image

"Immuunsysteem nodig tegen staatshackers"

maandag 25 oktober 2010, 10:51 door Redactie, 8 reacties

Bedrijven en overheden moeten meer informatie over cyberaanvallen delen, anders wordt het lastig om door staten gesponsorde hackers af te slaan, aldus David Burg van PWC. Burg is het hoofd van 'forensic technology solutions' en verzorgt tijdens de Infosecurity beurs op 3 en 4 november in Utrecht de keynote over ontwikkelingen en trends in cybercrime. Hij verdeelt de grote aanvallen die vandaag de dag plaatsvinden in twee categorieën. De eerste categorie zijn zeer gerichte aanvallen op financiële dienstverleners, zoals banken. Tijdens de keynote gaat Burg dieper in op een hack bij een grote Amerikaanse instelling die vorig jaar plaatsvond.

Aanvallers wisten binnen dertig uur zo'n tien miljoen dollar op te nemen. De aanval begon met SQL-injectie, waardoor de aanvallers toegang tot het netwerk kregen. "Via zeer geavanceerde encryptie hardware wisten ze pinbloknummers van geldautomaten te reverse engineeren, en gebruikten die om pinpassen te klonen en via katvangers wereldwijd geld op te nemen." Volgens Burg is dit incident niet uniek en vinden er wereldwijd honderden soortgelijke aanvallen plaats. "Georganiseerd door dezelfde groep aanvallers." De PWC topman gaat vooral in op de technische aspecten van de aanval, welke code er werd gebruikt en toegepaste technieken.

Staatshackers
Het tweede deel van Burg zijn keynote gaat over aanvallen door staatshackers, die het zowel op Amerikaanse als internationale bedrijven hebben voorzien en vanuit economische motieven opereren. Hij gaat met name in op een aanval op een elektriciteitsbedrijf, maar wil niet zeggen wie erachter de aanval zit, vanwege de gevoeligheid van het onderzoek. "De aanvallers zochten informatie waardoor de Chinese energie-industrie wist waar een grote Amerikaanse energiemaatschappij wilde investeren." Het gaat niet om het ontregelen van de bedrijfsvoering, maar het geven van een economisch voordeel op de lange termijn aan concurrenten.

"Dit is geen FUD. Dit zijn strategische problemen die de bedrijfsvoering van elke organisatie kunnen ontregelen. Ook de bedrijfstop moet daarom het belang van beveiliging inzien en actief op de dreigingen en uitgaven inspelen." Burg benadrukt dat bedrijven security niet als een vervelende uitgave moeten zien.

De beveiligingstopman denkt niet dat staatshackers en aanvallers van financiële instellingen informatie uitwisselen of samenwerken. Binnen deze groepen wordt wel informatie gedeeld. Het gaat dan om de georganiseerde misdaad die informatie, tools en mensen uitwisselt. Bij staatshackers spreekt Burg van een 'methodologische machine'. "Bij de landen ligt de focus niet op de korte termijn, maar gaat het om langdurige strategisch campagnes waar jaren een zelfs decennia in worden geïnvesteerd." Volgens Burg vinden deze aanvallen niet alleen in de VS plaats, maar ook in Nederland. "Het gebeurt wereldwijd."

De vraag blijft wie er achter de aanvallen zit. China, Iran en Noord-Korea noemt Burg 'Bad Actors', "In werkelijkheid is het veel breder. Zonder twijfel zijn alle G8-landen betrokken, en zelfs kleine landen zoals Israël hebben hun eigen versie van hacken en aanvallen in de cyberoorlog die plaatsvindt. "

Als het gaat om aanvallen door landen is het lastig voor bedrijven om dit te voorkomen. "Maar dat betekent niet dat we bepaalde informatie niet moeten proberen te beschermen. Niets doen is onacceptabel. Iets slims doen is wat we adviseren." De eerste stap in dit proces is bewustzijn, aldus Burg. Een andere stap is de samenwerking met de overheid, iets wat al in de VS gebeurt.

Immuunsysteem
Daarnaast moeten bedrijven ook meer informatie over aanvallen delen. Doordat veel organisaties hun mond houden, kunnen aanvallers vaak meerdere keren met dezelfde aanval toeslaan. Burg vindt in dit opzicht Google een goed voorbeeld, doordat de zoekgigant begin dit jaar bekende door vermoedelijk Chinese hackers gehackt te zijn. "In plaats van stilte moet er een internationaal immuunsysteem komen, dat leert van eerder uitgevoerde aanvallen." Het is echter de vraag of bedrijven verplicht moeten worden om alle aanvallen te rapporteren. "Het voordeel van een meldplicht is het toegenomen bewustzijn, toegenomen publieke bewustzijn van aanvallen en heeft daarvoor meer bedrijven aangespoord om in informatiebeveiliging te investeren."

Toch lopen zelfs bedrijven met de best mogelijke beveiliging het risico om gehackt te worden. "Je moet daarbij het strafelement van een meldplicht afwegen tegen het feit dat iedereen te hacken is. Bij bedrijven die veel in beveiliging investeren, maar toch gehackt worden, vindt Burg het niet terecht dat ze via 'naming en shaming' gestraft worden.

Wil je meer informatie over het programma of je gratis aanmelden voor de beurs, ga dan naar Infosecurity.nl.

Reacties (8)
25-10-2010, 12:49 door Anoniem
mij lijkt het een strak plan als er realtime statistieken komen die voor iedereen zichtbaar zijn.
dan weet je waar het over gaat en kun je er iets mee.
en hoe weet je of er niet een sodemieter in je systeem zit als je scanners niks aangeven, behalve wat koekies dan?
zet er dus ook een oplossing bij.
en graag niet alleen van een bepaald merk.
25-10-2010, 14:49 door Anoniem
Een jaar geleden een wireless router van Atera (Israëlisch) aangeschaft. Om alle functies te kunnen laten werken was een soort patch nodig. De medewerker vroeg naar mijn ip-addres, zodat hij kon zien welke update er nodig was.
Altijd een beetje verdacht gevonden deze situatie. De router is zo'n embedded linux ding, en je weet niet wat ze er mee uitvreten.

Als het internet, en waar je mee aan het internet hangt zo brak en voor "iedereen" toegankelijk is, wie wil er dan straks nog gebruik van maken. Volgens mij zijn dit soort fratsen frustrerend voor een gezonde technologische toekomst.
25-10-2010, 17:08 door Anoniem
Bestaat niet,krijgen ze nooit voor elkaar,hacken kan altijd,alleen soms kan er jaren over gedaan worden voordat er een bepaalde code gekraakt kan worden,en soms is het al binnen een korte tijd raak.
25-10-2010, 17:40 door spatieman
staatshackers, tss.
china heeft er genoeg in dienst.
25-10-2010, 18:47 door Unit 10 Forensics
Wat moet je op een securitybeurs waarbij ze het aanmeldproces met een MD5 gehasht certificaat beveiligen? :-)
25-10-2010, 20:47 door Anoniem
ICT is nog steeds nieuw.Stel maar protocollen op
waar bedrijven eraan moeten houden om hun netwerk te beveiligen. Dit moet eerst worden goedgekeurd
en dan pas kan een website met gebruikergevoelige informatie online. Ze moeten minimaal iedere maand gecheckt
worden. Iets dergelijks moet gebeuren om dit 99% te bestrijden.
25-10-2010, 21:01 door Bitwiper
Door Unit10:
Wat moet je op een securitybeurs waarbij ze het aanmeldproces met een MD5 gehasht certificaat beveiligen? :-)
Da's inderdaad een minnetje, verder lijken ze alles redelijk voor elkaar te hebben, zie https://www.ssllabs.com/ssldb/analyze.html?d=www.databadge.net.

PS als ik met Firefox naar http://www.infosecurity.nl/nl-NL/Bezoeker/Gratis%20registreren.aspx ga werkt de button "Vraag hier uw gratis toegangsbadge aan" niet (zelfs niet als ik NoScript op "Allow Scripts Globally" zet). MSIE werkt "natuurlijk" wel. Zien jullie dit ook?
25-10-2010, 21:55 door Anoniem
't Zal wel met de een of andere vage javascript-based IE fix te doen hebben, o.i.d. Hoe dan ook, de link waar de button naar wijst heb ik uit de broncode gevist: https://www.databadge.net/ifsec2010/reg/ifs/. NB, er zat niet eens javascript-code direct aan de tag gekoppeld; sterker nog, de enige attributen waren target en href, met target=_blank
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.