Gehackt door de Russen met ouderwetse wardriving

Met de recente onthulling van een spionageoperatie in het centrum van Den Haag herleven oude tijden uit de koude oorlog en de ICT. De zaak maakt snoeihard duidelijk dat het met informatiebeveiliging maar droevig gesteld is.

Toen in de jaren 90 van de vorige eeuw draadloze netwerken in opkomst waren, was het onder hackers een sport om te gaan ‘wardriven’. Met een computer, insteekmodule voor wifi en een antenne reed je door stadscentra. Je kon meeliften op de netwerken van anderen, kijken naar bestanden op computers en bij bedrijven netwerken overnemen. Het was eigenlijk te simpel.

De oude tijden herleven nu blijkt dat de Russische inlichtingendienst GRU precies deze methode gebruikt om her en der in te breken op netwerken van organisaties. Ze gebruiken daarbij de zeer populaire WiFi Pineapple, een kastje dat vaak opduikt bij presentaties over beveiliging om de gevaren van draadloze netwerken te demonstreren.

De zaak maakt duidelijk dat de GRU gevoelige documenten prima via een draadloze verbinding op afstand kan ophalen. Goede beveiliging zou wifiverbindingen anders behandelen dan fysieke verbindingen en er in een aantal gevallen zelfs voor kiezen om documenten in het geheel niet via een netwerk toegankelijk te maken. In al die jaren is er maar weinig verbeterd.

Dankzij onze laksheid kunnen inlichtingendiensten, criminelen en anderen kinderlijk eenvoudig toegang krijgen om documenten te stelen, beschadigen, vernietigen of te plaatsen. Het schokkende ervan is dat het niet meer vereist dan vaak gratis software, goedkope standaardcomputers of een WiFi Pineapple en een beetje knappe antenne. Sterker nog: in de tijden van het wardriven waren we in de hackerscene dol op Pringles-chips. Niet zozeer omdat ze lekker zijn, maar vooral omdat de blikken perfecte richtantennes zijn voor wifi. We krikten er de reikwijdte van netwerken fors mee op van enkele honderden meters tot zelfs enkele kilometers.

Het is nog een geluk dat de Russen vanuit een auto besloten te hacken. Ze hadden ook kunnen kiezen voor de patser-optie: niet alleen parkeren bij het Marriott Hotel, maar er meteen in te checken om vanuit een knappe kamer voorzien van deugdelijk roomservice en een kaartje ‘niet storen’ aan de deur rustig te hacken. Eerst bij het OPCW om vervolgens de doos Pringles een kwart slag te draaien naar het Catshuis toe.

Maar goed, de hackers zaten wel in de auto en werden bovendien gestoord. “Met het onthullen van de werkwijze van de GRU maken we het de GRU moeilijker en vergroten we tegelijkertijd onze eigen weerbaarheid,” zei de Minister van Defensie trots. Ik onderschrijf die boodschap en pleit al langer voor meer openheid over hoe incidenten verlopen. Maar het is ook onze collectieve taak om twintig jaar na het wardriven eindelijk eens de naïviteit van ons af te schudden. Laten we onze beveiligingsmaatregelen nu écht richten op dreigingen die we al ruim twintig jaar in het vizier hebben.

De nauwelijks te ontdekken hack

Het is de nachtmerrie van iedere organisatie: je neemt beveiliging serieus en doet al het juist en toch ben je kwetsbaar voor de digitaal kraak die niet of nauwelijks te ontdekken is. Wie een virtuele dienst heeft, kan bedrijfsgegevens zo in handen van andere gebruikers geven. De Meltdown-aanval maakt dat nachtmerriescenario realiteit.

Meltdown is een aanval, waarbij de onderzoekers niet het besturingssysteem of de software aanvallen, maar de processoren. Dit ligt een niveau dieper dan het besturingssysteem. De processor kun je niet updaten zonder de hardware te vervangen. Er is dan ook geen simpele oplossing. Wie braaf heeft geupdate, de computer bewaakt en eigenlijk alles doet wat zo belangrijk is, blijkt toch kwetsbaar.

Veel scenario’s

Het besturingssysteem kan – zolang dit probleem niet bekend is – deze aanval ook niet ontdekken en zeker ook niet stoppen. Alles wat met de processor gebeurt is niet alleen te volgen. Wachtwoorden zijn af te tappen en daarmee wordt de ramp groter. In veel gevallen kun je dan inloggen of op andere manieren misbruik maken. Deze aanval is een opstapje naar veel en veel meer.

In een donker scenario kun je de werking van een computer aanpassen. Een bank die saldi verkeerd weergeeft, een zelfrijdende auto met een eigen wil, een vliegtuig dat de weg kwijt is, een administratie die niet meer klopt of een mobiele telefoon die telefoonnummers wist, zijn voorbeelden van aanvallen die mogelijk worden.

Wie een computer deelt door bijvoorbeeld gebruik te maken van een virtuele server is extra kwetsbaar. De buurman op dezelfde set aan machines kan meekijken bij andere gebruikers. En het slechtste nieuws van alles is: dit zijn aanvallen die je mogelijk in de toekomst wel kunt detecteren, maar niet zomaar in logboeken terugvindt. De aanval is gericht tegen de processor niet het besturingssysteem. Wie het netwerk niet actief bewaakt en weet waar te zoeken zal niets door hebben.

NSA-stijl

Dit is de droom van iedere kwaadwillende aanvaller: inbreken, misbruik maken van systemen en nagenoeg niet te detecteren zijn. De natte droom van een inlichtingendienst alla NSA. Of die dit soort mogelijkheden hebben op dit moment weten we niet. Maar het onderzoek naar Meltdown maakt pijnlijk duidelijk hoe belangrijk het is dat we aanvalsscenario’s beter leren te begrijpen.

Erik de Jong: Economische Spionage hoe de Chinezen het doen Mo Fang

Hoe werkt economische spionage? Mó fáng is een Chinese groepering die zich richt op economische spionage. Erik de Jong van Fox-it legt aan Brenno de Winter hoe Mó fáng te werk gaat.
Doelgroep: management en security officers van bedrijven waar veel innovatieve kennis beschikbaar is.

Leerpunten:
· Economische spionage is een langlopende operatie;
· APT Advanced Persistent Threat;
· Breng je medewerkers op de hoogte van mogelijke economische spionage.

Digitale stormvloed: Beveiliging is wachten op de Titanic

In mijn boek “Digitale stormvloed” sta ik uitgebreid stil bij tussen de parallel die er is tussen fysieke veiligheid en digitale veiligheid. Het kantelpunt bij fysieke veiligheid in vooral de logistiek is evident de ondergang van de Titanic. In de digitale veiligheid is dat kantelpunt nog niet geweest. De passage uit het boek treft u hieronder aan.

Wat de samenleving veiliger kan maken, hebben we in vergelijkbare situaties al geleerd. Na een groot veiligheidsincident in de scheepvaart, met een trein of in de luchtvaart volgt steevast een publiek rapport. We trekken lessen die vaak uitmonden in duidelijke regels. Na het verdwijnen van de MH370 wordt overwogen om gebruik te gaan maken van het Inmarsat-satellietsysteem dat momenteel ook in de zeevaart in moeilijk te volgen gebieden een rol speelt. Na de crash van het vliegtuig van Turkish Airlines bij Schiphol zijn bijvoorbeeld verbeteringen in de hulpverlening doorgevoerd. Na het neerschieten van de MH17 is afgesproken dat een aantal inlichtingendiensten beter waarschuwen voor gevaarlijke gebieden en is besloten om niet langer over conflictgebieden te vliegen als dat niet echt noodzakelijk is. Maar in de informatiebeveiliging is het nog niet gebruikelijk om na een groot incident breed lessen te trekken en bindend regels op te leggen. Het lijkt erop alsof de wereld wacht op de digitale ondergang van een Titanic voor er echt iets verandert. Ga verder met “Digitale stormvloed: Beveiliging is wachten op de Titanic” lezen

Uber belemmert innovatie met geheimzinnigheid datalek

Taxibedrijf Uber heeft een groot datalek met persoonsgegevens onder de pet gehouden. Het bedrijf betaalde zelfs de hackers om de zaak te sussen. Dat is niet alleen slecht voor de 57 miljoen klanten die het betreft, maar ook voor ambities voor zelfrijdende auto’s.

De hack vond vermoedelijk plaats in oktober 2016 en treft persoonsgegevens van 57 miljoen klanten over de hele wereld en persoonsgegevens van 600.000 chauffeurs in de Verenigde Staten. Bloomberg heeft een artikel geplaatst waar ook inhoudelijk uitleg is te vinden.

Geheimzinnigheid

Het bedrijf besloot honderdduizend dollar te betalen om bij de hackers te bedingen dat de zaak niet naar buiten zou komen. Die vorm van geheimzinnigheid is alleen al kwalijk, omdat in diverse landen – waaronder Nederland – dit soort beveiligingsincidenten een meldplicht kennen. In ieder geval bij de toezichthouder, maar in veel gevallen ook bij de klant: u en ik.

Met de geheimzinnigheid is niet alleen de wet overtreden, maar ook moreel verwerpelijk. Het miskent dat na een lek de chauffeur of de klant zelf een inschatting moet kunnen maken of ze risico lopen. Maar nog belangrijker: door een cultuur van wegmoffelen, wordt verdedigen tegen criminaliteit moeilijker. Anders gezegd: geheimzinnigheid is in het belang van kwaadwillende hackers die belang hebben dat we ons niet beter beveiligen.

Vanuit beveiligingsoogpunt wil je juist wel weten wat er gebeurd is en welk probleem is verholpen. Door lessen te trekken, kunnen we het een volgende keer beter doen. Voor fysieke veiligheid is lessen trekken de norm sinds de ondergang van de Titanic. Voor digitale veiligheid zou dat niet anders moeten zijn in onze informatiesamenleving.

Zelfrijdende auto

Bij een bedrijf als Uber mag je de lat zelfs hoger leggen. De onderneming werkt aan een zelfrijdende auto, die uiteindelijk de taxichauffeur moet vervangen. Dat is de software die moet helpen het aantal verkeersdoden fors naar beneden te krijgen. Auto’s zijn meer en meer afhankelijk van technologie. Daar is geen ruimte voor een mentaliteit waar je een ton betaalt om problemen onder het tapijt te schuiven.

Onze samenleving is zeer afhankelijk van technologie en door de snelheid van ontwikkeling ook kwetsbaar voor allerhande vormen van misbruik en ellende door softwarefouten. Dat zou de ICT-industrie zich meer mogen aantrekken, want uiteindelijk gaat digitale veiligheid ook over onze fysieke veiligheid.

Oefen eens een crisis rond een datalek met een serious game

Hoe goed bent u in staat een datalek te bestrijden als een hacker zijn slag heeft geslagen?  Hoe is het zelf te belanden in een heuse crisis? Test het uit tijdens een heuse crisisoefening. Een hacker heeft toegeslagen en eist nu een ‘beloning. U stapt in het crisiscentrum om samen met anderen mee te helpen de schade, gevolgen en verspreiden van gelekte gegevens tegen te gaan. Hoe leiden we een crisis in goede banen? Welke stappen gaan we zetten en in welke volgorde? Welke organisaties zijn nuttig en wat is een verspilling? Kunt uw klant tevreden houden?

Tijdens de serious game spelen deze en andere vragen een belangrijk rol. De spannende crisis die ongeveer 70 minuten duurt, voeren de deelnemers de regie over het afwikkelen van het datalek. Sta stil bij de vele aspecten, zoals techniek, juridische gevolgen, continuïteit van de organisatie en organisatiepolitiek.  De deelnemers bepalen welke rol communicatie, juridische zaken, technische beschikbaarheid, onderzoek, de justitiële keten en de ketenpartners krijgen. Tijdens de oefening zijn er allerlei verstoringen. Voor welke is aandacht en vooral voor welke interrupties niet? Met behulp van audioboodschappen, video’s, interacties en opdrachten ondergaat de groep de hack met al haar facetten. De oefening is een eigen productie gemaakt in samenwerking met het Centrum voor Informatiebeveiliging en Privacybescherming en de Informatiebeveiligingsdienst. Snel aan de slag, want de klok tikt door!

Een voorproefje met hoogtepunten ziet u hier:

Digitaal Lockpicken bij Van der Valk

In Hotel van der Valk in Zwolle mochten hackers naar hartelus aan de slag gaan met het kraken van nieuwe sloten die werken op basis van Bluetooth. Er werden een aantal aanvalsscenario’s gevonden, maar het lukte uiteindelijk niet om daadwerkelijk een slot te openen. Een hacker geeft de moed niet op en probeert nog een scenario uit.

Ook de media deden verslag van de bijeenkomst. RTV Oost:

Ga verder met “Digitaal Lockpicken bij Van der Valk” lezen

Wachten op onze eigen Titanic

Na een groot veiligheidsincident volgt steevast een publiek rapport en worden er lessen getrokken die vaak uitmonden in duidelijke regels. Dit doen we nog niet na een groot incident in de informatiebeveiliging. Het lijkt erop alsof de wereld wacht op de digitale ondergang van een Titanic voor er echt iets verandert.

Als een bedrijf bij een presentatie wil laten zien dat zij een goede partner is voor informatiebeveiliging, dan begint het verhaal doorgaans met statistieken: hoeveel records er elke minuut worden gelekt, wat een gemiddeld incident kost, hoeveel incidenten er zijn, wat de maatschappelijke schade is, hoeveel meldingen er van datalekken zijn gedaan en ga zo maar door. Cijfertjes, cijfertjes en nog meer cijfertjes met als onderliggende boodschap: het is allemaal heel erg gesteld met beveiliging. Deze zorgelijkheid is als sneeuw voor de zon verdwenen, wanneer een hack in het nieuws komt. Dan nemen we het incident voor kennisgeving aan.

Scheepsrampen

Dat verschijnsel is niet nieuw en valt te vergelijken met veiligheidsincidenten. In 1120 liep het Engelse White Ship aan de grond: 300 mensen verloren hun leven. Kamikazes – oorspronkelijke betekenis: ‘goddelijke wind’ – redden Japan tot twee keer aan toe van een Mongoolse invasie. In deze hevige stormen vergingen in 1274 en 1281 diverse Mongolische schepen met meer dan 100.000 doden als gevolg, in 1694 kwamen 498 mensen om het leven toen HMS Sussex in een storm verging, in 1647 liep het Nederlandse schip de Prinses Amelia aan de grond met 86 doden als gevolg en in 1703 kwamen meer dan 1.500 mensen om het leven toen dertien Engelse schepen in het kanaal vergingen. Mensen zagen het probleem wel, waren erdoor getroffen, maar fundamenteel veranderde er niets.

In de ICT meten we niet in omgekomen mensen, maar in records die gelekt zijn. Inmiddels komen met enige regelmaat aantallen van miljoenen inloggegevens of honderden miljoenen creditcardnummers langs, met Yahoo! als voorlopig dieptepunt met 500 miljoen records. Soms kost een datalek daadwerkelijk mensenlevens, maar ook dat blijft een nieuwsfeit. Er is zelfs een lijst met de top-10 van OWASP met meest prominente oorzaken voor hacks. De oorzaken van de hacks wisselen eens in de drie jaar van positie, maar worden niet aangepakt, uitgebannen of fors verminderd. Dat is op zijn minst merkwaardig, aangezien een aantal zaken uit deze lijst zeer simpel te voorkomen zijn.

Bindende regelgeving

In de zeevaart volgde een breed gedragen besef dat er iets fundamenteel moest veranderen toen de stoomschepen kwamen. Het aantal incidenten groeide en in 1889 volgde een conferentie in Washington waar vooral werd gesproken over verkeersregels op zee. Er kwamen regels, maar onder andere de Britten deden niet mee. De grote angst bij het bedrijfsleven was dat commerciële vrijheid in het geding zou komen als er regels aan de zeevaart zouden worden opgelegd. Verschillende landen maakten eigen regelgeving, soms in samenwerking met andere landen, soms geheel zelfstandig. Er werd geen algemene lijn gevolgd, er was geen uniformiteit en veel kon zelf worden geregeld. Deze besluiteloosheid komt abrupt ten einde als de Titanic in 1912 na vijf dagen varen op haar eerste tocht zinkt na een botsing op een ijsberg.

Doordat er geen bindende regelgeving bestond, kon de reder van dit onheilsschip er om esthetische redenen voor kiezen het aantal reddingssloepen te halveren. Een installatie voor morsecode is wel aan boord, al is ook dat niet verplicht. Met als gevolg dat niet alle schepen in de buurt over een dergelijke installatie beschikken, en er geen uitluisterplicht bestaat bij de schepen die het wel hebben. Lang niet ieder schip in de buurt komt de Titanic dan ook te hulp. De desastreuze gevolgen zijn bekend: 1522 doden. Kennelijk maakte dat monsterlijke aantal zoveel indruk, dat er in 1914 voor het eerst een internationaal verdrag kwam (Safety of Life at Sea), waarin minimale eisen vast kwamen te liggen, zoals een plaats in een sloep voor iedereen, gebruik van radio, radiowacht, onderzoek naar rampen en het in kaart brengen van ijsbergen. Veiligheidsregels die de norm werden en met enige regelmaat worden herzien en aangescherpt.

Zinkend schip

In de ict-industrie leven we overduidelijk in de periode tussen de eerste Internationale Maritieme Conferentie van Washington in 1889 en de ondergang van de Titanic. We zien en onderkennen de problemen, willen we er best wel iets aan doen, maar komen niet tot harde minimale eisen die wereldwijd geaccepteerd worden. Er bestaat dan weliswaar enige regelgeving, maar vaak is onduidelijk wat er nu wel of niet aan beveiliging moet worden gedaan om daaraan te voldoen. Het bedrijfsleven klaagt via brancheverenigingen dat privacywetgeving en vooral hun databescherming direct marketing en big data hinderen. Meer regels, zoals de Europese privacy verordening, zijn dan ook schadelijk voor de commercie. Wat nog altijd minder indruk lijkt te maken, is dat gehackte computers van bedrijven een zinkend schip kunnen maken. Slechte beveiliging en internationale heldere afspraken en werkwijzen zijn dus net zo funest voor het bedrijfsleven en raken het imago van hele industrieën.

Geen beveiligingseisen

Helaas valt er in dit kader weinig positiefs over de politiek te melden. Er komen wel ‘cybercrimeverdragen’, maar die gaan vooral over opsporing van binnendringers en de straffen die zij tegemoet zien. Nergens rept men over verantwoordelijkheden van organisaties die andermans gegevens beheren, een minimale norm waar ze aan zouden moeten voldoen, zelfs niet over consequenties of sancties bij uitlokking. Nog altijd ontbreekt het aan een minimale set aan beveiligingseisen, waarvan we als gezamenlijke industrie zeggen: als je dat niet geregeld hebt, word je op zijn minst aangemerkt als nalatig. Ook voor de makers van de boten – de softwareontwikkelaars – gelden niet eens minimale beveiligingseisen. Er bestaat geen lijst met zaken die minimaal geregeld moeten zijn om het leeuwendeel van de aanvallen te voorkomen. Voor de hand liggende punten, die door autoriteiten snel controleerbaar zijn. In de zeevaart worden de eisen na andere incidenten uitgebreid met maatregelen die de veiligheid verder kunnen vergroten. Dat daarenboven nog meer specifieke eisen voor een toepassing of een risicoprofiel kunnen gelden, spreekt voor zich.

Te weinig sloepen

En dus blijven wij, vooral om esthetische redenen, varen met boten met te weinig sloepen. We blijven doodleuk weigeren cryptografie in te zetten, ‘omdat het de verwerking zo vertraagt’. We negeren de update-adviezen ‘omdat het de operatie mogelijk verstoort’. We blijven werken met zwakke toegangsbeveiliging ‘omdat inloggen anders zo’n gedoe is’. En we hebben nog steeds geen harde eisen voor een continue radiowacht; iemand dus die blijft kijken of er een beveiligingsincident optreedt. Niet zo gek dat meer dan 80 procent van de hacks pas na weken of maanden wordt ontdekt.

Om veilig over de digitale oceanen te kunnen varen met anderen, is studie nodig. De rampen die er al zijn geweest moeten goed worden onderzocht. Wij zien de ernst van de situatie wel in, maar passen deze logica als samenleving en als industrie niet breed toe. Nog niet. Kennelijk moet daarvoor eerst onze eigen ramp zich nog voltrekken, onze eigen Titanic.

Deze column verscheen eerder op IT Beheer Magazine

De boefjes van EenVandaag

Volgens EenVandaag is  er paniek in de onderwereld: het Nederlands Forensisch Instituut blijkt in staat te zijn om versleutelde berichten van dure ‘PGP-telefoons’ te halen. De toestellen zouden vooral in het criminele circuit gebruikt worden.

Als het verhaal van EenVandaag zou kloppen en PGP-versleutelde berichten in het wild te kraken zouden zijn dan is de impact enorm. We zijn van dit soort technieken zeer afhankelijk.

Behalve criminelen hebben ook bedrijven, banken, overheden, journalisten, activisten, ondernemingsraden, ambassades, techneuten en risicobewuste burgers deze software in gebruik. Zelf gebruik ik het voor mails met klanten, mijn vrouw en vrienden. Kortom: De techniek is breed in gebruik.

Specifieke aanval

Wat EenVandaag beschrijft is een aanval die in januari van dit jaar bekend werd. Het Nederlands Forensisch Instituut gebruikt een applicatie van Cellebrite, een maker van forensische software. Om berichten te kunnen lezen, moeten de onderzoekers beschikken over het apparaat met daarop ook de geheime sleutels om de berichten te lezen.

De aanval op de berichten is dan ook heel specifiek. Pas als de overheid het toestel in handen heeft, kunnen berichten worden ontcijferd. Welk apparaat je ook hebt, zodra het in kundige, onbedoelde handen valt dan worden de berichten erop gekraakt. Het is niet hetzelfde als het kraken van de techniek. Je moet bij dit voorbeeld de telefoon al in handen hebben. Bij een inbeslagname moet daar wel juridische grond voor zijn.

Server kraken

In de uitzending wordt ook beweerd dat een server in beslag is genomen en de berichten op die server zijn gekraakt. Mocht dat waar blijken dan zou dat groot nieuws zijn. Op de server hebben berichten namelijk nooit in onversleutelde vorm gestaan en ook de sleutels zelf staan niet op de server. Zo’n aanvalt schoffelt de techniek onderuit.

Het punt is alleen dat  EenVandaag niet het begin van bewijs levert en het verhaal ook niet aannemelijk maakt. Er is geen forse steiging in de oplossingspercentages van criminaliteit. Uit documenten blijkt het niet. De passages uit het item zijn gewoon afkomstig van in beslag genomen telefoons.

PGP zal ooit wel te kraken zijn, maar dit is niet het verhaal dat dat bloot legt.

Journalistieke boefjes

Het is bangmakerij voor die ‘oh zo criminele’ versleuteling. De ‘paniek in de onderwereld’ maakt dat beeld nog nét iets sterker. Dat die paniek er is, wordt niet aannemelijk gemaakt. Het klinkt natuurlijk stoer: het zijn vooral boefjes die PGP gebruiken.

De werkelijkheid is ingewikkelder. Zeker 15 redacteuren van de Telegraaf, 10 van de NOS en eentje van EenVandaag zijn te benaderen via hun publieke PGP-sleutel. Dat is handig voor mensen met vertrouwelijke informatie en volstrekt legitiem.

Erik de Jong: Hoe moet je omgaan met cryptolocker?

Wat moet er gebeuren als je organisatie geconfronteerd wordt met een datalek. Natuurlijk is het eerst achterhalen wat er gebeurd is en wat de acties zouden moeten zijn. Maar hoe moet het forensisch onderzoek plaatsvinden, hoe moet je een crisis team inrichten, welke expertise moet daarin vertegenwoordigd zijn. Erik de Jong van Fox-it legt aan Brenno de Winter uit welke stappen een organisatie moet nemen om te achterhalen of er een datalek is en hoe daar mee om te gaan. Stel je hebt last van een cryptolocker wat kun je dan doen? Moet je ingaan op de eisen van de aanvallers en geld betalen? Hoe werkt het proces dan, als je ingaat op de chantage eisen hoe gaat dat dan?

Eerder vertelde Erik de Jong al over datalekken. Welke stappen moet je nu zetten om later datalekken te kunnen opsporen en te achterhalen wat er precies gebeurd is?