Eddy Willems
Wat betekent de NSA-hack voor ondernemingen?
Eerder deze maand werd er data gestolen bij de NSA. Het zou gaan om een zero-days lek: een lek dat nog niet bij de fabrikant bekend is, waardoor iedereen binnen kan dringen via het gat in de software. Eddy Willems vraagt zich af wat dat dat voor ondernemingen betekent: ‘Niemand kan honderd procent garantie geven, ook niet bij een perfecte configuratie’.
Eerder deze maand zette een individu of groep met de naam Shadow Brokers een groot bestand te koop voor minimaal een half miljard euro. Het bestand zou zero-days, ofwel, nog niet bekende en dus ook nog ongepatchte beveiligingslekken van hard- en software bevatten en malware waarmee deze kunnen worden aangevallen (zogenaamde exploits). Deze informatie zou afkomstig zijn van een server van de Amerikaanse geheime dienst NSA, die aan de lopende band nieuwe beveiligingslekken ontdekt en –zoals allang werd vermoed en naar nu blijkt– slechts zeer beperkt bij de maker van de betreffende hard- of software aankaart. Het leeuwendeel lijkt achter de hand te worden gehouden om in te zetten bij het vergaren van inlichtingen.
Wat betekent de NSA-hack voor ondernemingen?
Er valt veel te zeggen over de aard van de hack (was het niet gewoon een inside job?) en over hoe goed de gratis samples van de aangeboden exploits werken. Hoewel ik beide onderwerpen zeer interessant vind, is de belangrijkere discussie wat dit alles nu precies betekent voor gewone internetgebruikers en voor ondernemingen.
Deze hack (laten we het zo maar even betitelen), herinnert ons aan het belang van zero-days. Hard- en software wordt door mensenhanden geprogrammeerd en is daarom bijna nooit perfect. Oproepen tot veiligere software zijn al vaak gedaan, maar perfectie zal een illusie blijven zolang er een bloeiende markt is voor imperfecte producten. Wanneer de onvolmaaktheden worden ontdekt door de verkeerde personen (of door de NSA die ze vervolgens laat stelen), lopen alle internetgebruikers gevaar. Het is dan ook duidelijk dat er een essentieel belang is voor beveiligingssoftware die ook nog onbekende beveiligingslekken beschermt. Proactieve beveiligingstechnieken als exploit protection, behaviour blocking en heuristics maken niet voor niets deel uit van alle serieuze beveiligingssoftware (hoewel deze regelmatig standaard uitgeschakeld staan, dus goed instellen is zeer belangrijk). Helaas kan niemand een garantie van 100% geven dat alle gevaren altijd op tijd worden afgewend, ook niet bij een perfecte configuratie.
Helaas kan niemand een garantie van 100% geven dat alle gevaren altijd op tijd worden afgewend, ook niet bij een perfecte configuratie
De NSA-hack plaatst het één en ander ook in een bepaald perspectief. Biedingen op de gestolen NSA-gegevens worden pas serieus genomen vanaf 1 miljoen bitcoins, wat omgerekend ruim een half miljard euro is. Dat is een astronomisch bedrag, dat weinigen zullen kunnen opbrengen. Dit bevestigt ons wat wij al wisten: zero-days zijn zeer kostbaar. Een cybercrimineel moet -als hij niet zelf in staat is om zero-days te vinden- diep in de buidel tasten om er één te kopen. En als je hem hebt, kun je ervan uitgaan dat je hem maar één maal echt goed kunt gebruiken. Na het eerste gebruik kan de exploit namelijk worden ontdekt, waarna het beveiligingslek snel zal worden gedicht. Cybercriminelen die wel in staat zijn om zero-days te ontdekken, doen er waarschijnlijk verstandiger aan om die te verkopen voor een mooi bedrag dan er zelf mee te gaan rommelen. De kans op een hoge opbrengst is dan immers maar de vraag, terwijl bij een verkoop de winst direct duidelijk is.
Wie wil er betalen voor een zero-day?
De vraag is dus: wie heeft er zo veel geld over voor een zero-day? Economisch gezien moet het antwoord zijn: iemand die zeker weet dat hij meer geld kan verdienen met de inzet van die zero-day dan dat hij ervoor betaald heeft. Politiek gezien kan het antwoord zijn: een staat die koste wat het kost bepaalde inlichtingen over een andere staat wil vergaren. In de praktijk zie je dan ook dat zero-days vooral worden ingezet voor zogenaamde targeted attacks. Slachtoffers (of in elk geval, doelwitten) zijn nauwelijks argeloze consumenten, maar banken, grote multinationals, legers, ministeries, inlichtingendiensten, energiecentrales, enzovoorts.
Toeleveranciers en zakelijke partners van grote ondernemingen en overheidsorganen zijn zich meestal minder bewust van het gevaar
Maar daar stopt het niet. Dit soort doelwitten weten heel goed dat hun gegevens en systemen veel waard zijn. Kosten noch moeite worden bespaard om deze systemen optimaal te beschermen en de kans op menselijke fouten tot een minimum te beperken. Soms is het voor hackers dan ook gemakkelijker om via een omweg binnen te komen. Toeleveranciers en zakelijke partners van grote ondernemingen en overheidsorganen zijn zich meestal wat minder bewust van het gevaar en veel eenvoudiger succesvol aan te vallen. Deze toeleveranciers kunnen vervolgens als een soort Trojaans paard fungeren. Bovendien kan een aanval wel getarget zijn, maar is er meestal ook sprake van ‘collateral damage’. Die geïnfecteerde leverancier besmet niet alleen die ene klant waar het de criminelen om te doen was, maar ook al zijn andere klanten en zijn toeleveranciers. Wie actief is op LinkedIn weet dat elk bedrijf binnen hooguit enkele stappen verbonden is aan elk ander bedrijf ter wereld en dat dus ook ieder bedrijf gevaar loopt aangevallen te worden door een zero-day.
De conclusie moet dan ook zijn dat iedere onderneming zijn maatregelen moet treffen om zich tegen zero-days te beschermen. En dat is wat de NSA-hack betekent voor ondernemingen.
Fout opgemerkt of meer nieuws? Meld het hier