Volgens Alan Paller, directeur van het gezaghebbende SANS Instituut, heeft de Chinese overheid op grote schaal databases van Westerse overheden en bedrijven geïnfiltreerd. Paller vindt dat we onze beveiliging fors moeten opvoeren ‘to find the enemy within’. Hij geeft deze dreiging een prominente derde plaats in de top 10 van bedreigingen voor 2008, nog boven aanvallen door eigen medewerkers (op 5) en spyware (op 7).

Dit is nogal een boude bewering. Als – zoals het dogma luidt - 80% van de aanvallen van de eigen medewerkers komt, moet de Chinese bedreiging fenomenaal groot zijn. Ter onderbouwing voert Alan Paller de volgende ‘smoking guns’ aan:
1: in de logs zie je dat de aanvallers niet, zoals gebruikelijk, veel typefouten maken.
2: het massale en repetitieve karakter van de aanvallen. ‘This is not amateur hacking. They are going back to the same places 100 times a day, every day. This kind of an effort requires a massive amount of money and resources.’

Het verhaal sluit mooi aan op de aanhoudende reeks berichten op dit vlak. De Amerikaanse overheid vroeg in november $154 miljoen extra aan, voor een 7-jarig programma om de eigen kwetsbaarheid te verminderen. Zo moeten in het kader van het Einstein project 2.000 experts toegevoegd worden aan US-CERT, die voltijds de koppelvlakken van de overheid naar het Internet in de gaten gaan houden. Dit gaat in 2008 $115 miljoen kosten. Het aangevraagde budget lijkt zwaar onvoldoende – alleen als je de experts beroerd betaalt (voor $57.500 bruto krijg je weinig specialisten) en bovendien een organisatie opbouwt zonder enige overhead, zou het misschien kunnen. Bovendien moeten ze van dit geld ook nog 2.000 internetconnecties samenvoegen tot 50. Een prima maatregel, maar bepaald niet gratis.

Congresleden hebben hun zorgen geuit over de privacyrisico’s en hun verwondering uitgesproken over de afwezigheid van details in het voorstel. Zo te zien zijn de details echter niet weggelaten maar gewoon nog niet ingevuld, omdat het hele plan helemaal niet doordacht is. De aanvraag maakt deel uit van een totaal budget van $ 436 miljoen voor cybersecurity, de toegekende extra 154 miljoen wordt onder andere gefinancierd door korting op de hulp aan veteranen, korting op hulp aan Katrinaslachtoffers en uit de opbrengsten van olie uit Irak.

De omvang van het cybersecurityprobleem werd afgelopen week nog onderstreept door de U.S. Director of National Intelligence (DNI) Mike McConnell in The New Yorker. Volgens de DNI signaleert het Amerikaanse ministerie van defensie dagelijks ongeveer 3 miljoen aanvallen, het state department ongeveer 2 miljoen. Cybersecurity heeft van de DNI bij de verschillende inlichtingdiensten de hoogste prioriteit gekregen. Volgens de DNI is het aantal aanvallen uit China sterk toegenomen de afgelopen maanden, terwijl de aanvallen uit Rusland op het niveau van de koude oorlog zitten. Volgens Ed Giorgio, een security consultant verbonden aan de NSA, heeft China 40.000 professionele hackers in dienst om de VS en haar bondgenoten aan te vallen. McConnell meent dat het grootste probleem niet de beveiliging van de overheid zelf is, maar de beveiliging van bedrijven. SANS beweert dat China en andere landen terabytes aan informatie gestolen hebben in 2007 en Paller verwacht dit jaar een verdere toename. De Chinese overheid noemt deze beschuldigingen overigens potsierlijk.

SANS beschrijft als ‘attack of choice’ spear-phishing, e-mail met attachments die zich uitgeven als zijnde afkomstig van een betrouwbare bron. Daarbij wordt misbruik gemaakt van zwaktes in MS-producten en van methodes om virussen te verbergen voor scanners. Bij de gesignaleerde enorme aantallen aanvallen tellen e-mailtjes dus mee. Het gebruik van gerichte fishing zou de meest gangbare methode zijn omdat het zo eenvoudig en doeltreffend is. Nu bevat 80 – 95% van alle e-mail dergelijke zut. Zoals ik vorig jaar al beargumenteerde heb je daar geen militaire organisatie voor nodig en hoeft een dergelijke aanval, hoe gericht ie ook overkomt, helemaal niet gericht te zijn.

Oplossingen voor dit type aanvallen zijn overigens prima uitvoerbaar. Bijvoorbeeld door alleen attachments toe te staan die voldoen aan bepaalde regels – zoals whitelisting van controleerbare en onmisbare bestandstypen. Een interessante technische tool hiervoor is een magic byte filter: daarmee kieper je alle bestanden die voorgeven iets anders te zijn dan ze zijn, gewoon weg. Dit magic byte filter is noodzakelijk voor whitelisting, omdat je anders alleen op extensie kunt filteren en dat helpt niet zo veel. Een kleine kanttekening is hierbij op z’n plaats – ook vertrouwde bestandstypen kunnen zwaktes bevatten zoals MS bewees door de ondersteuning voor oudere Office varianten te laten vallen.

Als je een waarschijnlijk doelwit voor Chinese spionnen bent moet je de e-mailbescherming dan ook verder aanscherpen, bij voorkeur door alleen attachments door te laten van vertrouwde mailadressen. Als je slim bent doe je dit voor hele domeinen en niet voor individuele adressen, want anders blijf je intikken. Natuurlijk kan een aanvaller afzenders spoofen, maar dit laat zich op meerdere manieren ondervangen, waarvan DomSec m.i. de mooiste en simpelste is – berichten worden ondertekend door de verzendende mailserver en uitgepakt door de ontvangende mailrelay in je perimeter. Heb je en passant ook je mail over Internet tegen meelezen beveiligd. Daarvoor hoef je geen enkele versleuteling ín je netwerk toe te laten of moeilijke migraties te doen, terwijl je tóch een hoge mate van zekerheid hebt omtrent je trusted sources. Natuurlijk, als een aanval vanuit een vertrouwd netwerk komt is er een slagingskans, maar zonder deze maatregel heeft iedere aanval uit ieder willekeurig domein die slagingskans.

Gewone vormen van e-mailversleuteling als PGP en S/MIME maken allerlei beveiliging zoals Antivirus kansloos. Bovendien moet je dit op heel veel plekken tegelijk inzetten (denk aan mailarchieven), en dat is een prijs die je met DomSec niet hoeft te betalen. Het bestaat al geruime tijd maar wordt toch slechts mondjesmaat toegepast. Waarschijnlijk is deze oplossing té simpel en té eenvoudig te implementeren om interessant te zijn. Veel mensen hebben liever DNSSec, maar dat kun je niet zelf Internetbreed regelen. DNSSec geeft je een prima excuus om veel te overleggen, maar je kunt er feitelijk niets mee.

Een puntje van deze aanpak is natuurlijk het kostenaspect: DomSec vraagt het uitwisselen van PKI-certificaten met allerlei partijen en dat moet je inrichten en onderhouden. De kosten kunnen best meevallen – je hoeft daarvoor geen certificaten te kopen. Immers, je communiceert in dit scenario niet met onbekende partijen, wat de raison d’etre is van een reguliere PKI. Een groot voordeel, want als je ze zelf bakt word je ook niet verrast door allerlei critical extensions waar je niets aan hebt, behalve sores. Maar ja, je PKI zelf doen geldt als iets dat je aan gespecialiseerde firma’s moet overlaten, omdat het anders onbetaalbaar zou zijn. En die firma’s komen weer met certificaten aan die alleen in de meest simpele scenario’s te gebruiken zijn. Als je dan toch besluit om infrastructurele certificaten zelf te bakken is er vast een auditor die je met ETSI 101 456 om de oren slaat. De koers is simpel: laat de boel onveilig, of tem de auditor en bak ze lekker zelf.

Whitelisting is arbeidsintensiever dan blacklisting, dat alles doorlaat en alleen tegenhoudt wat de beveiliging toevallig kan onderscheppen. Blacklisting is voor de organisatie op termijn een recept voor rampen. Alles wat versleuteld is, kan gewoon door en als de Chinese spion nostalgisch aangelegd is, gebruikt ie vast wel één of andere crypto. Een hybride opzet waarbij je bij alle niet-vertrouwde domeinen whitelist en de vertrouwde domeinen blacklist maakt e-mail beveiliging wel hanteerbaar, lijkt me.

Het lastigste aan whitelisting is het grote aantal bestandsformaten van minder gangbare programma’s. In veel organisaties is e-mail feitelijk de opvolger van FTP en wordt gebruikt om bestanden uit te wisselen van allerlei soorten en maten die je niet met een magic byte filter kunt herkennen en dus op extensie moet doorlaten. Je kunt je afvragen of dit heel erg is – een bestandextensie die een systeem niet snapt, kan nooit leiden tot een op dat systeem uitgevoerde aanval. Het wordt lastiger als je een custom product gebruikt dat een .XLS extensie gebruikt maar niet excel compatible is. Maar meestal zie je .000 of .ZUT extensies, en daar kan Windows echt geen chocola van maken. Zo lang je dat tenminste niet zo ingesteld hebt. Je moet je computer dus niet vertellen om .ZUT bestanden altijd met Powerpoint te openen of zo. In een normale opzet gebruik je alleen whitelisting voor bestandstypes die silent execute dan wel anderszins default begrepen worden door je standaard OS.

Verkeer van custom applicaties onttrekt zich op dit moment toch al aan iedere vorm van inspectie. Mochten er onverhoopt geen exploiteerbare gaten in Windows of Office meer zitten, zullen ‘kleinere’ bestandstypen een nieuwe aanvalsvector voor gerichte aanvallen vormen. Hoe je het ook wendt of keert – als je veel verschillende systemen hebt, heb je veel kwetsbaarheden en is de beveiliging tegen aanvallen arbeidsintensief. En als je bovendien weinig gangbare spullen gebruikt, verminder je het risico van ongerichte aanvallen omdat er geen standaard gaatjes in zitten. Maar je verhoogt juist weer het risico op succesvolle gerichte aanvallen door enge spionnen, omdat specialisten die er een exploit voor gaan maken bijna altijd raak zullen schieten.

Het sluitstuk van een wat zinniger beveiliging is outbound filtering. Er zijn nog verrassend (of schokkend) veel organisaties die alleen binnenkomend verkeer in de gaten houden. Dit is echter een kritieke verdedigingslinie: als je een rootkit via de e-mail naar binnen hebt gekregen moet deze uitgaande sessies opbouwen om z’n verderfelijke werk te kunnen doen. Nu gaan deze sessies veelal over http of https, maar dit betekent niet dat je er niets tegen kunt doen. Een beetje webproxy kan ook filteren, en daarmee kun je deze deur heel wat verder dichttimmeren. Het scannen van https is ook geen probleem zolang je https überhaupt scant en niet blindelings doorlaat. Een Trojan die een covert channel over bijvoorbeeld DNS opent zou net zomin een probleem mogen zijn als je je enigszins verdiept in je firewall. De vectoren die de Chinezen volgens SANS zouden gebruiken mogen voor een beetje beveiligde organisatie dan ook écht geen probleem zijn.

Laten we even teruggaan naar de genoemde ‘smoking guns’ van Paller. Als belangrijke aanwijzing wordt genoemd dat de gebruikelijke typefouten niet opduiken in de logs. Nu ben ik benieuwd over welke logs hij het heeft. Als de primaire aanvalsvector e-mail is, dan zul je geen kromme commando’s in je IDS-log aantreffen, zelfs niet naar je mailserver. Immers, je mailserver accepteert verkeer van allerlei domeinen dus er is geen restrictie die je moet omzeilen. Typefouten zie je bij probing van webservers en database servers. Deze smoking gun heeft dus op z’n best een relatie tot minder belangrijke en minder frequente aanvallen. Als die 40.000 Chinese hackers enkele honderdduizenden e-mailtjes per dag versturen, hebben ze een luizenbaantje. Een beetje spammer doet dat makkelijk in z’n eentje. (Waar kan ik solliciteren?)

De tweede smoking gun is de frequentie en herhaling van de aanvallen, tot maar liefst enkele honderden keren per dag, wat een gewone hacker niet zou kunnen. Als het een e-mailaanval betreft is een simpele ‘resend’ voldoende, en dat doet je mailserver vanzelf. Deze smoking gun gebruikt volgens mij rookloos kruit – hij rookt niet. In mij komt het angstige vermoeden op dat onze leiders en beschermers het niet helemaal begrijpen.

Gaan ze het dan beter doen? Ze gaan 2.000 man extra inzetten. Dat is goed. Die tweeduizend specialisten waar nu budget voor vrijgemaakt zou zijn kunnen de belangrijkste gaten dichten, de infiltraties opsporen en uitsnijden en het aantal kwetsbare koppelvlakken verminderen. Maar dat gaan ze mooi niet doen, ze worden toegevoegd aan project Einstein, dat houdt de gaten in de gaten.

Een mooie verdere indicatie van de ernst en kunde van onze beschermers is de opmerking dat het gesignaleerde aantal aanvallen uit Rusland ‘op Koude Oorlogsniveau’ is. Jongens, jongens, denk eens éven na. Vertel je ons nu werkelijk dat Rusland evenveel digitale aanvallen doet als zeg maar tijdens de Cubacrisis, de Berlijnse blokkade of de Olympische Spelen van Moskou? Of is de koude oorlog een aantal jaren geleden opnieuw uitgebroken, en zijn ze vergeten dat aan ons te vertellen? Ik hoor hier toch eerder een manager die z’n budget en mandaat wil vergroten door de Russen erbij te halen, dan een specialist die waakt over uw en mijn veiligheid. Maar ach, met zo’n evident te laag budget is dat normaal gesproken wel vergeeflijk. Als je SANS of de DNI bent is de gecreëerde paniek echter besmettelijk.

Mijn conclusie: als de officiële berichten over de aanvalsvectoren waar zijn, is het mogelijk om met relatief eenvoudige middelen die al jaren bestaan de gaten te dichten. Dat betekent dat we de afgelopen jaren ons werk niet goed hebben gedaan en ons met de verkeerde dingen hebben beziggehouden. Aangezien het verhaal van de autoriteiten aan alle kanten rammelt en ze blijkbaar geen idee hebben waar ze mee bezig zijn, wat dat kost of hoe dat moet, zullen we ons werk ook de komende jaren niet goed gaan doen. Als de Chinezen er al zijn, zoals SANS volhoudt, dan kunnen ze tot in lengte van dagen hun gang gaan. Want dat half miljard dollar is in dat geval een druppel op een gloeiende plaat. Maar goed, met een dergelijke leiding is iedere dollar weggegooid geld. De enige andere logische verklaring voor het hele verhaal is dat het van A tot Z verzonnen is om iemand z’n winkeltje te sponsoren. Maar dat zal toch wel niet? Toch?

Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter