Geketend

De kans is groot, dat je tot voor kort nog nooit had gehoord van de term supply chain attack. Misschien kende je die term nog steeds niet, maar je hebt ongetwijfeld gehoord van de ransomware-aanval die momenteel wereldwijd bedrijven knevelt. En daar ligt dus een supply chain attack aan ten grondslag.

De supply chain, dat is in goed Nederlands de toeleverings- of productieketen. Die keten kan uit vele schakels bestaan, beginnend bij de levering van grondstoffen aan de fabrikant en eindigend bij de levering aan de afnemer. Daartussen kunnen allerlei transporten, productieprocessen en handelsactiviteiten liggen. En al die schakels bieden kwaadwillenden een ingang om het uiteindelijke product te manipuleren.

Een cybercrimineel, die bijvoorbeeld met ransomware aan de slag wil, kan proberen om zoveel mogelijk individuen of bedrijven te besmetten. Voor de gemiddelde crimineel is dat best lucratief: zo’n schot hagel kost niet veel en het is altijd wel raak. Maar als je in de toeleveringsketen gaat zitten, en je kwaadaardige toevoeging daar aan een product weet toe te voegen, dan krijg je alle afnemers van dat product op een presenteerblaadje aangereikt.

Wat we in de afgelopen week zagen gebeuren, was supply chain attack 2.0. Bij deze aanval werd niet de leverancier aangevallen, maar de leverancier van de leverancier. Dat zit zo. Veel bedrijven regelen (delen van) hun ICT-beheer niet zelf, maar hebben dat uitbesteed aan zogeheten managed service providers (MSP’s). Er zijn MSP’s die zich beperken tot het aanbieden van hun eigen producten en diensten, bijvoorbeeld op het vlak van netwerken, applicaties, infrastructuur of beveiliging. Veel MSP’s bieden ook andere diensten aan. Je kunt ook het volledige beheer uitbesteden. Zo ‘ontzorgen’ MSP’s hun klanten.

Die MSP’s maken gebruik van software om hun werk te doen. Kaseya VSA is een product dat ze gebruiken voor onderhoud en monitoring van de systemen van hun klanten. VSA zit dus diep in de klantsystemen, waardoor het slim kon worden gebruikt als vehikel om de ransomware te bezorgen. En hoe groter de MSP, hoe meer slachtoffers.

Je hoeft geen klant van een MSP te zijn om getroffen te kunnen worden door een – andere – supply chain attack. Ook hard- en software die je ‘gewoon koopt’ kan ergens in de keten gecompromitteerd zijn. Dat kan extreme vormen aannemen: in 2013 meldde Der Spiegel dat de NSA computers onderschepte die besteld waren door personen of organisaties die de inlichtingendienst in het vizier had. Vervolgens werd daar malware of zelfs extra hardware aan toegevoegd, waarna het pakje werd bezorgd alsof er niets aan de hand is.

Maar het kan ook minder extreem. Wat te denken van open source software – (stukjes) programmatuur die iedereen vrijelijk kan downloaden en vervolgens inbouwen in z’n eigen software? Het gebruik van open source is algemeen geaccepteerd, maar durf je er blind op te vertrouwen dat er geen extra’s aan die software zijn toegevoegd? Het is in ieder geval verstandig om open source alleen uit betrouwbare bronnen te betrekken, maar garanties biedt dat ook niet. Een andere mogelijkheid, die ik zo kan bedenken, is dat een aanvaller het gemunt heeft op compilers (programma’s die het werk van een programmeur vertalen in code die de computer kan uitvoeren). Als je daar je kwaadaardige inhoud aan weet toe te voegen, dan zorgt de compiler er vervolgens voor dat alle software, die ermee wordt gecompileerd, besmet raakt.

Geen prettige gedachte. Maar wat doe je eraan? Preventief kun je er weinig tegen doen, want hoe moet je weten dat een product iets extra’s bevat? Als bekend wordt dat er iets aan de hand is, moet je vaak snel handelen. In het voorbeeld van Kaseya moest de boel met de hoogste spoed worden uitgezet. En toen een paar jaar geleden het verhaal rondging over een extra chip in bepaalde servers, hebben sommige rekencentra hun servers stuk voor stuk uit het rack getrokken om met een vergrootglas op zoek te gaan naar die chip. Organisaties, die ervoor kiezen om alle spullen in eigen huis te houden (‘on-prem’), zijn soms in het nadeel ten opzichte van organisaties die in de cloud werken: zij moeten allemaal zelf actie ondernemen, terwijl cloud-gebaseerde oplossingen vaak in één keer voor alle klanten van de gecompromitteerde leverancier kunnen worden gefixt.

Nog even iets heel anders. Hierboven gebruikte ik het woord ontzorgen. Ik hoorde dat woord jaren geleden voor het eerst toen Centraal Beheer het in reclamespotjes ging gebruiken. Ik heb het altijd vreemd gevonden, want het lijkt erg op het Duitse ‘entsorgen’, maar dat betekent zoveel als weggooien (Entsorgung is afvalverwerking). Het woord staat pas sinds 2006 in Van Dale (door dat CB-spotje?) en kent twee betekenissen: zorgen wegnemen, maar ook: minder intensief  verzorgen. Die tweede betekenis past beter bij de actuele situatie rond Kaseya VSA. En vooruit, nu ik toch met talige spitsvondigheden bezig ben: momenteel is menig bedrijf geketend door zijn toeleveringsketen.

 

En in de grote boze buitenwereld …

• lees je hier meer details over de aanval via Kaseya VSA.
• was die aanval bijna voorkomen door Nederlandse ethische hackers.
• mag je beveiligingsupdates ook al niet meer blindelings vertrouwen.
• bevat de printfunctionaliteit van Windows een belangrijke kwetsbaarheid, die ook door de extra patch van Microsoft niet volledig is verholpen.
• lees je hier hoe je de printfunctionaliteit in Windows voorlopig uitzet.
• heeft de NCTV het Cybersecuritybeeld Nederland 2021 uitgebracht.
• gaat de EU het blokkeren van accounts reguleren.
• betoogt de Finse beveiligingsguru Mikko Hyppönen in dit Engelstalige filmpje (met Japanse ondertiteling) dat complexiteit de vijand van security is. Hij spreekt ook over supply chain attacks en ransomware.
• zouden Russische hackers de Amerikaanse Republikeinen hebben aangevallen.
• is de officiële Formule 1-app gehackt (voetnoot: de F1 wordt door nogal wat security-bedrijven gesponsord).
• genereerde de Kaspersky Password Manager slechte wachtwoorden (vrij technisch artikel, maar de inleiding en de conclusie zijn de moeite waard).
• heeft British Airways een schikking getroffen met de slachtoffers van een groot datalek.
• moeten woningzoekenden oppassen dat ze niet op verhuursites van criminelen terechtkomen.
• kan het NCSC voortaan de databases van Have I Been Pwned doorzoeken op de aanwezigheid van e-mailadressen van ambtenaren en politici.
• is het niet handig als slechts één beheerder de belangrijke wachtwoorden van het bedrijf kent.