Christian Jongeneel
Hackers houden zich niet aan wetten, hun tegenstanders wel. Dat zet de laatsten op achterstand als het gaat om de middelen die ze kunnen inzetten. Wanneer ze dan ook nog slecht samenwerken, vechten ze tegen de bierkaai. Dat bleek uit het jaarlijkse congres van computerbeveiligers, waar TW bij aanschoof.
Net toen de ransomware WannaCry op zijn hoogtepunt was, halverwege mei, kwam de Nederlandse computerveiligheidgemeenschap in Den Haag bijeen voor het jaarlijkse congres. WannaCry, dat zich in de dagen daarvoor razendsnel verspreidde en onder andere ziekenhuizen in het Verenigd Koninkrijk had platgelegd, werd aangevoerd als bewijs hoe groot de cyberdreiging is. ‘De ontwikkelingen gaan razendsnel, we moeten iets doen!’
Deze ontnuchterende woorden kwamen van Mikko Hypponen, hoofd onderzoek van de Finse producent van beveiligingssoftware F-Secure. ‘WannaCry doet me denken aan de wormen die we rond 2002 zagen. Die verspreidden zich ook razendsnel zonder menselijke tussenkomst. Er is een reden waarom we dit zo lang niet gezien hebben: cybercriminelen hebben geen baat bij zo’n grote verspreiding, want dat trekt de aandacht. Tot nu toe hebben ze $ 78.000 verdiend, blijkt uit hun bitcoin-rekeningen. Ze hebben dus buitenproportioneel veel schade aangericht voor weinig geld.’
Het wijst erop dat achter WannaCry niet de meest professionele groep hackers zit. Die gaan namelijk subtieler en lucratiever te werk. De echte dreiging gaat uit van hackers die zo veel mogelijk buiten beeld blijven. Een geavanceerde aanval op de centrale bank van Bangladesh leverde computercriminelen vorig jaar ruim € 72 miljoen op.
Dat een ouderwetse overvaltactiek als die van WannaCry nog steeds systemen plat kan leggen, zegt iets over de staat de computerbeveiliging, zegt Greg Day, hoofd beveiliging van Palo Alto Networks, een leverancier van netwerkbeveiligingsproducten. ‘De gemiddelde toolkit kost € 1.240. Daarmee knipt en plakt de hacker een virus bij elkaar. Met een aanval verdient hij door de bank genomen € 25.704. We hoeven het hackers maar een beetje lastiger te maken om hun businessmodel te ondermijnen.’
Het grote probleem is gebrekkige samenwerking, meent Day. Professionals in het vakgebied bieden tegen elkaar op, waardoor veel werk dubbel wordt gedaan. Slachtoffers, met name grote organisaties, houden zo’n vernederende hack liever stil dan dat ze hun ervaringen delen ter lering voor anderen. Voor zover er informatie gedeeld wordt, gebeurt dat vaak op vertrouwensbasis. Dat schaalt niet. Zodra er meer dan pakweg tien partners in een netwerk zitten, is het onmogelijk dat iedereen elkaar op hetzelfde niveau vertrouwt.
Day: ‘Organisaties denken vaak dat het alles of niets is bij informatie delen. Dat klopt niet. Je kunt kiezen wat je deelt en hoe. Of met wie. Ik hoor bijvoorbeeld vaak dat informatie de Europese Unie niet mag verlaten. Dat kun je regelen. Je kunt ook data zodanig abstraheren dat je kennis deelt zonder jezelf bekend te maken.’
In het Verenigd Koninkrijk is inmiddels een structuur opgezet om informatie real-time op vertrouwelijke basis te delen: het Cyber Security Information Sharing Partnership. Het kreeg veel lof voor zijn rappe reactie op de WannaCry-crisis, wat erger voorkwam.
Days werkgever Palo Alto is met onder andere Intel en Symantec betrokken bij een ander initiatief, de Cyber Threat Alliance. Daarin werken bedrijven samen om bedreigingen te analyseren. Een van de grootste successen tot nu toe is de bestrijding van CryptoWall, ransomware waaraan de makers meer dan € 268 miljoen verdienden. ‘CryptoWall 3.0 was er in duizenden varianten’, vertelt Day. ‘De traditionele manier van een vingerafdruk maken van het virus en dat detecteren, werkt dan niet meer. We hebben geïnventariseerd wat de daders allemaal nodig hadden: besmette sites, de malware zelf, phishing mails, bitcoin-accounts. Daaruit kwam een patroon van activiteiten voort dat onafhankelijk was van de malwarecode. Toen Cryptowall 4.0 uitkwam, kenden we het patroon en hadden we een bestrijdingstool klaarliggen.’
Ook wetgeving speelt een rol bij het delen van informatie. Op dit moment kent Nederland al een meldplicht bij datalekken. Met de Wet gegevensverwerking en meldplicht cybersecurity, die in de maak is, komt daar een beperkte meldplicht voor hacks bij. De wet geldt alleen voor bedrijven die belangrijk zijn voor de nationale infrastructuur, zoals water- en energieleveranciers, en dan alleen voor hacks die de continuïteit van de dienst bedreigen.
Op Europees niveau treedt in mei 2018 de General Data Protection Regulation (GDPR) in werking. Die regelt de privacyrechten van Europese burgers, maar daar horen ook fatsoenlijke bescherming tegen datalekken en een meldplicht voor als het toch fout gaat bij. Er kunnen boetes tot 4 % van de omzet worden opgelegd aan bedrijven die slordig met persoonsgegevens omgaan. In potentie lucratief voor hackers, waarschuwt Hypponen van F-Secure: ‘Hackers hebben vaak geen idee wat de data die ze gestolen hebben waard zijn. De ene keer vragen ze een paar honderd dollar, de andere keer miljoenen. De GDPR geeft ze onbedoeld een richtlijn. Reken erop dat de prijs van hacks omhoog gaat. Als je 2 % van je omzet moet afdragen om een boete van 4 % te voorkomen, wat doe je dan?’
Vorig jaar vaardigde de Europese Commissie ook al het Directive on Security of Network Information Systems uit, regelgeving die bedoeld is om de cyberveiligheid in alle Europese lidstaten op hetzelfde niveau te krijgen. Die harmonisatie is welkom, maar lost niet het fundamentele probleem op dat opsporing van criminelen een nationale zaak is. Ook op internet mogen politieagenten niet zomaar onderzoek over de grens doen. ‘Eigenlijk hebben we een verdrag nodig dat bepaalt onder welke omstandigheden cyberagenten iets mogen doen’, zegt de Leidse onderzoeker Jan-Jaap Oerlemans. ‘Maar dat wordt lastig, want zelfs binnen de EU hebben landen totaal verschillende ideeën over de rechten van verdachten.’
Het eerste internationale verdrag om cybermisdaad tegen te gaan, de Budapest Convention on Cybercrime, is nog altijd niet getekend door grote landen als Rusland, China en Brazilië. Het is dus een illusie om te denken dat overheden het op wereldniveau eens zullen worden over de bestrijding van cybercrime.
Dat legt de bal des te meer neer bij het bedrijfsleven. Om frustrerende machteloosheid aan te pakken, moet de ict-industrie beter nadenken over haar ethische standaarden, stelt onderzoeker David Dittrich van de University of Washington: ‘De overheid kent op vele niveaus ethische standaarden om terug te slaan bij cyberaanvallen. Het strafrecht is anders dan het militaire recht, bijvoorbeeld. Beveiligingsbedrijven hebben echter helemaal geen standaarden. Hoogstens worden ze in hun handelen beperkt door het strafrecht.’
In cyberspace heeft de overheid bovendien helemaal geen middelen om te voorkomen dat een burger slachtoffer wordt van een misdrijf, betoogt hij. ‘Dat is aan de bedrijven. Ook de mogelijkheden tot vervolging van daders is beperkt, mede omdat er een geringe aangiftebereidheid bestaat. Het is dus helemaal niet gek om van beveiligingsbedrijven te verwachten dat ze standaarden ontwikkelen over wat wel en niet mag. Ook is er een vorm van coördinatie nodig, om te voorkomen dat bedrijven elkaar dwars zitten.’
Bedrijven worstelen met de materie. Het neerzetten van een honeypot, een bewust kwetsbare computer om malware mee te lokken, is gemeengoed, al zou je het een vorm van uitlokking kunnen noemen. Gebruikers machtigen virusscanners om wijzigingen op hun pc aan te brengen, dus dat mag ook. Maar wat als een pc kwetsbare software bevat die je geen malware kunt noemen (omdat deze ook voor legitiem gebruik wordt ingezet) maar die de pc wel instrueert spamberichten naar andere computers te sturen en zo onderdeel van een botnet maakt? Microsoft besloot in 2013 dat het dergelijke software mocht uitschakelen en haalde zo het Sefnit-botnet neer.
Dat riep de vraag op hoe ver Microsoft mag gaan. Het bedrijf kan in principe immers iedere op Windows draaiende pc volledig overnemen. Het voelt beter als Microsoft dingen doet in samenspraak met anderen. Toen Microsoft in 2015 samen met de FBI, Interpol, Europol en beveiligingsbedrijf Eset het Dorkbot-netwerk ontmantelde, klonk er uitsluitend applaus. Samenwerking verhoogt niet alleen de effectiviteit maar ook de legitimiteit van acties.
Kortom, men beseft wel degelijk dat samenwerking nodig is om cybercriminelen de voet dwars te zetten. Aan middelen ontbreekt het evenmin. Maar het uitlijnen van alle nationale en commerciële belangen is een heidens karwei. Hackers zijn de lachende derden.
