Bedrijven die niet het slachtoffer van hacktivisten als LulzSec en Anonymous willen worden, doen er verstandig aan om een Google Alert in te stellen. Dat adviseert Tal Be'ery, hoofd web research bij beveiligingsbedrijf Imperva, in een interview met Security.nl. Het bedrijf publiceerde onlangs een analyse van een aanval door Anonymous die succesvol werd afgeslagen. Vervolgens dreigde Anonymous Imperva aan te vallen omdat het informatie over het hackerscollectief had verzameld en daardoor in de toekomst een mogelijke dreiging zou kunnen worden.

Het bedrijf ontdekte de voorbereidingen middels een Google Alert dat het op de eigen naam had ingesteld. Volgens Be'ery zijn aanvallen door dit soort organisaties het risico van het vak. "We zijn ons ervan bewust en hebben ons voorbereid." Of de aanval ook daadwerkelijk zal plaatsvinden is volgen Be'ery onduidelijk. "Ongeacht deze specifieke situatie zijn we voldoende beveiligd."

Specifieke details wil hij echter niet geven. "We hebben ons eigen rapport gelezen en wisten dat dit zou kunnen gebeuren." Hoewel er door sommigen over de technische kwaliteiten van Anonymous en LulzSec is getwijfeld, neemt Be'ery de dreiging niet licht op.

Aanvallen
Wat betreft aanvallen op bedrijven zijn het volgens de beveiligingsexpert zowel spear phishing-aanvallen als SQL Injection waar bedrijven voor op hun hoede moeten zijn. In het geval van Anonymous vinden de meeste aanvallen via SQL Injection plaats, waarbij de aanvallers toegang tot de databases krijgen en de daar gevonden gegevens openbaren. Volgens Be'ery hebben SQL Injection-aanvallen als grote voordeel dat aanvallers meteen toegang tot de gegevens krijgen, in tegenstelling tot spear-phishing, waarbij een langere campagne nodig is.

Bij spear-phishing sturen de aanvallers op maat gemaakte e-mails met kwaadaardige bijlagen of links. Zodra het slachtoffer die opent wordt er een beveiligingslek in bijvoorbeeld Adobe Reader gebruikt om malware te installeren. De voorbereiding en uitvoering van dit soort aanvallen is veel langer.

Scriptkiddies
Wat betreft de kennis en expertise van Anonymous gebruikte de groep bij de laatste aanval "off the shelf" software. Kant en klare aanvalstools. Dit hoeft volgens Be'ery niet op het ontbreken van de benodigde kennis te duiden. "Het is gewoon de meeste kosteneffectieve manier. Dit soort tools weten vaak in korte tijd resultaat te krijgen. De tools die ze gebruiken zijn gewoon goede tools." Het gaat dan andere om vulnerability scanners die naar kwetsbaarheden zoeken.

Boodschap
Onlangs werden verschillende kopstukken van hackerscollectief LulzSec opgepakt. Dat hoeft nog niet het einde van de groep te betekenen. "Bij dit soort organisaties is het een komen en gaan van mensen", merkt Be'ery op. "Sommige hebben meer talent, andere weer minder." Hij is wel blij met de actie van de FBI, omdat het hacktivisten een boodschap stuurt dat hun gedrag niet ongestraft blijft.

"Dit toont potentiële hackers dat ze hun carrière door dit soort acties in gevaar kunnen brengen. Slimme, technische jongens die zich vanwege de intellectuele uitdaging tot dit soort activiteiten voelen aangetrokken, zullen door deze arrestaties op afstand blijven. Het is duidelijk dat justitie dit soort zaken serieus neemt."

Bewustzijn
Door de acties van LulzSec en Anonymous is de veiligheid van websites en applicaties vaak in het nieuws geweest. "In alle slechte dingen zijn ook goede zaken te vinden. Ze hebben wel laten zien dat webapplicaties kwetsbaar zijn." Het bewustzijn bij bedrijven als het gaat om de veiligheid van websites en webapplicaties groeit langzaam.

"We moeten beseffen dat dit een nieuw gebied is. Virussen hebben we al sinds de jaren 1980 en netwerkaanvallen sinds de jaren 1990. We hebben dertig jaar ervaring met virussen en twintig jaar met netwerkaanvallen. Websecurity begon zo'n tien jaar geleden." Iedereen weet inmiddels dat hij een virusscanner en firewall nodig heeft.

Be'ery denkt dat hetzelfde bewustzijn over een paar jaar ook voor websecurity zal gelden. "Ik ben positief over de toekomst. Het bewustzijn groeit, maar het kost tijd. Bedrijven worden langzaamaan volwassener als het om websecurity gaat, helaas nog niet snel genoeg."