Wereldwijd stalen hackers in 2013 meer dan een half miljard persoonlijke gegevensrecords zoals creditcardinformatie, wachtwoorden, namen en e-mailadressen. Ook in 2014 gaat het aantal cyberaanvallen in een razend tempo voort. Het inperken van cybercriminaliteit is dan ook cruciaal om organisaties, bedrijven en overheden wereldwijd te beschermen.
Midden 2013 stelden onderzoekers vast dat cybercriminelen vooral kiezen voor het pad van de minste weerstand. Met zo weinig mogelijk moeite zo veel mogelijk doelwitten aanvallen. Ook in 2014 blijkt dit de voorkeursmethode te zijn van de meeste hackers.
Via populaire applicaties zoals Java of Adobe banen hackers zich een weg door omgevingen vol persoonlijke en vertrouwelijke data. Het aantal aanvallen via Java-applicaties is tussen 2012 en 2013 meer dan verdrievoudigd. Dat hoeft niet te verbazen. Uiteindelijk vind je deze applicaties op het merendeel van alle computers én bevatten ze heel wat zwakke punten die cybercriminelen gebruiken om vertrouwelijke data te misbruiken.
Java
Het grote nadeel van Java-applicaties is dat ze externe bestanden kunnen lezen. Dat betekent dat cybercriminelen bestanden kunnen creëren die hen toelaten de data binnen de Java-omgevingen te stelen en te misbruiken. Om deze praktijken tegen te gaan kunnen organisaties bijvoorbeeld enkel toegang verlenen aan vertrouwde Java-applicaties.
Eerder dan zich te focussen op personen, gaan cybercriminelen op zoek naar strategische doelwitten die duizenden persoonlijke gegevensrecords huisvesten zoals dns-providers, sociale medianetwerken of populaire softwarewebsites. Twitter, Facebook en overheidsportalen zijn voor hackers digitale goudmijnen. Target, een Amerikaanse retailer, was eind vorig jaar zo’n strategisch doelwit. Cybercriminelen braken het creditcardsysteem van het bedrijf binnen. Hier kozen de cybercriminelen duidelijk niet voor het pad van de minste weerstand, maar voor een gerichte aanval op één bedrijf.
Waterputaanvallen
Het gebruik van Distributed Denial of Service-aanvallen (DDoS) is nog steeds het populairst onder hackers. Een DDos-aanval dient als afleidingsmanoeuvre om een een gerichte aanval uit te voeren. Een opvallend voorbeeld in deze context is Bitcoin. De virtuele munt versloeg record op record in 2013. De populariteit van Bitcoin is ook cybercriminelen niet ontgaan. Ze richten zich bewust op websites waarop gebruikers Bitcoins kunnen kopen en verkopen. Via DDoS-aanvallen leiden ze de aandacht van het ict-personeel af van een andere aanval die de koers van de virtuele munt destabiliseert of de hackers geld uit de digitale portefeuilles van gebruikers laat stelen.
Zogenaamde waterputaanvallen, waarbij hackers gebruikers opwachten op populaire websites, zijn dan weer erg effectief in het bereiken van nichegroepen, bijvoorbeeld in de energie- of chemiesector.
Sql-injecties
Ook sql-injecties en malware zijn populaire technieken om gegevens te stelen en te misbruiken. Sql-injecties manipuleren de hyperlink van de website van een bedrijf of organisatie. De gebruiker denkt dat hij op een vertrouwde website zit, maar bevindt zich in werkelijkheid in de speeltuin van een cybercrimineel. De mythe leeft dat een creatieve hacker er onlangs in slaagde om via een sql-injectie binnen te breken in het flitscamerasysteem door zijn nummerplaat te beplakken met een code. De hacker reed opzettelijk te snel met zijn wagen en werd geflitst. Het flitscamerasysteem dacht een gewone nummerplaat te flitsen, terwijl de code de hacker zou hebben verwelkomd in het datasysteem.
Hoewel het flitscameraverhaal een urban legend blijft, is cybercriminaliteit anno 2014 één van de grootste uitdagingen voor bedrijven, organisaties en overheden wereldwijd. Afwachten is geen optie meer.
Coen Egbrink, security-expert bij IBM
Coen,
Goed dat je aandacht vraagt voor het snel groeiende probleem van cybercrime wat inderdaad voor flinke economische schade zorgt. Maar ik vraag me af of het leeuwendeel hiervan niet gewoon het gevolg is van onachtzaam gebruik, domweg klikken op elke link die we tegenkomen. Zo is het stelen van een grote berg aan persoonsgegevens door bijvoorbeeld een SQL-injection volgens mij wat anders dan dit verzamelen via gefingeerde websites.
Coen,
Ewout haalt hier een valide punt aan. Een beetje opvoeden kan nooit geen kwaad.
Maar ik deel zeker je mening dat er veel meer moet gebeuren. Want we weten allemaal dat eindgebruikers altijd de zwakste plek in je security strategie blijven. Dus ook hier geldt weer “Voorkomen is beter dan genezen”
Tja,
Het probleem dat Coen aanhaalt is er natuurlijk, maar man man man.. je voorbeelden zijn te droevig voor woorden.
Ik weet dat het vandaag de dag nog steeds facto standaard is om lekke website’s te maken.. dat krijg je als je blijft volharden met lieden die de onderliggende techniek niet begrijpen… eeuwige discussie weer.. zorg eens dat je mensen behoorlijk worden opgeleid en meer in huis hebben dan wat klikken op een standaard framework of eclipse..
Je mag als klant van een gerenomeerd ICT bedrijf toch verwachten dat standaard lekken niet meer voorkomen.
Als je als amateur binnen 5 min kunt vertellen welke lekken een website zoal heeft dan is er iets goed mis met die website….waarmee ik helaas wel een overgroot deel (ja beste lezer, ik bedoel jouw website) te pakken heb.
Waar ik veel meer een probleem in zie en veel minder de schuld van ongekwalificeerde prutsers is, zijn zaken als skimming, gerotzooi met digitaal bankverkeer, en allerlei leuke dingetjes die ons nog staan te wachten.. denk bv aan slimme meters, gerotzooi met gsm verkeer.. kortom die dingen die mijn buurjongetje van 10 nog niet zo snel voor elkaar heeft.
Maar ja nu praat ik al op technisch niveau.. en geen enkele manager wil zich daar mee in laten…
De schrijver vergeet het moedwillig inbouwen van zwakheden door Amerikaanse softwarebouwers zodat de NSA makkelijker informatie kan onderscheppen of eenvoudig de systemen over kunnen nemen.
Dat ook hackers die achterdeurtjes weten te vinden laat zich raden.
Dat SQL-injections voorkomen is bekend maar we spreken dan wel over websites die slecht gemaakt en/of onderhouden zijn.
Zelfs bij kleinere open source projekten wordt hier goed op gelet.
Hoewel het artikel aardig samenvat wat iedere ICTer al lang moet weten, blijft het helaas steeds weer nodig om het onder de aandacht te brengen.
Jan “open source” van Leeuwen,
Het grootste security lek ooit gevonden heet OpenSSL. Drie dagen geleden konden wachtwoorden van Yahoo gebruikers kinderlijk eenvoudig worden afgetapt, zie
http://goo.gl/q1wDfo
en
http://goo.gl/eje4wM
Wat ik hiervaan leer is dit: C is totaal ongeschikt om veilige software te schrijven door de manier waarop het met computer geheugen omgaat. Aangezien heel veel software in C geschreven is zullen er de komende jaren nog vele bugs in open source software zitten. Ik ben geen natural C schrijver (laatste praktijk kennis is eind jaren 80), maar deze code kan ik lezen en begrijpen en SNAP nu hoe gemakkelijk het is om dit soort bugs te introduceren.
Ik vind het schokkend dat een open source project zoals deze door *alle* grote internet bedrijven gebruikt is! Dit geeft ook aan dat zelfs de grote bedrijven met heel veel budget toch niet de moeite hebben genomen om deze code uitvoerig te bekijken en testen en toch zo breed in te zetten!
Nu ik dat OpenSSL goed heb uitgezocht heb ik heel veel geleerd, 1 ervan is, al gebruikt een groot deel van de wereld het betekent niet dat er geen grove fouten in zitten. Dat je met C (en C++) geen veilige code kunt schrijven gewoon door de natuur van C en hoe deze met geheugen omgaat (let op C# is totaal iets anders).
En dat de impact van deze bug enorm is. Niet alleen kun je het best al je wachtwoorden gaan wijzigen, als een onderneming niet totaal zijn SSL certificaten vernieuwd (+ nieuwe private key), dan weet je nog steeds niet of je wachtwoorden de komende tijd veilig kunnen zijn.
Vooral high profile targets, rijke of beroemde mensen, zouden nu extra maatregelen moeten nemen.
Overigens is dit ook wel een wake-up call voor open source. Het argument iedereen kan meekijken is dus ook meteen 1 van de grootste problemen. Want zelfs bij zo’n belangrijk project als deze, is dat niet gebeurd.
@Henri
Stellen dat open source slecht is lijkt me onzin, de security by obscurity van closed source is echt niet beter als ik kijk naar de problemen met Windows XP. Pascal stelt terecht vast dat het gebruiken van een framewerk zonder diepgaande kennis een risico is, de populariteit vergroot dit nog eens want lekken zijn commercieel veel interessanter als het direct een grote gemeenschap treft. En om nog even terug te komen op mijn eerdere opmerking over Willie Sutton, als je de bank bevoordeeld is de klant de pineut;-)
Ewout, ik schrijf helemaal niet dat open source slecht is! Maar wel wat de consuquenties kunnen zijn van open source en de constatering dat het argument “het is open, dus mensen kunnen zelf kijken of er bugs in zitten” geen steekhoudend argument is. Ik zeg ook niet dat closed source beter is.
Wel goed lezen hoor!
@Henri
Sorry dat ik je verkeerd begrepen heb, de volgende zin zette me dan ook op het verkeerde been: ‘Het argument iedereen kan meekijken is dus ook meteen 1 van de grootste problemen.’
Nu schijnt het dat veel closed source leveranciers niet alleen mee kijken hoe anderen een probleem oplossen maar het probleem ook nog weleens mee kopieeren in hun eigen code;-)
No worries Ewout, je houdt me altijd scherp!