Cybercrime: ontwikkelingen en trends

Cybercrime: ontwikkelingen en trends
 
Nederland heeft sinds dit jaar een meldpunt cybercrime voor het melden van criminaliteit op het internet. De dienst is nog erg beperkt: je geeft een URL op, met een verklaring waarom. Er kan nu alleen melding gedaan worden van kinderporno en terrorisme. Dit zijn twee maatschappelijk-relevante onderwerpen die leven bij de gemiddelde burger en waarvoor internationale samenwerking goed te regelen is. Maar het overgrote deel van de overige cybercrime heeft die kenmerken niet: het is niet herkenbaar voor de burger, tenminste, niet totdat hij er directe schade door lijdt, en internationale samenwerking stuit op allerlei conflicterende belangen.
 
Lex Borger
 
De cartoon van Peter Steiner ‘On the internet, nobody knows you’re a dog’ was in 1993 profetisch. Hij staat symbool voor de moeilijkheid om betrouwbaar een identiteit vast te stellen via het internet. Dat is nu juist waar het bij identiteitsfraude om gaat: criminelen die in jouw naam profiteren van een dienst, waarbij ze jou opzadelen met de kosten of reputatieschade. Identiteitsfraude loont, meer dan ooit. Maar de keerzijde beginnen we ook steeds meer te zien, want er worden steeds meer beperkingen gesteld bij transacties over het internet: het afleveradres moet kloppen met de creditcardgegevens en soms mag je niet eens bestellen als je in het buitenland woont.
Identiteitsfraude kan ook de andere kant op werken: de criminelen weten jou te overtuigen dat zij iemand zijn waar jij geld naartoe wilt sturen of zaken voor wilt regelen. Wie kent niet de verzoeken om een vriend geld te sturen, want hij is op vakantie gestrand en moet snel geld hebben, of het aanbod om medicijnen zonder recept te kopen, een huis te huren van een diplomaat of transactiekosten voor te schieten om een erfenis te ontvangen van een Nigeriaanse prins. Een crisistijd is uitermate geschikt om mensen te ronselen om namens een vaag bedrijf geld over te maken naar het buitenland. Niet via het internet, maar lekker betrouwbaar met Western Union. Lang niet altijd is de grens tussen gewone criminaliteit en cybercriminaliteit helder. Echter, als er misbruik gemaakt wordt van een computer, is iedereen het snel eens: dát is cybercrime.
Dat misbruik gaat gepaard met hacking of een besmetting door malware – de verzamelnaam voor programma’s die op computers heimelijk activiteiten uitvoeren achter de rug van de gebruiker om: virussen, wormen of Trojaanse paarden.
Hackers kunnen een netwerk aanleggen van besmette computers waar zij vanaf het internet toegang toe kunnen krijgen, een zogenaamd botnet. Daarmee kunnen ze activiteiten uitvoeren die meer computercapaciteit vergen, zoals het versturen van spam-mails of het uitvoeren van een Denial-of-Service (DoS)-aanval, waarbij een website tijdelijk onbereikbaar wordt omdat die te druk bezig is met de afhandeling van onzinnige, misleidende of misvormde verzoeken van het botnet.
De eenvoudigste vorm van hacken is het uitvoeren van hackingscripts om kwetsbare systemen op het internet te vinden en deze bijvoorbeeld te infecteren met malware, op te nemen in een botnet of te gebruiken om spam te versturen. Je ziet dan ook tijdens de schoolvakanties de hoeveelheid ontvangen spam omhooggaan.
Maar echte hackers houden zich hier niet mee bezig. Zij gebruiken steeds vaker geavanceerde technieken om diep door te dringen bij de waardevolle doelen. De makkelijk uitvoerbare aanvallen hebben nadelen: ze zijn ook eenvoudig te detecteren en hun functionaliteit is beperkt. Een nieuwe klasse aanvallen wordt aangeduid met de term ‘advanced persistent threat’ (APT).
Het geavanceerde aspect komt tot uiting in het feit dat de malware zich richt op een specifiek doel, zich functioneel kan aanpassen en complexe technieken gebruikt om niet gedetecteerd te worden. De aanval is ‘persistent’ in de zin dat de malware ontworpen is om voor lange tijd wekend te blijven. Hij blijft onopvallend maar regelmatig contact zoeken met een moederschip om verslag uit te brengen en nieuwe instructies op te halen.
Op deze manier kan de besmetting over lange tijd onopgemerkt blijven en kan de hacker op basis van terugrapportage zijn strategie aanpassen en nieuwe instructies geven.
 
Ontwikkelingen in de markt
Het is natuurlijk wel zo dat cybermisdaad niet zomaar uit de lucht komt vallen. Wij hebben het criminelen de afgelopen jaren gemakkelijker gemaakt om ons aan te vallen door veel meer op en via het internet te doen. In een heel korte tijd heeft de hele wereld een aantal veranderingen doorgemaakt, zelfs nog na het realiseren van het internet als een universeel, alles verbindend netwerk:
1. Mobiel dataverkeer, overal en altijd. In ruim een decennium is mobiel internet van een schaarse luxe uitgegroeid tot een algemene noodzakelijkheid. Daar waar de BlackBerry begon als verlengstuk van het zakelijk netwerk, kunnen velen, vijf jaar na de introductie van de iPhone, zich het leven zonder smartphone nauwelijks meer voorstellen. En de toegang is niet beperkt tot zakelijke interacties, het is vooral de persoonlijke belevingswereld van Facebook, Twitter en WhatsApp die de massa’s mobiel bezighoudt.
2. Clouddiensten zijn hier een onlosmakelijk onderdeel van. In plaats van data zelf te bewerken en op te slaan doen we dat in grote, geaggregeerde databases die we via het internet benaderen. Denk aan Amazon, Dropbox, Marktplaats en PayPal, om er maar een paar te noemen. We denken dat onze data veilig zijn opgeslagen, zonder echt te weten wat de regels zijn, waar de data dan opgeslagen worden of waarom een gratis dienst ons dat allemaal aanbiedt.
Dus doen we financiële transacties over het internet. We kopen van partijen aan de andere kant van de wereld die we niet anders kennen dan via het internet. We zijn gewend in te loggen met een gebruikersnaam en wachtwoord en kiezen nog vaak ook hetzelfde wachtwoord bij vele partijen, want dat is zo makkelijk.
3. We hebben een blind vertrouwen in het internet gekregen. Zodra we een slotje waarnemen in het browserscherm, ‘weten’ we dat het veilig moet zijn. En het is zo dat onder perfecte omstandigheden een SSL-verbinding inderdaad een veilige verbinding is. Er zijn echter zoveel kwetsbaarheden in de keten die nodig is om dat allemaal veilig te maken, dat we dat gewoonweg niet meer allemaal kunnen controleren.
Vorig jaar hebben we kunnen zien hoe meerdere certificate authorities (CA’s) met het schaamrood op de kaken moesten erkennen dat ze gehackt waren. Een prachtig Nederlands voorbeeld werd voor de wereld tentoongesteld: Diginotar was in een paar weken van een bloeiend bedrijf veranderd in een waardeloze, failliete boedel omdat het bedrijf zelf zijn eigen normen niet nakwam en het toezicht daarop ook gefaald had.
Maar pas op voordat je de zwarte piet richting de CA’s schuift. Het probleem is veel breder. Onderzoeker Moxie Marlinspike beschreef dit een jaar geleden al op zijn blog (Marlinspike, 2011), maar veel verandering heeft dit nog niet gebracht. De certificate authorities zijn niet de enige schakel in de vertrouwensketen, en elke schakel is in principe kwetsbaar.
 
Cybercrime trends
Cybercrime neemt inmiddels zulke vormen aan dat we niet meer hoeven te praten over de mogelijkheden van de manifestatie van cybercrime, maar kunnen overgaan tot trendanalyse van de misdaden die gepleegd worden. Hier volgen een aantal cybercrimetrends die waar te nemen zijn. Daar waar hackers jarenlang een erecode hadden en vooral hun activiteiten uitvoerden om op te vallen en roem te vergaren in hun kringen, voert nu vooral een misdadig motief de ondertoon.
Informatie die verkregen wordt door hacking wordt verhandeld, aanvallen op websites kunnen gekocht worden. Er is een marktwerking ontstaan aan de donkere kant van het internet, waarbij activiteiten worden uitgevoerd op basis van een gedegen businesscase.
We vermoedden het al met Stuxnet en Duqu, maar inmiddels is het officieel bevestigd met Flame: overheden zijn in de cybercrime gestapt. Juridisch gezien is het misschien niet echt crime, maar er wordt wel geïnvesteerd in het maken en inzetten van malware voor strategische doeleinden. Het is gewoon een nieuw werkveld voor de aloude spionageactiviteiten. En denk niet dat alleen de Verenigde Staten en wellicht Israël hieraan werken. Verschillende securitygoeroes waarschuwen ons al jaren voor malware uit China, die waarschijnlijk ook een overheidsorigine heeft. Echt weten doen we dit natuurlijk pas als het op schandalige wijze en onmiskenbaar aan het licht komt.
Antivirusscanners werken met informatie die ze vertelt waar ze naar moeten zoeken. Ze detecteren een besmetting door te zoeken naar de unieke kenmerken van de besmetting in het geheugen of op de harde schijf. Als nieuwe malwarebesmettingen de ronde doen en de scandata zijn niet aangepast, zal de scanner de besmetting niet vinden. In de begindagen van de scanners werden de malwaredata niet vaak ververst, eens per maand was al veel. Tegenwoordig is dagelijks toch wel het minimum en wordt er vaak verschillende keren per dag gezocht naar een update. En dat is ook nodig: de malware komt steeds sneller in circulatie na het vinden van een kwetsbaarheid in een besturingssysteem of in een applicatie. De keten van het ontdekken van de malware, het identificeren van een unieke signatuur en het verspreiden van nieuwe scandata kan bijna niet meer verkort worden. Cybercriminelen hebben duidelijk een window of opportunity. Het is echter nog een graadje erger voor de scanners: ze werken totaal niet tegen de gerichte aanvallen op kleine schaal (Hypponen, 2012).
Het vinden van malware in de laboratoria van de producenten van antivirusscanners is een proces dat vooral berust op het veel voorkomen van de malware. Een gerichte aanval op kleine schaal, zoals ook Stuxnet had moeten zijn, wordt op zijn best pas na lange tijd gevonden. Flame bewijst het. Twee jaar na de zomer van Stuxnet wordt Flame pas gevonden. Eenmaal gevonden blijkt dat het een voorloper van Stuxnet is en het dus jaren onder de radar van de ontdekking heeft kunnen doorvliegen.
Een goede ontwikkeling is dat bedrijven en overheden die te maken hebben gehad met een flinke uitbraak van een malwarebesmetting, nu veel sneller goed onderzoek laten doen naar wat er gebeurd is, waardoor er veel betere en structurele maatregelen genomen kunnen worden. Er zit een wereld van verschil tussen een snelle conclusie dat een beheerder verzuimd heeft een beveiligingsinstelling juist in te richten of de gefundeerde conclusie dat het ontbreekt aan beleid en architectuur die voorziet in een goed overzicht van alle beveiligingsinstellingen, waardoor een beheerder deze fout niet meer kan maken, of het in ieder geval snel opgemerkt wordt als hij deze fout maakt. Een bijkomstige ontwikkeling is dat hierdoor ook het marktaanbod van de dienstverlening op het gebied van forensisch onderzoek en penetratietesten kwalitatief stijgt.
Cybercrime is succesvol met het doorbreken van cryptografiebarrières. Flame kon zich voordoen als een legitieme software-update van Microsoft. Niet omdat het ook als zodanig door Microsoft was gemerkt, maar omdat een ander stuk software cryptografisch voor dubbelganger kon doorgaan omdat Microsoft hierbij het verouderde MD5 nog toestond (CWI, 2012). (Inmiddels doen ze dat niet meer.) Maar bedenk voordat je Microsoft nalatigheid verwijt: vrijwel iedere SSL-verbinding wereldwijd gebruikt het ruim tien jaar oude TLS 1.0-protocol, dat een grote kwetsbaarheid bevat. Inmiddels zijn we op papier al bij TLS 1.2 aangekomen, maar niemand implementeert het omdat het niet gebruikt wordt – en het wordt niet gebruikt omdat niemand het implementeert. Catch 22. De cybermisdadigers weten dit en maken hier dus dankbaar gebruik van. Malware duikt op waar de gebruikers zitten. Sinds jaar en dag heeft Microsoft een riante marktpositie wat betreft besturingssystemen en kantoorautomatisering; dat maakt dat traditioneel de malware ook deze platformen in het vizier heeft. Hier is echter een verschuiving aan het optreden. Daar zijn twee redenen voor aan te wijzen: Microsoft heeft het met zijn Trustworthy Computing-initiatief moeilijker gemaakt voor malwareproducenten om Windows en Office aan te vallen. Daarnaast zijn in de marktpositie van Microsoft verschuivingen aan het optreden door de opkomst van een nieuwe klasse gebruikersapparaten: de smartphones en tablets. Apple en Android hebben hier de markt onderling verdeeld. Hierdoor zie je malware nu opduiken in breed gebruikte applicaties die niet onder een streng securityregime ontwikkeld worden (zoals Adobe Reader en Flash Player), en op nieuwe platformen, zoals de Apple Macs. Vooralsnog moet de malwaregolf nog doorbreken op mobiele apparatuur, maar dat is een kwestie van tijd.
 
Wat kunnen we doen?
Als je dit allemaal op een rijtje zet, zou je kunnen concluderen dat de anarchie het heeft overgenomen op het internet. Zo erg is het echter nog lang niet. Maar het is wel belangrijk dat partijen op verschillende lagen hun rol goed invullen, zodat we een betere grip krijgen op cybercrime.
Overheden richten eigen organisaties in om landelijk de problematiek van cybercrime op te pakken. Dit is nodig, maar niet voldoende. Er is goede internationale afstemming en regie nodig om de grensoverstijgende aspecten aan te pakken. Binnen Europa wordt een cybercrimecenter opgericht, in Den Haag. Het is natuurlijk leuk dat Nederland hier als gastland mag optreden, maar laat het vooral een Europees karakter krijgen en zich richten op het scheppen van voorwaarden en controleren van regels, en laat de invulling van maatregelen over aan marktwerking. Voorwaardenscheppend kan bijvoorbeeld zijn om een brede infrastructuur voor identificatie en authenticatie te bevorderen die voor burgers en bedrijfsleven (her)bruikbaar is. Er zijn op dit vlak nog tegenstrijdige belangen en daardoor blijven er voor ondernemers te grote risico’s over. Overheidsorganisaties die cybercrime moeten aanpakken, kunnen zich effectief richten op een gezamenlijke aanpak van de cybercrime die de samenleving zou kunnen ontwrichten, zoals levering van nutsvoorzieningen, het betalingsverkeer, de identiteitsfraude en andere privacygerelateerde zaken. De aanpak is nu nog te veel versnipperd.
Het bedrijfsleven moet zich vooral richten op het vooraf specificeren of inbouwen van voldoende beveiliging, in plaats van die reactief en achteraf toe te voegen. Helaas is het nog steeds vaak de kortetermijnvisie die de overhand krijgt, met als gevolg dat beveiliging niet voldoende aandacht krijgt bij de inrichting. De filosofie lijkt wel te zijn dat er altijd tijd (en geld) te vinden is om iets over te doen in plaats van iets meteen goed te doen. Financiële instellingen en multinationals hebben hier al veel werk gedaan, maar nog steeds niet genoeg. Bij de minder grote bedrijven worden vaak nu pas de eerste structurele stappen gezet.
De burger c.q. medewerker kan ook zijn steentje bijdragen. Basiszaken zoals niet zomaar klikken op links in e-mails of niets geloven wat te goed klinkt om waar te zijn, zijn hopelijk al tussen de oren gepropt. Een punt waarop nog veel voortgang te boeken valt is dat je goed afweegt welke informatie je online beschikbaar maakt, welke diensten je gebruikt en wat je daar opslaat, welke wachtwoorden je wel of niet hergebruikt en waarvoor en hoe je die administreert.
 
Literatuur
CWI (2012). CWI cryptanalyst discovers new cryptographic attack variant in Flame spy malware, http://www.cwi.nl/ news/2012/cwi-cryptanalist-discovers-new-cryptographicattack-variant-in-flame-spy-malware.
Hypponen, M. (2012). Why Antivirus Companies Like Mine Failed to Catch Flame and Stuxnet, http://www.wired.com/ threatlevel/2012/06/internet-security-fail.
Marlinspike, M. (2011). SSL And The Future of Autenticity, http://blog.thoughtcrime.org/ssl-and-the-future-of-authenticity.
Ir. Lex Borger CISSP CISA is principal consultant bij en medeoprichter van Domus Technica. E-mail: lex.borger@ domustechnica.com.

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag