Hackaanvallen in verschillende landen zetten vrijdag cyberveiligheid weer volop in de aandacht, zoals eerder de Russische hacks tijdens de Amerikaanse verkiezingen. Zijn we naïef over het gevaar van cyberwapens? En met zoveel landen die aan cyberwapens werken. In hoog tempo formeren landen cybereenheden en ontwikkelen cyberwapens voor als ze nodig zijn - hoe lang gaat dat goed?

Op 24 oktober 2008, zagen veiligheidsanalisten van het Amerikaanse leger in Fort Meade, ten noorden van Washington, iets vreemds. Ze hadden controlesoftware geïnstalleerd in het netwerk van het US Central Command, het netwerk van het Amerikaanse leger waarmee destijds de oorlogen in Irak en Afghanistan werden gecoördineerd. Het netwerk was niet verbonden met het publieke internet. Zelfs ’s werelds beste hackers konden niet inbreken in een netwerk dat fysiek van het internet gescheiden was (een air gap in jargon). Alleen doordat iemand fysiek achter een computer van het Amerikaanse leger zou gaan zitten zou een inbraak mogelijk zijn – en dat zou worden opgemerkt.

Het netwerk was zo goed beveiligd dat controle overbodig was. Maar bij de National Security Agency (NSA) liep een onderdirecteur wiens taak het was om paranoïde gedachten te vormen over bressen in de digitale beveiliging van de VS. Misschien, zo redeneerde hij, was een vijand al binnen toen de verdedigingswal werd opgetrokken. Daarom liet hij het US Central Command toch doorlichten. En zo stuitte zijn team op een ‘baken’ dat een signaal uitzond: een van buiten in het systeem binnengedrongen programma dat af en toe een berichtje naar zijn ‘moedercomputer’ stuurt om te laten weten dat hij actief is en klaar staat om te doen waarvoor hij ontworpen is. Zulke wormen infecteren computers die zich er niet tegen hebben beschermd. Maar dit signaal kwam van binnen het netwerk van het US Central Command zelf, iets dat volgens de heersende ideeën onmogelijk zou moeten zijn.

Het spionageprogramma dat tegen de lamp was gelopen heette agent.btz en medewerkers van de NSA waren nog maanden bezig om het uit ’s werelds best beveiligde netwerk te wieden. Een analyse wees uit dat agent.btz waarschijnlijk door een vijandig land op verder lege usb-sticks was gezet, die vervolgens in gewone fabrieksverpakking werden verspreid bij kiosken in de buurt van de Amerikaanse basis in Kabul. Op enig moment had een Amerikaanse soldaat kennelijk een goedkope usb-stick gekocht en die in zijn beveiligde computer gedaan. Vervolgens sloop het programma door het Amerikaanse netwerk, informatie verzamelend uit duizenden, misschien miljoenen bestanden, en zoekend naar een raam om open te zetten om weer naar buiten te glippen.

Het was een van de mijlpalen in de ontwikkeling van het militaire gebruik van computer- en communicatienetwerken, oftewel cyberoorlog. Deze inbraak maakte duidelijk dat computerprogramma’s niet alleen in theorie, maar ook in praktijk de oorlogsinfrastructuur van een ander land konden binnendringen en zo een oorlogswapen worden.

Alles bij de bron; deGroeneA'dammer [long-read]

De NHS is een van de vele organisaties die vrijdag het slachtoffer zijn geworden van een door Shadow Brokers verspreid chantagevirus. Inmiddels is gebleken dat de Britse zorg werkt met het sterk verouderde Windows XP. Het is de vraag of alle gekraakte computerbestanden volledig kunnen worden hersteld.

De zorgdossiers van de NHS zijn in de afgelopen decennia beetje bij beetje gedigitaliseerd, al is dit onvergelijkbaar met de koppeling van medische bestanden in Nederland via het Landelijk Schakelpunt (LSP). Het doel is om in 2020 alle patientengegevens te hebben gekoppeld. De NHS, waar 1,6 miljoen mensen werken, staat bekend als een logge organisatie waar veranderingen traag verlopen. Typerend is dat negen van de tien ziekenhuizen nog met software werkten die Microsoft in 2002 heeft geleverd. Computerexperts hebben geregeld gewaarschuwd dat zulke oude software die niet wordt vernieuwd een makkelijke prooi is voor kwaadwillende hackers. Uit een documentaire van Sky News bleek vorig jaar dat er in 2015 geen cent is besteed aan de cyberveiligheid.

Maar geld is niet de enige oorzaak. Microsoft heeft eerder dit voorjaar gratis software geleverd aan de NHS, waarmee de computers kunnen worden beschermd. De vraag is nu waarom die nog niet is geïnstalleerd.

Alles bij de bron; Volkskrant

Alle experts zijn het erover eens: nog nooit ging een uitbraak zo snel. Europol noemt het de grootste in omvang ooit. WannaCry begon vrijdagmiddag en verspreidde zich toen wereldwijd over netwerken waarvan een besmette computer deel uitmaakt, waaronder FedEx, Renault, Deutsche Bahn, verschillende Britse ziekenhuizen en het Spaanse Telefónica. Rusland is volgens digitale beveiligingsbedrijven het zwaarst getroffen door de cyberaanvallen. 

Het ging zo snel doordat WannaCry niet alleen ransomware is maar ook een 'worm': kwaadaardige software die in staat is zichzelf automatisch te vermenigvuldigen over kwetsbare computers binnen een netwerk. Een ransomworm dus. 

Waarom is Nederland de dans ontsprongen? Dat is een beetje gissen, Een verklaring zou zijn dat de aanvallers zich niet op Nederland hebben gericht. Maar misschien hebben Nederlanders ook wel een betere update-cultuur.

Hoe werd WannaCry stopgezet? Een veiligheidsexpert registreerde voor een paar pond een in de code genoemde site en daarmee haalde hij de angel uit de besmetting: hij vond de zogenoemde 'kill switch'.

Wie is er nou schuldig? De hoofdschuldigen zijn natuurlijk de aanvallers. Daarna volgt de Amerikaanse geheime dienst NSA. De NSA is vorig jaar gehackt, waarbij hun wapenarsenaal is buitgemaakt. De aanvallers hebben dat hele pakket in april online gezet. Met de aanval van vrijdag tot gevolg. Ook Microsoft speelt een rol. WannaCry maakt gebruik van kwetsbaarheden in het besturingssysteem Windows. Nadat de NSA Microsoft in maart inlichtte over de hack bracht Microsoft een update uit voor zijn systemen, maar oudere Windows-versies als XP worden niet meer ondersteund. 

Is het gevaar nu geweken? Voorlopig wel ja maar het wachten is op een nieuwe variant.  Ransomware is bijzonder populair omdat hiermee veel geld kan worden verdiend.

Is er dan niets tegen te doen?  Eerst maar even wat een slachtoffer niet moet doen: het losgeld betalen, je weet nooit of je het echt terugkrijgt en of er niet wat code achterblijft. Verder is het raadzaam om goede en actuele beveiligingssoftware op de computers te hebben. Ook belangrijk: installeer altijd de laatste updates, in dit geval van Windows. De veelgehoorde tip 'pas op met verdachte e-mails' is het lastigst uit te voeren. De vuistregel is: wees altijd achterdochtig. Het vereist wat discipline, maar het voorkomt veel ellende: maak regelmatig backups van uw bestanden. 

Alles bij de bron; Volkskrant

Het Nationaal Cyber Security Center (NCSC) van de overheid waarschuwt systeembeheerders voor de onlangs gelekte exploits en malware van de NSA die op dit moment actief worden gebruikt om systemen over te nemen. Het gaat om een backdoor genaamd DoublePulsar en een exploit genaamd EternalBlue die Windowssystemen via een kwetsbaarheid in het SMB-protocol kan overnemen.

In maart heeft Microsoft het betreffende beveiligingslek gepatcht. Toch blijken veel systemen nog kwetsbaar te zijn. Het Zwitserse beveiligingsbedrijf BinaryEdge meldt dat de DoublePulsar-backdoor inmiddels op zo'n 350.000 systemen wereldwijd is aangetroffen. Het NCSC adviseert beheerders dan ook om de update voor de SMB-kwetsbaarheid, MS17-010, te installeren. 

Alles bij de bron; Security

Hackers hebben van een onbekend aantal verkopers op Amazon de bankgegevens gewijzigd waardoor tienduizenden dollar gestolen zijn, het gaat om derde partijen die de webwinkel van Amazon gebruiken om hun eigen producten aan te bieden.

De aanvallers konden via hergebruikte wachtwoorden, die op andere websites zijn buitgemaakt, op de accounts van de verkopers inloggen. Vervolgens werden bankgegevens aangepast. Ook werden de accounts van verkopers gehackt die al langere tijd niet meer op Amazon actief zijn. Deze accounts werden vervolgens gebruikt om niet bestaande producten aan te bieden, waarbij het geld van gedupeerde klanten naar de aanvallers ging. De totale omvang van de schade is onbekend. Op Amazon zijn meer dan 2 miljoen verkopers actief, die voor meer dan de helft van de verkopen verantwoordelijk zijn.

Alles bij de bron; Security

Steeds meer Nederlandse webshops blijken geïnfecteerd met computerprogramma’s die creditcardgegevens van klanten automatisch doorsturen naar onder andere Rusland en Oekraïne.

Internetveiligheidsexpert Willem de Groot zei vorige week dat er elke dag ‘tientallen nieuwe webshops’ besmet worden met malware. De Groot monitort ruim 250.000 webshops en ziet bij een kwart daarvan ‘sporen van inbraak’. Bij een peiling in november 2016 bleek verder dat ruim 4% van de webshops betalingsgegevens van klanten doorstuurt naar criminelen.

Opvallend noemt hij de laksheid waarmee allerlei instanties hier mee omgaan. Niet alleen de webwinkeliers, ook politie en banken lijken weinig actie te ondernemen. Terwijl, berekende De Groot, er voor minstens vijftig miljoen dollar aan creditcardgegevens verhandeld is bij de hacks die hij ontdekte.

Alles bij de bron; CiC

Deze bijdrage probeert inschattingen te maken op het gebied van cyberdreigingen voor 2021. Hoewel forecasting altijd uitdagend is, geldt voor cybersecurity wellicht nog meer dan voor de andere bijdrages dat er hier sprake is van een uitdagende taak. Onder cybersecurity experts wordt regelmatig gegrapt dat er twee soorten organisaties bestaan: organisaties die gehackt zijn, en organisaties die nog niet doorhebben dat ze gehackt zijn. Met andere woorden, goede betrouwbare informatie is vaak niet voorhanden.

Toch probeert deze themastudie enige inschattingen te maken op basis van waargenomen trends. De bijdrage begint met een dreigingsbeeld en werkt vervolgens toe naar een analyse van internationale samenwerking op cyber-terrein. De conclusie is dat digitale dreigingen snel zullen toenemen terwijl internationale samenwerking nog in de kinderschoenen staat. Tegelijk lijken er wel verbeteringen aanstaande op het gebied van internationale samenwerking in 2021.

De volledige studie staat hier [Thnx-2-Dick]

Tientallen organisaties in de Oekraïne zijn slachtoffer geworden van malware die gesprekken kan afluisteren en documenten kan stelen. De malware wordt verspreid via Word-documenten met een kwaadaardige macro. Volgens het document moeten macro's worden ingeschakeld om de inhoud te kunnen weergeven. Zodra de gebruiker hier gehoor aan geeft wordt de malware geïnstalleerd.

Voor de installatie wordt er echter gecontroleerd of WireShark en ProcessExplorer draaien. Twee tools waarmee malware op een systeem is te vinden. Ook wordt er gekeken of de kwaadaardige code niet in een virtual machine draait. Is dit niet het geval, dan worden er aanvullende modules en plug-ins gedownload. Die zoeken op de computer en aangesloten usb-sticks naar Office-documenten, alsmede zip-, rar-, pdf-, txt- en db-bestanden.

Verder zoekt de malware ook naar wachtwoorden en andere gevoelige informatie in de browser en kan er audio van de microfoon worden opgenomen. "In tegenstelling tot video-opnames, die vaak eenvoudig zijn te voorkomen door de camera af te plakken, is het bijna onmogelijk om de microfoon te blokkeren zonder die fysiek uit te schakelen", zegt beveiligingsbedrijf CyberX.

Alle gevonden documenten en andere informatie worden vervolgens naar Dropbox geüpload. "Een slimme aanpak, aangezien Dropbox-verkeer meestal niet door zakelijke firewalls wordt geblokkeerd", aldus het bedrijf. Wie er achter de aanval zit laat CyberX niet weten, maar het bedrijf stelt dat het om een professionele campagne gaat, aangezien de achterliggende infrastructuur van de aanvallers dagelijks gigabytes aan data moet verwerken.

Alles bij de bron; Security