Achtergrond
image

Oplossing cyberspionage vaak één muisklik verwijderd

maandag 8 juni 2015, 10:54 door Redactie, 7 reacties

Regelmatig verschijnen er in de media berichten over cyberspionage en ook op politiek niveau is er regelmatig aandacht voor dit onderwerp, toch zijn de meeste van dit soort aanvallen eenvoudig te voorkomen. Dat laat Jenn Miller-Osborn van beveiligingsbedrijf Palo Alto Networks tegenover Security.NL weten. Miller-Osborn werkte hiervoor bij MITRE en was daar, net als nu, betrokken bij onderzoek naar Advanced Persistent Threats (APTs). In tegenstelling tot wat de naam doet vermoeden zijn de aanvallen vaak niet geavanceerd en gebruiken zeer primitieve aanvalsmethodes die ook worden gebruikt om doorsnee thuisgebruikers met malware te infecteren, namelijk linkjes en e-mailbijlagen.

Het gaat dan meestal om Word-, Excel- en PowerPoint-documenten die exploits bevatten voor kwetsbaarheden binnen deze programma´s. Het gebruik van zip-bestanden komt minder vaak voor bij cyberspionage, aldus Miller-Osborn. Het voordeel van Office-documenten is dat dit binnen ondernemingen gebruikelijk is, aangezien de meeste organisaties met doc en xlsx-formaten werken. Voor het uitvoeren van de aanval versturen de aanvallers een kwaadaardig document dat, zodra geopend door een kwetsbare versie van Microsoft Office, malware op de computer kan installeren. Het gaat hier in de meeste gevallen om bekende kwetsbaarheden waar updates voor beschikbaar zijn. De aanval zal dan ook mislukken als Microsoft Office up-to-date is.

Patches

Ondanks alle aandacht voor cyberspionage en adviezen over het installeren van updates komt het nog steeds voor dat bedrijven en organisaties, waaronder ook grote ondernemingen, geen patches installeren en daardoor risico lopen. Een bekend voorbeeld is een lek in Word dat Microsoft begin 2012 patchte. Inmiddels is het 2015 en zijn er nog steeds grote ondernemingen die de betreffende update missen en via dit lek succesvol worden aangevallen. "Mensen patchen gewoon niet", merkt Miller-Osborn op. "Het zou niet zo eenvoudig moeten zijn, maar het is echt zo, mensen installeren gewoon geen updates."

Een reden voor bedrijven om niet te patchen kan zijn dat de update invloed op de werking van andere software of processen heeft. Een andere reden kan zijn dat ondernemingen te klein zijn en geen IT-personeel hebben, waardoor het nooit gebeurt, of dat de IT is geoutsourcet en er daar geen aandacht aan patching wordt gegeven. Miller-Osborn noemt deze bedrijven dan ook nalatig. "Het was een ding als het vijf jaar geleden plaatsvond. Mensen wisten toen niet hoe malware werkte en het kwam ook weinig in de media. Maar nu is er zoveel aandacht aan gegeven dat er weinig excuus is om patches die vier of vijf jaar oud zijn niet te installeren."

Een andere aanvalstactiek is het gebruik van kwaadaardige macro's. Een Word-document vraagt dan om macro's uit te voeren, zogenaamd om de inhoud van het document weer te geven, maar onzichtbaar voor de gebruiker wordt er malware in de achtergrond gedownload. Gebruikers zouden hier wel iets bewuster van zijn geworden en sturen documenten bijvoorbeeld door naar hun IT- of securityteam om te controleren of het document wel oké is. Toch gebeurt dat niet altijd waarschuwt de beveiligingsexpert. "Het probleem is dat zoveel mensen er blindelings vanuit gaan dat iets oké is en op "ja" klikken."

VPN-gegevens

Cyberspionnen hebben dan ook weinig reden om hun werkwijze aan te passen, hoewel ze ook links in e-mailberichten gebruiken omdat sommige organisatie bijlagen strippen, merkt Miller-Osborn op. De links wijzen dan naar phishingpagina's waar geprobeerd wordt om inloggegevens voor het bedrijfs-VPN te stelen. "Ze zijn zeer geïnteresseerd in VPN-gegevens", laat ze weten. Via de VPN-gegevens kunnen ze als de gebruiker inloggen. Veel bedrijven verwachten ook dat werknemers via een VPN binnenkomen. Nu zouden organisaties kunnen monitoren vanaf welk IP-adres de verbinding is opgezet, maar dat gebeurt meestal niet. De aanvallers, ook al komen ze vanaf een andere IP-reeks dan de werknemer, worden dan niet opgemerkt. Via de VPN-verbinding kan vervolgens malware op het netwerk worden geïnstalleerd en krijgen de aanvallers meer permanente toegang.

Als het gaat om de doelwitten van cyberspionage wordt vaak gedacht aan grote ondernemingen of belangrijke personen binnen een organisatie. Toch zijn die niet altijd het directe doelwit, aangezien cyberspionnen vaak via een omweg werken. Zo komt het voor dat een klein bedrijf dat leverancier of partner van een grote onderneming is wordt aangevallen. Vervolgens liften de aanvallers mee op eerdere e-mailcommunicatie om een kwaadaardig document naar het uiteindelijke doelwit te sturen. Een andere omweg is bijvoorbeeld het aanvallen van administratief personeel, zoals de persoonlijke assistent. CEO's zijn mogelijk meer op hun hoede, terwijl een persoonlijke assistent continu documenten verwerkt en ook toegang tot de e-mail en andere zaken van haar baas heeft of informatie krijgt te verwerken voordat die naar haar leidinggevende gaat. Sommige van de cyberspionagecampagnes zijn dan ook specifiek op deze medewerkers gericht. "Uiteindelijk hoeft er maar één iemand de bijlage te openen", waarschuwt ze.

Trainen

Volgens Miller-Osborne is het trainen van gebruikers dan ook belangrijk. Toch wordt het nog te vaak achterwege gelaten. "Veel van de kwetsbaarheden zijn op die manier te voorkomen en je legt de lat hoger, waardoor de aanvallers gedwongen worden om tenminste een zero day-lek te gebruiken, en die zijn lastiger te ontwikkelen en erg kostbaar. Veel kleinere campagnes die nu wel succesvol zijn hebben daar niet de middelen voor. Een hoop problemen zijn dan ook te verhelpen als mensen beter zouden zijn in basale beveiligingsmaatregelen."

Reacties (7)
08-06-2015, 14:01 door Anoniem
"Oplossing cyberspionage vaak één muisklik verwijderd"

Natuurlijk is het goed om te patchen, om kwetsbaarheden te verhelpen. Maar om nou te stellen dat daarmee ''de oplossing voor cyberespionage een muisklik verwijderd is''. Een beetje lachwekkend.

Het gaat immers niet voor niets om *persistent* threats, waarbij de aanvallers terug zullen blijven komen, en met het installeren van een patch zal je dat echt niet tegenhouden.
08-06-2015, 14:51 door karma4
De goede opmerking is dat bedrijven nalatig zijn. Ze komen er mee weg om de aanvallen geavanceerd te noemen. Als je dat doorbreekt en ze moeten bewijzen dat ze niet nalatig waren en in geval van schade de betreffende managers zelf geraakt worden, dan pas is er kans op verandering.

Awareness , gebruikers trainingen, zijn nu ook al verplicht. Het is meer een poppenkast om de vinkjes voor de auditor te krijgen dan men er echt bewust mee bezig is.
08-06-2015, 15:31 door Anoniem
Ben benieuwd wat er gaat gebeuren als bedrijven gaan patchen. Uit rapportages van Microsoft blijkt dat zero day attacks weinig voorkomen. Veel cyber attacks vinden plaats via niet gepatchte lekken. Als APT moet je toch binnenkomen, en als bedrijven gepatcht zijn en werknemers geen attachments meer openen wordt het toch een ander verhaal.
09-06-2015, 12:32 door Anoniem
Die aanvallen gebruiken vaak zero days. Al die patches voor Office komen vooral daar vandaan.

Met awareness alleen kom je er niet. De aanvallen zijn vaak zodanig goed (afzender is bekend, bericht is zeer goed nagemaakt), dat herkennen moeilijk is.
09-06-2015, 13:46 door Anoniem
Door Anoniem: "Oplossing cyberspionage vaak één muisklik verwijderd"

Natuurlijk is het goed om te patchen, om kwetsbaarheden te verhelpen. Maar om nou te stellen dat daarmee ''de oplossing voor cyberespionage een muisklik verwijderd is''. Een beetje lachwekkend.

Maar ik interpreteer het ook als, beter opleiden van het kantoor persoon:
Als je de juiste muisklik voorkomt dan gaat er niks mis.
09-06-2015, 16:24 door Mysterio
Door Anoniem:
Door Anoniem: "Oplossing cyberspionage vaak één muisklik verwijderd"

Natuurlijk is het goed om te patchen, om kwetsbaarheden te verhelpen. Maar om nou te stellen dat daarmee ''de oplossing voor cyberespionage een muisklik verwijderd is''. Een beetje lachwekkend.

Maar ik interpreteer het ook als, beter opleiden van het kantoor persoon:
Als je de juiste muisklik voorkomt dan gaat er niks mis.
Aan trainen en patchen heb je niets zolang een club als Microsoft of Google vallen onder de overheid van de VS. Je stopt wellicht een hoop boefjes, maar de echte spionnen vragen gewoon de gegevens op bij de bedrijven waar je zaken mee doet.
10-06-2015, 11:17 door Anoniem
Door karma4: De goede opmerking is dat bedrijven nalatig zijn.
Welke bedrijven? De bedrijven die de fabrikant op z'n mooie blauwe ogen geloofden dat met hun software al die dure bureaucomputers "intuitief" en "productief" zouden worden? Dat er geen training en weinig onderhoud nodig zou zijn, dat een kind de beheerwas kan doen, en zo verder? Je vindt dus dat alle gebruikers, bedrijven en ongetrainde-want-dat-was-niet-nodig gebruikers van die software dus maar moeten opdraaien voor gebrekkige en makkelijk te infecteren software? Of mischien vindt je dat ze maar gewoon meer geld aan de computerbeveiligingsindustrie moeten geven want die lossen het probleem wel even op?

Ze komen er mee weg om de aanvallen geavanceerd te noemen.
Het is de computerbeveiligingsindustrie zelf die iedere keer met nieuwe bangmaaktermen op de proppen komt. Daarmee is het de computerbeveiligingsindustrie die het voorzetje (de vele voorzetjes) gegeven hebben waarmee jouw nalatige bedrijven kunnen roepen "we zijn gehackt!" waarmee ze precies niets zeggen over wat er gebeurd is behalve dat ze hun handen in onschuld wassen want wat er ook gebeurt zou zijn, het is de schuld van kwade krachten van buiten die echt veel te slim zijn voor dit arme bedrijf. "Heb meelij met ons!!1!"


Als je dat doorbreekt en ze moeten bewijzen dat ze niet nalatig waren en in geval van schade de betreffende managers zelf geraakt worden, dan pas is er kans op verandering.
Iedere keer dat we dat proberen krijgen we wat je zelf ook (hierna) zegt. Daarnaast is het de omkering van de bewijslast, en daarmee een vrij grote rode vlag dat je wel draconisch maar niet constructief bezig bent. Je krijgt er vooral meer "CYA"-circus door, en dus een hele hoop Zwarte Piet-doorschuiven, vaak op mensen die helemaal de macht niet hebben ook wat aan het onderliggende probleem te doen.

Awareness , gebruikers trainingen, zijn nu ook al verplicht. Het is meer een poppenkast om de vinkjes voor de auditor te krijgen dan men er echt bewust mee bezig is.
En toch is dat precies wat deze "beveiligingsexpert" weet te melden: "Niet op linkjes klikken hoor."

Vertel eens, waarom zijn het dan linkjes? Waarom staat de software dat toe, waarom doet het zelfs extra moeite om maar zo behulpvaardig van alles waarvan wellicht linkjes te maken te zijn ongevraagd dat ook maar gelijk te doen? Waarom voert die software instructies vanuit onbetrouwbare bron uit voordat de gebruiker doorheeft wat er gaande is, of zelfs maar heeft kunnen zien waar hij mee bezig was? Waarom is die software echt vooral bezig met truuks te verzinnen waarmee deze expres ongetrainde gebruikers "perongeluk" de deur naar infectie en malware open kunnen zetten?

We hebben hier grote bergen software die precies verkocht wordt met het idee dat ze het leven "makkelijker" maken voor de gebruiker en het enige wat de experts weten te vertellen is "wel goed opletten hoor". Nee, daar was die software nu juist voor.

Je kan zeggen, "ja maar het is wel nodig." Maar de logische conclusie moet dan zijn dat dit concept van trainingsloze gebruiksvriendelijkheid, waarbij de software er actief vanuitgaat dat de gebruiker een ongeletterde idioot is die niet weet wat'ie doet, failliet is.

En het gevolg daarvan is dat je de software anders moet inrichten, en er bijvoorbeeld van uit moet gaan dat de gebruiker wel weet wat'ie doet want daar heeft'ie voor doorgeleerd, en dat er dus niet allerlei achter-je-rug-om "hulp" tegenaan gesmeten hoeft, dient te worden want dat zit zo'n expert toch maar in de weg.

Je moet dan inderdaad ook zorgen voor goed opgeleide gebruikers, maar het ene kan niet zonder het ander, en het ander kan niet zonder het een. Je hebt ze echt allebei tegelijk nodig.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure