanten met eigen licenties wordt soms uit voorzorg toch een licentie geregeld. De malversaties die Microsoft beschrijft, zie ik niet.

Ex-parte

Met flarden van het verkoopgesprek in de hand start Microsoft op 14 februari 2017 een procedure bij de rechtbank Amsterdam. Het gaat om een ex-parte zaak. Om geen slapende honden wakker te maken, mag de gedaagde partij zich niet verweren en gebeurt zo’n procedure in het geheim. De eis: leg beslag op de administratie, computers, servers en alle financiële middelen van het bedrijf, het moederbedrijf en een zusterbedrijf dat werkplekken levert op basis van open-sourcesoftware.

Volgens Microsoft draait de zaak om 170.000 euro niet-betaalde licenties. Dit gebaseerd op basis van een verkoopgesprek. Het komt een tikkeltje agressief over om zonder inhoudelijke verificatie vervolgens beslag op alle bezittingen te leggen en dit zes maanden te laten duren voor de inhoudelijke gronden worden aangeleverd. Je weet dat je daarmee een hostingbedrijf uiteindelijk naar een faillissement stuurt.

Dreigen

Natuurlijk heb ik Microsoft herhaaldelijk om uitleg gevraagd. Nogal onder de gordel volgde wel een vraag ‘uit persoonlijke interesse’ of ik bij Wipa betrokkenheid heb. Opmerkelijk voor een bedrijf dat net beslag heeft gelegd op de administratie van dat bedrijf en dat zelf zou moeten kunnen ontkrachten.

Uiteindelijk komt er het volgende statement van het bedrijf:

“We reageren niet op contractuele overeenkomsten met individuele klanten of partners en verschaffen ook geen informatie over lopende juridische zaken. Algemeen kunnen we wel stellen dat Microsoft zijn verantwoordelijkheid om mensen te beschermen tegen de aankoop van illegale of oneigenlijke software zeer serieus neemt. We passen daarvoor treffende maatregelen toe, waaronder contractueel overeengekomen auditprocessen en andere acties om het vertrouwen van klanten in ons partnernetwerk te waarborgen, en om de risico’s die worden veroorzaakt door illegale en oneigenlijke software te verkleinen.” – Microsoft

In het verzoekschrift om een beslag is de advocaat helder. In punt 15 legt hij uit dat er eerst beslag moet liggen om dan na het beslag Wipa uit te nodigen voor overleg. Dat had dezelfde dag nog gekund, maar anderhalve week heeft de reus uit Redmond die belofte niet waargemaakt. Dat zou kunnen duiden op een tactiek: intimideren tot een bedrijf zo onder druk staat dat ze alles wel tekenen om maar niet ten onder gegaan.

Wat deze Valentijnsdag mij heeft geleerd, is dat partners zo’n dag heel verschillend vieren. Waar ik mijn vrouw bloemen en een dinertje gaf, koos Microsoft als een femme fatale voor zijn partner voor een beslag. Ongeacht je eigen trouw kun je sommige relaties beter niet aangaan.

Diginotar-hack ondermijnt ook Windows-beveiliging

DEN HAAG – Er blijken zeker tweehonderd meer nepcertificaten door Diginotar te zijn uitgegeven dan de 247 die eerder zijn ontdekt. Ook het certificaat voor Windows Update blijkt nu te zijn vervalst, waardoor Iran in theorie aangepaste versies van het besturingssysteem kon verspreiden. Dat blijkt uit een aangepaste lijst van nepcertificaten die inmiddels aan browserleveranciers is verspreid. Daaruit blijkt dat de basis is gelegd om de infrastructuur voor het automatisch bijwerken van Windows te ondermijnen binnen Iran. Lees het verhaal op NU.nl.

Diginotar-hack ondermijnt Windows Update

Diginotar, dochter van beveiligingsbedrijf Vasco Data Security, hield stil dat Iran werkte aan een eigen Windows Update. Tussen de nepcertificaten zit ook het certificaat voor WIndows Update. Inmiddels is de lijst van ten onrechte uitgegeven certificaten gegroeid van 247 naar ruim 530 certificaten. Daar zitten ook hele algemene ‘domeinen’ tussen als *.*.org en *.*.com. Maar ook blijken er veel sites met informatie voor dissidenten tussen te zitten. Uit nieuwe gegevens blijkt verder dat niet alleen voor het domein van Microsoft en Windows Live certificaten zijn uitgegeven door Diginotar. Ook voor Windows Update is een certificaat aangemaakt. Eerder was al duidelijk dat de aanval zich ook op het Mozilla- en Tor-project richt. Lees het verhaal op Webwereld.

‘IE doet niet langer onder voor concurrentie’

AMSTERDAM – Met de introductie van Internet Explorer 9 zegt Microsoft niet langer onder te doen voor de concurrentie. “Mensen moeten zelf maar bepalen welk besturingssysteem en welke browser ze nemen”, zegt Microsoft-evangelist Ruud de Jonge. Wij gaan die strijd graag aan.” De Jonge blaakt tijdens de presentatie van zelfvertrouwen, omdat de beta-versie een aantal extra’s heeft, die bij de concurrentie nog niet te vinden zijn. Lees het verhaal op NU.nl.

#69: Lek, lekker, lekst

Google onthult lekken van Microsoft, Microsoft wijst op lekken in Google software, Google helpt Adobe met het vinden van zwakheden, Apple ontdekt weer zwakheden in Google’s Chrome en zo gaat het maar door. Wat opvalt is dat Google wel dubbele standaarden hanteert, want bij Adobe hanteren ze responsible disclosure en bij Microsoft niet. Een door Google gemaakte patch voor een probleem in Windows blijkt weer niet te werken. Het is een puinhoop. Ondertussen kan het succes van de OV-chipkaart niet op, want de ABNAMRO komt met een betaalpasje dat namelijk ook contactloos werkt. De bank vergelijkt dit ook met de OV-chipkaart.

114.000 iPad klanten zijn gedupeerd door knullige beveiliging van AT&T en hun e-mailadressen zijn uitgelekt. Zo zijn topbestuurders, militaire officials, TV-presentators opeens wel erg goed met hun e-mailadres te vinden. Kansrijk voor een gerichte aanval. De FBI onderzoekt de hackers en niet de slechte ontwikkelaars, maar uiteindelijk is de verwachting dat er geen aanklachten zullen volgen. Maar stel dat een veroordeling was gevolgd voor de ‘hackers’ mag je ze dan nog in dienst nemen? Een lastig ethische vraag, want als het antwoord nee wat zouden ze dan met hun gaven gaan doen? En wat is een hacker eigenlijk? Is de minister van Justitie in Nederland zelf niet een beetje te stout geweest? De vraag is moeilijk te beantwoorden, want documenten worden maar niet vrijgegeven en nu is het verworden tot een rechtszaak.

En natuurlijk in deze aflevering: een wedstrijd om een gratis kaartje te krijgen voor Hack in the Box, de beveiligingsconferentie en training. We spreken met de organisator en hij vertelt wat er voor briljante lezingen volgen. U mag 3 x raden waar u De Beveiligingsupdate op 1 en 2 juli gaat aantreffen.

ICT Roddels 293: De danse macabre rond beveiliging en T-Mobile

In deze aflevering staan Jasper Bakker en Brenno de Winter stil bij beveiligingsproblemen, die binnenkort worden aangekondigd in Mac OS X en de 64-bits editie van Windows 7. De conferentie Hack in the Box gaat een interessante verzameling van lezingen worden, waarin zal blijken dat veel systemen wel heel fundamenteel lek zijn. Verder spreken we natuurlijk over de problemen bij T-Mobile, de nieuwe iPhone en de eerste 4G-telefoon: EVO. Ook kijken we naar de ICT-onderwerpen bij de verkiezingen. Ofwel: een interessante verzameling van nieuwtjes.

ICT Roddels 291: De browser en provideroorlog

In deze podcast aandacht voor Microsoft, die weinig klanten lijkt te verliezen aan het browserkeuzescherm. Toch is het bedrijf begonnen met een reclamecampgne om de privacyfeatures van Internet Explorer aan de man te brengen. Daarbij lijkt het erop dat Microsoft stil houdt dat het ‘in private’ browsen weldegelijk sporen achterlaat en dat dit al jaren bekend is. Klanten vinden snel internet aantrekkelijker dan allerhande diensten er omheen en daarom wint UPC tienduizenden klanten ten koste van ADSL.

Privacy First is in het geweer gekomen om te voorkomen dat paspoorten met vingerafdrukken ook een kopie in een centrale database achterhouden. Zij klagen het Ministerie van Binnenlandse Zaken aan in de hoop de nieuwe paspoortwet te verbieden. Tot slot spreken we ook over een nieuwe standaard, waardoor draadloos internet fors sneller is. Ook hebben we het natuurlijk over de gewonnen rechtszaak tegen de gemeente Kaag en Braassem. De podcast is opgenomen vóór duideliujk werd dat de belofte geen hoger beroep aan te tekenen werd geschonden.

De Beveiligingsupdate 64: Schiet de aanvaller van het net af

In deze aflevering van de Beveiligingsupdate lopen Joran en Brenno over Schiphol na te praten over een persconferentie van Microsoft. Het bedrijf heeft een half jaarlijks onderzoek gepresenteerd en kijkt in het bijzonder naar Nederland. Daarnaast wordt nagesproken over het verhaal van Ronald Prins, want als het aan hem ligt gaan webcommando’s buitenlandse aanvallen stoppen met tegen aanvallen alsof het een gewone oorlog is. Natuurlijk is er ook aandacht voor de ellende van de anti-virusupdate van McAfee. Ook staan we stil bij het tragisch overlijden van Aaron Boudewijn.

Ook spreken we over de OV-chipkaart en het forensisch onderzoek dat daar nodig is. In 2000 werd 1,3 miljard gegeven aan NS en ProRail. Na een verhitte straat zijn er cijfers geopenbaard. Maar … wat weten we nu eigenlijk. Tijd om zelf de speurneus uit te hangen en de documenten aan een grondige inspectie te onderwerpen.

ICT Roddels 287: Frits Wester over Twitter bij de val van Balkenende IV

Er was al veel ICT-nieuws de afgelopen week, maar iets leuks ontstond bij de val van het Kabinet Balkenende IV. De verslaglegging vond voor een groot gedeelte plaats op twitter. Bijzonder daarbij is de rol die de politiek verslaggever Frits Wester (@fritswester) bijzonder. Hij was de eerste die de val twitterde en kreeg er ruim 8000 followers bij de afgelopen nacht. Op sommige momenten kwamen er meer dan 50 volgers per minuut bij. We spreken met hem en hij is enthousiast wat twitter toevoegt aan zijn werk.

Verder spreek ik met Jasper Bakker van Webwereld over de rechter die Centric dwingt om een klant te helpen bij het wegmigreren bij hun product, de breuk tussen HP en Cisco, de 50 miljoen voor c2000, de privacyrechtszaken tegen Facebook en de vingerafdrukkendatabase. Uiterst voorzichtig spreken we ook over Pretium.

ICT Roddels 284: De ICT-kerstkadootjes

Het is bijna kerstmis en dan worden we liever en milder bij ICT Roddels, tenminste we proberen het. We hebben dan ook over de dingen die we uit de ICT-industrie krijgen. Zo kreeg ik samen met duizenden Nederlanders rust van Vodafone in de voicemailbox. Alle berichten blijken namelijk te zijn gewist en we mogen een nieuwe welkomsboodschap inspreken. we van Microsoft in Maart de keuze van browser in Windows. Iedereen mag kiezen uit 12 browsers. Jasper en Brenno vragen zich af wat dit voor de marktaandelen gaat betekenen en hoe dit de beveiliging gaat beïnvloeden. In januari geeft het bedrijf ons ook een nieuwe versie van Microsoft Word dat niet langer in overtreding is met bestaande patenten.

ICT-leverancier Centric laat merken dat zij helemaal niets op open standaarden tegen hebben. Sterker nog: ze bouwen mee aan een uitwisselingsstandaard voor gemeentelijke gegevens. Ook werd voor Brenno de soep toch niet zo heet gegeten als ze werd opgediend. Wilde eerst een politicus hebben dat er niet meer mensen “als meneer De Winter” zouden komen, inmiddels is de lucht geklaard. Er wordt weer volop over nageslacht nagedacht.

Een ander kadootje is de nieuwe versie Thunderbird, waaraan ook het Franse leger heeft meegewerkt. Handig want we willen overal kunnen mailen. Gelukkig geeft de overheid toestemming om een nieuwe datastandaard in te zetten op bestaande frequenties van de mobiele operators. Kortom een veel te positieve aflevering van ICT Roddels.