De kans is groot, dat je tot voor kort nog nooit had gehoord van de term supply chain attack. Misschien kende je die term nog steeds niet, maar je hebt ongetwijfeld gehoord van de ransomware-aanval die momenteel wereldwijd bedrijven knevelt. En daar ligt dus een supply chain attack aan ten grondslag.
De supply chain, dat is in goed Nederlands de toeleverings- of
productieketen. Die keten kan uit vele schakels bestaan, beginnend bij de
levering van grondstoffen aan de fabrikant en eindigend bij de levering aan de
afnemer. Daartussen kunnen allerlei transporten, productieprocessen en
handelsactiviteiten liggen. En al die schakels bieden kwaadwillenden een ingang
om het uiteindelijke product te manipuleren.
Een cybercrimineel, die bijvoorbeeld met ransomware aan de slag wil, kan
proberen om zoveel mogelijk individuen of bedrijven te besmetten. Voor de
gemiddelde crimineel is dat best lucratief: zo’n schot hagel kost niet veel en
het is altijd wel raak. Maar als je in de toeleveringsketen gaat zitten, en je
kwaadaardige toevoeging daar aan een product weet toe te voegen, dan krijg je
alle afnemers van dat product op een presenteerblaadje aangereikt.
Wat we in de afgelopen week zagen gebeuren, was supply chain attack 2.0.
Bij deze aanval werd niet de leverancier aangevallen, maar de leverancier van
de leverancier. Dat zit zo. Veel bedrijven regelen (delen van) hun ICT-beheer
niet zelf, maar hebben dat uitbesteed aan zogeheten managed service providers (MSP’s). Er zijn MSP’s die zich beperken
tot het aanbieden van hun eigen producten en diensten, bijvoorbeeld op het vlak
van netwerken, applicaties, infrastructuur of beveiliging. Veel MSP’s bieden
ook andere diensten aan. Je kunt ook het volledige beheer uitbesteden. Zo ‘ontzorgen’
MSP’s hun klanten.
Die MSP’s maken gebruik van software om hun werk te doen. Kaseya VSA is
een product dat ze gebruiken voor onderhoud en monitoring van de systemen van
hun klanten. VSA zit dus diep in de klantsystemen, waardoor het slim kon worden
gebruikt als vehikel om de ransomware te bezorgen. En hoe groter de MSP, hoe
meer slachtoffers.
Je hoeft geen klant van een MSP te zijn om getroffen te kunnen worden
door een – andere – supply chain attack. Ook hard- en software die je ‘gewoon
koopt’ kan ergens in de keten gecompromitteerd zijn. Dat kan extreme vormen
aannemen: in 2013 meldde
Der Spiegel dat de NSA computers onderschepte die besteld waren door
personen of organisaties die de inlichtingendienst in het vizier had.
Vervolgens werd daar malware of zelfs extra hardware aan toegevoegd, waarna het
pakje werd bezorgd alsof er niets aan de hand is.
Maar het kan ook minder extreem. Wat te denken van open source software
– (stukjes) programmatuur die iedereen vrijelijk kan downloaden en vervolgens
inbouwen in z’n eigen software? Het gebruik van open source is algemeen
geaccepteerd, maar durf je er blind op te vertrouwen dat er geen extra’s aan
die software zijn toegevoegd? Het is in ieder geval verstandig om open source
alleen uit betrouwbare bronnen te betrekken, maar garanties biedt dat ook niet.
Een andere mogelijkheid, die ik zo kan bedenken, is dat een aanvaller het
gemunt heeft op compilers (programma’s die het werk van een programmeur
vertalen in code die de computer kan uitvoeren). Als je daar je kwaadaardige
inhoud aan weet toe te voegen, dan zorgt de compiler er vervolgens voor dat
alle software, die ermee wordt gecompileerd, besmet raakt.
Geen prettige gedachte. Maar wat doe je eraan? Preventief kun je er
weinig tegen doen, want hoe moet je weten dat een product iets extra’s bevat?
Als bekend wordt dat er iets aan de hand is, moet je vaak snel handelen. In het
voorbeeld van Kaseya moest de boel met de hoogste spoed worden uitgezet. En
toen een paar jaar geleden het verhaal rondging over een extra chip in bepaalde
servers, hebben sommige rekencentra hun servers stuk voor stuk uit het rack
getrokken om met een vergrootglas op zoek te gaan naar die chip. Organisaties,
die ervoor kiezen om alle spullen in eigen huis te houden (‘on-prem’), zijn
soms in het nadeel ten opzichte van organisaties die in de cloud werken: zij
moeten allemaal zelf actie ondernemen, terwijl cloud-gebaseerde oplossingen
vaak in één keer voor alle klanten van de gecompromitteerde leverancier kunnen
worden gefixt.
Nog even iets heel anders. Hierboven gebruikte ik het woord ontzorgen.
Ik hoorde dat woord jaren geleden voor het eerst toen Centraal Beheer het in
reclamespotjes ging gebruiken. Ik heb het altijd vreemd gevonden, want het
lijkt erg op het Duitse ‘entsorgen’, maar dat betekent zoveel als weggooien
(Entsorgung is afvalverwerking). Het woord staat pas sinds 2006 in Van Dale
(door dat CB-spotje?) en kent twee betekenissen: zorgen wegnemen, maar ook:
minder intensief verzorgen. Die tweede
betekenis past beter bij de actuele situatie rond Kaseya VSA. En vooruit, nu ik
toch met talige spitsvondigheden bezig ben: momenteel is menig bedrijf geketend
door zijn toeleveringsketen.
En in de grote boze buitenwereld …
- lees je hier meer details over de aanval via Kaseya VSA.
- was die aanval bijna voorkomen door Nederlandse ethische hackers.
- mag je beveiligingsupdates ook al niet meer blindelings vertrouwen.
- bevat de printfunctionaliteit van Windows een belangrijke kwetsbaarheid, die ook door de extra patch van Microsoft niet volledig is verholpen.
- lees je hier hoe je de printfunctionaliteit in Windows voorlopig uitzet.
- heeft de NCTV het Cybersecuritybeeld Nederland 2021 uitgebracht.
- gaat de EU het blokkeren van accounts reguleren.
- betoogt de Finse beveiligingsguru Mikko Hyppönen in dit Engelstalige filmpje (met Japanse ondertiteling) dat complexiteit de vijand van security is. Hij spreekt ook over supply chain attacks en ransomware.
- zouden Russische hackers de Amerikaanse Republikeinen hebben aangevallen.
- is de officiële Formule 1-app gehackt (voetnoot: de F1 wordt door nogal wat security-bedrijven gesponsord).
- genereerde de Kaspersky Password Manager slechte wachtwoorden (vrij technisch artikel, maar de inleiding en de conclusie zijn de moeite waard).
- heeft British Airways een schikking getroffen met de slachtoffers van een groot datalek.
- moeten woningzoekenden oppassen dat ze niet op verhuursites van criminelen terechtkomen.
- kan het NCSC voortaan de databases van Have I Been Pwned doorzoeken op de aanwezigheid van e-mailadressen van ambtenaren en politici.
- is het niet handig als slechts één beheerder de belangrijke wachtwoorden van het bedrijf kent.
Geen opmerkingen:
Een reactie posten