Digitale dreigingen anno 2013: blijft IT een oplossing of wordt het een probleem?

Wat was de meest zorgwekkende gebeurtenis van het jaar 2013, op internet? Keus genoeg. Beperken we ons tot strikt zakelijke fiasco's, dan staat de wereldwijde bankroof van februari minstens in de top-vijf. De buit was bijna 40 miljoen dollar, afgevoerd in vele rugzakken vol flappen, getrokken uit atm's in 24 landen. In net iets meer dan tien uur hard werken voltooiden de 'cashing crews' 36000 transacties.
Het geld was echt - en is nog steeds zoek - maar bestond niet voordat de roof begon. De daders maakten gebruik van het feit dat een bank vergunning heeft om nieuw geld te maken, en gaven zichzelf zoveel als ze wilden. In vakkringen heet zoiets een 'Unlimited Operation'. Alleen de fysieke grenzen aan mensen, machines en tijd houden de bedragen nog relatief klein. Hoe het werkt?

Inject

Crackers braken ongemerkt in bij een Amerikaanse acceptant van betaalkaarten, waarschijnlijk via 'sql-injection'. Achter bijna elke moderne webpagina staat een database zoals Mysql, die de dynamische inhoud levert en vaak antwoord geeft op vragen gesteld via onder andere adresregels. Een rechtstreeks in het adresvenster van een browser geschreven opdracht voor eventueel de Amerikaanse Googleversie werkt prima.

Ook de vele zoekvensters en formulieren op de websites van financiële instellingen bieden toegang tot de databases erachter. Al die ingangen moeten hun input heel zorgvuldig filteren. Zo niet, dan kan een cracker er opdrachten in verwerken om bijvoorbeeld een nieuwe gebruiker met adminrechten aan te maken, of een eenvoudige 'backdoor'.

Prepaid

In januari reageerde Visa met een 'data security alert' op een geslaagde bankroof (5 miljoen dollar) die een maand eerder was gepleegd, waarschijnlijk door dezelfde groep. Uit de adviezen valt op te maken dat de crackers hun eerste voet tussen de deur gebruikten om dieper door te dringen in het lokale net; Visa vroeg onder andere om een solide scheiding tussen de gegevens van kaarten en kaarthouders, en al het andere.

Zeker is dat de crackers volledige toegang kregen tot 12 rekeningnummers van Mastercard prepaid travel cards uitgegeven door Bank Muscat, gevestigd in Oman. De details werden doorgegeven aan vertegenwoordigers in 24 landen, die de magneetkaarten schreven voor de cashing crews. Waarom prepaid cards?

Zonder alarmbellen

Aan elke andere kaart hangt een rekeninghouder. Een bank verdedigt zulke kaarten tegen diefstal door de aantallen en soorten transacties voortdurend te vergelijken met eerder betaalgedrag. Op prepaid cards werd niet gelet, zodat de cashers van de ene naar de andere flappentap konden rennen zonder alarmbellen te laten rinkelen.

Aan een prepaid card hangt ook geen rekening; wat de bank betreft is het een anonieme zak met geld, die al is betaald en alleen nog afgeteld hoeft te worden. Rood staan is niet mogelijk - tenzij een cracker het bedrag en de transactielimiet willekeurig kan veranderen. Toen de cashing crews op 19 februari hun werkdag begonnen, waren ook de crackers paraat. Ze volgden de wereldwijde actie op de voet via hun beeldschermen, om zeker te zijn van hun deel en waarschijnlijk ook om de bedragen in de database op peil te houden.

Tien uur tappen

In New York liep een cashing crew tegen de lamp, zodat hun werkdag van tien uur zich aardig in kaart laat brengen. Lui waren ze zeker niet. Met zijn achten namen ze 2904 keer geld op, gemiddeld per casher een minuut en 39 seconden per transactie - inclusief reistijd. Maar een ervan verscheen goed herkenbaar op de beelden van bewakingscamera's. Een tweede maakte foto's van zichzelf en een collega samen met een forse stapel bankbiljetten, zodat er na zijn arrestatie geen gebrek was aan bewijsmateriaal.

De leider van de acht had het grootste deel van het geld toen al verzonden naar zijn opdrachtgever, via een Russische specialist in witwassen. Het lijkt niet aannemelijk dat meer dan een kleine fractie van de 40 miljoen dollar ooit weer boven water komt. De vraag is slechts wie het verlies moet nemen; de acceptant, de bank of de verzekeraars. Deskundigen houden het erop dat de acceptant niet voldeed aan de standaard beveiligingseisen van Mastercard. Maar het contract tussen de bank en de acceptant zal gewoonlijk de aansprakelijkheid van de laatste beperken. Bank Muscat zegt intussen een voorziening te hebben getroffen voor maximaal 39 miljoen dollar, meer dan de helft van de kwartaalwinst.

Innovatief, efficiënt, crimineel

Uiteraard worden banken niet graag het slachtoffer, en zeker niet als vooral andere partijen de fouten maken. Criminele organisaties investeren fors in kennis en software om innovatief en efficiënt te kunnen werken. Wie achterloopt - en niet wordt beschermd door gunstige contracten - neemt een toenemend risico. Denk aan de geautomatiseerde beroving van 5016 zorgvuldig gekozen meest zakelijke Nederlandse bankrekeningen in 2012. Banken zijn steeds minder geneigd om de schade te vergoeden, als een rekeninghouder zijn software én competentie niet op orde heeft.

Het mkb doet zijn best. De Britse marktonderzoeker Canalys voorspelt in een recent rapport dat vooral middelgrote bedrijven de komende vijf jaar aanzienlijk meer aan beveiliging zullen uitgeven. Dit jaar wereldwijd een kleine 6 miljard dollar, oplopend naar 8,5 miljard dollar in 2017. Dat is ruim 7 procent groei per jaar, terwijl op de meeste andere uitgaven bezuinigd wordt. Staat er voldoende tegenover?

Perkele kraakt tancode

Tot nu toe niet. Crimineel misbruik van internet blijft toenemen. Dit jaar was vooral de groei in mobiele malware opvallend; een verdubbeling in de eerste zes maanden. Er ontstaat een vrije markt waar goede kwaliteit 'van de plank' wordt aangeboden voor prijzen die ook de kleinere crimineel zich kan veroorloven. Bijvoorbeeld Perkele, te koop voor 1000 dollar. Het is een module voor Android-smartphones, ontworpen om samen te werken met een trojaan (zoals Citadel) aan boord van een pc.

Als het slachtoffer gaat internetbankieren injecteert de trojaan een valse webpagina in zijn browser, die hem onder andere vraagt om zijn mobiele nummer en het besturingssysteem van zijn smartphone. De antwoorden gaan naar de server van de cracker, die via de trojaan meer software op maat naar de browser stuurt. Het slachtoffer wordt verzocht een qr-code te scannen met zijn smartphone, voor 'extra beveiliging'. Na de scan wordt Perkele (op maat voor de bank in kwestie) automatisch op de smartphone gezet. De trojaan start een overschrijving, Perkele onderschept de via sms verstuurde tancode en geeft 'm via de server van de cracker aan de trojaan, zodat de overschrijving voltooid kan worden. Het slachtoffer merkt daar niets van, want de trojaan zorgt dat de webpagina's afkomstig van de bank eruitzien zoals verwacht.

Vorig jaar nog stelde het Enisa (European Network and Information Security Agency) dat gezien de kans dat de pc van een klant gekraakt is zowel het bedrag als de bestemming van overschrijvingen ter controle aan de gebruiker getoond moeten worden, 'via een betrouwbaar kanaal of apparaat. Zoals telefonisch, via een sms, of via een zelfstandige smartcardlezer met beeldscherm.' Door Perkele en de snel oprukkende Android-smartphone is sms geen betrouwbaar kanaal meer. Overigens kan ook de smartcardlezer falen, als hij met de pc wordt verbonden om de gebruiker tikwerk te besparen.

Experts voor de bijl

Een ander achterlopend advies: 'koop een Mac, want Apple is veiliger.' 2013 was ook het jaar van de drenkplekaanval. Crackers met een specifieke doelgroep voor ogen infecteren sociale websites waar die groep actief is. In dit geval onder andere iphonedevsdk.com, een ontmoetingsplek voor softwaremakers met iOS als werkgebied. Browsers die de website in beeld brachten werden geruisloos gekraakt via een nog onbekend gat in de Java-plugin - ergens op klikken was niet nodig. Het werkte vlekkeloos, ook als bezoekers van iphonedevsdk hun besturingssystemen en antivirus zorgvuldig hadden bijgehouden. Bovendien maakte Java een 'cross-platform' aanval mogelijk. Mac OS X, Windows en Linux waren geen van allen immuun, volgens het Amerikaanse Homeland Security Agency.

Via hun slachtoffers kwamen de crackers binnen bij de werkgevers. Facebook, Twitter, Microsofts Mac business unit, Apple en honderden kleinere bedrijven gingen voor de bijl. Vermoedelijk waren het Oost-Europese of Russische crackers op zoek naar verkoopbare technische informatie. Minstens een van de gebruikte servers was eigendom van een Oekraïens bedrijf. Oost-Europese crackers hebben een reputatie voor degelijke, met zorg gebouwde software; Tom Kellermann (Trend Micro) noemt het 'de Fabergé-eieren van de malware-wereld.' Goed genoeg om de experts van Apple en Mircrosoft op hun eigen terrein te verslaan.

Krakende overheid

En dan het massale kraakwerk door inlichtingendiensten, met name het Amerikaanse National Security Agency (NSA) en het Engelse Government Communications Headquarters (GCHQ). Vanuit een zakelijk gezichtspunt is vooral de ondermijning van cryptografische systemen buitengewoon zorgwekkend. Uit door Edward Snowden gelekte informatie blijkt dat (werknemers van) ict-bedrijven - waaronder Microsoft - worden verleid of desnoods gedwongen om zwakke plekken in hun cryptografische producten te verwerken. Denk aan een generator van willekeurige getallen die niet echt willekeurig zijn, of een foutje in de omgang met sleutels of wachtwoorden. Als het lek wordt ontdekt, wordt het afgedaan als een 'bug'.

Zulke bewust ingebouwde defecten maken de cryptografische beveiligingen waar iedereen op vertrouwd - vpn, ssl, tls enzovoort - veel minder betrouwbaar dan ze moeten zijn. Want crackers zoeken naar zulke defecten. En corruptie woekert. Degenen die 'achterdeuren' inbouwen voor inlichtingendiensten zullen hun geheimen niet onder alle omstandigheden bewaren. Sommigen zullen ook voor andere partijen werken, als er genoeg tegenover staat. Hoe kunnen we onze netwerken verdedigen, in de komende jaren? Met heel veel moeite.