Cyberspionage begint bij personeelszaken (interview)
In Nederland is er weinig aandacht voor cyberspionage, terwijl het ook Nederlandse bedrijven kan overkomen, aldus Roel Schouwenburg in een interview met Security.nl. Schouwenberg is een senior virusanalist bij het Russische anti-virusbedrijf Kaspersky Lab en houdt zich onder andere met gerichte aanvallen en advanced persistent threats (APT) bezig.
"Cyberspionage is al een tijdje een hot topic in Amerika, maar hier wordt het weinig genoemd." Het onderwerp draagt in de VS vooral een politieke lading, waarbij de schuld vooral bij één Aziatisch land wordt gelegd. "Maar vanuit een technische perspectief doet dat eigenlijk weinig ter zake", stelt Schouwenberg.
Bij het onderzoek naar gerichte aanvallen worden vaak kenmerken ontdekt die aan een bepaalde groep zijn toe te schrijven. Die kenmerken zijn echter ook weer door anderen te kopiëren, waardoor het lastig blijft om een bepaalde aanval aan een groep of land toe te schrijven. "Deze problematiek bij het toeschrijven van aanvallen wordt nog altijd onderbelicht."
Flash Player
Op dit moment ziet Kaspersky Lab onder andere exploits voor Adobe Flash Player die in Word- of Excel-bestanden verpakt worden. "Ze kiezen niet meer voor PDF, maar Flash wordt als aanvalsvector steeds populairder." Dat geeft volgens Schouwenberg aan dat de aangevallen bedrijven geen Office 2010 gebruiken. Office 2010 beschikt over een sandbox en veel van de gebruikte exploits werken hier niet in.
Een ander voordeel van het gebruik van Adobe Flash Player is dat ActiveX Flash voor Internet Explorer en Flash voor Firefox twee verschillende dingen zijn. In een bedrijfsomgeving met Firefox of Chrome kan het voorkomen dat internetgebruikers niet met IE surfen. Een verstopt Flash-bestand in Word of Excel zal echter met de ActiveX-versie worden uitgevoerd. "Bedrijven worden dus gehackt omdat ze een oude ActiveX Flash-versie hebben draaien", aldus Schouwenberg. Daardoor zijn ook oudere exploits tegen deze bedrijven effectief.
De virus-analist adviseert bedrijven om een kill-bit in te stellen, die zorgt dat Flash-content niet meer door Office wordt uitgevoerd. "Flash hoort eigenlijk niet thuis in een Office-document."
Aanvallers
De bij cyberspionage gebruikte exploits zitten vaak technisch knap in elkaar, maar tijdens het vervolg van de operatie laten de aanvallers soms nog wel wat steekjes vallen. Dat geeft aan dat er verschillende teams actief zijn, elk met een verschillend niveau van professionaliteit. "Zelfs bij zeer geavanceerde malware als Duqu worden foutjes gemaakt, zoals het niet goed configureren van een SSH daemon."
Zo geavanceerd als Duqu zijn de meeste aanvallen niet. "Off the shelf" malware zoals Poison Ivy blijft nog steeds populair. Ook doen de aanvallers weinig moeite om hun dataverkeer naar buiten te maskeren.
Personeelszaken
Personeelszaken is volgens Schouwenberg veruit het populairste doelwit voor aanvallers. "Niet omdat de aanvallers een interesse in de HR-afdeling hebben, maar omdat deze mensen geconditioneerd zijn om Word- en PDF-bestanden van wie dan ook te openen." Het kan dan gaan om nep-sollicitaties. "HR is een springplank voor verdere aanvallen. Vaak is het mogelijk vanaf de HR-computers ook andere machines in het netwerk te benaderen. Die netwerken zijn vaak niet gesegmenteerd, en ook als dat wel het geval is, dan beginnen ze met HR."
Er wordt vaak geadviseerd om kantoorpersoneel verminderde rechten te geven. Dat gebeurt nog niet altijd en als het al gebeurt, heeft het ook nadelen. Sommige updaters werken niet op accounts met verminderde rechten, waardoor software soms lange tijd ongepatcht blijft.
"Malware zoals Poison Ivy werkt volledig uit de temp directory. Dan heb je een probleem waarbij je verminderde rechten het probleem van kwaad naar erger maken." Java is bijvoorbeeld onmogelijk om onder verminderde rechten te updaten, aldus Schouwenberg.
Analyse
Experts stellen dat het bijna onmogelijk is om te voorkomen dat aanvallers een computer weten te infecteren. De beste manier om ze te detecteren is dan ook als ze de vertrouwelijke gegevens naar buiten proberen te sturen. "Een effectieve manier op dit moment, maar niet één die alles oplost", laat Schouwenberg weten. Er zijn gevallen bekend waarbij gegevens via ICMP-queries heel langzaam naar buiten werden gestuurd. "In veel gevallen hebben de aanvallers geen haast."
Overheid
Wat betreft de aanpak van cyberspionage verschilt dit per sector. Voor de kritieke infrastructuur vindt Schouwenberg dat de overheid hier moet instappen. "Het gaat om privébedrijven die een publiek belang dienen, maar ze beschikken vaak niet over een groot security budget. Daar zie ik helaas geen andere mogelijk dan dat de overheid ingrijpt." Het gaat dan om het opstellen van regels en richtlijnen. "Dat proces kan echter soms jaren duren." Vanwege die tijdsduur zijn sommige wetten en richtlijnen als ze operationeel worden alweer verouderd.
Een ander punt dat Schouwenberg hekelt is het boetebeleid. In sommige gevallen is het goedkoper om de boete te betalen dan het investeren in de veiligheid van systemen.
"Goed genoeg is niet langer goed genoeg", gaat de virusanalist verder. Veel bedrijven denken nog dat als ze maar iets beter beveiligd dan de buurman zijn, het allemaal wel zal meevallen. "Bij gerichte aanvallen werkt dat gewoon niet meer, omdat jij het doelwit bent en niet degene met de slechte beveiliging en dat is heel belangrijk om te realiseren."
maar nu dit ect een container terminal op de maasvlakte daar draaien ze nog xp.prof
nou zou je zeggen dat bestuurings systeem toch ook all oud is maar ja baas weet better?
ontvanger:
root@ontvanger:# tcpdump -l -i eth1 -A -n icmp and icmp[icmptype] = icmp-echo
verzender:
user@verzender:$ ping -p $(echo -n "geheimbericht" | hexdump -v -e '/1 "%02X"') IP_ONTVANGER -c1
NB: ping -p geeft aan 16 tekens voor de padding te accepteren, dit is dus de maximale berichtlengte per icmp-echo pakket
In het verleden lekte het bureau Step S. te Leiden CV's van kandidaten via hun portaal. Mijn complete CV met salaris was openbaar te lezen. En ik werd hierop geattendeerd tijdens een sollicitatie gesprek. En Step S had nog de arrogantie om te melden dat dit niet kon. Totdat ik de bewijzen liet zien.
Enfin psychologische assessment bureau en personal coach bedrijven hebben vele malen meer informatie die interessant is. Deze bedrijven hanteren de code van het Nederlands Instituut van Psychologen (NIP) zegt helemaal niets over beveiliging van informatie en hoe het bedrijf omgaat met jou informatie. (bewaartermijnen, toegankelijkheid van de informatie etc etc helemaal niets)
Mijn eigen ervaringen
- na een assessment krijgt mijn buurman in de straat het rapport over mij.
- ik ben geïnterviewd door een stagiair (psychologe in opleiding) die mijn informatie in haar scriptie wilde verwerken en of ik dit even wilde goedkeuren (awareness nul)
- bij een groot bureau in Utrecht, beginnend met een B en eindigt op Schot, lag al mijn informatie open ter inzage liggen op de balie. (van meerdere kandidaten tourwens) Op mijn vraag waarom dit zo was, handig voor de medewerkers. Totaal gene benul van privacy en zeker geen cleandesk!! Trouwens de test systemen van dit bureau zijn lek. Je kan met wat handige SQL injection antwoorden terug zien en aanpassen.
- veel bedrijven hebben tegenwoordig webbased test. Deze worden in de UK gehost. De privacy richtlijnen zijn daar kennelijk soepeler en hier moet je apart voor je toestemming geven. (NOOIT DOEN!)
Enfin wil je identiteitsdiefstal plegen ga dan naar de assesment bureau's groot en klein, ze zijn lek. Rook lekker buiten mee met de medewerkers. Want roddelen over kandidaten kunnen ze als geen ander. .... De veel geprezen NIP code is voor privacy en beveiliging een echte joke.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.