Zo werkt de cybermaffia

Simpele computervirussen hebben hun langste tijd gehad, maar dat betekent niet dat het internet veiliger is geworden. Er bestaat een complete bedrijfstak die zich bezig houdt met het exploiteren van beveiligingsgaten.

Bijna alle bedrijven hebben tegenwoordig scanners tegen virussen, spyware en spam. Backups worden trouw gemaakt en het draadloze netwerk is versleuteld. Dat was het goede nieuws dat accountantsbureau PriceWaterhouseCoopers (PWC) eind april bekend maakte tijdens de Infosec London, de grootste computerveiligheidsbeurs van Europa. Het aantal incidenten daalt, zodat bedrijven in het algemeen hun investering in beveiliging dubbel en dwars terugverdienen.

Het slechte nieuws is dat cybercriminelen ook inzien dat hun traditionele werkwijzen minder effectief zijn. Ze wijken uit naar nieuwe methoden en daar zijn bedrijven minder op voorbereid. Een derde van de bedrijven heeft bijvoorbeeld geen beleid voor het gebruik van instant messaging door personeel. Tachtig procent van de bedrijven waar computers werden gestolen, had de harde schijf daarvan niet versleuteld, zodat gevoelige informatie in handen van derden kwam.

‘In de media zie je vooral berichten over dingen die fout gaan bij de overheid, maar in het bedrijfsleven is het niet minder erg’, aldus Andrew Beard, directeur adviesdiensten van PWC. De helft van de incidenten in het bedrijfsleven speelt zich af bij financiële instellingen. Dat beeld kan echter vertekend zijn. ‘Bedrijven die aan beveiliging doen, rapporteren meer incidenten, omdat hen meer opvalt. Het komt regelmatig voor dat we op een incident in de veiligheid stuiten, terwijl we eigenlijk op zoek zijn naar iets anders.’

Beard ziet ook een verschuiving van het type aanvallen, van virussen die in het wilde weg proberen informatie te kapen, naar malware (kwaadaardige software) met gerichte doelen. Daarbij valt bijvoorbeeld te denken aan website met een stukje malware dat zich verstopt op de pc en pas actief wordt als de gebruiker de website van een bepaalde bank bezoekt. Dan worden een paar extra invulvelden in de pagina gestopt, waarin de gebruiker bijvoorbeeld zijn onversleutelde password wordt ontfutseld.

Spionage

De meest effectieve malware weet virusscanners te omzeilen doordat de code iedere keer anders is. Scanners zoeken een patroon in de code, maar zo’n patroon is er niet meer. Dit vergt aanzienlijke programmeervaardigheden. ‘Ga er maar vanuit dat er een top tien bestaat van succesvolste hackers’, stelde Danny Allan, hoofd van Watchfire, de onderzoeksafdeling computerveiligheid van IBM.

‘De besten krijgen banen aangeboden waar ze al gauw twee ton per jaar mee kunnen verdienen. Onze forensische afdeling laat zien dat 65 procent van de veiligheidsincidenten terug te leiden valt naar georganiseerde misdaad. Daarnaast is in 25 procent van de gevallen sprake spionage, zowel door overheden als bedrijven. Script kiddies zijn verantwoordelijk voor slechts tien procent – maar dat is wel de leerschool waarvandaan ze verder groeien.’

Allan sprak tijdens Infosec over de gevaren van web 2.0, de verzamelnaam voor de nieuwe, zeer interactieve webtoepassingen. Weblogs en wiki’s zijn de bekendste voorbeelden, maar Google biedt inmiddels ook al tekstverwerkers en spreadsheets aan die via internet werken. Steeds meer websites maken zogeheten mash-ups, samengesteld uit andermans webapplicaties. Een simpel voorbeeld is het combineren van een eigen database met de kaarten van Google Maps.

Al die nieuwe mogelijkheden brengen een explosie van complex netwerkverkeer met zich mee. Het ‘oude’ internetverkeer stuurde statische pagina’s, die door de browser werden afgebeeld. In web 2.0 wordt heel veel ‘actieve content’ rondgestuurd, ofwel stukjes software. De controle of die software deugt, wordt steeds moeilijker, zeker als gebruikers zelf hun pagina’s mogen samenstellen op sociale netwerksites als Hyves en MySpace. De beheerders van die sites moeten ontzettend opletten dat kwaadaardige gebruikers geen malware op hun pagina zetten en vervolgens medegebruikers uitnodigen voor een bezoekje. ‘Regel één voor ontwerpers van web 2.0 sites is: vertrouw nooit de input van je gebruikers’, aldus Allan.

Privacy

De technische mogelijkheden om tegen nieuwe bedreigingen op te treden, zijn nog lang niet uitgeput, maar veiligheidsbewustzijn begint niet bij het overzien daarvan, betoogde Richard Thomas, de Britse information commissioner, die zowel privacy als computerveiligheid in zijn portefeuille heeft. ‘Goede veiligheid begint met niet meer gevoelige data opslaan en bewaren dan strikt noodzakelijk is.’

Wat er niet is, kan ook niet ontvreemd worden. Uit het PWC-onderzoek blijkt echter dat met name grote bedrijven steeds meer hoogst vertrouwelijke informatie online hebben staan. Tien procent van het top management geeft echter toe geen idee te hebben welke risico’s zijn bedrijf loopt. Die discrepantie signaleert PWC op meer fronten. Beard: ‘Bedrijven geven aan computerveiligheid heel belangrijk te vinden, maar doen er in de praktijk weinig tegen.’

Het is dus goed denkbaar dat net als in het geval van virussen, de schade waardoor na een piek in 2006 nu terug is op het niveau van 2002, de wal het schip gaat keren bij de nieuw bedreigingen. Grote bedrijven zijn inmiddels begonnen met het afsluiten van chatprogramma’s als Instant Messaging en ander populaire websites – uit beveiligingsoogmerk, maar ook omdat de productiviteit van medewerkers eronder blijkt te lijden.

Dat is een effectieve manier om in elk geval een deel van de nieuwe malware buiten de deur te houden. Echter, over enige tijd zullen er ook bedrijfstoepassingen komen voor web 2.0, dat nu vooral in de vrijetijdssector zit, en zullen bedrijven er niet meer aan ontkomen de gevaren werkelijk het hoofd te bieden. Dan zal ook blijken hoe hard de nieuwe cybercrimegolf aankomt.

Veiling voor computerbugs

Tijdens de Infosec beurs legde Yuyal Ben-Itzhak, chief technology officer van beveiligingsbedrijf Finjan, uit hoe de organisatie van cybercriminaliteit in elkaar zit: ‘Het begint met een hacker, die een fout in een programma ontdekt. Die biedt hij aan op een speciale veilingssite. Een simpele bug in een doorsnee programma levert 300 dollar op, een forse bug in Windows vele malen meer. De koper van de fout bouwt de bug in in een crimeware toolkit. Dat is een stuk software dat automatisch probeert sites te kraken door allerlei bekende bugs te exploiteren.’

Dergelijke toolkits worden net als andere software getest. De prijs bedraagt vijftig tot honderdvijftig dollar, afhankelijk van de prestaties van het pakket. Een pakket garandeert bijvoorbeeld welke firewalls en virusscanners het kan omzeilen. Voor een paar tientjes koop je er een onderhoudscontract bij, zodat je altijd de nieuwste versie hebt. Kan dat zomaar open en bloot worden aangeboden? Ja, op servers in Rusland, waar de autoriteiten niks tegen cybercriminaliteit doen.

‘Die toolkits worden gekocht door organisaties die ermee gaan kraken’, zegt Ben-Itzhak. ‘De voornaamste doelen zijn bedrijfsgegevens, financiële gegevens, klantendata en personeelsdata. Om daarbij te komen, kraken ze eerst website met veel bezoekers, waar ze kwaadaardige code invoegen. Soms hoeven ze niet eens te kraken. Criminele doen zich ook voor als advertentieverkopers. Gebruikers denken dat ze een lucratieve advertentie op hun site zetten, maar in werkelijkheid is het een virus waarmee ze bezoekers besmetten.’

Als via websites individuele computers gekraakt zijn, wordt daarvandaan verder gespeurd naar informatie, die naar een centraal punt wordt teruggesluisd en dan te koop aangeboden. Bedrijfsgegevens, zoals een database met mailtjes, leveren ongeveer een dollar per megabyte op. Een werkend Mastercard-nummer doet vijftien euro. Voor Visa betaal je het dubbele – inclusief garantie dat het nummer een bepaald aantal dagen blijft werken.

Eerder verschenen in Technisch Weekblad nr 25, 2008.