Het jaar 2010 brengt voor bedrijven en consumenten heel wat nieuwe securitydreigingen, klinkt het unisono bij de securitybedrijven. Een spelletje ‘opkloppen van de gevaren’ uit eigenbelang, denk je dan meteen? Toch niet.
De doemverhalen over security weerklinken nu al jarenlang – ook in Data News – zonder de wereld te zien vergaan in een security-apocalyps. Dat het niet zover is gekomen, is te danken aan de continue inspanningen van zowel de leveranciers van securityproducten en -diensten, als van bedrijven en eindgebruikers zelf. Diezelfde inspanningen maken dat cybermisdadigers telkens weer hun aanvalswijzen aanpassen en vernieuwen. De aanvallen worden gerichter, meer verdoken en beogen vaak een ‘lange termijn’-relatie met het slachtoffer. Zo worden eindgebruikerssystemen gehackt tot zombies, zodat cybercriminelen er naar believen gebruik kunnen van maken.
Op de hoede blijven
De inspanningen tegen klassiekers als virussen, spam en dies meer moeten zonder meer op peil worden gehouden, want ook oude bedreigingen raken nooit volledig uitgeroeid. Tegelijk krijgen de producenten van securityproducten dagelijks vele duizenden nieuwe varianten van virussen en malware op hun bord, zodat de meeste leveranciers hun ‘engines’ hebben herwerkt om naast ‘signatuur’-controles ook verdacht gedrag van het systeem op te sporen en te remediëren. Nog een stap verder gaan de bedrijven die hun securitydiensten op deze punten aanbieden vanuit de cloud.
Bedrijven of consumenten mogen zelf ook niet afhaken en moeten hun securityproducten geregeld bijwerken. Daarnaast moet ook werk worden gemaakt van een zo efficiënt mogelijk bijwerken van software, en niet alleen van besturingssystemen (die overigens tegenwoordig wel al minder het zorgenkind zijn). Ook browsers, tools en plug-ins (zoals voor Flash, mediaplayers, pdf-readers etc) moeten zo nauwgezet mogelijk worden bijgewerkt. Zo bleken eind vorig jaar pdf-bestanden het doelwit van circa 80 procent van de malware-aanvallen te vormen.
Voorts moeten ook klassiekers als de firewall in al zijn vormen behouden blijven, ook als vandaag de verdedigingsperimeter rond de bedrijven aan belang heeft ingeboet door de grotere mobiliteit van systemen. Interessant daarbij zijn producten die automatisch opsporen welke systemen zijn aangesloten op de bedrijfsinfrastructuur, gekoppeld aan een analyse van hun zwakke punten. Dit wint aan belang naarmate de ‘prosumeration’ – alias eindgebruikers die persoonlijk materiaal aanwenden binnen het bedrijfsnetwerk – toeneemt.
Concreet moeten bedrijven hun security aanpakken vanuit een risicoanalyse en hun maatregelen koppelen aan het vereiste niveau van ‘trust’ van elke gebruiker en elk onderdeel van de infrastructuur (inclusief gebruikers en systemen die niet tot het eigen bedrijf behoren).
Social engineering
Gebruikers worden tevens in de val gelokt door ‘social engineering’-truukjes die inspelen op hun verlangens, interessen en dies meer. Zo worden ze belaagd met boodschappen naar aanleiding van bijzondere gebeurtenissen (de dood van Michael Jackson, de aardbeving in Haïti, enzovoort) die hen uitnodigen naar besmette sites te gaan of om software te downloaden om een en ander te bekijken of aan te wenden. Software die dan al te vaak malware blijkt. Het advies daarbij is om (media)player- of readersoft, plug-ins en dergelijke enkel vanaf de sites van hun producenten binnen te halen. Nog problematischer zijn ‘drive-by’ besmettingen, waarbij gewoonweg het bezoek aan een besmette website voldoende is om het eindgebruikerstoestel te besmetten met malware. Dergelijke besmettingen kunnen ook vanaf legitieme maar gehackte sites gebeuren.
Bijzonder perfide is de opkomst van scareware of rogueware. Concreet is dit software die wordt aangeboden als verdedigingssoftware (en vaak wordt aangekondigd op een wijze die inspeelt op het plichtsbesef van een gebruiker om zijn of haar toestel te beveiligen) maar in werkelijkheid niets doet of zelf een stuk malafide code vormt en daarbij niet zelden legitieme verdedigingssoftware uitschakelt. Ironisch genoeg wordt dergelijke software vaak tegen betaling aangeboden en lijkt dit alles erg correct te zijn (inclusief een betrouwbare betaalwijze, garantie, ondersteuning en dies meer).
Ook het probleem van ‘datalekken’ (data leakage) vertoont aspecten van ‘social engineering’. Heel wat personen beseffen immers onvoldoende de waarde van informatie, of omgekeerd, stelen opzettelijk data. Dat laatste is zeker het geval in deze economisch onzekere tijden, wanneer werknemers al makkelijker geneigd zijn informatie te verzamelen als appeltje voor de dorst bij een eventueel ontslag. Het noopt in ieder geval tot meer geëigende controle op de inhoud van doorgestuurde mails en bestanden, evenals het gebruik van mobiele opslageenheden (als geheugensticks of mp3-spelers). Of er wordt onbedacht informatie gelekt tijdens de samenwerking tussen de eigen medewerkers en deze van derden.
Nieuwe en oude aanvalswegen
De groeiende populariteit van sociale netwerken heeft helaas ook de aandacht van cybercriminelen getrokken. Vandaag vormen Facebook, Twitter en tutti quanti voluit het doelwit van malware, spam en phishingaanvallen. Bovendien lekken personen (en eventueel bedrijven) doorheen die sociale netwerken informatie die kan worden misbruikt, zeker als informatie uit verschillende bronnen kan worden samengevoegd. Bedrijven moeten daar in het lopende jaar heel wat meer aandacht aan besteden dan tot nu toe allicht het geval is. Duidelijk is dat personen en bedrijven een meer datagerichte securityaanpak moeten nastreven, met aandacht voor toegangsbeveiliging, dataintegriteit, veilige opslag en gebruik. Voorts wordt gewaarschuwd voor url shortening, zoals die onder meer door Twitter wordt aangewend, omdat dit in essentie een vorm van ‘url redirection’ vormt die kan worden aangewend voor phishingaanvallen.
Daarnaast zijn ook klassieke aanvalswegen, zoals mobiele datadragers weer in opmars. Waren ooit floppy’s de meest notoire dragers van virussen en malware, worden vandaag onder meer usb-geheugensticks aangewend. In het bijzonder sticks die worden uitgedeeld of die je ergens ‘vindt’, kunnen best eerst op besmettingen worden gecheckt.
Stijgers met stip
In het voorbije jaar zijn heel wat computers, zowel bij de consumenten als in bedrijven, door trojanen besmet en tot ‘zombies’ in botnets gemaakt. Experten maken zich hierover zorgen, omdat deze gekaapte systemen nu beschikbaar zijn voor zowel massale aanvallen (zoals DDOS, distributed denial of service, waarmee de toegang tot sites en systemen onmogelijk kan worden gemaakt) als ‘diensten’ (zoals spamzenders). Daarbij wordt ook (meer) aandacht gevraagd voor de bescherming van de kritieke infrastructuur in landen, zoals de nutsvoorzieningen. Gezien de groeiende belangstelling voor ‘smart grids’ (met ‘slimme meters’ en beheermogelijkheden bij de gebruiker) moet nu van bij de aanvang worden gewerkt aan security en mogen dergelijke systemen niet overhaast, zonder voldoende testen, op de markt worden gebracht.
Ook de snelle opkomst van virtualisatie en het ‘as a service’-aanbod veroorzaakt securityproblemen. Zo is er nood aan aangepaste producten en diensten, terwijl klanten en leveranciers van diensten betere beheerprocedures en informatieuitwisseling contractueel moeten afspreken. De klanten van een ‘as a service’-aanbod moeten zich immers een reëel beeld van de dagelijkse security-activiteiten bij de leverancier kunnen vormen, want de eindverantwoordelijkheid blijft bij de klant. Er wordt dan ook gewerkt aan ‘common assurance metrics’, zodat alle betrokkenen (ook non-informatici) zich een goed beeld kunnen vormen. Op basis hiervan moet je ook een vergelijking tussen leveranciers maken, onder meer qua beschikbaarheid en bescherming van data in de ‘cloud’.
Het kwaad bij de wortel aanpakken
Een algemeen advies uit de securitywereld geldt overigens om het kwaad bij de wortel aan te pakken. Alle inspanningen van bedrijven en eindgebruikers zullen onvoldoende blijven, zolang nog teveel software, in het bijzonder voor gebruik in het web, fouten bevat waar cybercriminelen dankbaar gebruik van maken. Een strikt ‘design for security’ voor software en veel meer (praktijk)aandacht voor ‘writing secure software’ in de (bij)scholing van informatici zijn absolute vereisten. Helaas is dit wel een werk van lange adem, maar op korte termijn kunnen meer securitygerichte testen van software al helpen. Naast analyse van broncode, kan hiervoor ook aan (al dan niet gericht) ‘fuzzy testing’ van software worden gedaan. Op die wijze kunnen al makkelijker acute dreigingen van onder meer sql-injection en andere vormen van malafide input worden gekeerd.
Dat alles natuurlijk gekoppeld aan nooit aflatende inspanningen om alle partijen, inclusief de eindgebruikers, aan te zetten tot een gezond gebruik van it en telecom, met een echte en gezonde belangstelling voor security.
Guy Kindermans
De groeiende populariteit van sociale netwerken heeft helaas ook de aandacht van cybercriminelen getrokken.
Fout opgemerkt of meer nieuws? Meld het hier