Een hacker kan heel Nederland platleggen

We sluiten deze week, die geheel onverwacht de week van de hacker, cracker en scriptkiddie is geworden, af met een geruststellend idee.

Eén hacker is in staat heel Nederland plat te leggen. Dat kan door in te breken in computernetwerken en bijvoorbeeld sluizen te openen, met overstromingen tot gevolg (bron).

Ook hier hebben we het gelukkig weer over een hacker die dit kan doen. Er wordt met geen woord gerept over een scriptkiddie…maar geloof me. De meest simpele aanvallen worden nu juist gepleegd door een scriptkiddie (omdat die immers niet weet wat hij doet). Geloof het of niet. Ook hackers en crackers hebben zo hun codes en ze hebben de balen van scriptkiddies die die code niet kennen of overtreden.

Overigens is dit niets nieuws want een aantal maanden geleden was er al van alles te doen om sluizen die met een simpel wachtwoord “beveiligd” waren, maar het sluit deze week natuurlijk wel erg mooi af en onderstreept de noodzaak van informatiebeveiliging.

Het is nu alleen nog wachten op een structurele aanpak. Veel organisaties hebben de afgelopen jaren flink bezuinigd op informatiebeveiliging. Daar lijken ze nu van terug te komen en informatiebeveiliging is ineens topprioteit waar zelfs het hoogste management zich tegenaan wil bemoeien. Maar als we dan toch de aandacht van het hoogste management hebben: mogen we dan ook alstublieft opteren voor die proactieve en structurele aanpak die nodig is en niet de reactieve aanpak die we nu volgen? Dat zorgt er niet alleen voor dat we beter beveiligd raken maar voorkomt ook dat we bakken met geld in de put scheppen.

Er zijn budgetten voor beveiliging en beveiligingsmaatregelen worden aan alle kanten aangeschaft en ingezet. Alles om maar te voorkomen dat we slachtoffer worden (jaja, het draait om imagoschade). Wat we vergeten is dat we nog steeds moeten redeneren vanuit de risico’s en niet vanuit de maatregelen.

Leest u de zin nog een keer en laat hem goed doordringen: Wat we vergeten is dat we nog steeds moeten redeneren vanuit de risico’s en niet vanuit de maatregelen.

Het lijkt tegen dovemansoren gezegd want na de virusaanval op de Gemeenten hebben we de virusscanners weer eens een update gegeven en gaan we weer rustig achterover hangen. Het is wachten op de volgende aanval en die zal sneller komen dan we nu verwachten…het is alleen maar te hopen dat het niet echt een keer uit de klauw loopt want als een hacker de sluizen open kan zetten dan krijgen we tot aan Amersfoort allemaal natte voeten.

Rest mij om u een fijn weekend te wensen en misschien moet je vast je lieslaarzen “uit het vet” halen.

Hacker gijzelt elektronische patientendossiers

Onwaarschijnlijk hè? Het voorbeeld dat we gisteren aanhaalden waarbij een scriptkiddie het niet door had dat hij ziektebeelden en patiëntgegevens door elkaar gooide? Gelukkig is zoiets helemaal niet mogelijk, of toch?

Een aanvaller is er onlangs in geslaagd om op de server van een Amerikaanse kliniek in te breken en de aanwezige elektronische patiëntendossiers voor losgeld te versleutelen (bron).

Informatiegijzeling. We hebben het er in het verleden ook al eens over gehad maar het lijkt toch nog niet echt bekend te zijn bij de meeste mensen. Hoe het in zijn werk gaat is vrij simpel (althans op papier): je breekt in op een netwerk en versleuteld alle data die je daar vindt. Vervolgens informeer je de organisatie en eis je losgeld voor het vrijgeven van de sleutels.

Als je het zo leest kan een kiddie de was doen. Nu was het, conform de definities, in dit voorbeeld gaan scriptkiddie maar een “echte” hacker (wow) dus gelukkig lopen we een stuk minder risico (want daar weren er niet zoveel van, weet je nog?). Maar dat valt te bezien. Want wie zegt me inderdaad dat dit een hacker was en geen scriptkiddie? Daarmee komen we terug op het feit dat hacker, cracker, scriptkiddie gewoon een definitiekwestie is waarbij we mensen het liefst in een hokje willen duwen (al is het alleen maar om het voor ons overzichtelijk te houden).

Nee, zoals eerder gesteld gaat het helemaal niet om de naam die we er aan hangen maar om de daad die ze verrichten. Een overvaller die binnenkomt met een op een wapen gelijkend waterpistool noemen we toch ook niet ineens een kwajongen?

Maar goed. Je zult met spoed naar deze kliniek moeten. Nog even en je blaast je laatste adem uit als je niet snel geholpen wordt. Even het dossier erbij…wat een vreemde 1-en en 0-en staan er in dat dossier? Nu maar snel het losgeld betalen: operatie geslaagd…patiënt overleden. Welkom in de realiteit.

Lezingen en lekken beste CV security professional

We weten inmiddels dat we hackers, crackers en scriptkiddies niet met elkaar moeten verwarren (tenminste: dat is de mening van anderen, wat mij betreft gaat het nog steeds om de daad die gepleegd wordt, maar goed, dat terzijde).

De wereld van goede technische hackers en crackers is klein (scriptkiddies genoeg, dus die vallen buiten scope). Maar als je onderstaand bericht mag geloven dan zijn de beste hackers en crackers degene die inderdaad net wel of net niet over de schreef zijn gegaan.

Wie als security professional aan de slag wil kan het beste naar beveiligingslekken opzoek gaan en lezingen tijdens grote conferenties geven. Dat adviseert de bekende Mac-hacker Charlie Miller (bron).

Een oud gezegde is inderdaad: met boeven vang je boeven. Maar als we dat al te letterlijk gaan nemen dan moet iedere politieagent minimaal een strafblad hebben. Hoe kunnen ze anders boeven vangen? Nee, het gaat me toch wat te ver om mensen op te roepen om op zoek te gaan naar beveiligingslekken omdat dat het beste voor je CV is.

En nu komen ze weer in scope: de scriptkiddies. Met dit soort berichten roep je scriptkiddies op om maar vooral veel te testen, veel tooltjes te gebruiken en veel technische te pielen omdat dat de manier is om carrière te maken in de informatiebeveiligingswereld. Als we dat maar hard genoeg roepen dan zijn er genoeg scriptkiddies die van alles gaan proberen zonder te weten wat ze doen. Ze maken zo meer kapot dan ze lief is (hoewel ze zelf niet eens in de gaten zullen hebben wat ze doen).

Valt allemaal wel mee, toch? Nou, dat is maar te bezien. Veel scriptkiddies weten echt niet wat ze doen en als ze dat wel zouden weten dan zouden ze het wel laten (of in ieder geval een stuk slechter slapen ’s nachts). Stel dat een scriptkiddie weet in te breken in een systeem van een ziekenhuis. Voor hem misschien een leuke toevoeging aan zijn CV. Maar wat als hij zich er niet van bewust is dat hij ziektebeelden en patiëntgegevens per ongeluk door elkaar gooit?

Nee, om een goed CV als security professional te krijgen moet je een goede vooropleiding hebben en aantonen dat je de techniek door en door kent. Maar je hoeft mij niet uit te leggen welke inbraken je al allemaal gepleegd hebt. En natuurlijk wil je ook graag praktijkervaring opdoen, maar laten we daar dan goede testsystemen voor in het leven roepen en het security wereldje beter faciliteren.

Want waar gaat het anders heen met de wereld: moet een goede verslavingsdeskundige dan zelf verslaafd zijn geweest? Moet een psychiater zelf zo gek als een deur zijn? Moet een goede Gynaecoloog dan eerst zelf zwanger zijn geweest (helaas voor alle mannelijke Gynaecologen: jullie kunnen nooit goed zijn in je vak)? Moet een goede brandweerman dan eerst pyromaan zijn geweest? Nou ja, je begrijpt de strekking en kunt zelf vast ook nog wel wat voorbeelden verzinnen.

Webcam-hackers zetten slachtoffers op YouTube

En wederom kunnen we de discussie van gisteren voortzetten met het onderwerp van vandaag.

Het is nog altijd een sport onder ‘scriptkiddies’ om slachtoffers van besmette computers via hun eigen webcam te begluren en opgenomen beelden op YouTube te plaatsen. Al in 2008 werden de reacties van slachtoffers op schokkende filmpjes opgenomen en later als leedvermaak online gezet. Symantec waarschuwt dat dit nog altijd gaande is (bron).

Nu noemen we het geen hackers of crackers meer maar noemen we het scriptkiddies. En eerlijk is eerlijk: een goed hacker/cracker wil zich niet vergelijken met een scriptkiddie omdat die laatste gewoon een standaard tooltje draait om zijn kunstjes te doen. Ook dat is een definitiekwestie, wat mij betreft.

En het mag inderdaad onschuldig lijken. Je besmet een computer en begluurt degene aan de andere kant. Kom je leuke beelden tegen, dan zet je die vrolijk op Youtube. Nu is het natuurlijk al niet netjes om iemand te begluren (jaja, ook daar kun je voor opgepakt worden) maar als je ook nog iemand besmet hebt dan ben je een stuk onschuldiger.

“Moeten die mensen hun beveiliging maar aanzetten”; dat is de reactie die je van een scriptkiddie mag verwachten. Waarschijnlijk zijn ze zich niet eens bewust van de wetten die ze overtreden. Waren ze dat wel en was de pakkans een stuk groter dan zouden ze het wel uit hun hoofd laten.

Toch maar weer terug naar de analoge wereld: een dergelijke scriptkiddie gaat ook niet met een filmcamera door het badkamerraam van de buren filmen omdat hij begrijpt dat dat nou niet echt sjiek is. Maar veilig en anoniem achter zijn laptop denkt hij daar niet eens aan. Nee, hij ziet ergens een grappig artikeltje met een linkje en een manier waarop zoiets mogelijk is en voor je het weet bekijkt hij je door je webcam.

Als het goed is doe je de gordijnen van je badkamer ook dicht als je inkijkt hebt, misschien moet je dat dan ook maar overwegen met je webcam. Gewoon een plakbandje eroverheen en je kunt een stuk rustiger allerlei vreemde capriolen uithalen voor je webcam: niemand die je immers ziet (tenzij je de gordijnen niet dicht hebt gedaan en er iemand door je raam staat te gluren).

Facebook klaagt over gebrek aan hackers

Hoewel het natuurlijk een beetje een vreemde titel is, zit er wel een verhaal achter.

Facebook is blij met de hackers die op verantwoorde wijze op de sociale netwerksite proberen in breken, maar klaagt over het aantal mensen dat dit kan. Sinds enige tijd betaalt Facebook beveiligingsonderzoekers die problemen op de website vinden en die vervolgens direct rapporteren.

“Als je ons een redelijke tijd geeft om op je melding te reageren voordat je die publiek maakt, en de moeite doet om privacyschendingen, het vernietigen van gegevens of het belasten van de dienstverlening tijdens je onderzoek probeert te voorkomen, zullen we je niet aanklagen”, zegt Chief Security Officer (CSO) Joe Sullivan (bron).

Het gaat er met name om dat de hackers er verantwoord mee om moeten gaan. Daarbij willen ze dan wel graag een redelijke tijd hebben om het op te lossen en als je buiten hun boekje gaat dan komen ze je alsnog van je bed lichten maar dat is niet meer dan acceptabel. Sterker nog, ze willen je er graag voor betalen als je een gat vindt.

Lijkt me een mooie uitdaging voor alle hackers. Hier heb je in ieder geval te maken met een bedrijf of site waarvan je mag verwachten dat ze de beveiliging goed op orde hebben. Dit is niet zomaar een website van een kleine onderneming. Wat mij betreft dus prima, laat die websites van kleinere organisaties met rust en richt je op de grote jongens.

Maar ja, dan moet ik Facebook toch gelijk geven. Er zijn te weinig echte hackers en teveel scriptkiddies die alleen maar weten hoe de standaard tooltjes werken. Jammer dus voor de kleine organisaties want die zullen nog net zo hard aangevallen worden. Maar hier kunnen de mannen zich wel van de jongens onderscheiden en grote kans dat Facebook de echte mannen niet alleen betaald voor de informatie maar ze daarna ook nog een leuke job aanbiedt.

Nou, als ik een echte hacker zou zijn, dan zou ik het wel weten. Zelfs als ik een scriptkiddie zou zijn dan zou ik het wel weten, dan zorgde ik er namelijk voor dat ik me tot de echte hackers mocht gaan rekenen zodat ik er ook nog flink voor betaald werd. Maar helaas, ik ben geen techneut en ik ben geen hacker. Facebook hoeft dus voorlopig aan mij geen geld over te maken, jammer want volgens mij weten ze van gekkigheid niet meer wat ze met al die dollars moeten.

Geweld toegestaan na cyberaanval

In het geval een digitale aanval leidt tot een aanmerkelijk aantal dodelijke slachtoffers of grootschalige vernietiging van of schade aan vitale infrastructuur, mag de Nederlandse overheid een vergeldingsaanval uitvoeren. Dat staat in een advies dat de Adviesraad voor Internationale Vraagstukken (AIV). (bron)

Klare taal? Of juist helemaal niet? Wat is bijvoorbeeld een aanmerkelijk aantal dodelijke slachtoffers of wat is grootschalige vernietiging van of schade aan vitale infrastructuur? Heel benieuwd wie de scepter zwaait over de grote gevaarlijke rode knop. Wie mag hem indrukken en welke criteria hangen daar dan achter?

Nu moeten we ons natuurlijk ook afvragen wie de aanval heeft ingezet. Is dat een scriptkiddie of is dat een vreemde mogendheid die hele andere belangen heeft? Natuurlijk zouden we moeten stellen dat we toch minimaal beschermd zijn tegen aanvallen van scriptkiddies.

Maar als we het nieuws en de beveiligingsincidenten in de gaten houden dan blijkt veelal dat we daar al niet tegen beveiligd zijn. Een vreemde mogendheid die over veel meer kennis en mogelijkheden beschikt gaat echt niet zomaar sporen na laten. Maar stel nu dat zo’n scriptkiddie inderdaad een flinke aanval inzet maar daarbij geen dodelijke slachtoffers maakt en ook geen grootschalige vernietiging tot gevolg heeft. Mogen we dan wel een vergeldingsaanval inzetten of niet? En als we zo’n aanval niet in mogen zetten, hoe zorgen we er dan voor dat de “kiddie” gewoon weer lekker buiten gaat voetballen?

Wellicht moeten we het hele rapport lezen, maar deze samenvatting van het rapport, roept meer vragen op dan dat het antwoorden geeft. Jammer, het had zo mooi kunnen zijn maar hier schieten we helemaal niets mee op.

Wil jij het hele rapport wel lezen? Ga gerust je gang en laat me daarna even weten wat er nu echt in staat en of we daar nu echt ook mee opgeschoten zijn. Ik ben benieuwd maar heb helaas geen tijd om het volledige advies te lezen. Ik hoor graag van je.