Cybercrime is een groeimarkt. Dat maakt het bijzonder moeilijk voor consumenten, bedrijven en overheden om zich te wapenen tegen de digitale crimineel van morgen. Hoe ziet het dreigingslandschap er over vijf of tien jaar uit? Ik spreek hiervoor Andy Patel, securityexpert en zelfbenoemd 'cyber gandalf' bij F-Secure.
Juniper Research voorspelt dat datalekken het bedrijfsleven in 2019 wereldwijd 2,1 biljoen dollar kosten, bijna vier keer zoveel als in 2015. Een duizelingwekkend bedrag dat verder weinig zegt over de manier waarop cybercriminaliteit zich de komende jaren gaat ontwikkelen. Geen mens kan de toekomst voorspellen, maar op basis van de trends waagt Andy Patel zich graag aan een vooruitblik. De securityexpert van F-Secure is hiervoor de aangewezen persoon; zo sprak hij tijdens de vakbeurs Infosecurity.nl die 2 en 3 november 2016 plaatsvond in de Utrechtse Jaarbeurs nog over de evolutie van cybercrime.
Nieuwe businessmodellen
‘De businessmodellen van cybercriminelen veranderen’, begint Patel. ‘Kijk naar ransomware-bendes. Dat zijn goed georganiseerde bedrijven die hechten aan hun reputatie en service. Hun ‘klanten’ moeten weten dat ze hun bestanden terugkrijgen als ze betalen. Het nadeel is dat deze aanpak veel aandacht trekt. De impact van ransomware is groot en je hebt veel mensen nodig om alles draaiende te houden. Hierdoor wordt het bendes snel te heet onder de voeten. Ze willen makkelijk op grote schaal geld verdienen, maar tegelijkertijd onder de radar blijven.’
Als ransomware daar minder geschikt voor is, wat werkt dan wel? ‘Bijvoorbeeld dns-hijacking. Daar kun je allemaal gemene trucjes mee uithalen, zoals iemands inloggegevens voor social media stelen of via internetbankieren transacties kapen. Maar het is ook mogelijk om de gebruiker na het intypen van een url door te sturen naar advertenties waar de hackers betaald voor krijgen. Dat heeft nauwelijks impact op de gebruiker. Die ziet alleen wat irritante pornoreclames of pop-ups. Het geld stroomt binnen, er is geen personeel of beheer nodig en niemand doet er iets tegen, omdat het geen prioriteit heeft. Een ideaal businessmodel dus.’
Service voor inbrekers
Patel voorziet ook allerlei andere businessmodellen waarmee cybercriminelen het risico voor zichzelf zullen proberen te verkleinen. ‘Stel dat jij de voordeur van je slimme huis of je zelfrijdende auto kunt openen met je smartphone, dan kan een hacker het vast en zeker ook’, vertelt hij. ‘Vervolgens kan de hacker deze dienst te koop aanbieden op het darknet. Een inbreker hoeft dus helemaal geen verstand van hacken te hebben om misbruik te maken van kwetsbaarheden. En de hacker zelf blijft onopgemerkt.’
Zal ransomware dan volledig verdwijnen? Dat is immers ook een effectief businessmodel. ‘Maar wel een fragiel model’, zegt hij. ‘Er zit bovendien een enorme witwasoperatie aan vast. Ik weet niet of ransomware een tijdelijk fenomeen is. Wel denk ik dat de malware zelf door een vrij kleine groep mensen geschreven wordt. Als je ervoor zorgt dat zij ermee stoppen, lost het hele probleem zichzelf op. Maar die programmeurs bevinden zich vaak op plekken waar criminele activiteiten de beste optie zijn, omdat ze mede door corruptie geen legaal bedrijf kunnen opstarten en runnen.’
Hacktivism
Lang niet alle hackers hebben geld als drijfveer. Hacktivisten hebben andere, vaak politiek-maatschappelijke doelstellingen. Iedere activist is een potentiële hacktivist, want met de juiste tools is bijna geen technische kennis vereist om een cyberaanval te plegen. Toch verwacht Patel niet dat het aantal hacktivisten explosief zal groeien. ‘Het risico om gepakt te worden is te groot. Alleen de allerbeste hackers, zoals de persoon die de Hacking Group van de NSA wist te hacken, zullen dit af en toe blijven doen. Zij kunnen ermee wegkomen, omdat ze de expertise hebben om hun identiteit geheim te houden.’
Patel gelooft dan ook niet dat grote hackerscollectieven als Anonymous meer voet aan de grond zullen krijgen. ‘Bij Anonymous zag je dat een paar leden na hun arrestatie terugkeerden in de community om de opsporingsdiensten te helpen om anderen te pakken’, zegt hij. ‘Daardoor werd iedereen paranoïde en vertrouwde niemand elkaar meer. In kleinere groepen is het misschien makkelijker om alle leden te vertrouwen. Maar die angst voor een verklikker is er nog steeds. Veel van die jongens willen echt niet naar de gevangenis.’
Cyberoorlog
Ook cyberaanvallen door overheden zijn een reële dreiging. Een recent voorbeeld is het digitale wapengekletter tussen Rusland en de Verenigde Staten rondom de Amerikaanse presidentverkiezingen. Begint de Derde Wereldoorlog in cyberspace? Patel wijst in dat verband op de potentiële impact van een cyberaanval op elektriciteitsnetwerken, waterzuiveringsinstallaties en andere vitale infrastructuur. ‘Je ziet nu al regelmatig dat criminelen controlesystemen gijzelen en ze dreigen uit te zetten, wat grote financiële gevolgen kan hebben. Het losgeld wordt dan vaak snel betaald.’
Maar als een land achter zo’n aanval zit, gedragen de daders zich waarschijnlijk heel anders, aldus de expert. ‘Het is niet ondenkbaar dat politiek gemotiveerde hackers met behulp van een internet of things-botnet een grote DDoS-aanval opzetten om de stroomvoorziening te treffen, telecomnetwerken plat te leggen of het openbaar vervoer te verstoren. In het ergste geval ontstaan er rellen en komen mensen zonder water en voedsel te zitten. Maar ook minder ingrijpende gevolgen kunnen een optelsom zijn die een land doet besluiten om terug te slaan.’
Verder verwacht Patel een toename van goed georganiseerde, gerichte cyberaanvallen. Soms voor financieel gewin, zoals bij de bankoverval in Bangladesh eerder dit jaar, maar vaak ook uit strategische overwegingen. ‘Nu al worden regelmatig inloggegevens voor bijvoorbeeld bedrijfssystemen en social media gestolen om datalekken en daarmee gepaard gaande reputatieschade te veroorzaken. Of om technologie en kostbare informatie te stelen. Maar er is echt nog van alles mogelijk dat we niet hebben gezien. De enige beperking is creativiteit.’
Toekomst van cybersecurity
Wat betekent dit allemaal voor de rol van cybersecurity? ‘Technologische oplossingen als firewalls en antivirussoftware zijn al redelijk volwassen’, stelt Patel. ‘Ik verwacht dat we toegaan naar besturingssystemen die het concept van antivirus zoals we dat nu kennen niet eens ondersteunen. Gebruikers brengen toch al hun data naar de cloud. Dat is ook meteen de plek waar je je verdediging op moet richten. Zo mag de content die we delen via de cloud, zoals bestanden en links, geen schadelijke inhoud bevatten. En de communicatie tussen clouddiensten moet veilig zijn.’
Patel wijst er verder op dat antivirusproducten voor gesandboxte besturingssystemen als Android en iOS een groot manco kennen. ‘Deze systemen geven apps standaard geen toestemming om buiten hun gesandboxte omgeving veel te doen. Maar antivirus-apps moeten het besturingssysteem en andere apps kunnen monitoren. Daarvoor hebben ze root-toegang nodig. Het is nu nog niet mogelijk om apps met root-toegang voor Android en iOS te ontwikkelen, tenzij je bijvoorbeeld gaat jailbreaken. En zelfs zo’n app met root-toegang zou met een root-exploit omzeild kunnen worden.’ De fabrikanten moeten er dus zelf voor zorgen dat hun apparaten goed beveiligd zijn.
Veilige besturingssystemen
De securityexpert is overigens hoopvol dat onze endpoint-devices, van smartphones tot laptops, in de toekomst zeer veilige besturingssystemen draaien. Hierdoor wordt het naar verwachting steeds lastiger om een apparaat te besmetten. Als gevolg hiervan zal de focus van cybercriminelen meer op misleiding, identiteitsdiefstal en social engineering komen te liggen. ‘Als het device niet te hacken is, kun je misschien wel iemands account kapen om toegang te krijgen tot bijvoorbeeld belangrijke documenten, financiële informatie of crm-systemen. Een lucratieve business.’
‘Endpoint-security wordt nu vooral ingezet om veelvoorkomende dreigingen als ransomware buiten de deur te houden’, vervolgt Patel. ‘Maar organisaties beginnen in te zien dat dit weinig helpt tegen gerichte aanvallen en apt’s. ‘Mede hierdoor zal endpoint-security in de huidige vorm volgens hem op den duur verdwijnen. ‘Bedrijven maken zich straks zorgen over twee dingen: het beschermen van cloud-resources en het voorkomen van gerichte aanvallen. De beveiligingsoplossingen die dat mogelijk maken, zullen er heel anders uitzien dan de endpoint-security van nu.’
Kwetsbaarheden blijven bestaan
Momenteel zijn de meeste besturingssystemen verre van waterdicht. Patel ziet nog wel de nodige obstakels. ‘Zo zou het me verbazen als de beveiliging van Android over vijf jaar geen punt van zorg meer is. Door gebrekkig patch-beleid zijn er miljoenen slecht beveiligde Android-apparaten in gebruik. Dat probleem los je niet zomaar op. En zelfs als standaardmalware over tien jaar geen bedreiging meer vormt voor onze devices, zullen er altijd kwetsbaarheden overblijven waar overheden en tophackers misbruik van kunnen maken. Bijvoorbeeld met zero-day-aanvallen.’
Patel benadrukt dat ook hij geen glazen bol heeft. ‘In vijf jaar tijd kan er echt van alles gebeuren. En je kunt gewoon niet voorspellen hoe de wereld er over tien jaar uitziet. Maar één ding is zeker: cybercrime zal nooit meer verdwijnen, net zoals bijvoorbeeld oplichting en fraude. Cybercriminelen zullen altijd nieuwe manieren vinden om ons het leven zuur te maken.’
Daan de Winter, freelance it-journalist