Niet alleen bedrijven en instanties die over veel gevoelige informatie beschikken worden voortdurend aangevallen; ook de gemiddelde mkb’er ligt onder vuur. De meeste datalekken hebben te maken met een openstaande remote desktop poort (rdp) die continu wordt aangevallen. Een zwakheid die met meer bewustzijn en een sterke authenticatie te verhelpen is. Dit blijkt uit een datalekscan die de Utrechtse netwerkdienstverlener Qfast de afgelopen maanden heeft laten uitvoeren bij tien tandartsen en drie grote bedrijven.
Qfast startte samen met het digitale forensisch onderzoeksbureau Digital Investigation (DI) een aantal maanden geleden een netwerkmonitoringpilot bij een aantal klanten van de netwerkdienstverlener. Qfast wil zijn klantenkring, waaronder diverse zorgorganisaties, helpen met het opsporen van datalekken. Dit met het oog op de meldingsplicht die sinds dit jaar bestaat voor het aangeven van ernstige datalekken (waarbij gevoelige informatie is betrokken) bij de Autoriteit Persoonsgegevens, Het niet melden hiervan kan leiden tot hoge boetes.
Het pilotproject liep bij een aantal tandartsen en een paar grotere bedrijven. Na een aantal maanden is een evaluatie gemaakt. ‘Wat ons opviel is de schrikbarende grote hoeveelheid aanvallen die op de ip-adressen van deze praktijken en bedrijven worden uitgevoerd. Hackers richten hun pijlen dus niet alleen op instellingen, zoals banken, met veel gevoelige informatie, maar ook op organisaties die hoofdzakelijk met gewone gegevens werken’, zegt Salvatore Fiorenza, consultant bij Qfast.
Twee miljoen
In het kader van de evaluatie is ook een top tien van grootste bedreigingen opgesteld. Aan kop staat met ruime voorsprong op de rest de openstaande rdp. Een herkenbaar probleem, volgens de onderzoekers. Veel medewerkers werken thuis of elders op afstand van hun bedrijf waarbij ze bij dit Microsoft Windows-protocol alleen hoeven in te loggen met gebruikersnaam en wachtwoord. De poort naar het internet blijft open staan; hackers ontdekken dit en voeren daarna voortdurend aanvallen uit om te pogen binnen te komen.
Bij één tandarts bleek dat dit in zestig dagen ongeveer twee miljoen keer plaatsvond, vult Fiorenza aan. ‘Gelukkig is dit probleem relatief makkelijk op te lossen door een sterkere authenticatie in te voeren, met bijvoorbeeld tokens en extra verificatiecodes. Ook speelt bewustzijnswording een rol: vaak beseft een gebruiker niet welke risico’s hij loopt. Die staat daar niet bij stil als die het internet op gaat.’
Neefjes
‘Wat wij ook hebben geconstateerd’, vervolgt Fiorenza, ‘is dat er bij de meeste van de onderzochte tandartsen nog een behoorlijke inhaalslag te maken is op het gebied van it. Veel middelen bleken aangeschaft via het spreekwoordelijke neefje om de hoek. Bovendien is er regelmatig sprake van achterstallig onderhoud; Windows Server 2003 is dan bijvoorbeeld nog niet vervangen of men loopt achter met Java-updates.’
Uit de heatmap die van de aanvallen is gemaakt, blijkt dat de meeste ervan uit China en de Verenigde Staten komen, gevolgd door Oost-Europa. In die regio voeren Roemenië en Bulgarije de boventoon en niet zozeer Rusland. ‘Het betekent overigens niet dat hackers overwegend Chinees of Amerikaans zijn. Het kan ook handelen om ip-adressen die daar staan geregistreerd maar waarvan de eigenaar in een ander land woont. In China en de VS zijn nu eenmaal veel goedkope webservers te huur’, benadrukt Fiorenza.
Besmet
Qfast beveelt klanten aan Java wekelijks te updaten, omdat in de praktijk blijkt dat gebruikers toch maandenlang met oudere versies blijven draaien. Dan raken ze kwetsbaar, bijvoorbeeld bij het surfen op internet. Een gebruiker hoeft maar even op een website te bezoeken waar een malafide advertentie staat en wordt dan geïnfecteerd met ransomware.
Een paar weken terug was er nog een grote aanval van malvertising waarbij ook de sites van de BBC, AOL en The New York Times besmet waren geraakt. Die krijgen via advertentieplatformen advertenties binnen en daar zat zo’n nepadvertentie met malafide code van cybercriminelen tussen.
Ook oudere versies van Silverlight en Adobe Flash zijn vatbaar voor malware. Wel zal door de toenemende overgang van steeds meer websites naar html5 deze software minder worden toegepast.
Top 10 meldingen datalekscan Qfast
1. Aanval op openstaande remote desktop poort (rdp).
Zulke meldingen kan een gebruiker relatief makkelijk voorkomen. Door bijvoorbeeld een lokale server niet helemaal open te zetten en het internetverkeer uit China te blokkeren.
2. Gebruik van het tor-netwerk waarbij malafide software wordt binnengehaald.
Het anonieme surfen over een tor-netwerk blijft toenemen.
3. Man-in-the-middle-aanval.
Bij een man-in-the-middle-aanval kan een aanvaller door een gebrek aan ssl-versleuteling wachtwoorden afvangen. Een gebruiker logt in op een website waarbij zijn wachwoord leesbaar is. Denk aan Wi-Fi in de trein waar geen beveilig is geregeld en iemand met een antenne kan ‘meelezen’.
4. Denial of service (DoS)-poging op rdp.
Vooral de verouderde versies van Windows zijn kwetsbaar voor DoS-aanvallen; uit de scan blijkt zoiets meestal via een openstaande rdp-poort plaats te vinden.
5. Communicatie met bekend malafide ip-adres.
Het gaat om ip-adressen die bekend staan bij de DShield Block List en ook bij DI. Het zijn doorgaans lastige meldingen die handmatig moeten worden uitgezocht. Vaak vindt een aanval plaats in combinatie met DoS-poging op een openstaande rdp.
6. Gebruik Bittorrent.
Via Bittorrent kunnen bestanden gedeeld worden gedownload met als risico dat er malware wordt binnengehaald.
7. Logmein.com/Join.me ssl remote control access.
Logmein.com en Join.me zijn gratis programma’s om een computer op afstand over te nemen. Een bekende variant is Teamviewer. Deze tools worden vaak legitiem ingezet voor managementdoeleinden, maar worden vaak door cybercriminelen gebruikt om servers te hacken. Ze vermommen zich dan vervolgens als officeel geregistreerd staande gebruiker.
8. Uitgaand Base64 leesbaar wachtwoord.
Dit punt is vergelijkbaar met punt 3, alleen is er dan gebruik gemaakt van een Base64-‘versleuteling’. Daarbij wordt een stukje tekst net anders weergegeven, ‘verdoezeld’ (obfuscatie). Het is geen echte vorm van beveiliging want zo’n tekstje is te herleiden naar de oorspronkelijke tekst. Veel beter is om echte versleuteling te gebruiken.
9. Kwetsbare versie Java 1.8.X gebruikt.
Als een systeem met een kwetsbare Java-versie een webpagina bezoekt waarop een exploitkit aanwezig is, kan dit systeem besmet worden met malafide software (vaak ransomware).
10. Poging gebruik Shellshock-kwetsbaarheid (CVE-2014-6271).
Shellshock is een kwetsbaarheid uit 2014 waarmee een aanvaller toegang kan krijgen tot een systeem. Deze kwetsbaarheid is reeds gepatcht, maar aanvallers voeren nog steeds scans uit om kwetsbare systemen te detecteren.
Het probleem wordt mijns inziens volledig verkeerd aangepakt. Het begon al met de EPD. De wet moet duidelijk stellen dat de patient altijd eigenaar is en blijft van de informatie die hem/haarzelf wordt opgeslagen, en daar de volledige controle over krijgen en houden. Nu zweeft dit overal rond en hebben allerlei partijen, van externe zorgverleners tot IT’ers toegang tot allerlei privacy gevoelige data waar ze geen toegang toe zouden mogen hebben. En de kans dat deze gegevens vroeg of laat op straat terechtkomt is enorm groot.
Ik maak me meer zorgen over bedrijven en instellingen die nu of in de toekomst op ontransparante wijze commerciele afwegingen gaan maken met die informatie die ons als consument gaan benadelen (risicoprofielen). En als wij niet weten op basis waarvan zij die afwegingen maken, wij ons daartegen ook niet kunnen beschermen.
Het heeft weinig zin om ramen te voorzien van inbraakbeveiliging als de voordeur open staat, en het huis is gemaakt van karton.
Naar mijn idee zijn patientgegevens geen “gewone gegevens”; het zijn zeer privacy gevoelige gegevens.
EDP is een slechts zijdelings betrokken probleem, omdat we het hier over een implementatie-aspect hebben.
FTP poorten zijn volgens mij ook constant doel van hackpogingen, net als HTTP, SVN en andere gegevensaanlever- en -opvraagpoorten.
Alle poorten zijn kwetsbaar omdat op elke willekeurige poort een server kan worden geconfigureerd om te communiceren.
Laat onverlet dat beveiliging op alle communicatie een topprioriteit hoort te liggen, of dit nu een remote desktop van Windows of een Linux FTPS server, of welke willekeurige andere dienst is.