Wouter Arts, ethisch hacker en securityspecialist bij Smarts IT / Security, spreekt op 20 september op de Security Summit van iSense ICT Professionals. Voorafgaand aan zijn presentatie praat Computable met hem over de alomtegenwoordigheid van security. Security in de basis opnemen, budget vrij maken voor security, hacks, security audits en awareness verhogen – het is security dat de klok slaat. Vallen hier nog lessen uit te trekken?
Weten we niet alles al over digitale veiligheid?
‘It bestaat uit zoveel vakgebieden en specialisaties’, begint Wouter Arts. ‘Het is in het huidige landschap onmogelijk om alles te beheersen. Voor security geldt hetzelfde; er zijn zo veel disciplines. Voorheen was security de verantwoordelijkheid van netwerkbeheerders, dat is al lang niet meer zo; het is geen gedeelde verantwoordelijkheid en iedere it’er heeft er dagelijks mee te maken.’
Arts is daarom voorstander om de verantwoordelijkheid van it-security bij een afdeling of iemand te beleggen binnen iedere organisatie. ‘Het is namelijk nog lang niet altijd zo dat er een security-expert meekijkt naar opgeleverde producten of daar vanaf het begin in meedenkt. Wat mij betreft worden er twee vragen vergeten. Past dit product binnen de huidige (security)architectuur? Voldoet dit product aan ons (security)beleid en voldoet het aan de eisen van de huidige wet- en regelgeving en aankomende Global Data Protection Regulation (GDPR)?’
Wat it’ers volgens Arts zouden moeten leren, is om bij alle activiteiten, projecten, initiatieven, changes en ga zo maar door, altijd security mee te nemen in de basis en dus ook in het budget. ‘Deze budgettaire verantwoordelijkheid ligt bij de it’er en bij het bedrijf (lees; C-level). Een eindverantwoordelijke, bijvoorbeeld een cio, moet wel worden gevoed door zijn/haar it’ers. Verantwoordelijkheid waar het hoort.’
Wat te doen met de huidige kwetsbaarheden, zoals EternalBlue?
‘Over EternalBlue is veel informatie bekend en er zijn ook al geruime tijd security-updates vanuit Microsoft beschikbaar’, gaat Arts op deze kwetsbaarheid in. ‘In mijn sessie bij iSense, die ik overigens samen doe met Remko Weijnen, end user computing-specialist bij Cloudhouse, ga ik op meer details in en geef ik verdere informatie, maar dat deze kwetsbaarheid onbekend was en zo schadelijk kon zijn, was niet bekend. Tegen zero days (kwetsbaarheden die uitlekken op ‘dag nul’ en waar nog geen patch voor is, red.) kun je je niet wapenen.’
Tegenwoordig kom je regelmatig bedrijven tegen die beweren dat zij met kunstmatige intelligentie bijvoorbeeld mimikatz kunnen tegenhouden. Niets is minder waar volgens Arts. Volgens hem zijn er genoeg voorbeelden van hacks die dat soort programma’s onschadelijk maken. ‘Het betreft vaak Cryptolockers of (crypto)malware. In feite zijn dit gewoon programma’s of applicaties. Vaak wordt misbruik gemaakt van een kwetsbaarheid in Windows, middleware als Java, Flash, Silverlight, et cetera, of een applicatie als Office of PDF Reader. Vervolgens wordt, afhankelijk van de rechten van het geïnfecteerde account waaronder het programma wordt uitgevoerd, schade toegebracht aan het systeem. De volgende stap is dat andere systemen in datzelfde netwerk ook aangevallen worden.’
Vaak, en gelukkig, zitten in dit soort malware ook ‘gewoon’ bugs. Simpelweg ontwikkelfouten, hackers hebben vaak geen ontwikkelstraat met een ‘vier-ogen principe’. Toch is sommige malware volgens Arts echt goed gemaakt. ‘Vaak hebben deze als doel om heel veel geld te verdienen. Als je dat vergelijkt met Wanna-Cry, dan heeft Wanna-Cry betrekkelijk weinig geld opgeleverd. Enkele tienduizenden euro’s.’
Echt goede hacks of echt goede hackers hoor en zie je volgens Arts niet en die komen al helemaal niet in het nieuws. ‘Er zijn hacks bekend waar honderden miljoenen euro’s zijn gestolen en er werd in de media niet veel over gerept. Die honderden miljoenen zijn nog steeds spoorloos. Goede hacks worden niet bekend. Wat je niet weet, dat weet je niet.’
Valt de schade mee of tegen?
‘Dat ligt echt aan de context, impact, data- en productieverlies’, meent Arts. ‘Als je het nu aan APM/Maersk Terminals vraagt… Het kan potentieel in de honderden miljoenen lopen, bij Renault lag de productieband voor lange tijd stil. Het is in ieder geval niet bevorderlijk voor het imago van het bedrijf.’
Het wordt volgens Arts alleen maar erger en meer; dagelijks zelfs. ‘Zeker als de grote geheime diensten van landen als Amerika, Rusland en China zero days op blijven sparen, die zo nu en dan uitlekken doordat zij zelf worden gehackt. De exploits worden geavanceerder en het worden er meer. Bedrijven gaan vervolgens ook nog eens publiekelijk aan de schandpaal, met name and shame.’
De verschillende geheime diensten geven volgens Arts bedragen uit die wij niet voor mogelijk houden. ‘Alleen al het Pentagon gaf in 2015 5,5 miljard dollar uit aan cybersecurity. Deze cijfers zullen vast niet exact kloppen, maar laat deze op zijn minst een indicatie zijn. De geheime diensten luisteren met grote waarschijnlijkheid (delen van) het internet af, zij hebben er op zijn minst het budget en de mensen voor. Zij zullen alles doen om kleine ‘concurrentievoordelen’ te behalen.’
Worden hacks slimmer of…?
Iedere software en hardware bevat bugs. Dus ook security bugs, meent Arts. ‘Afhankelijk van de adoptie van de oplossingen richten hackers (en geheime diensten) daar meer of minder aandacht op. Het is een zeer gevarieerde groep, van professionele blackhat hackers die er een beroep van hebben gemaakt tot slimme ‘kinderen’ die op jonge leeftijd hebben leren programmeren. Neem de ‘Ziggo-storing’. Een paar dagen lang zaten duizenden huishoudens zonder internet. Gewoon een jongen die met zijn eigen ip-adres, dat dan weer wel, het Ziggo-netwerk probeert plat te leggen.’
Arts vindt dat de patch-discipline binnen iedere organisatie verankerd moet zijn. ‘De plan-do-check-act-methode past hier goed bij. De meeste aanvallen kunnen simpelweg voorkomen worden door up-to-date te zijn qua updates en patches. Ik zeg altijd, en ik zeg het tijdens mijn sessie weer: patchen is als poetsen, poets je niet goed dan krijg je gaatjes.’
Een gedegen en nageleefd update-beleid is volgens Arts de oplossing. ‘Wanneer binnen een omgeving de juiste middelen en tools aanwezig zijn en de juiste mensen daar de juiste handelingen mee uitvoeren, dan kost het weinig moeite om up-to-date te blijven. Ik mis bij veel organisaties een sense of urgency hoe belangrijk it-security is. Iedereen denkt ‘ach het valt wel mee, het waait wel over’. Dat is niet waar. Bepaal je strategie op het feit dat je al gehackt bent en dat je er geen weet van hebt. Er zijn zeker bedrijven waar hele volwassen it-afdelingen zijn, met goede mensen en met goede tools. Helaas zijn deze zeldzaam. Ik schat dat zo’n tachtig procent van de Nederlandse bedrijven niet adequaat kan handelen als een noodpatch dient te worden uitgerold.’
Bedrijven en it’ers zien volgens Arts de urgentie pas als het hen zelf overkomt. ‘Als ik tijdens een pentest volledige controle heb over systemen, kan ik vaak echt alles. Denk hierbij aan het aanzetten van webcams, afluisteren, print screens maken, live meekijken, et cetera, echt alles kan. De urgentie dringt pas echt door als ik het dan over trouwfoto’s, babyfoto’s en belastingaangiftes heb. Bedrijfsgegevens voelen toch minder urgent dan eigen materiaal.’
Nog tips?
Daar hoeft Arts niet lang over na te denken: ‘Praktijkervaring! En dat zonder een enkele bulletpoint. Dus onthoud, wat nu gelekt is dat is maar het topje van de ijsberg. Die praktijkervaring blijft het leukst aan mijn vak. Het is ontzettend spannend om met een stapel dossiers een bedrijf uit te lopen. Altijd in opdracht van, altijd met een contract en altijd met een getekende brief van een directeur, want dat is toch wel fijn als de politie wordt gebeld.’
