ICSS Cybersecurity Conference Leuven
Vorige maand vond in Leuven het International Cyber Security Strategy Congress (ICSS) plaats rond het thema 'Cyber Security and Forensic Readiness'. Dit congres, georganiseerd door onder meer het Belgian Cybercrime Centre of Excellence for Training, Research and Education (B-CCENTRE) en gastheer KU Leuven, bood heel wat verrassende en minder verrassende vaststellingen en inzichten. Wij sommen de opmerkelijkste voor u op.
1. Samenwerken is noodzakelijk
Koen Geens
De openingsspeech van de Belgische Minister van Justitie Koen Geens zette al meteen de toon. Na de opsomming van enkele lokale initiatieven - zoals een beter wettelijk kader om cybercrime doeltreffender te bestrijden en een betere opleiding van het politiekorps om cybercrime sneller te herkennen en bestrijden - benadrukte Koen Geens het belang van internationale samenwerking. " Cybercriminelen worden niet gehinderd door fysieke of virtuele grenzen: ze kunnen alle wereldwijde mogelijkheden van het internet benutten, meestal zelf in volledige anonimiteit. Dus moeten ook de misdaadbestrijders grensoverschrijdend kunnen werken als ze een redelijke kans op slagen willen." Frederic Van Leeuw, federaal magistraat bij FOD Justitie, benadrukte een andere reden voor internationale samenwerking: elk op zich zijn de cybermisdaadbestrijders vaak niet opgewassen tegen de grote benden en tegen grote ondernemingen die van de virtuele en globaliserende wereld gebruik maken om lokale verplichtingen te ontvluchten. Hij vergeleek het op het congres met het Wilde Westen: "Hoe kan een lokale sheriff van een klein dorpje standhouden tegen grote bendes en organisaties in het grotendeels wetteloze landschap waar we ons nu in bevinden?" De samenwerking geldt dus zowel voor de wetgeving als voor de handhaving ervan, als we een stap verder in de bestrijding van de cybercriminelen willen geraken, besluit Frédéric Van Leeuw.
2. Maar samenwerken is ook moeilijk
Als één ding duidelijk wordt op een congres zoals ICSS2015 is dat samenwerking, zowel nationaal als internationaal, een bijzonder complexe zaak is. Elke vorm van geslaagde samenwerking mag dus zeker als een succes bestempeld worden. Overloop even met ons mee. In elk land vinden we uiteraard de traditionele politiediensten, met daarnaast op nationaal en soms ook federaal en/of lokaal niveau een in cybermisdaad gespecialiseerde cel. Daarnaast hebben we Europol, de overkoepelende Europese politiedienst, die ook weer een eigen cybercrime-afdeling heeft opgericht (European CyberCrime Center, kortweg EC3). En dan hebben we het nog niet gehad over politiediensten in de VS of in het Oosten, over Interpol of andere diensten. Elk van deze diensten heeft eigen bevoegdheden en verplichtingen, en samenwerking wordt vaak daardoor al gehinderd. Ook op het vlak van wetgeving en rechtspraak wordt samenwerking vaak belemmerd door nationale, regionale of andere restricties en bekommernissen. Toch wordt er veel aan gedaan om die obstakels te overwinnen. Zo heeft Eurojust - het samenwerkingsverband van de Europese Unie op het vlak van Justitie - van cybermisdaadbestrijding één van zijn negen prioriteiten gemaakt. Zo zetten ze zich in voor een betere samenwerking tussen de lidstaten, treden ze op als juridisch adviseur en willen ze een betere uitwisseling van informatie mogelijk maken. Niet altijd even evident, geeft Eurojust-voorzitster Michèle Coninsx graag toe, maar ook niet onmogelijk. Zo werd dankzij de interne samenwerking en overleg met FBI en Europol het Blackshades-netwerk blootgelegd, dat opereerde op internationale schaal. Maar we waren nog niet uitgeteld: na politie en justitie kwamen immers ook nog EDA (het Defensie-agentschap van de Europese Unie), de cybercrime-afdeling van de NAVO, enkele nationale CERT's (Cyber Emergency Response Teams) en ENISA (European Union Agency for Network and Information Security) aan de beurt. Elk van deze instanties levert nuttig werk op zijn gebied en beschikt ongetwijfeld ook over zeer nuttige informatie. Maar het lijkt haast onmogelijk om alle nuttige informatie ook efficiënt te delen met iedereen, al was het maar omdat men vaak niets eens van elkaars bestaan afweet. De roep om een soort superdatabank die alle nationale, regionale en grensoverschrijdende informatie over malware, cybermisdaad en gekende cybermisdadigers bundelt, klinkt luider dan ooit. Maar in afwachting van een overkoepelend orgaan dat zoiets zou mogelijk maken - een droombeeld dat wellicht nog vele jaren verwijderd is - mag men al blij zijn met de goede wil die alle aanwezigen uitstraalden om informatie en best practices op een ad hoc of structurele manier met elkaar uit te wisselen.
3. De extra dimensies van cybermisdaad
Wie aan de Aula Pieter De Somer in de Leuvense Beriotstraat aankwam tijdens de conferentie kreeg een niet alledaags tafereel voorgeschoteld. Gewapende beveiligingsagenten voor de ingang, en nog extra beveiliging net binnen het gebouw. Of het geïnspireerd was door de recente terroristische aanslagen, weten we niet, maar het illustreert wat ons betreft wel perfect een algemene waarheid: cybermisdaad is allang niet meer beperkt tot de digitale en virtuele wereld.
Rik Ferguson
Die verhoogde aandacht voor misdaad op de grens tussen de digitale en virtuele wereld merkten we ook bijvoorbeeld bij de uiteenzetting van Rik Ferguson, vice president security research bij Trend Micro. Hij vestigde onze aandacht op een misschien wel onderbelicht malwarefenomeen dat zeker het voorbije jaar aan belang heeft gewonnen: PoS (Point of Sales)-malware. In het verleden bleef kredietkaartfraude in winkels en betaalautomaten beperkt tot 'key capture' en 'screen scraping', twee gekende manieren om de gegevens op een kaart te recupereren. Nu is de aandacht verschoven naar zogeheten 'RAM scrapers', malware die de informatie uit het RAM-geheugen van de kassa's en betaalterminals 'schraapt'. "In 2014 zagen we net zo veel nieuwe RAM-scrapers opduiken als in alle voorgaande jaren samen", waarschuwde Rik Ferguson voor dit nieuwe gevaar. Er zijn ook nog andere manieren waarop de digitale en analoge wereld moeilijker uiteen te houden zijn. Denk maar aan de zogeheten ' slimme lampen', die je kan besturen met je smartphone. "Die lampen bevatten ook informatie over je wifi-wachtwoord, en meestal ligt die informatie zo voor het grijpen voor hackers", waarschuwt Gorazd Bosic, hoofd van het Sloveense CERT-team.
4. Het wordt persoonlijk
De aanvallen op bedrijven in het voorbije jaar hebben meestal hetzelfde 'kill chain' patroon gevolgd, aldus Ronald Prins, CTO van Fox-IT: verkenning op zoek naar een exploit, het bouwen van wapens om die exploit te misbruiken, het afleveren van de wapens via e-mail, USB of andere achterpoortjes, het misbruiken van de zwakte om malware te installeren, van op afstand deze malware besturen voor criminele doeleinden. "Maar dat betekent niet dat we ervan uitgaan dat het voortaan altijd zo zal gaan", waarschuwt Prins. Prins waarschuwt wel dat we nog veel complexer en krachtiger aanvallen mogen verwachten: "Wat nu state of the art is en enkel weggelegd voor de allerbelangrijkste objectieven, wordt binnen enkele jaren mainstream. En de malware zal steeds moeilijker te traceren en detecteren zijn. En - last but not least - de malware wordt steeds persoonlijker: niet enkel gericht, maar eenvoudigweg op maat gebouwd voor uw bedrijf. Dit staat ons allemaal te wachten, binnen een drietal jaar." Wat we dan kunnen doen om dit te bestrijden? "Eerst en vooral moet je ervan uitgaan dat je sowieso zal worden aangevallen. Met dit basis uitgangspunt kom je al een heel eind. Zo kan je je verdediging hieraan aanpassen. Met 'honeypots', bijvoorbeeld, waarmee je de aanvaller lokt om meer over hem te weten te komen. Zo kan je een geraffineerd spel beginnen spelen waarbij je de aanvaller steeds probeert te doorgronden en een stap voor te blijven." Maar ook andere 'best practices' blijven gelden, vervolgt Ronald Prins: "Voorzie voldoende segmentatie tussen verschillende delen van uw netwerk, zodat een geslaagde aanval slechts beperkte schade kan aanrichten. Beperk de interne communicatiemogelijkheden tot het noodzakelijke zodat het speelveld voor een hacker verkleint. Dit doet u ook door de administrator rights zo goed mogelijk af te schermen van onbevoegden. Gebruik 'antivirus file reputation services' om zo goed mogelijk op de hoogte te blijven van alle recente malware, beter dan welke antivirusleverancier afzonderlijk ooit zal kunnen. Implementeer en optimaliseer Host Intrusion Prevention Systems (HIPS) om het gedrag van aanvallen sneller te detecteren en om deze aanvallen te kunnen voorkomen." Deze best practices werden overigens geplukt uit een terzake bevoegde bron: NSA, niet onbekend met de beste hackingtechnieken.
5. Big data, een vloek en een zegen
Zoals we hierboven al vermeldden: als alles digitaal wordt, is er ook veel meer informatie over ons beschikbaar voor de cybercriminelen. Denk maar aan de sociale netwerken waar slechts een beetje social engineering volstaat om een schat aan informatie los te weken. In dat opzicht is big data dus een vloek: er komen dagelijks talloze stromen van data bij waaruit de criminelen waardevolle informatie kunnen putten. "Maar big data kunnen ook een zegen zijn", nuanceert Tomas Clemente Sanchez van PwC: "de cybermisdaadbestrijders kunnen big data bijvoorbeeld gebruiken om verdachte patronen te ontdekken en op basis hiervan de verdediging te verbeteren." Sanchez waarschuwt wel voor een ongebreideld gebruik van big data: "er vallen ook privacy-regels te respecteren, dus daarmee moet rekening worden gehouden bij het verzamelen van gegevens. Het zal dus steeds een kwestie van afwegen zijn, waarbij de belangen van elke partij - burger, overheid, politie, bedrijven - tegen elkaar worden afgewogen om het gemeenschappelijke belang zo goed mogelijk te dienen."
2014 in cijfers
- 19% van de Android-gebruikers heeft een mobiele aanval meegemaakt
- 38% van de computers van eindgebruikers waren het slachtoffer van minstens één webaanval
- Cybercrime kost wereldwijd 445 miljard dollar, hetzij 1% van het bruto wereldwijd product
- Er zijn wereldwijd 15,577,912 kwaadaardige mobiele apps aangetroffen, waaronder 12.100 mobiele banking Trojans
- Elke seconde van het voorbije jaar werden er meer dan 5 nieuwe cyberbedreigingen aangetroffen
- Moet het nog gezegd dat voor 2015 nog een serieuze groei wordt verwacht, zowel in aantal als in het bereik van de digitale aanvallen?
(Bron: Europol)
Stef Gyssels is hoofdredacteur van Infosecurity Magazine