Bescherm het universum

 

Afbeelding via Pixabay

Het is geen eerlijke strijd. Een hacker hoeft maar één piepklein gaatje te vinden om ergens in te breken, terwijl wij het hele universum moeten beschermen. Als de hacker een systeem weet te vinden waar de laatste security patch ontbreekt en hij heeft een exploit waarmee hij het gevonden lek kan uitbuiten, dan is hij binnen. We hebben zóveel systemen waar zóveel software op draait, dat er altijd wel ergens een kwetsbaarheid is. Het is niet eerlijk. Deze verzuchting heb ik mijn gehoor tijdens talloze presentaties voorgehouden.  

Ken je MythBusters, het vaak spectaculaire programma van Jamie Hyneman en Adam Savage, dat op Discovery Channel werd uitgezonden? Afgelopen woensdag waande ik mij in een speciale aflevering hiervan, toen Etay Maor op het Risk Event van ISACA een keynote gaf getiteld “Busting cyber security myths”. De allereerste mythe, die hij fijntjes de grond in boorde, was precies wat in de alinea hierboven staat. Ai.

Hij deed dat aan de hand van de MITRE ATT&CK matrix (sorry, maar bij de MITRE Corporation vinden ze dat je “attack” zo hoort te schrijven). Die matrix is veertien kolommen breed, en in de laatste staat welke soorten impact een aanval zoal kan hebben: datamanipulatie en –vernietiging, versleuteling van gegevens (ransomware) en denial of service, om er maar een paar te noemen. En in alle andere kolommen staan activiteiten die een aanvaller kan ontplooien om de gewenste impact te bereiken. Dat begint in de eerste kolom met allerlei vormen van verkenning, daarna komen het vergaren van de benodigde spullen, het verkrijgen van toegang en vervolgens nog allerlei stappen om het beoogde systeem in je macht te krijgen. Iedere kolom is een soort keuzemenu. Niet dat een aanvaller deze matrix zal gebruiken om te bepalen hoe hij te werkt zal gaan – deze matrix richt zich op analisten, die zo tot een beter begrip van een aanval kunnen komen.

Om zijn punt te maken heeft Etay Maor de REvil ransomware gemapt op de MITRE ATT&CK matrix. Dat was trouwens vrij gemakkelijk, want op de site van MITRE is die ransomware al helemaal ontleed; Maor hoefde alleen nog de bijbehorende vakjes in de matrix in te kleuren. Dat leverde maar liefst veertien rode vakjes op, verdeeld over zeven kolommen. Veel van die vakjes kun je ook nog eens uitklappen. De laatste kolom, met de impact, bevat nog eens vier rode vakjes. De maker van REvil moest dus heel wat meer doen dan één gaatje zoeken. De complete tabel met activiteiten voor REvil is veertig rijen lang. Overigens is REvil niet zomaar ransomware, maar ransomware-as-a-service (RaaS). Dat betekent dat REvil een dienst is die door anderen kan worden afgehuurd. Ja mensen, ook de onderwereld kent dienstverleners.

Terug naar de vermeende oneerlijke strijd. Mijn startpunt was een verhouding van één op oneindig – één gaatje ten opzichte van het hele universum. Het voorbeeld van Maor brengt de verhouding naar veertig op oneindig. Ik blijft toch wel vinden dat het oneerlijk verdeeld is, al kijk ik er nu wat genuanceerder naar.

De vraag is: wat doe je eraan? Hoe bescherm je het universum, of specifieker: het cyberuniversum? Dat begint met security by design, het van meet af aan meenemen van beveiliging in het ontwerp van je applicatie en je infrastructuur. Want als het ontwerp van een nieuwe auto al helemaal klaar is en je er dan pas achter komt dat er nog remmen in moeten, dan wordt het knap lastig – en kostbaar. Verderop in het proces, tijdens de realisatie, is het zaak om die security mindset vast te houden. Daar komt het vakmanschap bij om de hoek kijken. De remleidingen moeten goed aangesloten worden en testen op lekkage is ook wel zo prettig. En als het product dan eenmaal draait, dan is het zaak om de boel goed te onderhouden (in de auto-analogie vind je dat vanzelfsprekend). Daar hoort het besef bij dat hard- en software per definitie fouten bevat, en dat een deel van die fouten niet alleen schadelijk kan zijn voor de beveiliging van het product zelf, maar ook impact kan hebben op andere producten. Je moet daar naar blijven zoeken zolang als het product in gebruik is, en gevonden gebreken moet je tijdig verhelpen. Voordat iemand anders ze vindt en er oneerlijk gebruik van maakt.

Op donderdag 24 november verschijnt een special naar aanleiding van Check-je-wachtwoorden-dag. De reguliere Security (b)log vervalt in die week.

 

En in de grote boze buitenwereld …

• heeft het Digital Trust Center al heel wat bedrijven gewaarschuwd voor kwetsbaarheden.
• betaalt Google honderden miljoenen dollars voor het onterecht verzamelen van locatiegegevens.
• kun je natuurlijk ook een satelliet hacken, zegt dit hoofd ruimtebeveiliging.
• moet je beveiligingscamera’s niet verstoppen.
• hebben Meta-medewerkers Facebook- en Instragram-accounts van gebruikers gekaapt.
• zit er misschien wel Russische software in je telefoon.
• moet de overheid de privacy-risico’s van het gebruik van Amerikaanse cloudopslagdiensten beter beschrijven.
• daalt het aantal meldingen van WhatsApp-fraude.
• vind je hier een aanpak voor het terugkrijgen van geld dat je door WhatsApp-fraude bent kwijtgeraakt.
• is het WK voetbal schadelijk voor je privacy.
• heeft een ziekenhuismedewerker bijna honderd patiëntendossiers ongeoorloofd ingezien.