Nog een paar uur en dan zit 2007 erop, een jaar dat zeker op beveiligingsgebied zeer interessant was. Grote malware-uitbraken mogen dan tot het verleden behoren, de hoeveelheid virussen, wormen en spyware verdubbelde dit jaar. Virusschrijvers mogen dan meer moeite doen om hun creaties te verbergen, dankzij social engineering weet men nog altijd menig gebruiker te infecteren. Wat meteen het teken is dat het internet en haar gebruikers nog lang niet volwassen zijn. Niet alleen komen er nog elke dag nieuwe internetgebruikers bij, mensen die een bepaald gedrag vertonen zullen dit blijven doen. Het ziet er dan ook niet naar uit dat er in 2008 een einde komt aan het openen van ongevraagde bijlagen en URLs. Hieronder een aantal van de "hoogtepunten" op beveiligingsgebied van dit jaar
Storm Worm blijft waaien
Het begon halverwege januari met een standaard uitziende Trojan, die via sensationele berichten over doden in Europa gebruikers een meegestuurde bijlage probeerden te laten openen. De malware werd al snel omgedoopt tot Storm worm, wat in feite onjuist is, omdat het een Trojaans paard betreft. Een dag na de uitbraak en alle media-aandacht liet een voorbarige CISSP nog weten dat we met een "storm in een glas water" te maken hadden. De Storm worm ging echter stug door met verspreiden, want een paar dagen later meldde het de dood van presidenten Castro en Poetin. Een voorbode voor de rest van het jaar, want alle grote incidenten en evenementen ware een prooi voor de bende achter de Storm worm. Het botnet dat de Storm worm schepte nam voor onderzoekers bijna mythische vormen aan. Niet alleen zou het miljoenen computers betreffen, ook zouden alle zombies bij elkaar krachtiger zijn dan alle supercomputers op aarde. Uiteindelijk bleek het aantal infecties veel lager te liggen dan in eerste instantie werd aangenomen, en zou het tussen de 500.000 en 1 miljoen machines gaan. Tevens was er sprake dat de bende het botnet zou opdelen, om zo ook andere criminelen er gebruik van te laten maken. Zo zou de atoomexplosie in Amsterdam scam via het botnet verstuurd zijn. Ondanks berichten dat het botnet bijna zou zijn uitgestorven weet men toch niet van ophouden, zoals de meest recente nieuwjaarsgroet liet zien.
USB-sticks en laptop losers
Zelden hebben we in een jaar zoveel berichten geplaatst over verloren USB-sticks, gestolen laptops en creditcarddiefstal. TJX spande de kroon. De Amerikaanse retailer gaf dankzij een onbeveiligd draadloos netwerk criminelen toegang tot haar systemen, die er uiteindelijk met een kleine 100 miljoen creditcardgegevens vandoor gingen. De dieven kochten via de gestolen creditcardgegevens voor zeker 1 miljoen dollar aan goederen. Ook Defensie blonk uit in het rondstrooien van vertrouwelijke data. USB-stickje hier en hier, minicassettes met geheime informatie daar, maar ook het plaatsen van een vertrouwelijk document op de eigen website deed het imago geen goed. Uiteindelijk werd er besloten een database voor verloren USB-sticks op te richten. Het was echter niet alleen het Nederlandse leger dat geen benul had waar haar vertrouwelijke informatie uithing. Ook het Amerikaanse leger heeft nogal moeite met P2P-software en geheime gegevens. Iets waar ze in Japan ook de nodige ervaring mee hebben. Het was dan ook niet vreemd dat er dit jaar een recordaantal persoonsgegevens op straat belandde. Met name in Engeland was het de afgelopen maanden elke week raak. Het begon met de gegevens van 25 miljoen Britten die de Belastingdienst kwijtraakte, wat inspirerend voor andere overheidsafdelingen werkte. Zo volgde ook het Ziekenfonds, de Ierse overheid en nog tal van andere afdelingen persoonsgegevens, die in de meeste gevallen via de post werden verstuurd en niet versleuteld waren. De enige oplossing lijkt dan ook een zelfvernietigende USB-stick.
Hackers maken gehakt van legitieme websites
Werd en wordt gebruikers nog altijd aangeraden geen onbetrouwbare websites te bezoeken, dat advies kan inmiddels de vuilnisbak in. Volgend jaar wordt er meer malware via legitieme websites dan kwaadaardige websites verspreid. Doordat veel websites hun beveiliging niet op orde hebben, is het extra aantrekkelijk voor criminelen om hun malware hier te plaatsen. Bezoekers hebben niets door, en dit soort sites trekken nog altijd meer bezoekers. Denk bijvoorbeeld aan de websites van de Franse ambassade, India Times, Syrische ambassade, Republikeinse partij en computerfabrikant Asus. Het was echter de website van de Bank of India die een speciale vermelding verdient. Niet alleen betrof het een banksite, bezoekers werden ook nog eens met een buslading malware geïnfecteerd. Via de NoScript uitbreiding voor Firefox is het mogelijk om iFrames niet te laden, waardoor de kwaadaardige website ook niet geladen wordt.
Internetbankieren onder vuur
Werd je vroeger nog op straat overvallen, vandaag de dag gebeurt het op internet, en heb je het niet eens door. 2007 was zeker het jaar van aanvallen op internetbankieren. Postbankklanten waren meerdere keren doelwit van phishing-aanvallen, ook klanten van de SNS-bank en ABN Amro moesten op hun tellen, of beter gezegd hun bankrekening, passen. Vooral de laatste kreeg te maken met een aantal doeltreffende aanvallen. Eind maart werd er een bericht verstuurd dat van de ABN Amro bank afkomstig leek, maar in werkelijkheid klanten een Trojaans paard probeerde te laten installeren. Zeker 200 mensen deden dit. Bij een onbekend aantal mensen werd de rekening geplunderd, ze werden echter vergoed door de bank. De katvangers die voor de criminelen hun bankrekeningen ter beschikking stelden werden laatst opgepakt.
Om vertrouwen in internetbankieren te herstellen en de consument op zijn eigen verantwoordelijkheid te wijzen, startte de Nederlandse Vereniging van Banken de campagne 3x kloppen, wat staat voor "klopt de PC beveiliging", "Klopt de website", en "Klopt de betaling". Het blijkt echter een wassen neus, want 2-factor authenticatie is door malware te omzeilen. Mensen die geïnfecteerd zijn kunnen 3x of 10x kloppen, ze zullen niet zien dat ze door in te loggen criminelen toegang tot hun bankrekening geven. Alleen op de papieren afschriften is de schade van dit soort aanvallen zichtbaar, maar dan is het vaak al veel te laat, als de consument zijn afschriften tenminste controleert. En de situatie lijkt erger te worden, aangezien de banken in landen om ons heen ook langzaam overstappen op 2-factor authenticatie, waardoor Nederlandse banken hun voortrekkersrol kwijtraken, en net zo kwetsbaar zullen zijn.
Grootschalige pinpasfraude
Niet alleen via internet was het prijsschieten voor criminelen, ook het vertrouwen in "pinnen" liep een flinke deuk op. Oost-Europese bendes blijken op grote schaal pinautomaten te manipuleren, waardoor ze eenvoudig de gegevens van de magneetstrip en bijbehorende pincode kunnen kopiëren. Via de gekloonde kaart wordt daarna in een ver land de rekening leeg getrokken. De banken reageerden door voorzetmondjes te plaatsen. De pinpasfraudeurs waren niet voor een gat te vangen, en richtte hun aandacht op betaalmachines bij winkels. Vooral de HFT 201 betaalautomaat was een geliefd doelwit. De fraudeurs braken in, vervingen de betaalautomaat of manipuleerde die, waarna het wachten was totdat klanten betaalden. Dit jaar was het raak bij NS-stations, geldautomaten, ABN-Amro, Pathe bioscopen, IntraTuin en meerdere winkels in Zwolle, verschillende Praxis-vestigingen en de ABN-Amro.
Windows niet alleen lek
Dankzij de Automatische Update functie in Windows XP en Vista zijn Windows beveiligingslekken een stuk minder interessant voor computercriminelen dan voorheen geworden. Daarnaast zijn er dit jaar weinig ernstige beveiligingslekken aangetroffen waar ook nog eens massaal exploits voor verschenen. Wat niet gezegd kan worden voor "third party applications". Met name Apple QuickTime vormt een zeer ernstig beveiligingsrisico voor gebruikers. Dit jaar werden er meer dan 30 beveiligingslekken in de mediaspeler ontdekt, en zijn er meer dan 10 actieve exploits online verschenen. Doordat de software op miljoenen machines is geinstalleerd, en vaak niet wordt gepatcht, is het een ideaal doelwit voor aanvallers om Windows machines hierdoor te infecteren. Vanwege de aard van de lekken is het in veel gevallen voldoende om een gebruiker naar een kwaadaardige website te lokken. Naast QuickTime zijn er ook voor Java, Flash, ActiveX, Yahoo IM, RealPlayer, Winzip, Winamp, Microsoft Office, Internet Explorer, Opera en Firefox tal van exploits in omloop. Om het infecteren van gebruikers te vereenvoudigen zijn veel van die exploits in automatische hacker-toolkits zoals MPack, IcePack en Webattacker verwerkt. Experts zijn van mening dat deze trend zich volgend jaar zeker zal voortzetten. Het is dan ook te hopen meer programma's van een automatische software update functie worden voorzien. Daarnaast kan het geen kwaad als vendors sneller patchen.
Stemcomputers met pensioen
Het verzet tegen stemcomputers, door de actiegroep met de langste URL op het web, lijkt na anderhalf jaar eindelijk vruchten af te werpen, want de Nedap stemcomputers worden als alles goed gaat eindelijk bij het grofvuil gezet. "In ieder geval gaan de dingen rond de verkiezingen, al is het soms met horten en stoten, de goede kant op", zo laat actiegroep Wij vertrouwen stemcomputers niet weten.
Chinese hackers: Backdool bij?
In 2005 werd er al voor Chinese hackers gewaarschuwd, dit jaar kwam echter de "internationale doorbraak". In februari maakte de VS al het eerst verwijt dat de Chinezen alles zouden hacken was los en vast zit. Drie maanden later waren een aantal bekende modehuizen het doelwit. Er dreigde echter een internationale rel toen de Duitse overheid in augustus melding maakte dat haar netwerken waren gekraakt, en dat hackers in dienst van de Chinese overheid er met vertrouwelijke informatie vandoor waren gegaan. Niet alleen Duitsland, ook het Pentagon, Engeland, Frankrijk, Shell en Rollys Royce hadden bezoek uit het Oosten gekregen. Er verschenen allerlei waarschuwingen, zowel van inlichtingendienst MI5 als beveiliger McAfee, wat weer bij China in het verkeerde keelgat schoot. De Chinezen zouden namelijk zelf doelwit van allerlei hackende landen zijn.
Concluderend
Een veilig internet is vooralsnog een utopie, en dus heeft Security.NL ook volgend jaar weer als missie Nederland veilig te maken. Dit jaar heeft de Redactie maar liefst 2598 artikelen geschreven, 69 meer dan in 2006, toen stokte de teller bij 2529.
Deze posting is gelocked. Reageren is niet meer mogelijk.