Security – het landschap

Binnen de automatisering is het vakgebied security complex en voortdurend aan verandering onderhevig. Dit komt omdat het op meerdere proceslagen van toepassing is. Chips, zogenaamde drivers, besturingssystemen, applicaties en uiteindelijk de gebruiker kennen allemaal hun zwakheden waardoor het voor derden mogelijk wordt om toegang te krijgen tot systemen en gegevens. En doordat alles zo snel verandert is het bijhouden van een afdoend veiligheidsniveau een hele klus. Dan zijn er ook nog de kosten en als de maatregelen niet goed zijn geïmplementeerd de (reputatie-) schade. Kortom: menig CEO wordt hier niet vrolijk van.

Voor als u wilt weten hoe erg het is zijn er tal van boeken o.a. van Huib Modderkolk met de titel: Het is oorlog maar niemand die het ziet.

Er zijn meerdere redenen waarom systemen worden gehackt. Het kan onder andere gaan om economische motieven zoals bij bedrijfsspionage, om een rancuneuze oud-medewerker, om het in de gaten houden van groepen met een mogelijk terroristische inslag of om staatsspionage.
Ook scholieren die zich vervelen kunnen schade aanrichten. Ze hoeven zelf geen diepgaande kennis van cybersecurity te hebben maar laden eenvoudig een programma van internet om servers te scannen op openstaande connecties. Als er na enige tijd 10.000 servers zijn gescand staan er geheid een 10-tal open. Het is voorgekomen dat een scholier, zonder dat deze er zich van bewust was, in een ziekenhuisadministratie heeft zitten wroeten en zelfs documenten heeft gewist.

Vroeger moest er voor spionage ter plekke worden ingebroken en afgeluisterd. Door de digitalisering is dit vaak niet meer nodig. Toch wordt er in veel speelfilms van het James Bond en Mission Impossible type nog steeds veel gereisd en ingebroken maar nu om disks, chips of USB sticks te stelen. Een hele film baseren op hacken vanaf een zolderkamer wordt blijkbaar minder succesvol geacht.

Het aantal aanvalsmogelijkheden is mede door ontwikkelingen zoals de cloud en het Internet of Things (IoT) verder toegenomen. Bovendien is er een tendens om allerlei beheer van infrastructurele componenten via de cloud te laten verlopen waardoor een succesvolle hackpoging direct grote gevolgen kan hebben. 

Het hacken en overig misbruik is mede zo populair omdat er veel mee te verdienen valt. Criminelen gebruiken hiervoor een eenvoudige kosten-batenanalyse. Als zij de kennis niet in huis hebben huren ze iemand in. Indien de buit € 5.000.000.- bedraagt kan een hacker € 50.000,– tot € 100.000,– beloning verwachten. Dat hacken een businessmodel is, is te zien aan schimmige websites waar malware voor een paar tientjes een bepaalde tijd kan worden gehuurd. Als je dan geen zin hebt in een examen leg je gewoon je school een middag plat met een zogenaamde DDOS-attack.

Het opsporen van professionele hackers voor een eventuele vervolging (of een baan bij een geheime dienst) is moeilijk omdat de hacker zijn ware identiteit natuurlijk niet op het internet prijs geeft. Eigenlijk kan deze informatie alleen worden verkregen door terug te hacken en dataverkeer af te tappen. En als dit dan met een iets te groot sleepnet gebeurt spreken de privacyclubs en sommige politieke partijen er weer schande van.

In het verleden was de wetgeving ontoereikend bij diefstal van digitale zaken. Immers als er digitale documenten zijn gekopieerd heeft de oorspronkelijke eigenaar deze ook nog steeds in zijn bezit. Van klassiek ontvreemden is dan geen sprake. Inmiddels is de wet aangepast aan de actualiteit.

Statelijke actoren
Er zijn landen zoals Rusland en China die als onderdeel van hun militaire beleid permanent aan het hacken zijn. Voor deze hackers is het gewoon een 9 tot 5 kantoorbaan. Het doel is om zoveel mogelijk informatie te verzamelen over de mogelijke tegenstanders en om de betreffende infrastructuur aldaar, zoals bruggen, tunnels en elektriciteitscentrales, in kaart te brengen en waar mogelijk te infecteren met malware. Niet om direct alles uit te schakelen maar om bij het uitbreken van een conventioneel conflict strategisch voordeel te hebben. Voeg daarbij landen als Iran en Noord-Korea waar beleid ook wordt gestuurd door begrippen als rancune en vergelding en de ellende is compleet.

Een bedrijf als Huawei ligt onder het vergrootglas omdat het, als leverancier van componenten voor een kritische infrastructuur, directe banden zou hebben met de Chinese staat. Nu is afluisteren, de boel op afstand uitzetten e.d. allemaal mogelijk, maar dit geldt net zo goed voor producten uit andere landen zoals de VS. Wel is het bijzonder dat, nadat er sancties waren afgekondigd, de baas van Huawei spreekt in termen van „Oorlog“ en „Wij zullen overwinnen“. En juist deze opmerkingen tonen aan dat voorzichtigheid geboden is.

Voorbeelden
Hacken hoeft niet altijd op een technisch geavanceerde manier plaats te vinden. Diefstal van een gebruikersnaam en wachtwoord wat vroeger in zogenaamde terminalkamers op de universiteit wel eens plaatsvond en tegenwoordig bij sommige flexplekken nog steeds actueel is, gaat als volgt: Je schrijft een programma dat het inlogscherm van de computer nabootst, start dit en laat vervolgens de computer aan staan. Als een nieuwe gebruiker plaatsneemt ziet deze dat de computer nog aan staat en denkt dat de vorige gebruiker is vergeten deze uit te zetten. Omdat er direct kan worden ingelogd doet de gebruiker dit en dan verschijnt er een foutmelding met de mededeling dat gebruikersnaam of password niet kloppen. Op dat moment is de gebruikersnaam en het wachtwoord al gestolen. Het achterliggende programma heeft namelijk de ingetikte gegevens opgeslagen in een bestand en vervolgens de echte loginprocedure aangeroepen met nep-informatie waardoor deze de foutmelding voor de gebruiker toont. Deze logt opnieuw in en gaat gewoon aan het werk, niet wetende dat de inloggegevens gestolen zijn.

Het stelen van gegevens kan ook met een zogenaamde keylogger. Dit is een kleine plug die tussen het toetsenbord en de computer wordt opgenomen. Alles wat wordt ingetikt wordt nu ergens opgeslagen. Een dergelijke plug kan bijvoorbeeld door iemand van de schoonmaakdienst worden geplaatst.

Het kan nog geniepiger. Bij een werkplek gaf het toetsenbord kuren. De eigen servicedienst heeft er naar gekeken en de gebruiker een nieuw toetsenbord gegeven, doch de klachten blijven. De gebruiker krijgt weer een nieuw toetsenbord uit de voorraad van de servicedienst echter wederom zijn er klachten. Omdat nogmaals omruilen waarschijnlijk het probleem niet oplost bestelt de servicedienst een nieuw toetsenbord bij de leverancier. Nadat deze het toetsenbord opstuurde werd dit tijdens het transport afgevangen. Er werd een keylogger ingebouwd en het toetsenbord werd opnieuw verstuurd. Een inlichtingendienst kan zo maanden meekijken met een doelwit. Hebben ze genoeg informatie dan zorgen ze ervoor dat het toetsenbord weer gaat haperen. De gebruiker gaat weer klagen en krijgt van de servicedienst opnieuw een nieuw toetsenbord en weg is het bewijsmateriaal.

Onderdelen zoals USB sticks en telefoonopladers kunnen malafide chips bevatten. En dergelijke chip kan er bijvoorbeeld voor zorgen dat een USB stick, naast de gewone opslagfunctie, zich ongemerkt voordoet als toetsenbord dat snel malware intikt op de doelcomputer. Een besturingssysteem als Windows (het was toch veilig Microsoft?) laat dit gewoon toe. Tijdens de G7 top in Sint Petersburg in 2006 werd afgeraden om dergelijke “relatiegeschenken” van Poetin aan te nemen.

Afgedankte spullen
Dat oude PC’s niet zomaar bij het grofvuil kunnen worden gezet heeft een Amsterdamse Officier van Justitie destijds wel ervaren. Ook al is voor de gebruiker het ding “stuk”, technici kunnen nog wel degelijk informatie van de gegevensdragers halen. Ook moderne multi function printers kunnen harde schijven of zogenaamde SSD’s bevatten. Dergelijke opslag wordt o.a. gebruikt om tijdens het scannen de informatie te bufferen. Dus ook printers kunnen niet zomaar worden afgedankt. Niet elke printerleverancier is overigens even zorgvuldig als het gaat om het toepassen van veiligheidsmaatregelen. Soms staat vertrouwelijke informatie gewoon leesbaar op de harde schijf.

Ons bedrijf wist in meerdere cycli de oude harde schijven van inruilsystemen met een cryptografisch patroon van ruim voldoende sterkte waardoor aanwezige informatie niet meer kan worden gereconstrueerd. Het formatteren of standaard wissen van een schijf is daarvoor niet toereikend.

Al het bovenstaande geeft aan dat van de uitspraak: „Wees voortdurend op uw hoede“ nauwelijks resultaat is te verwachten. En al helemaal niet door een gemiddelde gebruiker met weinig kennis van de achterliggende processen. Zelfs experts worden gehackt zoals te zien was toen beelden werden getoond van de camera bij de ingang van een Russisch kantoor van een veiligheidsdienst van waaruit hackers Nederland probeerden aan te vallen. Leuk om ook gezichten bij de profielen te kunnen plakken. 

Resumerend
De dreigingen zijn reëel, zijn er continu en nemen in omvang toe. Maatregelen zijn dus noodzakelijk en helaas kost dit geld. Maar niets doen kan bijna een faillissement opleveren zoals het televisiestation TV5 Monde in 2015 ervaarde.

 

Zie ook de aansluitende blog:  Security – de maatregelen