De online-slechteriken hebben een voorsprong

Beeld AFP

Er is een wapenwedloop gaande tussen de verdedigers van veilig internet en de aanvallers daarvan. De recente virusuitbraken tonen opnieuw dat de verdediging achterloopt. Is dat tij te keren?

Om te beginnen met goed nieuws: het virus dat sinds vorige week wereldwijd computersystemen wist plat te leggen, lijkt over het hoogtepunt heen. Toch laat deze uitbraak, samen met een vergelijkbare in mei, zien dat degenen die online kwaad willen twee keer kort na elkaar wisten te scoren. En dat is minder goed nieuws.

Er staat nogal wat op het spel in de continue strijd om systemen veilig te houden. Geen rapport over het onderwerp dat niet begint met het belang van een goed functionerend internet. Want nu vrijwel alles in het dagelijks leven zich online afspeelt, kunnen de gevolgen van een digitale aanval groot zijn. Ligt de verbinding eruit, dan zullen veel bedrijven de deuren moeten sluiten, kunnen we niet pinnen en dus geen boodschappen doen, en heeft niemand op vliegvelden en treinstations een idee waar hij heen moet.

Het begon afgelopen mei met WannaCry, de gijzelsoftware die wereldwijd toesloeg. In Engeland lag een ziekenhuis plat en in Nederland parkeergarages. Het virus vergrendelt computers en zegt de sleutel pas te geven als er losgeld is betaald. Overigens had betalen tot nu toe weinig zin.

WannaCry werd vorige week opgevolgd door een ander gijzelvirus. Nederland staat in de topvier van landen die met de meeste besmettingen te maken kregen. Onder meer een havenbedrijf in Rotterdam werd getroffen.

Dit zijn alleen nog de gevallen die het nieuws halen. Je kunt ervan uitgaan dat negen op de tien digitale aanvallen of besmettingen met computervirussen niet bekend worden, zegt Albert Kramer van beveiligingsbedrijf Trend Micro. "Ransomware maakt veel lawaai. Die laat elke computer die hij heeft besmet, weten dat hij er is. Maar er zijn ook gevallen waar kwaadaardige software zich stiekem in een systeem nestelt. Om toe te slaan wanneer en hoe het uitkomt."

De verdediging tegen dergelijke kwaadaardige aanvallen staat er een stuk minder rooskleurig voor. In het laatste jaarlijkse stand-van-zaken-rapport van het Nationaal Cyber Security Centrum (onderdeel van het ministerie van veiligheid en justitie), wordt het zo beschreven: "De digitale weerbaarheid in Nederland blijft achter bij de groei van dreigingen." Mooie woorden om te zeggen: de onlineslechteriken staan op dit moment op voorsprong.

Oneerlijke strijd

Het is in zekere zin ook een oneerlijke strijd. Zo is het nou eenmaal moeilijker om een systeem te beveiligingen dan om het aan te vallen, zegt Rolf van Wegberg, die aan de TU Delft onderzoek doet naar cybercriminaliteit. "Dat komt doordat de aanvaller maar één keer geluk hoeft te hebben dat hij een zwakke plek vindt om binnen te komen. De verdediging moet alle zwakke plekken tegelijk beschermen."

De strijd om een veilig internet draait volgens Van Wegberg dan ook vooral om het als eerste ontdekken van een nieuw lek. Hij doelt daarmee op de zogenoemde zero days: foutjes in de software die nog niet zijn ontdekt door de fabrikant en daarom dus nog niet zijn verbeterd. Een doeltreffende manier om ergens binnen te komen. "Je kunt ervan uitgaan dat elk systeem dat soort zwakke plekken heeft. Helemaal nu software alleen nog maar complexer wordt."

Om een beeld te geven van de complexiteit, beschrijft het Centraal Planbureau in de maandag verschenen 'Risicorapportage Cyberveiligheid Economie' het aantal regels code waar software inmiddels uit bestaat. In 1992 waren 2,5 miljoen regels code genoeg voor het gehele besturingssysteem Windows 3.1. Tegenwoordig bestaat het Microsoft Office-pakket (met onder meer programma's als Word en Excel) alleen al uit zo'n 44 miljoen regels.

Ondertussen jaagt een groot aantal partijen op foutjes in die enorme code. Zo zijn er criminelen die uit zijn op geld. Zolang er onderaan de streep een flinke buit overblijft, zullen ze kosten noch moeite sparen. "Er zijn veel landen waar goed opgeleide jonge mensen moeite hebben om een goede baan te vinden", zegt Kramer. "Dan kan het inzetten van kwaadaardige software een makkelijke manier zijn om veel geld te verdienen."

Verdedigers

De criminelen delen de kant van de bad guys met mensen die via hacks en cyberaanvallen impact of chaos willen creëren, terroristen bijvoorbeeld. Een groep die tot nu toe niet grootschalig toesloeg, maar wel een om rekening mee te houden, omdat de intentie om cyberaanvallen te plegen er is, aldus het Nationaal Cyber Security Centrum.

Aan de kant van de verdedigers vind je de beveiligingsbedrijven die hun klanten zoveel mogelijk tegen die boeven proberen te beschermen. Kramer met zijn team bij Trend Micro is daar een voorbeeld van. Zo'n grootschalige aanval als vorige week levert hem hectische dagen op. "Het betekent dat we teams klaarzetten die onze klanten in nood helpen, en dat onze onderzoekers zo snel mogelijk proberen te analyseren wat er aan de hand is."

Naast de securitybedrijven zijn er de zogenoemde ethische hackers die de onlineveiligheid verdedigen, maar dan vanuit een ideaal. Ethische hackers worden sinds vijf jaar een stuk serieuzer genomen, zegt Victor Gevers van GDI Foundation, een organisatie die zich inzet voor een veilig en vrij internet. "We schuiven internationaal aan bij de grote overlegtafels om cybersecurity te verbeteren. En tijdens de eerste uren van de laatste aanval wist men ons meteen te vinden en om hulp te vragen."

Staten

En dan zijn er nog de staten. Ze mengen zich eveneens in het digitale slagveld, maar hebben daar wel twee gezichten. Zo maken ze wetten die ervoor moeten zorgen dat bedrijven hun systeem beter beveiligen, maar hebben ze ondertussen net zoveel baat bij zwakke plekken in het systeem als kwaadwillenden.

Veiligheidsdiensten gebruiken zero days bijvoorbeeld om terroristen of andere vijanden in de gaten te houden. Het is bekend dat het lek in Windows dat werd misbruikt door zowel WannaCry als de ransomware die vorige week aan het licht kwam, in handen was van de Amerikaanse geheime dienst NSA. Daar lekte het uit.

Ook de Nederlandse inlichtingendiensten mogen zero days gebruiken. En als het aan een meerderheid in de Tweede Kamer ligt, mag de politie dat in de toekomst in gevallen van ernstige verdenkingen eveneens. De wet die dat mogelijk moet maken, wacht nog op behandeling in de Eerste Kamer.

Lek niet melden

Van Wegberg: "Dat de politie een zero day gebruikt, betekent dat ze het lek niet direct bij de fabrikant van de software melden, omdat die anders direct een update zou maken. Dat betekent dat de zero day blijft bestaan. En dat die dus ook in handen kan komen van mensen met slechte bedoelingen."

Wie als eerste kennis heeft van nieuwe zwakke plekken, heeft op dit moment een voorsprong in de wapenwedloop die online gaande is, erkent Albert Kramer. Die wedloop bestaat al zolang hij in de computerbeveiliging actief is, nu zo'n 28 jaar. "We voeren een strijd tegen innoverende criminelen. Elke keer als ze iets nieuws verzinnen, komen wij zo snel mogelijk met een antwoord."

En de criminelen zijn creatief, zegt Kramer. Dat laat de ransomware van vorige week ook zien. Beveiligingsonderzoekers zijn het er inmiddels over eens dat het virus niet tot doel had zoveel mogelijk geld te verdienen, maar vooral zoveel mogelijk schade aan te richten. "Dus terwijl iedereen zich de eerste dagen na de uitbraak stortte op het zo snel mogelijk vinden van de sleutel, bleek er helemaal geen sleutel te zijn en was de data gewoon weg", zegt Kramer. "Daardoor is misschien wel kostbare tijd verloren. Dat kan een bijzonder slimme strategie zijn."

Met andere woorden: in de onlinestrijd is het soms niet alleen onbekend tegen wíe je je moet verdedigen. Je moet er ook rekening mee houden dat het wapen waarmee de aanval wordt uitgevoerd niet is wat het lijkt.

Successen

Aan de kant van de good guys worden heus wel successen geboekt. Het project No More Ransom is daar een voorbeeld van. Onder meer de politie, Europol en beveiligingsbedrijf Kaspersky Lab werken er samen om bestanden na een besmetting met ransomware terug te halen zonder dat slachtoffers hoeven te betalen. Dat doen ze door sleutels beschikbaar te stellen die via onderzoeken bekend zijn geworden. Tot nu toe zijn zeker negen varianten gijzelsoftware zo onschadelijk gemaakt.

Maar No More Ransom kan pas achteraf ingezet worden, als het virus zich al op de computer heeft genesteld. Ook de klassieke antivirusprogramma's en zogenoemde firewalls, die de schadelijke software buiten moeten houden, doen dat alleen bij malware die al bekend is. Ze stoppen niet al die varianten waar slimme criminelen of sluwe staten in de toekomst mee gaan komen. Zo loop je als verdediger dus telkens een stapje achter.

Inmiddels probeert de beveiligingsbranche daar wel een antwoord op te vinden. Zo kunnen de nieuwste beveiligingstools ook nieuwe verdachte software herkennen. Kramer: "Stel, er komt een onbekend stukje code het bedrijfssysteem binnen, dan wordt dat automatisch geanalyseerd op afwijkend gedrag. Denk er bijvoorbeeld aan dat het direct iets gaat installeren, of dat het bestanden gaat kopiëren. Het kan dan worden tegengehouden."

Niet alleen de beveiligingsbedrijven proberen de criminelen een stapje voor te blijven. Van Wegberg van de TU Delft doet onderzoek naar het gedrag van criminelen, in de hoop om patronen te herkennen. "Je hoort wel eens dat criminelen met hagel schieten, in de hoop dat ze op een systeem stuiten dat niet goed beveiligd is. Dat beeld klopt niet helemaal, vind ik. Ze vallen niet het hele internet tegelijk aan en maken toch een soort preselectie. Daar richt het onderzoek zich op."

Zo ontdekte Van Wegberg dat de malware die zich richt op banken om daar zoveel mogelijk rekeningen te plunderen, eerst vooral toesloeg bij grote banken. Sinds 2013 en 2014 is de aandacht juist verlegd naar de kleine spelers. Van Wegberg: "Het laat vooral zien dat het niet zo is dat iedereen telkens gelijke kansen heeft om aangevallen te worden. Niet dat je zo toekomstige aanvallen kunt voorspellen, maar je kunt die kennis wel gebruiken om te begrijpen hoe criminelen bepaalde keuzes maken."

Maar uiteindelijk valt of staat een poging de aanvallers terug te dringen toch bij een goede beveiliging bij de bedrijven en consumenten zelf, erkennen de deskundigen. Want als die niet op orde is, wordt het degenen met kwaad in de zin wel erg makkelijk gemaakt.

Kwetsbaar

De beveiliging is vaak niet op orde, tonen de recente virusuitbraken opnieuw aan. Er waren volgens onderzoek van de GDI Foundation alleen al in Nederland een kleine 16.000 systemen kwetsbaar voor de gijzelsoftware, omdat ze verouderd zijn. Dat een relatief klein deel daarvan daadwerkelijk werd besmet, is vooral een kwestie van geluk.

GDI wist in 24 uur ruim 5700 eigenaren op te sporen en te waarschuwen, aldus Gevers. Maar eigenlijk noemt hij het gek dat er 'anno 2017' überhaupt nog zoveel verouderde systemen online staan. Vooral omdat er al lang een update beschikbaar was.

"Het is logisch dat mensen met minder goede bedoelingen hier actief misbruik van maken. En eigenlijk is het wachten tot iemand die kwetsbare systemen allemaal aanvalt. Die aanval zal veel meer schade gaan aanrichten dan de twee van afgelopen maanden bij elkaar opgeteld."

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2019 de Persgroep Nederland B.V. - alle rechten voorbehouden