Cybercrime: ontwikkelingen en trends – hoe krijgen we beter grip op cybercrime?

De politie begon met een speciaal meldpunt cybercrime, maar inmiddels is het melden van criminaliteit op het internet 'business as usual'. Er kan melding gedaan worden van cybercrime, wat eerst kindersekstoerisme, kinderporno en terrorisme omvatte. Dit zijn maatschappelijk-relevante onderwerpen die leven bij de gemiddelde burger en waarvoor internationale samenwerking goed te regelen is. Maar het overgrote deel van de cybercrime heeft die kenmerken niet: het is niet herkenbaar voor de burger, tenminste, niet totdat hij er directe schade door lijdt, en internationale samenwerking stuit op allerlei conflicterende belangen.

 

De cartoon van Peter Steiner ‘On the internet, nobody knows you’re a dog’ was in 1993 profetisch. Hij staat symbool voor de moeilijkheid om betrouwbaar een identiteit vast te stellen via het internet. Dat is nu juist waar het bij identiteitsfraude om gaat: criminelen die in jouw naam profiteren van een dienst, waarbij ze jou opzadelen met de kosten of reputatieschade. Identiteitsfraude loont, meer dan ooit. Maar de keerzijde beginnen we ook steeds meer te zien, want er worden steeds meer beperkingen gesteld bij transacties over het internet: het afleveradres moet kloppen met de creditcardgegevens en soms mag je niet eens bestellen als je in het buitenland woont.

Identiteitsfraude kan ook de andere kant op werken: de criminelen weten jou te overtuigen dat zij iemand zijn waar jij geld naartoe wilt sturen of zaken voor wilt regelen. Wie kent niet de verzoeken om een vriend geld te sturen, want hij is op vakantie gestrand en moet snel geld hebben, of het aanbod om medicijnen zonder recept te kopen, een huis te huren van een diplomaat of transactiekosten voor te schieten om een erfenis te ontvangen van een Nigeriaanse prins. Een crisistijd is uitermate geschikt om mensen te ronselen om namens een vaag bedrijf geld over te maken naar het buitenland. Niet via het internet, maar 'lekker betrouwbaar' met Western Union.

Lang niet altijd is de grens tussen gewone criminaliteit en cybercriminaliteit helder. Echter, als er misbruik gemaakt wordt van een computer, is iedereen het snel eens: dát is cybercrime. Dat misbruik gaat gepaard met hacking of een besmetting door malware – de verzamelnaam voor programma’s die op computers heimelijk activiteiten uitvoeren achter de rug van de gebruiker om: virussen, wormen of Trojaanse paarden.

Hackers kunnen een netwerk aanleggen van besmette computers waar zij vanaf het internet toegang toe kunnen krijgen, een zogenaamd botnet. Daarmee kunnen ze activiteiten uitvoeren die meer computercapaciteit vergen, zoals het versturen van spam-mails of het uitvoeren van een Denial-of-Service (DoS)-aanval, waarbij een website tijdelijk onbereikbaar wordt omdat die te druk bezig is met de afhandeling van onzinnige, misleidende of misvormde verzoeken van het botnet.

De eenvoudigste vorm van hacken is het uitvoeren van hackingscripts om kwetsbare systemen op het internet te vinden en deze bijvoorbeeld te infecteren met malware, op te nemen in een botnet of te gebruiken om spam te versturen. Je ziet dan ook tijdens de schoolvakanties de hoeveelheid ontvangen spam omhooggaan.

Echte hackers houden zich hier niet mee bezig. Zij gebruiken steeds vaker geavanceerde technieken om diep door te dringen bij de waardevolle doelen. De makkelijk uitvoerbare aanvallen hebben nadelen: ze zijn ook eenvoudig te detecteren en hun functionaliteit is beperkt.

Deze klasse aanvallen wordt aangeduid met de term ‘advanced persistent threat’ (APT). Het geavanceerde aspect komt tot uiting in het feit dat de malware zich richt op een specifieke doel, zich functioneel kan aanpassen en complexe technieken gebruikt om niet gedetecteerd te worden. De aanval is ‘persistent’ in de zin dat de malware ontworpen is om voor lange tijd wekend te blijven. Hij blijft onopvallend maar regelmatig contact zoeken met een moederschip om verslag uit te brengen en nieuwe instructies op te halen. Op deze manier kan de besmetting over lange tijd onopgemerkt blijven en kan de hacker op basis van terugrapportage zijn strategie aanpassen en nieuwe instructies geven.

Ontwikkelingen in de markt

Het is natuurlijk wel zo dat cybermisdaad niet zomaar uit de lucht komt vallen. Wij hebben het criminelen de afgelopen jaren gemakkelijker gemaakt om ons aan te vallen door veel meer op en via het internet te doen. In een heel korte tijd heeft de hele wereld een aantal veranderingen doorgemaakt, zelfs nog na het realiseren van het internet als een universeel, alles verbindend netwerk:

  1. Mobiel dataverkeer, overal en altijd. In ruim een decennium is mobiel internet van een schaarse luxe uitgegroeid tot een algemene noodzakelijkheid. Daar waar de BlackBerry begon als verlengstuk van het zakelijk netwerk, kunnen velen, zeven jaar na de introductie van de iPhone, zich het leven zonder smartphone nauwelijks meer voorstellen. En de toegang is niet beperkt tot zakelijke interacties, het is vooral de persoonlijke belevingswereld van Facebook, Twitter en WhatsApp die de massa’s mobiel bezighoudt.
  2. Clouddiensten zijn hier een onlosmakelijk onderdeel van. In plaats van data zelf te bewerken en op te slaan doen we dat in grote, geaggregeerde databases die we via het internet benaderen. Denk aan Amazon, Dropbox, Marktplaats en PayPal, om er maar een paar te noemen. We denken dat onze data veilig zijn opgeslagen, zonder echt te weten wat de regels zijn, waar de data dan opgeslagen worden of waarom een gratis dienst ons dat allemaal aanbiedt.

Dus doen we financiële transacties over het internet. We kopen van partijen aan de andere kant van de wereld die we niet anders kennen dan via het internet. We zijn gewend in te loggen met een gebruikersnaam en wachtwoord en kiezen nog vaak ook hetzelfde wachtwoord bij vele partijen, want dat is zo makkelijk.

  1. We hebben een blind vertrouwen in het internet gekregen. Zodra we een slotje waarnemen in het browserscherm, ‘weten’ we dat het veilig moet zijn. En het is zo dat onder perfecte omstandigheden een TSL-verbinding inderdaad een veilige verbinding is. Er zijn echter zoveel kwetsbaarheden in de keten die nodig is om dat allemaal veilig te maken, dat we dat gewoonweg niet meer allemaal kunnen controleren.

 

De afgelopen jaren hebben we kunnen zien hoe meerdere certificate authorities (CA’s) met het schaamrood op de kaken moesten erkennen dat ze gehackt waren. Een prachtig Nederlands voorbeeld werd voor de wereld tentoongesteld: Diginotar was in een paar weken van een bloeiend bedrijf veranderd in een waardeloze, failliete boedel omdat het bedrijf zelf zijn eigen normen niet nakwam en het toezicht daarop ook gefaald had.

 

Maar pas op voordat je de zwarte piet richting de CA’s schuift. Het probleem is veel breder. Onderzoeker Moxie Marlinspike beschreef dit eerder al op zijn blog, maar veel verandering heeft dit nog niet gebracht. De certificate authorities zijn niet de enige schakel in de vertrouwensketen, en elke schakel is in principe kwetsbaar.

Cybercrimetrends

Cybercrime neemt inmiddels zulke vormen aan dat we niet meer hoeven te praten over de mogelijkheden van de manifestatie van cybercrime, maar kunnen overgaan tot trendanalyse van de misdaden die gepleegd worden. Het Verizon Data Breach Investigation Report is heel bekend. Een ander rapport is Symantec's Internet Security Threat Report. Hier volgen een aantal cybercrimetrends uit deze rapporten en ander nieuws.

Daar waar hackers jarenlang een erecode hadden en vooral hun activiteiten uitvoerden om op te vallen en roem te vergaren in hun kringen, voert nu vooral een misdadig motief de ondertoon. Informatie die verkregen wordt door hacking wordt verhandeld, aanvallen op websites kunnen gekocht worden. Er is een marktwerking ontstaan aan de donkere kant van het internet, waarbij activiteiten worden uitgevoerd op basis van een gedegen business case.

We vermoedden het al met Stuxnet en Duqu, maar inmiddels is het officieel bevestigd met Flame: overheden zijn in de cybercrime gestapt. Juridisch gezien is het misschien niet echt crime, maar er wordt wel geïnvesteerd in het maken en inzetten van malware voor strategische doeleinden. Het is gewoon een nieuw werkveld voor de aloude spionageactiviteiten. Door de onthullingen van Edward Snowden is het duidelijk geworden hoe omvangrijk de cyberspionageactiviteiten van de Amerikaanse geheime dienst NSA zijn.

 

 

Mountainbike op bospad

Symantec verklaarde antivirusscanners al dood. Dit ging wel heel ver, maar duidelijk was dat antivirus geen strategisch product meer is in de markt. Ook antivirusmaker F-Secure laat hetzelfde geluid horen. Hoe komt dit? Antivirusscanners werken met informatie die ze vertelt waar ze naar moeten zoeken. Ze detecteren een besmetting door te zoeken naar de unieke kenmerken van de besmetting in het geheugen of op de harde schijf. Als nieuwe malwarebesmettingen de ronde doen en de scandata zijn niet aangepast, zal de scanner de besmetting niet vinden. In de begindagen van de scanners werden de malwaredata niet vaak ververst, eens per maand was al veel. Tegenwoordig is dagelijks toch wel het minimum en wordt er vaak verschillende keren per dag gezocht naar een update. En dat is ook nodig: de malware komt steeds sneller in circulatie na het vinden van een kwetsbaarheid in een besturingssysteem of in een applicatie. De keten van het ontdekken van de malware, het identificeren van een unieke signatuur en het verspreiden van nieuwe scandata kan bijna niet meer verkort worden. Cybercriminelen hebben duidelijk een window of opportunity.

Het is echter nog een graadje erger voor de scanners: ze werken totaal niet tegen de gerichte aanvallen op kleine schaal. Het vinden van malware in de laboratoria van de producenten van antivirusscanners is een proces dat vooral berust op het veel voorkomen van de malware. Een gerichte aanval op kleine schaal, zoals ook Stuxnet had moeten zijn, wordt op zijn best pas na lange tijd gevonden. Flame bewijst het. Twee jaar na de zomer van Stuxnet wordt Flame pas gevonden. Eenmaal gevonden blijkt dat het een voorloper van Stuxnet is en het dus jaren onder de radar van de ontdekking heeft kunnen doorvliegen. Ook worden nog steeds grote kwetsbaarheden gevonden, die jarenlang onbekend waren, zoals Heartbleed - 2 jaar onopgemerkt. En hier zullen er alleen maar meer bijkomen.

Een goede ontwikkeling is dat bedrijven en overheden die te maken hebben gehad met een flinke uitbraak van een malwarebesmetting, nu veel sneller goed onderzoek laten doen naar wat er gebeurd is, waardoor er veel betere en structurele maatregelen genomen kunnen worden. Er zit een wereld van verschil tussen een snelle conclusie dat een beheerder verzuimd heeft een beveiligingsinstelling juist in te richten of de gefundeerde conclusie dat het ontbreekt aan beleid en architectuur die voorziet in een goed overzicht van alle beveiligingsinstellingen, waardoor een beheerder deze fout niet meer kan maken, of het in ieder geval snel opgemerkt wordt als hij deze fout maakt. Een bijkomstige ontwikkeling is dat hierdoor ook het marktaanbod van de dienstverlening op het gebied van forensisch onderzoek en penetratietesten kwalitatief stijgt.

Cybercrime is succesvol met het doorbreken van cryptografiebarrières. Flame kon zich voordoen als een legitieme software-update van Microsoft. Niet omdat het ook als zodanig door Microsoft was gemerkt, maar omdat een ander stuk software cryptografisch voor dubbelganger kon doorgaan omdat Microsoft hierbij het verouderde MD5 nog toestond. Dit is allemaal opgelost. Inmiddels wordt zelfs SHA-1 niet meer geaccepteerd, behalve een aantal uitzonderingen.

Verwijt echter de grote softwaremakers zoals Microsoft geen nalatigheid: vrijwel iedere TLS-verbinding wereldwijd gebruikte toen het ruim tien jaar oude TLS 1.0-protocol, dat een grote kwetsbaarheid bevat. Op papier hadden we in 2006 al TLS 1.2, maar niemand implementeerde het omdat het niet gebruikt werd – en het werd niet gebruikt omdat niemand het implementeerde. Klassieke catch 22. De cybermisdadigers weten dit en maken hier dus dankbaar gebruik van. Inmiddels ondersteunen de laatste versies van alle grote browsers en alle nieuwe server-certificaten TLS 1.2 en is versie 1.3 in de maak.

Malware duikt op waar de gebruikers zitten. Sinds jaar en dag heeft Microsoft een riante marktpositie wat betreft besturingssystemen en kantoorautomatisering; dat maakt dat traditioneel de malware ook deze platformen in het vizier heeft. Hier is echter een verschuiving aan het optreden. Daar zijn twee redenen voor aan te wijzen: Microsoft heeft het met zijn Trustworthy Computing-initiatief moeilijker gemaakt voor malwareproducenten om Windows en Office aan te vallen. Daarnaast zijn in de marktpositie van Microsoft verschuivingen aan het optreden door de opkomst van een nieuwe klasse gebruikersapparaten: de smartphones en tablets. Apple en Android hebben deze markt onderling verdeeld. Hierdoor zie je malware nu opduiken in breed gebruikte applicaties die niet onder een streng securityregime ontwikkeld worden (zoals Oracle's Java, Adobe Reader en Flash Player), en op nieuwe platformen, zoals Google's Android. De malwaregolf staat op doorbreken op mobiele apparatuur.

Wat kunnen we doen?

Als je dit allemaal op een rijtje zet, zou je kunnen concluderen dat de anarchie het heeft overgenomen op het internet. Zo erg is het echter nog lang niet. Maar het is wel belangrijk dat partijen op verschillende lagen hun rol goed invullen, zodat we een betere grip krijgen op cybercrime.

Overheden formuleren een cyberstrategie en richten eigen organisaties in om landelijk de problematiek van cybercrime op te pakken, zoals het NCSC. Dit is nodig, maar niet voldoende. Er is goede internationale afstemming en regie nodig om de grensoverstijgende aspecten aan te pakken. Binnen Europa is een cyber samenwerkingscentrum opgericht, the Hague Security Delta. Het is natuurlijk leuk dat Nederland hier als gastland mag optreden, maar laat het vooral een Europees karakter krijgen en zich richten op het scheppen van voorwaarden en controleren van regels, en laat de invulling van maatregelen over aan marktwerking.

Voorwaardenscheppend kan bijvoorbeeld zijn om een brede infrastructuur voor identificatie en authenticatie te bevorderen die voor burgers en bedrijfsleven (her)bruikbaar is. Er zijn op dit vlak nog tegenstrijdige belangen en daardoor blijven er voor ondernemers te grote risico’s over. Overheidsorganisaties die cybercrime moeten aanpakken, kunnen zich effectief richten op een gezamenlijke aanpak van de cybercrime die de samenleving zou kunnen ontwrichten, zoals levering van nutsvoorzieningen, het betalingsverkeer, de identiteitsfraude en andere privacygerelateerde zaken. Het NCSC rapporteert hierover in het Cybersecurity Beeld Nederland waarvan net weer een nieuwe editie is verschenen. De aanpak is nu nog te veel versnipperd, vooruitgang wordt echter geboekt.

Het bedrijfsleven moet zich vooral richten op het vooraf specificeren of inbouwen van voldoende beveiliging, in plaats van die reactief en achteraf toe te voegen, het zogenaamde 'building security in'. Twee verschillende aanpakken hiervan vinden we in de OWASP top-10 en het BSIMM model.

 

Helaas krijgt de kortetermijnvisie binnen bedrijven de overhand, met als gevolg dat beveiliging niet voldoende aandacht krijgt bij de inrichting. De filosofie lijkt wel te zijn dat er altijd tijd (en geld) te vinden is om iets over te doen in plaats van iets meteen goed te doen. Financiële instellingen en multinationals hebben hier al veel werk gedaan, maar nog steeds niet genoeg. Bij de minder grote bedrijven worden vaak nu pas de eerste structurele stappen gezet.

De burger c.q. medewerker kan ook zijn steentje bijdragen. Basiszaken zoals niet zomaar klikken op links in e-mails of niets geloven wat te goed klinkt om waar te zijn, zijn hopelijk al tussen de oren gepropt. Een punt waarop nog veel voortgang te boeken valt is dat je goed afweegt welke informatie je online beschikbaar maakt, welke diensten je gebruikt en wat je daar opslaat, welke wachtwoorden je wel of niet hergebruikt en waarvoor en hoe je die administreert.

Deel dit bericht via:Tweet about this on TwitterShare on LinkedInEmail this to someoneShare on FacebookShare on Google+Pin on PinterestPrint this page

Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten