Monday, May 9, 2011

Infosecurity in de Jaarbeurs: current cyber threats

Op 3 november 2010 werd deze beurs gehouden in de Jaarbeurs. Jaren geleden ging ik daar voor het eerst heen, omdat het onderdeel Linuxworld mij aantrok. De andere delen (Infosecurity, tooling-event en storage expo) trokken mij minder. In de loop der jaren werd Infosecurity voor mij steeds meer de trekker om deze beurs te bezoeken. En dat geldt voor meer mensen, als ik zie, hoe druk de keynote-sessies van Infosecurity worden bezocht.

De inleider begon met het melden van onderzoeksresultaten. De consument in Nederland is vergeleken met de rest van Europa het meest bezorgd over security. Maar die zelfde consument gaat in vergelijking met de rest van Europa het meest laks om met security.
Hij vroeg zich af, hoe dat met professionals zit. De bomvolle grote zaal gaf volgens mij een deel van het antwoord.

Een spreker van PWC uit de States presenteert concrete praktijkvoorbeelden onder de noemer 'Current cyber threats'. Hij wil twee cases bespreken: 1. Sensitive data with commercial value. 2. Data with economic value (espionage).

Vooraf legt hij uit welke criminele groepen er te onderscheiden zijn: 1. botnetwork operators; 2. phishers/spammers; 3. malware authors; 4. industrial spies.
Een andere spreker vult later aan, dat deze groepen vaak het resultaat van hun inbraken verkopen. Zij concentreren zich op de elektronische inbraak. Het misbruiken van de gestolen gegevens (kaartgegevens, identiteitsgegevens) wordt dan uitgevoerd door weer andere criminelen. Er zijn marktplaatsen waar de gestolen gegevens worden verhandeld. Dat betekent, dat er een 'value chain' van computercriminaliteit is, waarin diverse specialisten het stokje aan elkaar doorgeven.

Volgens PWC zijn de belangrijkste zwaktes bij bedrijven van organisatorische aard. Een bedrijf is zich er niet van bewust wáár de gevoelige gegevens zich bevinden. Men gebruikt geen geschikte gereedschappen voor monitoring, waardoor verdachte situaties niet worden opgemerkt. Reeds bekende kwetsbaarheden in de omgeving worden niet aangepakt. Dat zijn allemaal drempels die je kunt opwerpen. Vergelijk het met het afsluiten van je huisdeur. Het is niet afdoende, maar wel drempelverhogend.

Case 1 laat een attack diagram zien. Schade was 10 miljoen dollar, gecoördineerd onttrokken aan ATM's wereldwijd binnen 24 uur. De aanval was bewust beperkt en de ingebrachte code heeft ook aan het einde van de aanval alle sporen uitgewist. Toevallig was het bedrijf bezig met een test van logging software; deze zat op een ander systeem waar de aanvaller niet binnen was. Langs die weg kon de aanval worden gereconstrueerd. De reconstructie levert het volgende beeld:
Stap1 was reconnaissance door 1 persoon gedurende 13 dagen. SQL werd geinjecteerd. Hij was binnen in de infrastructuur en heeft databases gelezen (om de bruikbare data te vinden). Hij heeft administratieve rechten verworven om applicaties binnen te gaan.
Stap2 duurde 12 dagen. Analyseren van databases, push in more tools, administratieve passwords verwerven, plaats gevonden waar ID's van creditcards en andere zaken bewaard werden.
Stap3 omvatte 3 dagen. Drie personen 'push more software into environment, capturing all the traffic'. Gestolen data in kleine pakketje naar buiten gebracht.
Stap4. Initiate transactions. Controle nemen over de financiele systemen, die bijvoorbeeld de rekeninglimieten beheren.

De clou is dus dat ze binnenkomen, code naar binnen kunnen brengen, gegevens vinden en naar buiten smokkelen. En ten slotte nog alle sporen weer uitwissen. (Vaak worden de inbraken bij toeval ontdekt. Wellicht zijn deze ontdekkingen maar het topje van de ijsberg.)

Case 2. Deze case ging over bedrijfsspionage. Het bedrijf wist van de inbraak, omdat de FBI de externe effecten ervan waarnam en het bedrijf waarschuwde. Ze mikten op een M&A afdeling. (Merger & Acquisition. Waar dus bedrijfsovernamen worden voorbereid.) Ze wisten wie de belangrijke functionarissen waren en mikten op de email van deze mensen. Konden zo voorspellen waar overnametargets waren en deden daar hun voordeel mee.

De maatregelen die PWC voorstelt weerspiegelen de bovengenoemde organizatorische zwaktes. 'Monitor logs en monitor outbound traffic. Know your baseline en compare to that.' Dan kan het bedrijf signaleren, dat er verkeer is dat niet past in de normale patronen. Voer audits uit en let vooral op sleutelfunctionarissen. En tenslotte: Automatiseer deze maatregelen.

Later las ik in infosecurity een artikel over APT's (Advanced Persistent Threats). Stuxnet is daar een voorbeeld van. Deze nemen makkelijk 2 jaar om zich langzaam, stap voor stap te installeren. Eerst binnen; dan software binnen halen; dan de binnenkant van het systeem inventariseren etc. De traditionele verdedigingsstrategie monitort, maar de APT blijft onder de radar. Niet te veel actie, niet te veel verdachte zaken, geen volume. Het wordt zaak om overall te monitoren en de samenhang te zien.

Er wordt veel geschreven en gesproken over computerinbraak. Het was interessant om eens een slag dieper te horen, hoe zo'n inbraak dan in zijn werk gaat. Er was nóg zo'n presentatie, van Deloitte, waarover ik later nog schrijf.