Cybercrime-aanvallen zijn niet langer alleen het werk van tieners die met een gedownloade toolkit een virusje aanmaken of bij de NASA proberen binnen te dringen. Steeds vaker blijken er criminele organisaties schuil te gaan achter phishing en dos-aanvallen. Zelfs moord is mogelijk in het digitale domein.
“De populaire media schotelen ons graag het romantische beeld voor dat hacking, virussen en dos-aanvallen het werk zijn van intelligente maar eenzame, sociaal gehandicapte tieners”, zegt het Britse parlementslid Tom Harris. “Dat is een verouderd, verkeerd en daarom gevaarlijke beeld. De mensen die zich hiermee bezighouden, lijken eerder lid van een criminele organisatie dan van een computerclub. De manier waarop we deze mensen straffen staat dan ook in geen enkele verhouding tot de schade die ze bij bedrijven en burgers kunnen aanrichten.”
Rafi Pilosoph, directeur eSafe Security Services van het Israëlische Aladdin, vindt dat de straffen inderdaad hoger moeten zijn om een afschrikwekkende werking te hebben. Verder gelooft hij stellig dat computercriminaliteit inmiddels een serieuze misdaadvorm is geworden. “Het gaat niet meer alleen om kwajongensstreken, want cybercrime wordt nu al door criminelen gebruikt om bedrijven af te persen en onder druk te zetten. Verder hebben we in Israël recentelijk gezien dat speciaal ontwikkelde spionagesoftware via een Trojaans paard werd ingezet om bedrijfskritische data van een handvol bedrijven te stelen.”
Saillant detail in deze zaak is dat het hier gerenommeerde Israëlische recherchebureaus betrof. Zij maakten gebruik van ’targeted spyware’ om zogenaamd publiek verkrijgbare gegevens aan de concurrentie door te spelen. De zaak kwam bij toeval aan het licht omdat de ex-zwager van malwareontwikkelaar Michael Ha’efrati ontdekte dat delen van zijn nog niet uitgegeven boek op internet waren te vinden. Toen de politie zijn computer doorzocht, bleek die geïnfecteerd te zijn met via een Trojaans paard geïnstalleerde spionagesoftware die informatie naar een ftp-server doorzond. De verdenking viel al snel op de voormalige echtgenoot van zijn zuster. Verder onderzoek toonde aan dat hetzelfde Trojaanse paard ook was gebruikt om bedrijfskritische informatie te verzamelen bij verschillende bedrijven. Deze werd door de recherchebureaus als legitiem verkregen informatie doorverkocht aan onder andere een bekende telecommunicatiedienstverlener en de importeur van Honda en Volvo in Israël. De ceo’s van deze ondernemingen worden mogelijk aangeklaagd voor bedrijfsspionage omdat zij hadden kunnen weten dat de doorgespeelde informatie niet uit publieke bronnen kon komen.
Verplaatsen
“Het onderzoek is nog steeds in volle gang”, zegt Pilosoph, die door de Israëlische regering is gevraagd om bij de zaak te assisteren. “Ha’efrati werkte vanuit Londen, dus het is goed mogelijk dat ook bedrijven buiten Israël de dupe zijn geworden. Hier hebben we geluk gehad dat we de daders op heterdaad konden betrappen en de hele keten konden volgen. Dat is uniek; meestal komen dit soort dingen niet aan het licht. Bedrijven die de dupe van computercriminaliteit zijn, hangen dat nu eenmaal niet graag aan de grote klok. Dit incident geeft wel aan dat er inderdaad meer aan de hand is dan alleen een groepje hackers dat op zoek is naar technologische uitdagingen.”
Pilosoph denkt dat langzamerhand vooral middelgrote bedrijven zich zorgen moeten maken. “De grote beursgenoteerde ondernemingen zijn inmiddels verplicht om een min of meer solide beveiliging aan te leggen. Zij hebben daarvoor ook voldoende kennis in huis. Net als in de analoge wereld betekent het dat de criminelen hun werkgebied verplaatsen naar kleinere bedrijven die minder goed zijn beveiligd. Daar verkregen informatie is vermoedelijk ook gemakkelijker verhandelbaar door criminelen. Bedrijfskritische informatie van een nichespeler zijn nu eenmaal interessanter voor de concurrentie.” Hij geeft toe dat de kans op ontdekking van Trojaanse paarden klein is. “Mits goed geschreven zijn ze moeilijk te ontdekken. Ook de producten van Aladdin hadden deze specifieke bedreiging destijds niet ontdekt. Het blijft een kat-en-muis spel.”
Probleem aan de horizon
Ing. Bert Snel, hoogleraar aan de TIAS Business School en verantwoordelijk voor het programma Master of Security in Information Technology (MSIT) aan de Universiteit van Tilburg stelt dat het bewustwordingsproces bij Nederlandse bedrijven erg langzaam gaat. “Het is een probleem waar iedere onderneming mee te maken krijgt maar dat nog niet echt leeft in de samenleving. Het bedrijfsleven heeft, naar het zich laat aanzien, zeker zo’n drieduizend academisch geschoolde it-beveiligers nodig. Bij ons studeren er nog steeds maar achttien mensen per jaar af die zich in it-beveiliging hebben gespecialiseerd. Deze scheve verhouding toont aan dat er een groot probleem aan de horizon opdoemt. Criminelen gaan zich überhaupt meer automatiseren. Het heeft namelijk geen zin om uit een echte kasse een euro te stelen en dat honderdduizend keer te doen. Digitaal is dit echter juist wél de methode om onopgemerkt te blijven. Daarnaast valt te verwachten dat het niet alleen maar om financiële vergrijpen zal gaan.”
Levensbedreiging
“Zelfs moord is een optie”, zegt Pilosoph van Aladdin. “Denk maar eens aan een hackende crimineel die de bloedgroep van z’n vijand in het elektronisch patiëntendossier verandert. Bij een bloedtransfusie met het verkeerde bloed kan dit leiden tot de dood en is er dus sprake van moord. Dat zijn de risico’s waar we in de toekomst rekening mee moeten gaan houden. Nu kunnen we met beveiligingsproducten zo’n 70 procent van de Trojaanse paarden tegenhouden. Dat percentage zal in de toekomst zeker stijgen maar het ontdekken en elimineren van speciaal ontwikkelde, op één persoon of bedrijf gerichte malware zal altijd lastig blijven. Het kunnen bieden van volledige bescherming is niet realistisch. Inbraken in huizen blijven ook bestaan, maar met een paar goede sloten zal een inbreker liever voor de buren kiezen.”
Trojaanse paarden aanpakken
Trojaanse paarden gaan zich steeds meer gedragen als hun naamgevers uit de Griekse oudheid. In deze mythe kregen de Grieken een gigantisch houten paard als vredesoffer van hun Trojaanse vijanden. Nadat zij het rollende gevaarte hun poorten hadden binnengereden, sprongen Trojaanse soldaten uit de buik van het cadeau en openden de poorten voor de rest van de strijdkrachten.
De hedendaagse Trojaanse paarden komen op een vergelijkbare manier het systeem binnen. De meest bekende manier is via attachments maar ook gedownloade muziekbestanden en JPEG-plaatjes worden gebruikt als infiltratiemiddel. Nu steeds meer werknemers en systeembeheerders zich bewust zijn van de gevaren van mail, P2P en het bezoeken van verdachte websites, zoeken kwaadwillenden naar andere manieren om het systeem te penetreren. In het specifieke geval van targeted spyware zetten criminelen de cd-rom weer in als medium. Zij denken na over manieren om bepaalde groepen gebruikers toch aan te zetten om een kleine applicatie te installeren of een document te openen. De it-er krijgt in dit geval een cd-rom met handige beheertools, de expeditie wordt geprikkeld met een cd van een bekend biermerk en de accountmanagers krijgen digitale documenten toegestuurd waarin ze wordt gevraagd een lucratieve offerte te maken. Iedere doelgroep krijgt zo een op maat gemaakt Trojaans paard voor de poorten. Deze werkwijze wordt ‘social engineering’ genoemd.
Het gros van de systeembeheerders krijgt echter te maken met op het grote publiek gerichte malware. Deze zijn redelijk goed tegen te houden met goede virus- en anti-spywarescanners. Nadeel is wel dat ze eerst door de leveranciers geïdentificeerd moeten zijn. Hier een paar tips:
Analyse
Om een Trojaans paard op het spoor te komen, moet men letten op:
Isoleren
Wanneer een systeem verdacht is van besmetting, deze direct uit het netwerk verwijderen zodat verdere verspreiding wordt voorkomen. Kijk of de netwerkactiviteit is afgenomen en of er meer systemen geïsoleerd moeten worden.
Identificeren
Probeer het gedrag van het Trojaanse paard te identificeren door op internationale security-websites te kijken. Kijk ook op de site van de leverancier van het anti-virusprogramma of er een update is. U bent zelden de eerste die is besmet.
Evaluatie
Het log van de firewall dient bestudeerd te worden om onverwacht verkeer op bepaalde poorten op te sporen. Analyse van het log geeft details over de manier waarop de malware zich verspreidt en hoe het gegevens doorstuurt. Op deze manier kan ingeschat worden welke schade het Trojaanse paard heeft aangericht.
Verwijderen
Begin met het inzetten van – met de nieuwste definities voorziene – anti-virus en anti-spywaretools. Verder geven internetpublicaties vaak goede informatie over hoe de malware verwijderd kan worden. Virusalert.nl is een betrouwbare bron voor Nederlandstalige informatie.
Onderzoek
Om hernieuwde besmetting te voorkomen, dient het incident onderzocht te worden. Stel vragen als: hoe is het Trojaanse paard op het systeem gekomen en hoe had dit voorkomen kunnen worden. Overweeg of op alle werkplekken wel een cd-rom drive noodzakelijk is. Bekijk gelijk of de procedures misschien verouderd zijn en waarschuw alle gebruikers. Rapporteer de bevindingen aan het management.
