In 2014 zijn op gebied van digitale infrastructuur al zeven kritische kwetsbaarheden gevonden. De alom geaccepteerde en geïmplementeerde technologie OpenSSL kende dit jaar al diverse kritische kwetsbaarheden. Gevolg is dat bijvoorbeeld versleuteld dataverkeer van betaalmethode Ideal en/of authenticatie service DigiD over het internet te onderscheppen was. Het internet lijkt wel stuk en hebben hackers nu vrij spel gehad?
Vier maal per jaar organiseert Trust in People het Security Café. De editie van 25 november 2014, werd bij Schuberg Philis op Schiphol-Rijk georganiseerd. Het expertpanel werd gevormd door Oscar Koeroo, werkzaam bij de KPN CISO in het Strategy & Policy-team en voorheen werkzaam bij het KPN REDteam; Frank Breedijk, security officer bij Schuberg Philis; en Adrianus Warmenhoven, security evangelist bij RedSocks en professor in hacking bij Oplerno. Een impressie van de discussie.
Kwetsbaarheden in Jip en Janneke-taal
Oscar Koeroo legt uit dat je bij de kwetsbaarheid Heartbleed de mogelijkheid bestaat om het geheugen van een server op te vragen waar data onversleuteld langs stroomt. Zie het als de regen die je ziet als je door een raam naar buiten kijkt. In dit geheugen komen dus ook wachtwoorden en ‘private keys’ van certificaten voorbij. Credentials zijn goud voor een hacker om ongemerkt een legale weg naar binnen te vinden. ‘Private keys’ van certificaten zijn ideaal voor man-in-the-middle attacks omdat zij zich identificeren met dit certificaat. Deze kwetsbaarheid bestaat sinds 2011. ‘Apple’s SSL goto fail’ en ‘SSL triple handshake’ laten ook kwetsbaarheden zien in het beveiligingsprotocol. Waar we dachten veilig te werken over het internet, bleek dat geheel niet het geval. Versleuteling over het internet is jarenlang onveilig geweest!
De Shellshock kwetsbaarheid heeft betrekking op Bash, een open source programma dat commando’s kan geven aan verschillende Unix-systemen. Doordat Bash niet controleert op nieuwe legale instanties/programma’s, kunnen hackers een eigen applicatie starten en allerlei gegevens uitvragen. IBM/Unix-systemen bevatten vaak grote hoeveelheden kritische ‘real-time’ data. Naar schatting zijn minstens 50 procent van de webservers op het internet Unix systemen, een enorme slag voor de veiligheid van internet en de data die daar is opgeslagen. Analyse van de broncode toont aan dat deze kwetsbaarheid al sinds 1989 is; het is onduidelijk of, en zo ja hoe vaak, er gebruik is gemaakt van deze exploit voordat hij ontdekt werd.
De Poodle-kwetsbaarheid (Padding Oracle On Downgraded Legacy Encryption) is erop gericht een lagere beveiliging met de server te onderhandelen (bijvoorbeld ssl met kwetsbaarheden in plaats van tls). Servers onderhandelen het encryptieprotocol met de Client ten behoeve van comptabiliteit voor gebruikers met beperkte beveiliging. Als alleen het hoogste niveau wordt toegestaan door de server, dan kunnen gebruikers geen gebruik maken van de functionaliteit, totdat ze hun software hebben bijgewerkt. Daarom wordt vaak een lagere beveiliging wel toegelaten.
Microsoft heeft ook kritische kwetsbaarheden gevonden en opgelost in bijna alle versies van Windows. Een kwetsbaarheid (MS14-064) maakt het mogelijk om op afstand code uit te laten voeren middels het onderdeel Object Linking en Embedding (OLE), ook deze kwetsbaarheid was minstens negentien jaar oud. Tevens was het mogelijk (via kwetsbaarheid MS14-064) om als windows-gebruiker de rechten van domain controller te verwerven door een kwetsbaarheid in het onderdeel Kerberos KDC.
Impact voor bedrijven
Zo’n kritische kwetsbaarheid moet je direct repareren en iedereen is in rep en roer. Alle systemen die kwetsbaar zijn, moeten geïdentificeerd worden en bijgewerkt worden met de oplossing. Dit vereist wel een behoorlijke inspanning en expertise. Soms is de tegenmaatregel dusdanig dat het ten koste gaat van het gebruikersgemak en is afstemming met hoger management noodzakelijk. Koerpe schetst dat KPN te maken heeft met een grote gebruikersgroep die 24 x 7 gebruik maakt van onlinediensten. Kwetsbaarheden moet je dus wel oplossen binnen de mogelijkheden van de bestaande infrastructuur zonder dat de gebruiker er last van heeft. Je kan niet even de dienst een weekje platleggen.
Zodra het lek gedicht is, is het opgelost. Of toch niet? Warmenhoven vertelt dat professionele hackers die binnen zijn, er alles aan doen om onopgemerkt binnen te blijven. Ze verstoppen zich in de krochten van het netwerk, zorgen voor afleiding op plekken die er niet toe doen en bouwen allerlei achterdeuren in, voor het geval dat je één van de geïnfecteerde systemen weet te blokkeren. Hackers weten namelijk ook dat het moeilijk is je gehele infrastructuur telkens opnieuw op te bouwen. Denk maar aan het gedoe als je je computer formatteert en weer in oorspronkelijke staat brengt.
Breedijk zegt dat dit voor datacenters de enige manier is om uit te sluiten dat ze niet binnen blijven zitten. Het doet pijn, maar je ontkomt er niet aan om alles opnieuw te installeren. Hoe vaker je het doet, hoe minder pijn het doet en hoe beter je beschermd bent/blijft. Dankzij tools als Chef, Puppet, Ansible en/of Salt kan het herbouwen zelf omgevormd worden naar de standaard werkwijze.
Regin?
Regin is zeer geavanceerde malware die zich richt op telco’s (28 procent) en bepaalde individuen cq kleine organisaties (48 procent) gedetecteerd in hoofdzakelijk niet westerse landen. Deze malware is erop gericht data ongemerkt te lekken, screenshots te maken, keylogger informatie te versturen en het onderscheppen van dataverkeer. Software die nog niet toegankelijk is voor scriptkiddies.
Echter, België en Duitsland zijn wel besmet geraakt, maar hebben waarschijnlijk telefonie services in het Midden Oosten. In Nederland lijken we hier geen last van te hebben. Op de achtergrond wordt door het westen wel een voorsprong opgebouwd als het gaat om grootschalige spionage praktijken. De digitale wapenwedloop tussen US versus de Russen en de Chinezen is daardoor in volle gang.
Hold Security Case?
Hold Security is een Amerikaans commercieel bedrijf en heeft al anderhalf jaar een grote dataset van gegevens opgekocht die op ondergrondse illegale fora rondzwerven. In augustus koopt ons NCSC ook gegevens op bij Hold Security, om te bepalen of en waar digitaal Nederland kwetsbaar is; het blijkt dat er 5600 Nederlandse websites kwetsbaar zijn voor sgl-injection en dat er ook via deze websites 1,3 miljoen Nederlandse emailadressen met wachtwoorden zijn verzameld.
Het cybercentrum moest toen natuurlijk wel onderzoeken of overheidsdienstverlening en/of de vitale sector kwetsbaar zijn geweest. Hoewel de impact nihil bleek voor overheid en vitale infrastructuur, is in september 2014 nog wel een gecoördineerde actie gestart met onder meer domeinregistrar SIDN om 5600 website eigenaren te informeren en diverse isp’s om 1,3 miljoen emailadres eigenaren per brief te informeren. In de brief natuurlijk het advies om je wachtwoord van je emailadres te veranderen. Echter, in deze brief wordt niet gemeld dat dit wachtwoord ook misbruikt kan worden voor toegang tot een online dienst. Je zakelijke email en/of lidmaatschap bij een webshop kan dan gemakkelijk gehackt worden als alleen nog je gebruikersnaam achterhaald moet worden.
Omdat het NCSC aangeeft dat er nauwelijks impact is op de vitale infrastructuur in Nederland, concludeer ik dat het gaat om 5600 websites in het bedrijfsleven die inactief en/of onvoldoende beschermd zijn. Een bol.com zal er dus ook niet bij zitten, maar eerder de website van de lokale voetbalvereniging, de handwerkclub en/of de backend van vlotte nieuwe apps. Ogenschijnlijk onschuldig dus. Toch is dit kwetsbaar als je het wachtwoord komt te weten van de directeur van een multinational via zo’n onschuldige website.
Tot slot nog een opmerking. Een Russische botnet crawler die wereldwijd kwetsbare onbelangrijke websites hackt om emailadressen en wachtwoorden te verzamelen is illegaal. Een commercieel bedrijf als Hold Security koopt deze illegale informatie op en biedt vervolgens deze tegen betaling weer aan ons NCSC. Dit is blijkbaar toegestane informatieheling waar je veel geld aan kan verdienen. Dataheling loont!
Het advies van panelleden naar aanleiding van dit incident: Maak gebruikers bewust om verschillende wachtwoorden per website te gebruiken in combinatie met tools die je password onthouden (bijvoorbeeld LastPass, 1Password). Breekdijk suggereert nog een bijzonder alternatief: door middel van een willekeurige symfonie van karakters als wachtwoord in te voeren en via ‘wachtwoord vergeten’ telkens het wachtwoord opnieuw op te vragen.
Gebruikersnaam en wachtwoord?
Maak webhosters en -ontwikkelaars bewust dat websites beter beveiligd moeten worden tegen kwetsbaarheden zoals sql-injection en XSS. Maak het liefst gebruik van 2 factor authenticatie (bijvoorbeeld Authy, Google Authenticator) waardoor een statisch wachtwoord vervangen wordt door een eenmalige toegangscode via een app of sms op je telefoon.
Voor NCSC en RIPE (regional network coordination center voor alle domeinen in de regio) wellicht een optie om samen een eenvoudige webcrawler in te zetten om zelf actief zwakheden in digitale infrastructuur van Nederland (dus ook andere domeinen buiten het .nl-domein) te detecteren. Hiermee bespaar je de kosten van een Hold Security.
Toch blijft het lastig om (semi) openbaar kennis met elkaar te delen over incidenten. Tijdens een incident-onderzoek mag niemand over het incident praten. Achteraf vind niemand het leuk om fouten toe te geven. Toch is het leerzaam om bijvoorbeeld tijdens zo’n Security Café betrokkenen in het panel aan het woord te laten met als doel er met zijn allen van te leren.
Onjuist
Edmond Messchaert, woordvoerder van het ministerie van Veiligheid en Justitie, is het niet eens met de beweringen die in de passage Hold Security Case worden gedaan. ‘Dat is echt onzin. Het NCSC heeft niet betaald voor de dataset. En daar zijn we in de communicatie indertijd ook helder over geweest. Het beeld dat nu wordt geschetst is dus simpelweg onjuist.’
Toch maar eens serieus praten over en werken aan een intrinsieke beveiliging? (beveiliging als ontwerp en niet als symptoombestrijding!)
Dit artikel bevestigt grotendeels wat hier geschreven is, alleen is de schrijver niet bepaald optimistisch voor de toekomst.
http://www.infoworld.com/article/2853993/security/catastrophic-state-of-security-in-2014.html
Ook “de politiek” speelt een rol, die is niet geinteresseerd in een beter beveiligd internet, vraag dat maar aan Opstelten.
Internet is het meest wijd opgezette paard van Troje wat er geschapen is op deze planeet.
Rectificatie van mijn zijde op het punt dat NCSC heeft betaald voor data van Hold Security. In het Hold-dossier staat het woord ‘verkrijgen’ en niet ‘kopen’. Ik kan de uitspraak dus niet staven anders dan het gesprek tijdens het Security Café. Uitspraken over niet aanwezige derden (bv NCSC) tijdens het Security Café worden in het vervolg eerst geverifieerd. Monitoring van Nederlandse digitale niet-vitale infrastructuur blijft wat mij betreft een interessante maatschappelijke functie die NCSC naar zich toe zou kunnen trekken als MKB zich hiervoor aanmelden. Opmerking over business case slaat nergens meer op als er nooit betaald is voor die informatie.
Toch blijft er ondanks mijn fout, een interessante discussie over. Kan illegaal verkregen data van Hold Security als legale informatie overhandigd worden aan NCSC? Ik weet hoe zorgvuldig het NCSC is en ik ben overtuigd van hun goede intenties. Maar kan dat juridisch? Zoja, kan je illegale data ook overhandigen aan derden anders dan NCSC? Je voelt hier een grens schuren, nietwaar ?! Interessante discussie.