De nauwelijks te ontdekken hack

Het is de nachtmerrie van iedere organisatie: je neemt beveiliging serieus en doet al het juist en toch ben je kwetsbaar voor de digitaal kraak die niet of nauwelijks te ontdekken is. Wie een virtuele dienst heeft, kan bedrijfsgegevens zo in handen van andere gebruikers geven. De Meltdown-aanval maakt dat nachtmerriescenario realiteit.

Meltdown is een aanval, waarbij de onderzoekers niet het besturingssysteem of de software aanvallen, maar de processoren. Dit ligt een niveau dieper dan het besturingssysteem. De processor kun je niet updaten zonder de hardware te vervangen. Er is dan ook geen simpele oplossing. Wie braaf heeft geupdate, de computer bewaakt en eigenlijk alles doet wat zo belangrijk is, blijkt toch kwetsbaar.

Veel scenario’s

Het besturingssysteem kan – zolang dit probleem niet bekend is – deze aanval ook niet ontdekken en zeker ook niet stoppen. Alles wat met de processor gebeurt is niet alleen te volgen. Wachtwoorden zijn af te tappen en daarmee wordt de ramp groter. In veel gevallen kun je dan inloggen of op andere manieren misbruik maken. Deze aanval is een opstapje naar veel en veel meer.

In een donker scenario kun je de werking van een computer aanpassen. Een bank die saldi verkeerd weergeeft, een zelfrijdende auto met een eigen wil, een vliegtuig dat de weg kwijt is, een administratie die niet meer klopt of een mobiele telefoon die telefoonnummers wist, zijn voorbeelden van aanvallen die mogelijk worden.

Wie een computer deelt door bijvoorbeeld gebruik te maken van een virtuele server is extra kwetsbaar. De buurman op dezelfde set aan machines kan meekijken bij andere gebruikers. En het slechtste nieuws van alles is: dit zijn aanvallen die je mogelijk in de toekomst wel kunt detecteren, maar niet zomaar in logboeken terugvindt. De aanval is gericht tegen de processor niet het besturingssysteem. Wie het netwerk niet actief bewaakt en weet waar te zoeken zal niets door hebben.

NSA-stijl

Dit is de droom van iedere kwaadwillende aanvaller: inbreken, misbruik maken van systemen en nagenoeg niet te detecteren zijn. De natte droom van een inlichtingendienst alla NSA. Of die dit soort mogelijkheden hebben op dit moment weten we niet. Maar het onderzoek naar Meltdown maakt pijnlijk duidelijk hoe belangrijk het is dat we aanvalsscenario’s beter leren te begrijpen.

Digitale stormvloed: Beveiliging is wachten op de Titanic

In mijn boek “Digitale stormvloed” sta ik uitgebreid stil bij tussen de parallel die er is tussen fysieke veiligheid en digitale veiligheid. Het kantelpunt bij fysieke veiligheid in vooral de logistiek is evident de ondergang van de Titanic. In de digitale veiligheid is dat kantelpunt nog niet geweest. De passage uit het boek treft u hieronder aan.

Wat de samenleving veiliger kan maken, hebben we in vergelijkbare situaties al geleerd. Na een groot veiligheidsincident in de scheepvaart, met een trein of in de luchtvaart volgt steevast een publiek rapport. We trekken lessen die vaak uitmonden in duidelijke regels. Na het verdwijnen van de MH370 wordt overwogen om gebruik te gaan maken van het Inmarsat-satellietsysteem dat momenteel ook in de zeevaart in moeilijk te volgen gebieden een rol speelt. Na de crash van het vliegtuig van Turkish Airlines bij Schiphol zijn bijvoorbeeld verbeteringen in de hulpverlening doorgevoerd. Na het neerschieten van de MH17 is afgesproken dat een aantal inlichtingendiensten beter waarschuwen voor gevaarlijke gebieden en is besloten om niet langer over conflictgebieden te vliegen als dat niet echt noodzakelijk is. Maar in de informatiebeveiliging is het nog niet gebruikelijk om na een groot incident breed lessen te trekken en bindend regels op te leggen. Het lijkt erop alsof de wereld wacht op de digitale ondergang van een Titanic voor er echt iets verandert. Ga verder met “Digitale stormvloed: Beveiliging is wachten op de Titanic” lezen