Malware en botnets keren na gevoelige klappen in 2008 in genieperige vormen terug in 2009. Mobiele werkers maken het nóg moeilijker om gevoelige data binnen het bedrijf te houden. Verliezen ict-beveiligers de strijd?
De ict-beveiligingswereld holt nog altijd achter virussen, wormen en spyware aan. Dat is één van de conclusies die is getrokken op het SC Enterprise Data Security-congres, dat in december is gehouden in New York. "In 2000 deden hackers het om websites plat te leggen en daarmee in het nieuws te komen", zegt Bob West, directeur van ict-beveiligingsbureau Echelon One. "Nu is het een goed georganiseerde groep mensen die het doet om data te stelen en geld te verdienen. Het gebeurt nu achter de schermen. De slachtoffers en beveiligers hebben het vaak niet eens in de gaten."
De scriptkiddies van de jaren negentig rijden nu in BMW's door St. Petersburg. Dagblad de Chicago Tribune citeert een redacteur van de Russische glossy Hacker. Met salarissen van vijfduizend tot zevenduizend dollar per maand recruteert de cybermaffia de beste computerwetenschappers van de technische universiteiten in Moskou. De doorsnee Rus verdient 640 dollar per maand. Terwijl Amerikaanse ontwikkelaars hun tijd verspillen aan Facebook-applicaties vangen hun Russische collega's tot vijftienduizend dollar voor een stuk malware.
Internationaal probleem
Een rapport van het Amerikaans Congres aan de nieuwe president van de Verenigde Staten noemt cyberbeveiliging een primair nationaal veiligheidsprobleem. Het Congres pleit dan ook voor vergaande regulering om de kritieke infrastructuur te beschermen. "Ik denk dat iedereen het daar mee eens is", reageert voormalige FBI-directeur (1993-2001) Louis Freeh in zijn toespraak op het congres. "In ieder geval hier in deze zaal." De meeste Amerikanen zouden het probleem namelijk niet begrijpen. Freeh vergelijkt de situatie met die vóór 9-11, toen de terroristische aanslagen in New York plaatsvonden. Maar het is natuurlijk niet alleen een Amerikaans probleem; het is internationaal
Moet het Nederlandse bedrijfsleven zich ook zorgen maken? Ict-beveiliger Bob West weet van tenminste één grote financiële dienstverlener waar een infiltratie van het Russian Business Network (RBN) en Chinese hackers is vastgesteld. "Financiële instellingen geven meer geld uit aan de bescherming van hun informatie dan de meeste organisaties", zegt West. "Als een grote financiële dienstverlener niet merkt wat er gaande is, dan zullen de meeste bedrijven dat zeker niet merken."
Storm-botnet
RBN was een schimmig hostingbedrijf in St. Petersburg dat volgens beveiligingsspecialisten achter het beruchte Storm-botnet zat. Dat beweren met name de Russische ‘white hat'-hackers bij beveiligingsleverancier Kaspersky. Het hostingbedrijf gebruikte in 2007 spam e-mails om een netwerk van honderdduizenden gekaapte zombiecomputers te creëren. Dat botnet is ingezet voor phishing aanvallen tegen financiële instellingen waaronder Barclays en Halifax Bank. Daarnaast heeft Storm dienst gedaan voor de cyberoorlog tegen Estonië en Georgië.
Microsoft claimde vorig jaar april het Storm-botnet te hebben neergehaald. De antimalware Malicious Software Removal Tool (MSRT), die maandelijks meekomt met Windows Update, zou de Storm-worm in vier maanden van een half miljoen computers hebben verwijderd. Beveiligingsspecialisten zeggen echter dat RBN is gemuteerd naar meer diverse varianten en dat het bovendien een decentrale opzet heeft.
Een nieuwere generatie botnets is van begin af aan al volledig peer-to-peer. Beheermogelijkheden voor de malwaremakers (command-and-control) is ingebouwd in de kwaadaardige software zelf. Volgens SecureWorks zijn de grootste botnets nu Bobax/Kraken en Srizbi. Storm is alweer weggezakt naar de vijfde plaats.
Oorsprong verbergen
De overgang naar een decentrale model maakt het niet alleen moeilijker botnets uit te schakelen. Het bemoeilijkt ook de verdediging, of afwering. Het simpelweg blokkeren van IP-adressen helpt niet (meer) tegen botnets. Georgië blokkeerde de communicatie met Russische IP-adressen in de oorlog, maar werd aangevallen vanaf IP-adressen in Turkije en de Verenigde Staten. Botnets verbergen namelijk hun oorsprong met de DNS-techniek fast flux.
Daarnaast is er nog de snelle en voortdurende mutatie van de malware. Traditionele antivirussoftware die op bekende patronen detecteert, herkent de malware van de nieuwe botnets niet. Onderzoekers bij universiteiten en ict-bedrijven moeten de nieuwkomers per geval ontleden om de gebruikte tactieken te analyseren.
Hack-back
Een nieuwe tegenaanpak is de ontwikkeling van hack-back programma's, dat zijn wormen die ‘terugkruipen' naar de hackers om de ware oorsprong te achterhalen. Juridisch gezien kunnen hier wat haken en ogen aan zitten. Bob West noemt producten van Digital Stakeout, NetWitness en MI5 Networks die botnets kunnen identificeren en blokkeren. FireEye versloeg vorig jaar bijna het Srizbi-botnet.
De meeste van deze oplossingen zijn netwerkapparaten die IP-verkeer analyseren. Digital Stakeout koppelt dat met data van Spamhaus en PhishTank. Netwerkspecialisten als Cisco hebben vergelijkbare oplossingen. "In het algemeen zijn deze technieken niet geïmplementeerd en dus zijn veel organisaties kwetsbaar", zegt West.
Webapplicaties en e-mail
Slordig geschreven webapplicaties kunnen malware verder op weg helpen of kunnen zelfs rechtstreeks leiden tot diefstal van klantendata. Het Common Weakness Enumeration (CWE) project, een Amerikaans overheidsinitiatief, heeft nu net een lijst opgesteld van de vijfentwintig gevaarlijkste programmeerfouten. SQL-injecties en cross-site scripting (XSS) aanvallen zijn grotendeels te voorkomen door metakarakters te filteren uit de input en output van programmatuur. Analyse- of hacksoftware zoals Core Impact of open source-variant Metasploit kunnen helpen kwetsbaarheden in applicaties op te sporen.
Gevoelige data verlaat het bedrijf echter ook gewoon via e-mail of gestolen laptops. In 2008 was er veel aandacht voor data leakage prevention (DLP). Symantec had eind 2007 al DLP-startup Vontu overgenomen. McAfee volgde afgelopen najaar met de overname van Reconnex. CA neemt nu in januari Orchestria over. Bob West noemt als gebruikersscenario ontwikkelingen in India, China of Rusland waar systemen met klantendata terechtkomen door outsourcing. "Je kunt regels opstellen wie bij welke data kan komen. DLP-producten kunnen data blokkeren als het buiten de opgestelde policy gaat."
Doorverkopen
Bescherming van data is in het beroerde economische klimaat hoger op de prioriteitenlijst gekomen. West weet van technologiebedrijven waar voormalige werknemers een paar straten verderop voor zichzelf begonnen, contact met hun voormalige bedrijf hielden en uiteindelijk het intellectuele eigendom daarvan verkochten aan buitenlandse overheden. "Dat loopt enorm uit de klauw", volgens West. "Het is nu een zeer agressieve omgeving." Het is niet alleen de – al dan niet ontslagen – enkeling, maar ook grote gerenommeerde partijen. Zo heeft de World Bank in december de Indiase ict-dienstverlener Satyam op de zwarte lijst gezet wegens datadiefstal.
De ict-leveranciers zien hier dus een markt braak liggen. Netwerkleverancier Alcatel-Lucent heeft op het congres in New York een oplossing gepresenteerd om data op laptops van mobiele werkers centraal onder controle te houden. De OmniAccess 3500 Nonstop Laptop Guardian is een PC Card (PCMCIA) met GPS (global positioning system) en een eigen mobiele verbinding naar het datacentrum. De insteekkaart dient als sleutel voor de laptop en geeft de ict-beheerder de mogelijkheid vanuit bijvoorbeeld Active Directory de laptop uit te schakelen. Ook encryptie van data is vanuit de kaart aan te sturen.
Hygiëne
De ingebouwde batterij maakt de oplossing echter relatief lomp. Alcatel-Lucent werkt aan een lichtere USB-versie. Bob West weet dat een aantal startups in stilte werken aan vergelijkbare producten voor smartphones. Die oplossingen moeten in de eerste helft van dit jaar op de markt komen. Tot het zover is raad West aan ‘goede beveiligingshygiëne toe te passen'. Dat betreft niet alleen technische middelen. Ict-beheer moet werknemers ook overhalen wachtwoorden op hun smartphones te gebruiken. De Blackberry-smartphone heeft al meer opties om centraal beleid op te leggen.
Toch blijft ict-beveiliging een kat en muis spel. "Om als organisatie succesvol te zijn moet je streven naar een goede balans van technologie, processen en mensen die begrijpen wat ze moeten doen", zegt West. "Maar er zijn beslist wat twijfels momenteel in grote organisaties. Het is moeilijk om de bedreigingen bij te houden."
Toen het mainframe nog heer en meester was, kon je nog uit de voeten met fysieke beveiligingsmaatregelen (sloten, alarmen etc.). Met de komst van de PC, kwamen ook nieuwe beveiligingsuitdagingen. Het internet heeft daar een weer nieuwe dimensie aan toegevoegd. Elke nieuwe technologische ontwikkeling biedt kansen en bedreigingen. De vraag is of we door het alsmaar complexer worden van technologie, we nog wel in staat zijn tijdig de bedreigingen te kunnen inzien? Zeker omdat maar weinig mensen echt weten hoe het werkt en de daarmee verbonden risico’s. Kweken van bewustzijn blijft daarom absoluut noodzakelijk.