Pieterjan Van Leemputten

Honderden securityspecialisten, inclusief die van het FBI, verzamelden op een Spaans eiland voor de Security Analyst Summit van Kaspersky Lab. Data News legde zijn oor te luister bij de beveiligingsexperts, en keert terug met flaters, overwinningen en lichte paranoia.

Tussen een waslijst nieuwe aanvalsmethodes zijn er gelukkig nog zekerheden : een groot deel van de incidenten is nog steeds toe te schrijven aan menselijke fouten. Het mooie is dat dat ook langs de kant van de criminelen het geval is. “We hebben ooit iemand kunnen traceren omdat bij de registratie van de domeinnaam van waaruit een aanval werd georkestreerd nog een emailadres stond dat we konden koppelen aan de dader,” zegt Peter Kruse, eCrime-specialist bij de Deense CSIS Security Group. Zo eenvoudig kan het zijn.

Een gelijkaardige situatie bij de ransomware Cryptolocker die in 2013 de kop op stak. Zodra onderzoekers de code van de malware onderzocht hadden, ontdekten ze Nederlands in de debug-commentaren. Waardoor er verondersteld kon worden dat de daders zich in Nederland of België bevonden.

Maar de echte doorbraak kwam er nadat in de broncode verwijzingen stonden naar een bestand op de pc van de daders met als link C :/Users/’gebruikersnaam’. Zo kwamen speurders de voornaam van één en de volledige naam van een andere dader te weten. Daarop volgde een huiszoeking waar verschillende laptops en versleutelde harde schijven werden gevonden. Op dit moment zijn de daders gearresteerd maar nog niet veroordeeld.

HACKEN OP ZATERDAG

Meer gewiekste hackers weten natuurlijk beter. Ooit hebben daders met een brute aanval het wachtwoord van een administrator ontdekt. Bij brute force worden duizenden wachtwoorden geprobeerd, al sluit zo’n account zichzelf meestal af als er te veel pogingen zijn.

“Maar ze namen hun tijd, legt Serge Golanov van Kaspersky uit. “Achteraf merkten we dat ze enkel op zaterdag probeerden, met slechts drie pogingen per keer. Het kostte hen drie maanden, wat eigenlijk nog vrij snel is.” Maar belangrijker : de hackers bleven zo onder de radar van systemen die een veelvoud van aanmeldpogingen zouden herkennen.

ADMINS ALS ZWAKTSTE SCHAKEL

De beveiliging van it-infrastructuur is de afgelopen tien jaar sterk verbeterd, maar voor netwerkbeveiliging is dat niet het geval, zegt John Lambert, general manager van het Microsoft Threath Intelligence Center. Hij legt uit waarom de ene beveiliger beter beschermd is dan de andere.

“Zij die het goed doen interpreteren vertrouwelijkheid anders. Ze gooien weg wat niet werkt en verbeteren processen zodra ze iets uithalen. Maar vaak gaat het om heel conventionele wijsheid. Zit je met een security-incident, hou dat dan vertrouwelijk want eens het uitlekt voor je het oplost ben je gezien. Stuur de mensen betrokken bij dat incident zeker niet naar conferenties, want de kans is groot dat het ter sprake komt in een gesprek”, aldus Lambert.

Als verdediger kijk je ook vaak naar individuele zaken : domain name controllers, certificaten, administrator accounts, databases, servers enz… Maar die moeten wel op gelijke voet behandeld worden. “Je bent niets met een veilige administratoraccount als je server gecompromitteerd raakt.” Lambert geeft het voorbeeld met een zogenaamde god-account, een login die overal toegang tot heeft, bijvoorbeeld omdat de administrator virtuele machines moet controleren. “Dat is een zwakke plek. Eens je één van die vm’s kan kraken kan je de login onderscheppen en nadien gaan alle deuren van de organisatie open.”

“Hou bij het opstellen van je netwerkinfrastructur altijd rekening met de six degrees of separation. Hoeveel stappen zijn er nodig om ergens de controle over te krijgen ? Wordt je login van plaats X gestolen, kunnen ze dan ook binnen op plaats Y ? Wie zijn login voor meerdere toegangspunten gebruikt bouwt zelf een brug voor indringers.”

HOE KAN JE DE KANS VERKLEINEN ?

Beheer je tegenstanders. ‘Werk per vijand, niet per incident, Wie kan je aanvallen, wat willen ze en hoe kunnen ze daar aan geraken ?”

Leer van inbreuken. Welke infrastructuur gebruikt de aanvaller zelf, hoe werden gebruikers misleid bij phishing ? Telkens je malware ontdekt krijg je meer kennis over je tegenstanders.

Gebruik logs. “Hackers gaan zelden snel binnen en buiten. Ze kijken rond en plaatsen dan pas malware. Als je logs goed bijhoudt kan je terugkijken in de tijd en identificeren wanneer iemand is binnengedrongen.”

Deel kennis. “Werk samen met specialisten buiten je bedrijf. Het zal dit incident niet meteen oplossen, maar je bouwt wel vertrouwen en samenwerking op om in de toekomst sterker te staan.”

IN DE FABRIEKSHAL

Een heel ander aspect van security komt aan bod bij industriële systemen, waar het risico op hacken klein is. Al vergroot die nu ook daar machines, rechtstreeks of onrechtstreeks, verbonden zijn met het internet. Michael Toecker, control system security practice bij Digital Bond, legt zich toe op industrial control systems (ICS) en wil bedrijven bewust maken van dat risico.

“Tot nu toe ik nog geen ‘geknoei’ met industrieel materiaal gezien. Maar het kan en daar moeten we ons bewust van zijn. Zo’n systemen gaan jaren mee en een beetje sabotage kan een hele production plant of bedrijfsunit onderuit halen.”

Een van de gevoeligheden is het onderhoud, bijvoorbeeld om te kalibreren. “Hoe zeker ben je van dat proces ? Krijg je een uitgeschreven rapport van wat men doet ? Zo’n testen worden door een leverancier of onderhoudsbedrijf gedaan. Testen zij enkel met hun eigen materiaal ? Is de testinstantie zelf onafhankelijk, of verkopen ze ook de vervangstukken voor je machines ?”

Toecker haalt nog tien andere voorbeelden aan waarbij het relatief makkelijk is voor een outsider op de juiste plaats om schade toe te brengen op je werkvloer. “Als ze je machine testen met een laptop, is dat dan een laptop die enkel voor de test wordt gebruikt, of gaat een werknemer daar ‘s avonds mee naar huis om illegaal films te downloaden ?”

Hoe meer je naar Toecker luistert, hoe meer paranoia je wordt. Maar de man heeft een punt. Zo ontwikkelden (vermoedelijk) de Amerikaanse en Israëlische overheden enkele jaren terug nog Stuxnet, een worm die zich ongemerkt op computers in het Midden-Oosten verspreidde via usb-sticks.

Het doel ? De automatische processen, in dit geval de centrifuges van Iraanse kerncentrales, aanpassen waardoor er schijnbaar fouten gebeuren met zware gevolgen. Technieken die op termijn ook in andere landen kunnen opduiken om bewust schade aan te richten.

Pieterjan Van Leemputten

“Wie zijn login voor meerdere toegangspunten gebruikt bouwt zelf een brug voor indringers”

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content