Leren van de massale digitale infecties met WannaCry wereldwijd

Volgens onderzoekers zijn honderdduizenden computers getroffen door de gijzelsoftware die bestanden op computers ontoegankelijk maakt (versleuteld). Pas na betaling van een bedrag van 300 dollar belooft de aanvaller de schade ongedaan te maken. Op basis van wat we nu weten kunnen we veel leren om de kans op dergelijke digitale virusuitbraken te verkleinen en de gevolgen te beperken.

Tussen de slachtoffers van de kwaadaardige software, met de onder andere de namen WannaCry of WannaCrypt, zitten in ieder geval Britse ziekenhuizen, de Deutsche Bahn, het Russische Ministerie van Binnenlandse Zaken, automobielbouwer Renault, Universiteiten, telecomproviders, vervoersbedrijf FedEx, de betaalautomaten QPark en veel particulieren. Het virus is inmiddels al door meerdere experts bekeken en daardoor zijn er veel technische details beschikbaar:

  1. De software werkt op het Windows-platform. Apple OS X en Linux zijn voor dit specifieke probleem niet gevoelig;
  2. De verspreiding gaat volgens de Nederlandse overheid in eerste instantie via e-mail;
  3. Om te kunnen functioneren maakt WannaCry gebruik van een zwakheid in Windows. Dit probleem is op op 14 maart 2017 door Microsoft in een update verholpen. Wie tijdig zijn Windows-computer heeft bijgewerkt is dan ook niet kwetsbaar voor dit specifieke probleem. Als gevolg van de massale uitbraak heeft Microsoft zelfs updates uitgebracht voor Windows XP, Windows 8 en Windows Server 2003. Deze besturingssystemen worden eigenlijk niet meer ondersteund door de softwaregigant;
  4. Er zijn meerdere gevallen van besmetting met de software waar de versleutelingssoftware niet heeft gewerkt. In die gevallen detecteerde antivirussoftware dat ook gedrag van programmatuur in de gaten houdt het afwijkende gedrag;
  5. De misbruikte zwakheid in het systeem en de technologie om er misbruik van te maken is ontwikkeld door de Amerikaanse NSA. Zij gebruiken de techniek naar alle waarschijnlijkheid om toegang tot bestanden van hun doelen te krijgen en een achterdeur op machines te plaatsen. De hackersgroep ‘The Shadow Brokers’ brachten die op 14 april 2017. De aanvallers gebruiken de techniek nu om bestanden te versleutelen en ze te gijzelen;
  6. De malware met de naam WannaCry is niet nieuw, omdat eerdere varianten al eerder slachtoffers maakte. Wat deze aanval anders is de omvang waarmee nu computers worden getroffen en dat daarbij opvallende organisaties worden getroffen;
  7. In de kwaadaardige software zit de mogelijkheid om het virus uit te schakelen. Een 22-jarige beveiligingsexpert, die twittert onder de naam @MalwareTechBlog, ontdekte dat de software zoekt naar een domeinnaam. Door dit domein te registreren stopt de uitbraak. Inmiddels zijn nieuwe varianten van dit virus niet op deze manier te stoppen;

Leren

Op basis van voorbeelden waar zaken misgaan kunnen we veel leren. De bekende details van WannaCrypt maken duidelijk dat hier al snel een aantal lessen te trekken zijn.

Maatregelen die dit incident hadden voorkomen en in de toekomst de kans op dit soort incidenten fors kleiner maken:

  1. Snel installeren van updates. WannaCrypt misbruikt een bekend lek, waarvoor Microsoft inmiddels een update heeft uitgebracht. Het updaten kunt u handmatig doen of Windows zo instellen dat dit automatisch gebeurt. Veel besmettingen – ook dit specifieke geval – zijn mogelijk dankzij het niet bijwerken van systemen. Het inbreken op computersystemen is vaak ook mogelijk door verourderde software. Een paar grote voorbeelden zijn bijvoorbeeld DigiNotar, KPN en het Groene Hart Ziekenhuis was verouderde software de oorzaak waarop de aanvaller binnen komt;
  2. Klik niet op links of bijlages die u niet volledig kunt vertrouwen. Dit virus in eerste instantie wordt verspreid via e-mail. Al jaren verspreiden virussen zich via e-mail. Ook bij grotere hacks zien we vaak dat de aanvaller via kwaadaardige software binnenkomt. De verspreiding vindt dan vaak plaats via e-mail door mensen te verleiden op een link te klikken of een bijlage te openen. Op deze manier kwam ook de volledige bedrijfsadministratie van het Italiaanse bedrijf Hacking Team op straat te liggen en kregen de aanvallers van de Democratische Partij in de VS toegang tot de mail van de campagne van Hillary Clinton;

 

Factoren die de gevolgen van deze aanval kleiner kunnen maken:

  1. Antivirus. Een infectie is niet altijd te voorkomen. Veel antivirus-paketten detecteerden de software niet toen het op het systeem kwam. De werking van de malware wordt door veel pakketten wel gedetecteerd. Dat is nuttig. Daarom helpt antivirussoftware. Dat detecteert in een aantal gevallen de kwaadaardige software als het op de computer dreigt te komen. Daarnaast detecteren veel leveranciers ook afwijkend gedrag. Als de malware begint met schade te maken dan valt dát op dan stopt de software de werking;
  2. Goede backup. De criminelen kunnen geld voor ontcijferen van gegijzelde data vragen, omdat veel mensen en bedrijven niet beschikken over goede backups. Dan is de keuze: betalen en data krijgen of niet betalen en geen gegevens meer hebben. Met een goede reservekopie verdwijnt de kracht van de chantage;
  3. Politiek gericht op beveiliging. Het virus is afkomstig van een lek dat is ontdekt door de NSA. De Amerikaanse dienst zoekt – net als in andere landen gebeurt – actief naar zwakheden in systemen om te misbruiken in digitale oorlogsvoering of in opsporing. Een digitaal wapenarsenaal heeft als gevolg dat deze overheden een belangen hebben om deze lekken niet te laten liggen. Dit soort zwakheden komen vroeg of laat in handen van criminelen, zoals ook nu gebeurt. Een logische stap zou zijn om niet lekken te gebruiken om in te breken, maar ze te laten dichten door leveranciers en zo iedereen veiliger te maken. Dat is wel een politieke keuze om te maken;
  4. Niet alles hetzelfde systeem. Door te werken een enkele omgeving – in dit geval Microsoft Windows – betekent dat een uitbraak succesvol is door een hele organisatie. Wie kijkt naar een mix van verschillende systemen (bijvoorbeeld door kantoorfunctionaliteit te splitsen van andere functionaliteit) zorgt ervoor dat een virus niet automatisch succesvol is over de hele organisatie;

We kunnen veel stappen zetten om een herhaling van dit incident te voorkomen of de gevolgen te verminderen. Natuurlijk zijn er meer op basis van dit incident te identificeren. Wie begint de basis op orde te brengen, maakt de kansen kleiner om niet getroffen te worden.

De kern van het probleem

Onder president Trump zal (economische) spionage floreren en privacy te lijden hebben. Volgens Edward Snowden is niet de president, maar de technische mogelijkheid het probleem. De klokkenluider heeft gelijk.

In Oliver Stone’s film Snowden wordt schitterend in beeld gebracht hoe de klokkenluider ertoe kwam om naar buiten te treden met de manier waarop Amerika op de hele wereld spioneert. Langzaam wordt duidelijk hoe diep de inlichtingendienst buiten de wet om in het privéleven van mensen snuffelt. Na de voorstelling beantwoordde de oud-CIA en oud-NSA-medewerker vragen van het verzamelde publiek in Amsterdam.

Toen Trump ter sprake kwam, stelde hij dat niet de presidentskeuze de kern van het probleem is. Bij het wisselen van het regime ligt er een kant en klare technische infrastructuur om te spioneren en om zeer gedetailleerd in het leven van mensen te kijken. Nu er een ander regime zit, kan het probleem groter worden. En – zo stelt hij – in de VS zit een regering er maximaal acht jaar.

Verregaande mogelijkheden

Snowden’s onthullingen maken duidelijk hoe ver de praktijken gaan. Niets is te gek: malware verstopt in hardware verspreiden, drone-aanvallen op basis van de locatie van een mobiel, geautomatiseerd en professioneel inbreken op computers, het lamleggen van infrastructuur, het verzwakken van beveiligingsstandaarden, het afluisteren van regeringsleiders, het verzamelen van gedetailleerde profielen van burgers en ga zo maar door. De NSA doet dat volgens eigen zeggen allemaal met het doel een ‘voordeel in de besluitvorming’ te hebben.

Naar Amerikaanse standaarden blijkt een groot gedeelte van de spionage infrastructuur illegaal te zijn. De Raad van Europa, die toezicht houdt hoe mensenrechten in Europa vorm krijgen, bestempelt de praktijken als enorme mensenrechtenschendingen. Rapporteur Pieter Omtzigt concludeerde dat naast de privacy de VS ook de vrije meningsuiting, het recht op religie, het recht op een eerlijk proces ondermijnen. De organisatie gaat zelfs zover om te stellen dat het onze democratie ondermijnt.

Trump

Toen de onthullingen van Snowden naar buiten kwam, was de Nederlandse reactie relatief lauw. Misschien drong nog niet zo goed door dat als onder Bush en Obama een risicovolle infrastructuur wordt gebouwd deze ooit in handen komt van een nieuwe machthebber kan komen. Want de regering wordt weliswaar vervangen, maar de infrastructuur niet. Dus erft Trump een machtig wapen van Obama.

Nog een andere bevoegdheid valt de nieuwe president ten deel: het zonder aanklacht opsluiten van mensen. Obama beloofde bij het ondertekenen van de NDAA-wet dat hij tijdens zijn presidentschap wetsartikel nooit zal gebruiken. De mogelijkheid is dus gemaakt voor zijn opvolger. Altijd handig voor een toekomstig president die tijdens de campagne dreigde zijn opponent naar de gevangenis te sturen.

Europees Hof van Justitie maakt cloud tastbaarder

Dinsdagochtend heeft het Europees Hof van Justitie besloten dat privacygaranties in een besluit van de Europese Commissie tussen de Verenigde Staten en Europa onvoldoende zijn. Dat betekent dat bedrijven moeten gaan nadenken waar data in de cloud precies staat.

Inzet van de zaak is de Safe Harbor Agreement tussen Europa en de Verenigde Staten. Dit besluit is noodzakelijk, omdat de bescherming van de persoonlijke levenssfeer in Europa beter is geregeld dan in de VS. Omdat je niet zomaar persoonsgegevens in een rechtsgebied mag bewaren dat niet voldoet aan onze standaarden moest er iets worden geregeld.

Facebook

Of de huidige Safe Harbor regels onze rechten wel voldoende waarborgt, was lang onduidelijk. Tot de onthullingen van Snowden kwamen en heel duidelijk werd dat onze gegevens massaal worden geanalyseerd door Amerikaanse inlichtingendienst NSA. Daarbij werd meer en meer duidelijk dat dit niet te verklaren is vanuit nationale veiligheid en dat er duidelijk ook economisch werd gespioneerd. Dat betekent dat persoonsgegevens zijn misbruikt. Volgens de VS is dat niet zo, maar onder ede durfde niemand dat bij de Ierse rechter te verklaren.

De Oostenrijker Max Schrems voerde een aantal zaken en sleepte rond de NSA-spionage uiteindelijk Facebook voor de rechter, omdat dat dat bedrijf onze gegevens op Amerikaanse servers verwerkt. Omdat het Europese hoofdkantoor van dit bedrijf in Ierland staat, moest daar worden geprocedeerd. Daar is het inmiddels bij het Hooggerechtshof die vragen aan het Europese Hof van Justitie stelde.

Ongeldig

Uiteindelijk kwamen die met het oordeel dat de beschermende maatregelen van de Safe Harbor Agreement onvoldoende zijn en daarmee wordt niet langer aan Europese regels voldaan. Kort gezegd: je mag data van Europese burgers niet zomaar in de Verenigde Staten opslaan. Daar wordt namelijk niet aan de bescherming voldaan die wij gewend zijn.

Dat betekent niet dat er niets in de VS mag worden opgeslagen, maar dat daarover afspraken moeten zijn gemaakt. Amerikaanse bedrijven zelf met de toezichthouder (in ons geval het CBP) afspraken en vastleggen in Binding Corporate Rules (BCR), zodat er meer zekerheid is dat aan onze wetgeving wordt voldaan. Dat Facebook, Google en andere bedrijven dit gaan doen, is wel duidelijk.

Zelf nadenken

Maar voor Nederlandse bedrijven betekent dit dat er meer moet worden nagedacht wat er met persoonsgegevens gebeurt. Je kunt niet langer zeggen ‘het staat in de cloud’, maar moet meer van die cloud weten. Na 1 januari 2016 kan de toezichthouders forse boetes opleggen wie zich niet aan de wetgeving houdt. Daarbij kun je niet zomaar de schuld in de schoenen schuiven van de cloudleverancier.

De uitspraak betekent dus dat de bedrijven zelf verantwoordelijkheid moeten nemen wat ze met onze gegevens doen. Afspraken tussen toezichthouders en cloudaanbieders zul je moeten checken. Want bijna religieus naar de hemel wijzen zeggen ‘jouw data is nu daar’ is sinds vandaag echt onvoldoende.