Gehackt door de Russen met ouderwetse wardriving

Met de recente onthulling van een spionageoperatie in het centrum van Den Haag herleven oude tijden uit de koude oorlog en de ICT. De zaak maakt snoeihard duidelijk dat het met informatiebeveiliging maar droevig gesteld is.

Toen in de jaren 90 van de vorige eeuw draadloze netwerken in opkomst waren, was het onder hackers een sport om te gaan ‘wardriven’. Met een computer, insteekmodule voor wifi en een antenne reed je door stadscentra. Je kon meeliften op de netwerken van anderen, kijken naar bestanden op computers en bij bedrijven netwerken overnemen. Het was eigenlijk te simpel.

De oude tijden herleven nu blijkt dat de Russische inlichtingendienst GRU precies deze methode gebruikt om her en der in te breken op netwerken van organisaties. Ze gebruiken daarbij de zeer populaire WiFi Pineapple, een kastje dat vaak opduikt bij presentaties over beveiliging om de gevaren van draadloze netwerken te demonstreren.

De zaak maakt duidelijk dat de GRU gevoelige documenten prima via een draadloze verbinding op afstand kan ophalen. Goede beveiliging zou wifiverbindingen anders behandelen dan fysieke verbindingen en er in een aantal gevallen zelfs voor kiezen om documenten in het geheel niet via een netwerk toegankelijk te maken. In al die jaren is er maar weinig verbeterd.

Dankzij onze laksheid kunnen inlichtingendiensten, criminelen en anderen kinderlijk eenvoudig toegang krijgen om documenten te stelen, beschadigen, vernietigen of te plaatsen. Het schokkende ervan is dat het niet meer vereist dan vaak gratis software, goedkope standaardcomputers of een WiFi Pineapple en een beetje knappe antenne. Sterker nog: in de tijden van het wardriven waren we in de hackerscene dol op Pringles-chips. Niet zozeer omdat ze lekker zijn, maar vooral omdat de blikken perfecte richtantennes zijn voor wifi. We krikten er de reikwijdte van netwerken fors mee op van enkele honderden meters tot zelfs enkele kilometers.

Het is nog een geluk dat de Russen vanuit een auto besloten te hacken. Ze hadden ook kunnen kiezen voor de patser-optie: niet alleen parkeren bij het Marriott Hotel, maar er meteen in te checken om vanuit een knappe kamer voorzien van deugdelijk roomservice en een kaartje ‘niet storen’ aan de deur rustig te hacken. Eerst bij het OPCW om vervolgens de doos Pringles een kwart slag te draaien naar het Catshuis toe.

Maar goed, de hackers zaten wel in de auto en werden bovendien gestoord. “Met het onthullen van de werkwijze van de GRU maken we het de GRU moeilijker en vergroten we tegelijkertijd onze eigen weerbaarheid,” zei de Minister van Defensie trots. Ik onderschrijf die boodschap en pleit al langer voor meer openheid over hoe incidenten verlopen. Maar het is ook onze collectieve taak om twintig jaar na het wardriven eindelijk eens de naïviteit van ons af te schudden. Laten we onze beveiligingsmaatregelen nu écht richten op dreigingen die we al ruim twintig jaar in het vizier hebben.

Is Yahoo! een kat in de zak?

Yahoo! krijgt de grootste hack ooit over zich heen, bespioneert zijn klanten en houdt cruciale informatie onder de pet. Het wordt pijnlijk duidelijk dat Verizon mogelijk een kat in de zak heeft gekocht.

Bij een hack op Yahoo! zijn zo’n 200 miljoen persoonsgegevens buitgemaakt. Het gaat om wachtwoorden, geheime vragen, e-mailgegevens, geboortedata en vooral de toegang tot het platform om identiteitsdiefstal te plegen. Problematisch daarbij is dat niet het bedrijf, maar de media de onthulling brengen.

Dat het bedrijf is gehackt, hoeft niet noodzakelijkerwijs pijnlijk te zijn. Het overkomt vrijwel ieder bedrijf. Wel problematisch is dat nu het bedrijf deze hack toegeeft, blijkt dat het incident al in 2014 plaatsvond. Ook gaat het niet om 200 miljoen slachtoffers, maar 500 miljoen. Het is de grootst bekende hack ooit en het bedrijf nam niet de moeite haar klanten te informeren. Voor Verizon, dat momenteel bezig is Yahoo! te kopen, is dit een enorme tegenslag. Dat bedrijf heeft een tak met veel expertise rond informatiebeveiliging. Met het jaarlijkse Data Breach Investigations Report gaat Verizon er prat op dat het juist transparantie brengt. Dit lek en met name het moedwillig verzwijgen ervan is slecht voor de beeldvorming.

Daarbij is er nog iets anders pijnlijk. Verizon koopt Yahoo! voor 14,8 miljard dollar met als belangrijkste doelstelling het verkrijgen van toegang tot de klanten. Niet alleen ondermijnt de hack en het geheimhouden daarvan de relatie met de klanten, maar ook devalueert de waarde aanzienlijk; het klantenbestand wordt op het darkweb voor zo’n 1800 dollar aangeboden. Verizon krijgt dus een kat in de zak.

Dat kat-in-de-zakgevoel is nog groter door het bekend worden dat in 2015 – dus ver na de onthullingen van Snowden – Yahoo! actief heeft meegewerkt met de NSA. Het bedrijf heeft software gemaakt om e-mails van klanten te scannen, die voor de NSA interessante berichten identificeert. Vervolgens heeft Yahoo! deze mailberichten aan de spionagedienst doorgespeeld. Dit was zo geheim dat zelfs de CISO hier niets van wist. Eerder bleek uit documenten van Snowden al dat de onderneming via de webcam spionage in hun messenger mogelijk maakte.

Die scansoftware en het doorspelen van berichten aan de nationale inlichtingendienst kun je misschien nog vergoelijken in een pre-Snowden-tijdperk, maar het laatste zeker niet. Die spionage ondermijnt volledig het vertrouwen in de maildienst, cloudopslag en kan voor zakelijk gebruik heel schadelijk zijn. Zeker voor de koper Verizon. Tot nu toe gold hun beveiligingstak als een vertrouwde partij, maar met de koop van Yahoo! verbinden ze zich aan een partij die concurrentiegevoelige informatie zonder pardon doorspeelt aan inlichtingendiensten.

Het laatste nieuws is dat Verizon nu een miljard minder wil betalen. Met dat geld willen ze schadeclaims tegen Yahoo! afwikkelen. Maar het is natuurlijk vooral omdat ze nu iets kopen wat ze bij nader inzien helemaal niet willen hebben. Deze kat in de zak kan namelijk gemeen krabben.

Dit artikel verscheen eerder op ICT Magazine.