Hackers worden tegenwoordig vaak gezien als kwajongens. Toch waren de meest briljante hackers ter wereld verantwoordelijk voor de ontwikkeling van het internet en computertechnologie. Ik pleit ervoor om de hackers-mindset nu eens te gebruiken om nieuwe security-maatregelen te bedenken om bijvoorbeeld met big data cyber-criminelen aan te pakken.
Over deze blogger
Barry van Kampen (aka Fish_) is ethisch hacker en managing director van The S-Unit. Vanuit zijn rol is hij betrokken bij diverse adviesvraagstukken bij verschillende organisaties in Nederland en daarbuiten. De insteek van Barry is om vanuit een offensieve security-aanpak de wereld te verbeteren. Hij vervult hier de rol van adviseur/consultant en coach voor de diverse middelgrote en corporate bedrijven. Barry is onderdeel van de Hack in the Box HITB Core crew en hij spreekt regelmatig op congressen en evenementen. Naast deze rollen is hij actief binnen de internationale hacker(spaces)-gemeenschap en is hij mede-oprichter van Randomdata, de hackerspace in Utrecht.
We kunnen niet meer om big data heen. Recent is zelfs, onder aanvoering van Prof. dr. Rinnooy Kan van de Universiteit van Amsterdam, de Big Data Alliance opgericht om de ontwikkelingen op dit gebied te bevorderen. In mijn optiek dient er op het gebied van IT-security veel meer deze kant uit gedacht te worden. Big data wordt nu ook al ingezet als marketing tool en om de Spaanse vlieg te detecteren, maar wordt nog maar beperkt gebruikt om bescherming te bieden tegen cyber-criminelen. Als een website wordt aangevallen, is de eenvoudige conclusie dat de potentiële indringer afkomstig is van een kwaadaardig IP-adres. Ik vind dat we de informatie over deze aanvallen moeten samenvoegen, correleren en vervolgens met elkaar moeten delen.
Botnets
In Nederland zijn hier en daar wat initiatieven ontstaan om kennis over security-inbraken te delen. Er zijn bijvoorbeeld samenwerkingsverbanden in kritische sectoren zoals de energie- of bancaire sector, maar ik vraag me af in hoeverre er ook kwaadaardige IP-adressen bancair-breed worden gedeeld. Wij zijn met hackerspace recent een project gestart, waarin we informatie uitwisselen tussen verschillende websites. We loggen allemaal centraal in en signaleren letterlijk dat bepaalde botnetwerken aan elkaar gerelateerd zijn. Bijvoorbeeld dat ze eerst vanaf een host in Suriname proberen in te loggen op het systeem en dan beginnen met de wachtwoorden van a tot en met f. Vervolgens laten de statistieken zien dat er ineens wordt aangevallen vanaf een server in Mexico waar wordt begonnen met de letters g tot en met j. En dan verlegt de aanval zich naar Roemenië. Zo zien we dat deze botnetwerken in de aanvallende modus ook al werken met hun eigen big data. We zouden daar slim op moeten reageren door big data ook offensief te gaan inzetten.
Probleem
Het probleem in Nederland, en in heel veel andere landen, is dat de wet- en regelgeving nog niet is voorbereid op het verzamelen van data die is gelinkt aan dergelijke kwaadaardige bronnen. De werkwijze van een hackerspace is niets anders dan een proefballon, omdat ze geïnteresseerd zijn hoe die netwerken er uit zien. Informatie wordt opgeslagen, echter in Nederland vallen IP-adressen onder persoonsgevoelige gegevens. En dat is het domein van de Wet Bescherming Persoonsgegevens. De kwaadaardige wereld van cyber-criminelen, zal zich uiteraard niet aan deze wetgeving houden. Wij, die aan de andere kant willen beschermen, moeten dat wel. En dan sta je al 1-0 achter.
Vaak is niet duidelijk welke groeperingen achter een cyber-aanval zitten. Dat kunnen overheden of cyber-criminelen zijn. Maar we kunnen ze wel correleren tot een soort cluster. We hebben een verzameling van experts die mee doen; een twintigtal internet-hosts verzamelen alle gegevens in ons project. Als het met een dergelijke kleine groep al mogelijk is een aantal valide conclusies te trekken over dergelijk malafide cyber-verkeer, vraag ik me af waartoe internet-reuzen als Akamai en Microsoft in staat zijn. Deze bedrijven kunnen in detail zien welke netwerken er wereldwijd met elkaar verbonden zijn. Als daar big data op wordt losgelaten, ben ik ervan overtuigd dat heel veel georganiseerde cyber-misdaad kan worden bestreden.
Rol Overheid
De overheid is bezig met een Nationaal Detectie Netwerk waarmee informatie gedeeld kan worden tussen de special interest groups. Deze worden gekenmerkt in bijvoorbeeld de energie- en verzekeringssector, de kritische infrastructuur. Maar als een energiemaatschappij informatie gaat delen, kunnen er problemen ontstaan. Er kan bijvoorbeeld concurrerende informatie worden verspreid. De vraag is ook wie dit per sector moet gaan coördineren. Wordt er een coalitie gevormd of is hier een rol weggelegd voor de overheid?
Nieuwe technieken zetten continu wet- en regelgeving op achterstand. Eerder bepleitte ik dat offensief wint van defensief. De defensieve kant moet immers in beginsel op het legale pad blijven, terwijl de offensieve agressor zich niets van wet- en regelgeving hoeft aan te trekken. We zitten daarom met een scheidslijn die wordt bepaald door wat in de wet is vastgelegd en wat morgen nog vastgelegd moet worden voor de beheersing van nieuwe ontwikkelingen. En al snel ben je drie jaar verder.
Om een en ander met wat getallen te kenschetsen: wij hebben pieken van aanvallen gezien waar in twee uur tijd meer dan 1,6 miljoen wachtwoordpogingen werden geprobeerd op een omgeving. Dan heb je het over big data. Gebruik deze offensieve informatie dus ook voor de defensieve strategie.
Wel mooi om te zien dat bigdata ook voor ons kan werken op een hele andere manier. Inspirerend en JA, we moeten niet alleen denken dat hackers zaken kapot maken… ze zijn immers de grondleggers van het internet.
Bedankt voor je reactie Arnoud, en inderdaad de hackers zijn niet alleen “kapot makers”.