Onschuldig en onschadelijk is het natuurlijk nooit geweest, dat darkweb. Maar die onwelriekende handeltjes zijn toch net zoiets als een pistool? Zolang je er geen een ter hand neemt, is er geen gevaar. Die naïeve houding gaat als het aan securitybedrijven ACA IT-Solutions en Tesorion ligt niet meer op. Meer, die ging nooit op. ‘Ik maak me zorgen, afwachten kan niet meer.’
Darkweb, veel over gehoord, veel over geschreven, maar wat het precies is. Een aardige equatie is om internet voor te stellen als een ijsberg, dobberend in die grote oceaan. Je hebt een zichtbaar deel, het clearweb (ook ‘surfaceweb’ genoemd), het deel dat je als internetgebruiker zonder problemen benadert met een zoekmachine (en naar schatting zo’n vijf procent van het hele internet beslaat). Dan heb je een part dat zich net onder de zeespiegel bevindt en waarvan de contouren pas na een beetje turen en onder de juiste omstandigheden ook te zien zijn. Dat heet het deepweb, een verwijzing naar alle webpagina’s die zoekmachines níét kunnen vinden. Denk gebruikersdatabases, webmailpagina’s en webfora waarvoor een registratie of betaling nodig is.
Veruit het grootste gedeelte van de ijsberg steekt ver naar beneden. Die onzichtbare punt onder water, dat is het darkweb. Niet alleen het grootste deel maar ook het deel van waaruit de meeste dreiging gaat. Hier wacht een verzameling versleutelde websites die niet is te benaderen via traditionele zoekmachines of browsers. Meer, zo goed als alle sites op het darkweb verbergen hun identiteit met behulp van The Onion Router (TOR). En juist die eigenschap maakt dat het darkweb bijzonder interessant is voor lieden met hobby’s die het daglicht niet kunnen verdragen. Overigens is het ook waarom het darkweb niet alleen uit rare winkeltjes bestaat. Ook journalisten, onderzoekers en dissidenten houden zich er op om er onbespied informatie uit te wisselen. Belangrijk detail: het is niet verboden om je op het darkweb te begeven.
Kern van het gevaar
Het deel van waaruit de meeste dreiging gaat? ACA IT-Solutions, een Eindhovense ict-dienstverlener met een gespecialiseerde divisie voor cybersecurity, vatte de kern van dat gevaar prima samen tijdens een recent gehouden webinar: wat is er over úw organisatie bekend op het (dark)web? Michael Waterman, manager cybersecurityteam, licht dat graag toe. ‘We hebben bewust ‘dark’ tussen haakjes gezet. Want er is veel informatie van organisaties en individuele medewerkers te vinden op het clear-, deep- én darkweb. Soms geplaatst door de medewerker zelf via sociale media, intranet of een eigen website, soms beschikbaar gekomen doordat devices ‘met elkaar praten’. Maar ook data die door cyberaanvallen en datalekken op de markt zijn gekomen. Deze gegevens, en zeker in combinatie, zijn goud waard. Hoe meer bedrijfsinfo beschikbaar, hoe lekker het mandje.’ Waterman laat er geen misverstand over bestaan: het is menens met de dreiging van cybercriminelen. Geef Waterman het woord en hij kan niet genoeg benadrukken dat het zaak is drempels op te werpen ‘zodat ze net als huisinbrekers naar de volgende deur gaan.’ Waterman hekelt ook de ‘dat-overkomt-mij-niet’-instelling die kennelijk nog altijd opgeld doet. Dat was iets dat je vijf jaar geleden kon zeggen, nu niet meer. Iets vergelijkbaars kun je zeggen over het mkb. ‘Eerst waren er genoeg grote bedrijven waar cybercriminelen hun slag konden slaan’, licht hij toe. ‘Maar daar zijn de poorten nu op slot.’
Volgens Waterman raakt de cyberdreiging uiteraard aan alle sectoren. Maar een opvallende trend die ACA IT-Solutions waarneemt, is dat de verdedigingslinies van grote bedrijven verder zijn opgetrokken waardoor het mkb meer onderhevig is aan deze vorm van criminaliteit. (Zie ook kader.) ‘Juist omdat het mkb gespaard bleef, is daar nauwelijks geïnvesteerd in cyberverdediging. Bovendien zijn de budgetten voor cybersecurity daar vaak klein terwijl de potentiële buit groot is. Dan is het mkb ook nog eens te gebruiken als stepping stone naar de ‘grote jongens’. Denk aan toeleveranciers van grote merken.’
Afhankelijkheid
Dat de cybercrime toeneemt, heeft volgens de cybersecuritymanager te maken met trends. De eerste is de digitale transformatie. ‘We kunnen niet meer zonder ict-systemen. De afhankelijkheid is groot. Daarnaast is door de overgang naar de cloud het werkveld van de cybercrimineel breder en meer divers geworden. Ook dat we overal en nergens werken tegenwoordig, maakt het makkelijker een aanval te plaatsen.’ Waterman constateert dat informatie over organisaties vrij beschikbaar is. Dan gaat het niet alleen om e-mailadressen en gelekte wachtwoorden. Ook over de ict-systemen die in bedrijven staan en welke softwareversies daarop draaien. Die informatie is vrij beschikbaar en geïndexeerd door zoekmachines. Het is eveneens eenvoudig te achterhalen welke kwetsbaarheden die systemen en software hebben. Vervolgens zijn er ook nog eens toolkits beschikbaar voor hackers om hun aanval te plaatsen. ‘Gemak dient de mens’, zegt hij. ‘Misdadigers blijven ook bij de financiële afwikkeling onder de radar, door betalingen via cryptogeld. Ideale ‘arbeidsomstandigheden’ dus. Ik maak me zorgen, afwachten kan niet meer. We moeten, zeker in het mkb, actie ondernemen.’
Aan banden
De vraag dringt zich op of we het darkweb op een of andere manier aan banden moeten leggen. De vraag is nog niet eens helemaal gesteld of Waterman grijpt in. ‘Laten we hier helder over zijn: zeer zeker niet!’ Waterman verhaalt over het darkweb dat met het reguliere web een afspiegeling van de maatschappij vormt. En ja, daar zitten mooie maar ook donkere kanten aan. ‘In veel landen met dictatoriale leiderschap is het gebruik van communicatie aan banden gelegd waardoor het gebruik van het darkweb en de daarmee gerelateerde software een van de weinige manieren is om met de buitenwereld veilig te kunnen communiceren.’
Dat gezegd hebbende, door het mondiale karakter van voorgenoemde software is het onmogelijk (en wellicht onwenselijk) om hier wetgeving voor aan te brengen. Ik ben van mening dat de focus meer op het preventieve aspect moet komen te liggen, waarbij anders wordt omgegaan met het veelal open karakter van organisaties in het mkb. Hier is een bovenmatig aspect van onderling vertrouwen te vinden, maar wellicht is het raadzamer om hier vanaf te stappen en de uitspraak ‘meten is weten’ te omarmen.’
Ook Waterman bevestigt dat we bij het darkweb vaak denken aan drugshandel en duistere marktplaatsen. ‘Dat klopt ook, maar dat is het niet alleen.’ Waterman wijst op het Mitre Att&ck Framework, opgezet door non-profit organisatie Mitre (zie kader onder). Daarin worden aanvalstechnieken van cybercriminelen geïndexeerd en gedetailleerde informatie opgenomen over de exacte stappen en methodes van cybercriminelen. Zo kan een ict-afdeling beter begrijpen wat het ‘stappenplan’ van de cybercrimineel is en hoe je je daar tegen kan wapenen. ‘Net als een inbreker die eerst eens poolshoogte neemt bij een huis waar hij wil inbreken, begint een hacker ook met het verzamelen van gegevens om die te combineren tot bruikbare informatie. Hij begint met het bepalen van een doel en het bij elkaar zoeken van informatie. Waar kan ik eenvoudig binnenkomen en waar is mijn pakkans het laagste? Het web biedt een schat aan informatie. Vervolgens verschaft hij zich toegang tot het doel door via kwetsbaarheden in te breken. Dat doet hij bijvoorbeeld door een phishingmail te sturen die een malware-infectie start of door een kwetsbaarheid te misbruiken die is ontstaan door achterstallige updates. Vervolgens bemachtigen ze gegevens om jou tot betaling over te laten gaan. Als laatste proberen ze vaak toegang te houden, zodat ze een aanval eventueel nog een keer kunnen doen.’
De link hierbij is informatietoegang. Informatie over personen en organisaties is veelal op het darkweb te vinden, zij het in minder mate op het regulier toegankelijke web, dan wel meer op het Darkweb in open of gesloten fora. Ook software om digitale criminele activiteiten uit te voeren wordt via het darkweb verkocht omdat daar een vele hogere mate van anonimiteit kan worden gewaarborgd.
Sun Tzu
‘Keep your friends close, keep your enemies closer’, onderwees de Chinese generaal Sun Tzu ooit. Tesorion neemt dat advies bijna letterlijk door zich te begeven op het darkweb. Meer precies, het Leusdense securitybedrijf biedt een service die luistert naar de naam Tesorion Intelligence Driven Protection. Het betekent zoiets dat Tesorion in opdracht van een klant – dat zijn dan vooral middenbedrijven met meer dan 250 fte’s – continu duizenden bronnen op het dark-, maar ook clear- en deepweb monitort. Doel is om ‘verwijzingen naar unieke digitale voetafdrukken van hun klanten’ te vinden, waarmee bedoeld pogingen tot nabootsing van een identiteit, het lekken van bedrijfs- en/of inloggegevens of vermeldingen over een bedrijf op hackerfora. Lodi Hensen, hoofd van Tesorions Incident Response & Threat Intelligence-team, rekent voor de zekerheid uit hoeveel één plus één is: ‘Indien er bijvoorbeeld inloggegevens van een organisatie verhandeld worden, betekent dit dat een buitenstaander zich met die inloggegevens toegang kan verschaffen tot het bedrijfsnetwerk en daarmee bedrijfsgegevens.’
Hensen heeft zojuist voor een klein groepje journalisten een heuse ‘darkweb tour’ georganiseerd en bevestigt dat zijn team zich inderdaad op het donkerste plekje van het weg ophoudt. Althans, voegt hij eraan toe, mocht dat noodzakelijk zijn voor de dienstverlening richting een klant of als dat relevant kan zijn voor een lopend onderzoek. Hensen: ‘Met tools en zogenaamde avatars houden we op het darkweb een vinger aan de pols. We ‘luisteren mee’ en ‘kijken mee’ over wie en wat daar besproken wordt. Op basis van deze informatie kunnen we vroegtijdig adviseren en mogelijk risico’s mitigeren. Denk aan hoe een bedrijf moet reageren als er op het darkweb gehandeld wordt in het gestolen intellectuele eigendommen van dat bedrijf. Of wanneer er credentials bekend worden gemaakt.’
Assets
Hensen legt uit dat de eerste stap van een dergelijke actie eruit bestaat om klanten hun belangrijkste assets te laten identificeren. Assets zijn in dit geval die gegevens die voor een klant essentieel, zo niet van levensbelang zijn. ‘Dat kan een merknaam zijn, specifieke onderzoeksgegevens maar ook persoonsgerelateerde informatie. We gaan die assets monitoren op het clear-, deep- en darkweb. Denk aan de marktplaatsen. Wordt er over gesproken, in welke context, waar, met wie? Als we enige vorm van activiteit zien, dan signaleren we dat uiteraard en onderzoeken we dat verder op basis van de onderzoeksgegevens.’ Het brengt Tesorion-medewerkers op een variant op de wijsheid van Sun Tzu: ‘Ken uw aanvaller en weet welke methoden hij gebruikt.’
Dat Tesorion het vizier in het bijzonder op het darkweb richt, heeft alles te maken met het streven van het bedrijf om klanten op alle mogelijke vlakken te beschermen tegen cyberincidenten. ‘Op deze manier kan er vroegtijdig gesignaleerd worden. Hoe eerder een organisatie geïnformeerd is, hoe sneller er valt te acteren en incidenten in de kiem gesmoord kunnen worden. Gevraagd naar wat de impact van het darkweb op de maatschappij is, merkt Hensen op dat dit onzichtbare deel is te zien als een parallelle economie. ‘Je kan anoniem goederen verhandelen. Dat kunnen gestolen goederen zijn – fysieke goederen, dus heling – maar ook datasets. Omdat je identiteit anoniem blijft en je kan bijvoorbeeld ook anoniem betalingen kunt doen, is dit al een redelijke bedreiging.’
Broeinest
Het darkweb als broeinest voor schimmige praktijken dus. Je zou kunnen overwegen om dat nest eens flink uit te roken. Of, zoals zojuist ook aan Waterman van ACA Solution voorgesteld, ‘aan banden te leggen’. Daar denkt ook Hensen genuanceerder over. ‘Wij leveren cybersecuritydiensten en nemen stappen die nodig zijn om onze klant maximaal van dienst te zijn. Wij gaan niet proactief vanuit Tesorion proberen cybercriminelen te vangen of dat nest uit te roken.’ Volgens Hensen is het uitroken bovendien is een andere discipline en vraagt om andere kennis en kunde. ‘Wij leveren cybersecuritydienstverlening en zijn geen opsporingsdienst.’
De cybersecurityexpert meent bovendien dat opsporingsdiensten momenteel ‘een soort van controle’ op het darkweb hebben. Dat zie je ook in de praktijk, waarbij er regelmatig verhalen naar buiten komen over de politie die weer een of ander darkwebforum heeft ontmanteld. ‘Als je plots de boel gaat uitroken, heb je kans dat je die (mogelijk beperkte) controle verliest, omdat de criminelen iets anders gaan gebruiken’, aldus Hensen. En met gevoel voor de actualiteit: ‘Daarnaast heb je natuurlijk kans dat je bijkomende schade veroorzaakt. Je rookt dan ook the good guys uit, die het darkweb legitiem gebruiken om uit het zicht te zijn van het regime waaronder ze gebukt gaan.’
(Dit artikel verscheen eerder in Computable-magazine #02-03/22.)
Studie mkb
ACA IT-Solutions deed onderzoek naar hoe het met de cybersecurity in het mkb is gesteld. Enkele conclusies.
- 45 procent van de onderzochte bedrijven heeft kwetsbaarheden in systemen, applicaties en (web)servers;
- Gemiddeld zijn er per bedrijf 25 kwetsbaarheden te vinden;
- 65 procent heeft tenminste één kritieke kwetsbaarheid;
- Bij 93 procent van de onderzochte organisaties zijn er gelekte e-mailadressen gevonden;
- Gemiddeld is 70 procent van de e-mailadressen eenvoudig te achterhalen; maar ook 57 procent van de gebruikersnamen;
- Bij 65 procent van de organisatie zijn zowel e-mailadressen als gebruikersnamen aangetroffen;
- 42 procent van de onderzochte bedrijven heeft multi-factorauthentificatie in gebruik;
- 21 procent van de bedrijven heeft geen basismaatregelen tegen e-mailspoofing genomen;
- 58 procent heeft geen aanvullende maatregelen ingesteld.
