Wie nog niet van WannaCry heeft gehoord, moet onder een steen gelegen hebben sinds vrijdag. Wat zeg ik? Een hunebed! De wereldwijde aandacht voor en schade door deze malware is enorm. En wat mij betreft is de grootste les uit deze massive attack dat overheden hun zware cyberwapens echt als WMD’s moeten zien.
De automatisch uitgevoerde aanval van de WannaCry-ransomware is technisch gezien geen aanval, maar een infectie. Het is een snel opgekomen en massaal toegeslagen besmetting van digitale systemen. De snelheid en massaliteit zijn te danken aan het feit dat deze gijzelingssoftware is verpakt als computerworm. Net zoals het diertje waaraan de naam is ontleend, kan deze digitale ‘levensvorm’ zichzelf vermenigvuldigen en verspreiden.
Eerste infecties
Zonder tussenkomst van een gebruiker slaat deze vorm van kwaadaardige software toe op kwetsbare systemen. Nu is WannaCry in eerste instantie bij getroffen organisaties waarschijnlijk binnengekomen via een malafide linkje of misschien een kwaadaardig mailbijlage. Daar heeft een niet zo waakzame gebruiker dan op geklikt, waarna de infectie los is gegaan.
Laten we nu niet beschuldigend wijzen naar eindgebruikers, die we nu eenmaal moeten beschermen tegen digitale dreigingen. Iets minder mild ben ik tegen de ict’ers bij getroffen organisaties, die een in maart uitgegeven Windows-patch nog niet hadden geïnstalleerd. Maar goed, beide soorten medemens hebben nu hopelijk waardevolle lessen geleerd. Er zijn echter nog meer partijen die ‘medeplichtig’ zijn aan de rappe uitbraak van deze ransomwareworm.
Meer mutaties
Het digitale massavernietigingswapen (WMD) WannaCry heeft telecombedrijven, ziekenhuizen, parkeergarages, overheidsinstanties, spoorwegen en meer organisaties geraakt, in zo’n 150 landen. Nederland lijkt er nog relatief goed af te zijn gekomen. Afkloppen! Want er zijn nieuwe WannaCry-varianten in aantocht die nog venijniger dreigen te zijn.
Die nieuwe mutaties komen van de ‘tussenpartijen’ der malwaremakers, die op hun beurt dank verschuldigd zijn aan de zogeheten Shadow Brokers. Deze groep kwaadwillende hackers heeft uitgelekte/gestolen hackingtools te koop aangeboden en uiteindelijk deels publiekelijk vrijgegeven. Een foute daad, zeker. Maar ik zoek de medeplichtigen nog een stap verder terug. Want waar kwamen deze cyber-WMD’s vandaan?
Kweeklab
Nee, ik heb het niet over de herkomst van WannaCry zelf. Ik doel op de voorheen onbekende softwarefout (een zogeheten zero-day) waardoor dit ransomware-geval zo succesvol kon toeslaan en rondgaan. Dat eigenlijke cyberwapen (genaamd Eternalblue) is afkomstig van de Amerikaanse inlichtingendienst NSA.
Cyberspionnen van overheden, waaronder die van de VS, doen al jarenlang hun heimelijke hackwerk via gaten die ze ontdekken en vervolgens stilhouden. Digitaal spionagewerk is dan mogelijk door misbruik van die gaten dankzij een zelfgemaakte exploitcode. Oftewel: zelfontwikkelde cyberwapens. Het nu door WannaCry zo massaal geïnfecteerde Windows is niet eens het enige uitlekgeval van deze zware overheidswapens.
Praktisch gevaar bewezen
Maar WannaCry confronteert de wereld nu wel met een gevaar dat door sommigen slechts theoretisch werd genoemd. Namelijk het gevaar dat cyber-WMD’s zoals zero-days, backdoors en ‘gouden sleutels’ voor encryptie in verkeerde handen vallen. Wanneer een organisatie – ja, zelfs de geheime dienst van een bevriende natie – cyberwapens heeft, vallen die vroeg of laat in verkeerde handen.
Die verkeerde handen kunnen dan sophisticated cyberbendes zijn, gewone cybercriminelen en scriptkiddies. Zo lijkt WannaCry in verband te staan met een hackgroepering die is getraceerd naar Noord-Korea. De code van WannaCry komt deels overeen met malware van de zogeheten Lazarus Group, die door ons uitgebreid is onderzocht. Lazarus heeft eerder de geruchtmakende hack op Sony Pictures uitgevoerd en de digitale bankroof op banksysteem SWIFT gepleegd.
In een ideale wereld heeft niemand zulke cyberwapens. Helaas kunnen we net als in de echte wereld niet zonder wapens. Maar het besef moet komen dat cyber-WMD’s een groot bereik hebben, juist ook in onze ict-afhankelijke wereld. Het is tijd voor betere bescherming en een meer kritische keuring van het ‘cybernucelaire’ arsenaal.
Ontmantelen en inleveren
Het is tijd voor een herijking van de belangenafweging tussen nut en risico van een digitaal wapen. Is het risico te groot? Dan moet het cyberwapen eigenlijk ontmanteld worden: door kwetsbaarheden netjes te melden bij verantwoordelijke fabrikanten die het dan vlot moeten fixen.
Een echt non-proliferatieverdrag voor cyberwapens is waarschijnlijk een utopie. Cybercriminelen, vijandige naties en andere bad guys zullen zich daar immers weinig van aantrekken. Essentieel aan (cyber)criminelen en andere aanvallers is dat zij niet echt opereren naar maatschappelijk belang, ethiek, moraal, regels en wetten. Van overheden daarentegen, daarvan verwacht ik toch meer verantwoordelijkheid en ethisch handelen. Kunnen we daarom een internationale cyberwapeninleveractie uitroepen?
De term ‘cyber-WMD’ slaat de plank volledig mis. Het gaat hier om misbruik van al dan niet opzettelijk gemaakte gaten in software. Als de term ‘cyber WMD’ al ergens op zou slaan dan zou het een botnet aanval als een DDOS zijn.
Die exploits krijg je alleen weg door te patchen en ervoor te zorgen dat het bij wet verboden wordt door veiligheidsdiensten om 0days aan te schaffen, backdoors in te bouwen en te misbruiken maar een meldplicht aan de software bouwer omdat dit onnodig gevaar oplevert.
Niet dat die zich nog wat van de wet aantrekken overigens want die doen al te lang wat ze zelf het beste uitkomt omdat er onvoldoende controle en toezicht plaatsvindt.