IT-beveiliging wordt al eens met een wapenwedloop vergeleken. Waar de aanvallers steeds nieuwe manieren zoeken om een netwerk binnen te dringen, moeten de beveiligers ook snel evolueren. In die zin is het nuttig om de blik ook richting toekomst te werpen, naar nieuwe technologieën en hun gevolgen.
...

IT-beveiliging wordt al eens met een wapenwedloop vergeleken. Waar de aanvallers steeds nieuwe manieren zoeken om een netwerk binnen te dringen, moeten de beveiligers ook snel evolueren. In die zin is het nuttig om de blik ook richting toekomst te werpen, naar nieuwe technologieën en hun gevolgen. Voor Rik Ferguson, vicepresident van securityonderzoek bij Trend Micro, vormt 5G het grootste probleem voor toekomstige cybersecurity, zo zegt hij op het podium van de Cloudsec-conferentie in Londen. "Het is transformationele technologie", vertelt hij. "Die gaat een hele nieuwe generatie van toepassingen toelaten." Bedrijven en telecomproviders kijken reikhalzend uit naar de technologie, omdat ze voor meer bandbreedte en lagere 'latency' zal zorgen, om nog maar te zwijgen over de mogelijkheden rond software defined netwerken en 'slicing'. Een en ander moet bijvoorbeeld drones en zelfrijdende wagens mogelijk maken, en Ferguson gelooft dat 5G voor een boom zal zorgen van slimme genetwerkte toestellen, die, belangrijk, allemaal beveiligd moeten worden. Zoveel 'devices' in uw netwerk, dat is nu al moeilijk bij te houden, zegt hij, maar wat als dat aantal nog eens exponentieel groeit? "Je moet gaan uitvissen hoe je al die dingen zichtbaar maakt. En hoe je ze beheersbaar houdt terwijl ze waarschijnlijk niet ontworpen zijn om beheerd te worden. Je kan niet op elk van die toestellen extra software gaan installeren", aldus Ferguson. Hij geeft het voorbeeld van straatlampen. Als er daar pakweg honderdduizend van staan in een stad, dan zijn dat 100.000 IP-adressen waarvan u moet zorgen dat ze niet in een botnet terechtkomen, en 100.000 SIM-kaarten die voor fraude kunnen worden misbruikt. "Je netwerken gaan erg volatiel en software defined zijn. Je security moet daarmee om kunnen", zegt hij. "Hou er ook rekening mee dat je een nieuw soort gebruiker hebt. IoT draait rond heel veel machine-to-machine communicatie, dus je netwerk moet niet-menselijke gebruikers aankunnen. Daarnaast gaat het ook om gigantische hoeveelheden data. Hoe sla je die op, hoe maak je die beschikbaar en hoe verwijder je die weer op een veilige manier?" Iets waar Trend Micro zich minder zorgen over maakt, zijn spionerende toestellen. "Een smart tv met een webcam komt niet zo vaak voor als je misschien denkt", zegt Robert McArdle, cybercrime-onderzoeker bij Trend Micro, tijdens zijn keynote. "Mensen gebruiken dat niet. We hebben net allerlei apps zoals WhatsApp om te vermijden dat we face-to-face met elkaar moeten praten. Er is dus weinig nood aan dat soort interactie op een groot scherm." Hij stelt zich ook de vraag wat iemand zou doen met de beelden die ze eventueel van een smartcam halen. "Geloof je dat ze je zullen afpersen op basis van die video? Dan denk je als een hacker, niet als een crimineel", zo zegt hij. "Als je al in die uren aan video een beeld vindt waar iemand beschaamd voor kan zijn, dan moet je eerst uitvissen wie dat is. Denk eraan dat kwetsbare camera's meestal gewoon op het internet gevonden worden, die kunnen eender waar ter wereld staan. Je moet dus de gebruikers vinden, en hen in hun eigen taal een afpersingsbericht sturen, zonder dat je jezelf in de problemen werkt. Dat is een verschrikkelijk slecht businessmodel." Hij geeft aan dat zo'n toestel, eens gecompromitteerd, makkelijker kan worden ingezet in een DDoS-aanval. "Dan heb je ook maar één slachtoffer waar je rekening mee moet houden, terwijl de grote meerderheid van de mensen wiens toestel je inzet, niet eens doorheeft dat ze gecompromitteerd zijn." Conclusie: "Je bent niet speciaal. Zeer weinig mensen zijn zelf interessant genoeg voor een doelgerichte hacker. IoT zal wel gebruikt worden als een manier om in een netwerk te komen en zo bijvoorbeeld in te breken op je bedrijfsnetwerk. Een camera van twintig dollar heeft niet veel security aan boord, en als je van thuis werkt moet je niet alleen je werklaptop verdedigen, maar je hele netwerk." Hij noemt het een soort omgekeerd 'bring your own device' vraagstuk. "In plaats van mogelijk besmette mobiele toestellen binnen te brengen op het bedrijfsnetwerk, gaan we met ons bedrijfsnetwerk naar de mogelijk onveilige omgevingen van thuiswerkers. Je infrastructuur moet daarop voorzien zijn. Als je niet iemand kan beveiligen die werkt vanuit de Starbucks op een defcon hacking conferentie, dan heb je geen goed beveiligingsmodel." Hoewel McArdle een heel betoog afsteekt tegen de kansen dat camerabeelden gebruikt worden om u, specifiek, af te persen, waarschuwt hij wel voor een ander soort afpersing, via deepfakes. Het idee daarachter is dat een aanvaller een beschamende deepfake video maakt met beelden van het slachtoffer die gewoon van sociale media zijn geplukt. Zo kan een beetje kwaadaardige techneut bijvoorbeeld een valse pornovideo maken, of het hoofd van een politicus plakken over beelden van iemand die lallend over straat strompelt. De video wordt vervolgens gebruikt om mensen af te persen, gezien dat soort beelden, wanneer geloofd, het einde van een carrière kunnen betekenen. Het losgeld in kwestie wordt dan betaald om te zorgen dat de video nooit online verschijnt. "Denk aan Nancy Pelosi, de Amerikaanse Democrate waarvan een gedoctorde video online kwam die haar toonde met het geluid vertraagd, zodat ze overkwam als dronken of seniel. Dat was niet eens een deepfake video, maar die had schadelijke gevolgen", zegt Robert McArdle. "Mensen gaan niet meteen dubbelchecken of dat juist is, dus politici zijn geneigd om te betalen voor dat soort dingen. Voor hen is er schade, of de video nu echt is of niet." McArdle gelooft ook dat deepfake ransomware specifiek tieners tot doelwit kan hebben, omdat zij net op een moment in hun leven zitten waar ze belang hechten aan hun publieke imago, en ze ook de generatie zijn die veel beelden van zichzelf uploaden. Een en ander zou ook het aantal zelfdodingen onder tieners kunnen opdrijven, dus algemeen besef over deze praktijken is des te belangrijker, al was het maar om te zorgen dat een omgeving sceptisch blijft als er zo'n video van een klasgenoot opduikt. Belangrijke opmerking daarbij: McArdle heeft het over gevaren in de toekomst en lijkt een beetje voorbij te gaan aan degene die al bestaan. Volgens onderzoek van Nederlands bureau Deeptrace duiken deepfakes bijvoorbeeld al een tweetal jaar op in publieke fora, en verdubbelen ze jaar over jaar in aantal. Uit het onderzoek blijkt ook dat ze voor 96% uit porno bestaan, en dat hun belangrijkste slachtoffer niet specifiek politici of tieners zijn, maar vrouwen. En dan is er nog AI. In de race tussen beveiligers en degenen die op computernetwerken willen inbreken, wordt ook kunstmatige intelligentie een factor, denken Ferguson en McArdle. Ze kijken dan bijvoorbeeld naar threat modelling, het proberen voorspellen van dreigingen. "Iedereen denkt op een andere manier en als ze een probleem tegenkomen, gaan verschillende mensen vaak ook een verschillende oplossing zoeken. Dat geldt ook voor AI", zegt Ferguson. Een algoritme kan proberen inbreken op manieren waar we misschien niet zelf aan denken, maar die andere AI wel kan opsporen. Kunstmatige intelligentie zou op zijn beurt ook kwetsbaarheden kunnen vinden die mensen nooit zouden zien. "Vanuit het perspectief van AI, eens het door aanvallers wordt ingezet, heb je bijvoorbeeld snellere en meer effectieve aanvallen", zegt Ferguson. "De aanvallen gaan aan de snelheid van machines gebeuren, hun tactieken zullen aan machinesnelheid veranderen en de code die gedraaid wordt zal ook weten in welke context ze draait. Dus kan ze haar gedrag in real time aanpassen aan de omstandigheden."