Cyberoorlog – Gaaaap!

In mijn vorige artikel over het einde van de email refereerde ik aan het trendrapport van McAfee. Een bepaalde zinsnede uit het rapport viel me op:

Will this be the Year of Cyberwar, or merely a showcase of offensive cyberweapons and their potential? While we certainly hope it’s only the latter, the situation’s growth during recent years makes an eventual cyberwar nearly inevitable

Een snelle tweet leverde wel wat verschillende reacties op, variërend van “Gaaaaaaaaap” tot “Ik hoop dat ze dan genoeg professionals hebben om het op te lossen” Ik schrok zelf nogal van de eerste reactie want de impact kan immens zijn.

De impact van een cyberoorlog
Vooropgesteld dat alles te hacken is de kans groot dat een cyberoorlog verwoestend is. In een samenleving waarin steeds meer systemen aan elkaar gekoppeld worden én aan het internet kan de impact van een georganiseerde cyberaanval catastrofaal zijn, wereldomvattend.

In de afgelopen jaren hebben we genoeg voorbeelden gezien om – als we impact op ons laten inwerken – de dag van de cyberoorlog met vrees en beven tegemoet te zien. In de afgelopen jaren waren het gerichte, individuele aanvallen die aangetoond hebben dat de veiligheid niet alleen bij onwetende particuliere pc eigenaren ligt maar dat inderdaad alles te hacken is. Deze week berichtte NU nog over een nieuwe hack waarmee via printers op netwerken ingebroken kon worden. Maar ook gevangenisdeuren , banken , beurzen , logistieke systemen, waterkrachtcentrales, kerncentrales, wapenfabrikanten , watervoorziening en verwarmingssystemen zijn niet veilig, om maar een paar voorbeelden te noemen.

Bijna alle netwerken zijn op één of andere wijze gekoppeld aan het internet; omdat wij graag online verzekeringen willen afsluiten of onze bankzaken willen regelen, of omdat de werknemers ook graag thuis willen werken. Maar al te vaak zijn de bedrijfswerken nog één grote verzamelbak. Kun je bij één ding, dan kun je vaak bij alles. Netwerkzonering kan een heleboel schade voorkomen, maar zeker niet alles.

De genoemde aanvallen tonen aan dat het kan. Wanneer de aanvallen gecoördineerd worden kan de infrastructuur van een land lamgelegd worden. Een grote gecoördineerde aanval op bedrijven waarbij massaal de bedrijfsgeheimen wordt gelekt kan rampzalige gevolgen hebben voor de economie, want in feite is onze economie op geheimen gebaseerd: Ik kan iets, of ik weet is wat jij niet weet en daarom huur je mij in. Met die kennis maken we de producten die we verkopen.

De kans op een cyberoorlog
Als ik zo het rapport van McAfee lees dan is een cyberoorlog bijna onvermijdelijk. Ik onderschrijf die mening. De vraag is niet meer of, maar wanneer en door wie. In het rapport schrijft MacAfee:

“According to reports, the use of cyberweapons in the revolution in Libya was considered but didn’t happen because no one wanted to be the first to open Pandora’s box”

Als we naar de ‘wie’ kijken dan beseffen landen vaak wel dat de wereld tegenwoordig zo verbonden is met elkaar dat de kans op oorlogen wel afneemt. Kijk maar naar de Eurocrisis: We kunnen een land als Griekenland niet zomaar afschrijven want de gevolgen werken wereldwijd door. De grootste dreiging voor een cyberoorlog komt uit kleinere groeperingen.

We hebben het dan niet over de Nigerianen die met een door ons zelf gesponsorde “Iedereen een (100 dollar) PC” ons oplichten, ons de bankrekening nummers ontfutselen en de rekeningen leeghalen maar gerichte guerrilla aanvallen.

McAfee beschrijft ondermeer een scenario waarin Hacktivism (het hacken door activistische groeperingen als Anonymous) meer georganiseerd wordt. Veel mensen hebben toch wel sympathie voor Wikileaks en voor Anonymous maar hun methoden zijn verwoestend en anarchistisch. Het meest donkere scenario is het einde van het internet en een wereldwijde economische crisis die erger is dan de huidige schuldencrisis.

De oplossing
Op een eerder artikel kwam de reactie dat het makkelijker is om aan te geven wat er mis gaat dan om antwoorden te geven. Als ik de antwoorden al zou hebben, dan zat ik hier niet meer en was ik permanent op vakantie.

De bron van het probleem is de verouderde infrastructuur. In eerdere blogartikelen heb ik al geschreven dat deze in de jaren 80 ontworpen is door en voor academici en niet berekend is op de huidige wereld. Hier ligt dan mijns inziens ook de sleutel voor de oplossing van het probleem: Redesign the web. Maar dat is omvangrijk. Het gaat dan om een end to end oplossing. Niet alleen software, maar ook hardware en communicatieprotocollen moeten meer tracking en tracing opties krijgen.

Wordt er aan gewerkt? Nou nee. Er zijn initiatieven, maar vooralsnog wordt er gewoon grof geld verdiend aan het misbruik van de huidige infrastructuur. Een internet waarin persoonsgegevens veilig zijn is dodelijk voor de beurswaarde van bijvoorbeeld sociale netwerksites als Facebook.

Het einde van de Email

Begin deze week kwam ik een blogartikel van Eelco van der Wal tegen over het einde van de email. In dit artikel verwees hij naar artikelen van ABC News en Business Insider die begin deze maand meldden dat een grote ICT Dienstverlener, Atos, een verbod heeft ingesteld op het intern gebruik van email. De Business Insider schreef onder meer:

In case big email providers like Microsoft, Google, and Yahoo hadn’t already been scared stiff by recent online communication trends, this news should wake them up.

In de jaren 90 is het gebruik van email geëxplodeerd en liep het gebruik van email destijds ver voor op het gebruik van internet. Al jaren zet email de traditionele postmarkt, de ‘slakkenpost’ onder druk maar de laatste tijd zien we inderdaad dat email als medium zelf onder druk staat. In een survey van Sillicon Alley Insider zien we dat vooral onder jongeren het email gebruik over het laatste jaar gedaald is:

Gaat die trend zich doorzetten? Hoe komt dit en leidt dit tot het einde van email als communicatie medium?

Email is irritant
Email is eigenlijk altijd al een irritant medium geweest. Dit komt in de eerste plaats natuurlijk door de enorme hoeveelheid spam. Volgens de laatste statistieken van antivirusbedrijf Symantech zakt de hoeveelheid spam vorige maand naar het laagste niveau in 3 jaar. Toch is spam nog steeds goed voor een dikke 70% van alle emailverkeer.

Een tweede aspect waar we ons aan ergeren zijn die kennissen van ons die bij ieder mailtje om leesbevestiging vragen of al binnen een dag er achter aan mailen waarom we nog niet geantwoord hebben.

Nog zo iets irritants: Hebt u ook van die collega’s die bij het minste of geringste de neiging hebben om iedereen op de Cc te zetten?
Email is inefficiënt
Naast alle irritaties die email opwekt maken we ook nog eens onhandig gebruik van het medium. Niet alleen zetten we collega’s nodeloos op de Cc (want dan hebben we ze toch geïnformeerd, of hebben we ons zelf in ieder geval ingedekt) maar we voeren hele discussies op de email.

En zo kunnen we de discussie nog even doorvoeren. In deze korte emailwisseling staan er echter 8 versies van de regel “Hoe laat ben jij vanmiddag vrij” op de mailservers. Nu gaat het maar om één regeltje, maar we doen hetzelfde met beleidsdocumenten. Lijvige rapporten van meerdere MB’s vliegen heen en weer tussen collega’s met de vraag of ze het willen reviewen. We sturen het document naar 10 collega’s. Er zijn nu 11 kopieën. Maar liefst drie collega’s reviewen, mailen hun versie rond en er zijn nu al 44 kopieën in omloop.

Email is duur
Voor bedrijven kost het onderhouden en updaten van spamfilters een aardige duit Naast het werk aan de spamfilters zorgt ons inefficiënte rondmailen van documenten er voor dat ook de opslag van email flink in de papieren gaat lopen. Het afschaffen van email kan dan ook vanuit een kostenaspect toegejuicht worden door uw bedrijf.

Genoeg alternatieven
Voor de jongere generatie groeit vooral het gebruik van andere media. Met de smartphone zijn we niet meer gebonden aan SMS-jes van 160 tekens. Bovendien kunnen we allerlei media meesturen met onze berichten en zijn er voor korte berichten alternatieven als Whatsapp om ook gratis berichten te sturen. Voor iets langere berichten gebruiken we tegenwoordig al snel Facebook.

Voor de zakelijke markt komen de alternatieven echter maar langzaam van de grond. Bij diverse bedrijven zijn IM clients als Sametime (IBM) of OCS (Microsoft) beschikbaar, maar wordt er nog maar weinig gebruik van gemaakt. Oplossingen voor het samenwerken aan documenten zijn haast nog minder beschikbaar. De werknemers die het dan efficiënt willen oplossen wijken dan vaak uit naar een publieke service als Google Docs.

Email is gevaarlijk
Door het achterblijven van collaboration mogelijkheden in bedrijven zien we steeds meer documenten naar publieke providers verhuizen, maar ook de zakelijke email verdwijnt steeds vaker naar het publieke domein. In een poging om de kosten voor email zoveel mogelijk te drukken heeft de zakelijke gebruiker vaak maar een krappe 250MB aan opslagruimte en kunnen we geen email ontvangen groter dan 10 MB. En dus wijken we uit naar GMail.

En daarmee komen we bij de grootste bedreiging voor de zakelijke markt: Email wordt vooral onveilig gebruikt! Met name de grote publieke aanbieders als Microsoft, Yahoo en Google zijn regelmatig doelwit van hackers.

James Fallows schreef een artikel over het gehackte GMail account van zijn vrouw. Op de vraag aan Google hoe vaak dit nu voorkomt antwoordde Bryant Gehring, Account Recovery Stratagist van Google, dat het ‘slechts’ om ongeveer 1,000 gehackte emailaccounts per dag gaat. In 9 van de 10 gevallen is het alleen maar lastig voor de gebruiker die zijn mail kwijt is, maar spannender wordt het als het gerichte aanvallen betreft. Eerder dit jaar schreef de Washington Post :

Google said Wednesday a hacker in China obtained access to hundreds of Gmail accounts, including those of senior U.S. government officials, military personnel, Chinese political activists and journalists.
The company said it recently detected the security breach and stopped what it described as “a campaign to take users’ passwords and monitor their emails, with the perpetrators apparently using stolen passwords to change peoples’ forwarding and delegating settings.”

Email Trends voor 2012
Zo aan het einde van het jaar is het altijd goed om vooruit te kijken. Hoewel de laatste spam offensieven hun vruchten lijken af te werpen voorspelt McAfee in hun 2012 trendrapport een andere golf van spam via legitieme reclame bureaus:

In this environment, we can expect to see “legal” spam continue to grow at an alarming rate. It is cheaper and less risky to spam individuals from advertising companies than it is to use botnet-infected hosts. This sort of activity, known as snowshoe spamming, has grown so much that at the time of this writing the top 10 most common email subjects include one delivery status notification, one botnetrelated fake-Rolex spam, one confidence scam, and seven subjects associated with snowshoe spam. This sort of traffic will continue to grow at a faster rate than phishing and confidence scams, while botnetrelated spam will continue to decrease as botmasters find better and safer ways to wring money out of their armies of infected computers. It is only a matter of time before most global spam volume comes from badly behaving but “legal” entities.

Is dit dan het einde?
Er zijn maar weinig dingen die voor de eeuwigheid bestemd zijn en ik geloof zeker dat email daar niet bij hoort. We hebben de auto nog als vervoersmiddel, maar de stoomvariant hebben we allang niet meer. Vroeger hadden we naast de gewone post nog het telegram als snel communicatiemiddel, maar tegenwoordig lijkt het alsof dit alleen nog maar door de koningin en ministers gebruikt wordt uit piëteit met tradities. Zo zal email ook een tijdelijke variant zijn.

In 2012 zullen jongeren steeds meer gebruik maken van alternatieve media voor hun conversaties en zullen de bedrijven meer en meer collaboration software inzetten. De neerwaartse trend die Sillicon Alley Insider liet zien zal zich doorzetten.

Uiteindelijk zullen niet de alternatieve media de doodsteek leveren voor de email als communicatiemedium. Hoe hip het ook is om nu te zeggen dat je geen email gebruikt en best zonder kunt zal het uiteindelijk neerkomen op bedrijfseconomisch risicomanagement: Er komt een dag dat de limiet van gekraakte email adressen en gelekte informatie overschreden wordt en het te gevaarlijk wordt om zakelijk email te gebruiken.

In mijn vorige artikel schreef ik dat het internet niet voorbereid is op de huidige web 2.0 functionaliteit omdat het nog op een jaren 80 infrastructuur draait die ontworpen is door en voor academici, een ons kent ons gemeenschap. Voor email geldt hetzelfde: Door deze naïeve ontwerpfout bevat het email als medium te weinig veiligheidskleppen om het onder controle te houden.

De Security en Privacy Dieptepunten van 2011

In de afgelopen maanden even wat weinig geblogd. Een nieuwe baan vreet toch altijd meer energie dan je vooraf denkt. Maar goed, ondertussen is het jaar wel weer voorbijgevlogen. En wat een bewogen jaar is het geweest op Security gebied. Te veel om allemaal op te noemen.

Brenno de Winter alias de Big Wobber, Journalist van het Jaar 2011Er is zoveel gebeurd op Security en Privacy gebied dat het volledig terecht is dat Brenno de Winter, alias ‘the Big Wobber’ deze maand verkozen is tot Journalist van het jaar. Aan de ene kant is het triest dat dit gebeurd is: ‘Dit land is zo lek als een mandje en de overheden nemen het niet zo serieus met onze privacy’. Aan de andere kant is het natuurlijk ontzettend positief dat het onderwerp nu zo ontzettend in de spotlights staat. Het is niet meer een niche thema voor IT Nerds of academisch geleuter: Het is de realiteit en de mainstream media aandacht die er nu voor het thema is kan er alleen maar toe leiden dat bedrijven en overheden beter gaan nadenken over de grenzen van privacy en hun maatregelen gaan nemen om de security te verbeteren.

Gisteren was ik in Ede bij de opnamen voor het jaaroverzicht van Ede TV, waar Brenno als één van de gasten aan tafel zat om het jaar van commentaar te voorzien. Als persoonlijk hoogtepunt noemde hij vooral het sepot  in de OV Chipzaak;

“Op 5 september 2011 besloot het Openbaar Ministerie de strafzaak tegen Brenno de Winter voor het reizen op gehackte chipkaarten te seponeren”

Het sepot mag natuurlijk nooit een vrijbrief worden om voor eigen voordeel te hacken maar het is een enorme winst in het onderzoek naar security issues. Strikt genomen is bijna elke poging die je onderneemt om te onderzoeken of iets slecht beveiligd is een criminele daad, tenzij je vooraf toestemming hebt. Helaas denken nog steeds veel bedrijven dat het wel goed zit met hun security en zullen ze ook niet snel meewerken aan een penetratietest of security scan.

In de meeste gevallen is het risico dan voor het bedrijf. Wordt men dan toch kwaadwillend gehacked dan is er enorme schade. In een aantal gevallen staat echter de privacy van veel mensen op het spel en dan is het goed dat het sepot er nu ligt:

“Soms weegt het journalistieke belang van het tonen van een misstand –het falen van de OV-chipkaart – zwaarder dan het strafrecht. Er was geen andere weg om dit te tonen. Een goed journalist heeft als taak om misstanden te tonen.”

DigiNotarEen ander hoogtepunt, of eigenlijk dieptepunt, was natuurlijk het failliet van de CA (Certification Authority) DigiNotar. Niet alleen het bedrijf zelf is er aan onderdoor gegaan maar de positie van de CA’s staat onder druk. Vertrouwen is een belangrijk begrip als het om IT gaat. Dit vertrouwen wordt gegeven door de uitgifte van certificaten waarin aangegeven wordt dat je op het internet zaken doet met een bonafide partij. Er zijn steeds meer partijen die onderzoeken of zij een CA voor personen kunnen worden, zoals bijvoorbeeld het Kadaster en de ABN Amro. Is deze persoon echt wie hij zegt dat hij is? Klopt zijn CV op monsterboard of op LinkedIn. Dit is een interessante ontwikkeling, maar als je als CA gecertificeerde persoonsgegevens gaat bijhouden wordt je hacking target nummer één.

Een derde dieptepunt is het lekken van de Miljoenennota 2012 op prinsjesdag 2011. Hoewel er geen man overboord is en er geen staatsgeheimen geopenbaard zijn of echt nieuwe dingen gelekt is het wel een teken aan de wand hoe slordig we zijn in het beveiligen van onze gegevens.

En nu op naar 2012. Een jaar waarin we nog veel opzienbarende lekken zullen tegenkomen.

Databases lokale overheden en de miljoenennota gemeente Utrecht

Het is prijsschieten op de kermis. Na het lekken van de miljoenennota 2012 gisteren was het vandaag weer raak in de IT huishouding van vele lokale overheden.

Gemeenteoplossingen

“Een dienstverlener die vaak zeer vertrouwelijke raadsstukken voor gemeenteraadsleden beheert, blijkt via een kinderlijk eenvoudig lek volledig te kraken. Inmiddels zou het lek gedicht zijn.

Dat blijkt uit onderzoek van Wouter van Dongen, een webexpert van DongIT. Hij was in staat om via een kinderlijk eenvoudige SQL-injection niet alleen in te loggen, maar ook volledige databasestructuur te zien. Omdat de databases ook de wachtwoorden bewaren, is het regelen van toegang tot systemen eenvoudig.”

Bron: Webwereld

Via GemeenteOplossingen.nl waren meer dan 342 databases van verschillende gemeenten besnuffelbaar. Maar dat was nog niet alles. Na Den Haag was Utreg aan de beurt. Hoezo Domstad?

Domstad Nota 2012

Dom in UtrechtEen ezel stoot zich over het algemeen niet twee keer aan de zelfde steen. Na het kinderlijk eenvoudig uitlekken van de Haagse miljoenennota 2012 door een eentje in een tweetje te veranderen bedacht verslaggever René Cazander van het AD/Utrechts Nieuwsblad dat hetzelfde geintje eens bij de gemeente Utrecht moest uitproberen. En tot zijn verbazing met onverwacht succes.

Het kan natuurlijk een keer gebeuren, maar het bijzondere is dat er bij de gemeente kennelijk niemand is geweest die vlak na het uitlekken van de Miljoenennota 2012 gedacht heeft om te kijken of dit in de eigen keuken ook zo was. Welke gemeente is als volgende aan de beurt?

Volgens RTV Utrecht verslaggever Dennis van Ommeren is het eigenlijk helemaal niet zo grappig als dat het er uit ziet, zeker als je je bedenkt dat de gemeente de afgelopen jaren al miljoenen in de IT voorzieningen heeft geïnvesteerd.

Komt een man bij de Notaris…

Door het starten van een blog over Security in deze dagen kan ik natuurlijk niet voorbij gaan aan de meest recente ontwikkelingen die heel Nederland in haar greep houdt: De inbreuk op DigiNotar. Wat is er nu eigenlijk aan de hand?

Komt een man bij de Notaris… En loopt even later weer naar buiten met het briefpapier en het stempel. Met het papier en het stempel kan hij trouwaktes, verkoopaktes enz. opstellen en verkopen.

DigiNotar is de digitale notaris die de echtheid van websites garandeert. Vanaf het begin
van het internet tijdperk is het wereld wijde web een anonieme wereld geweest. Je hebt contact met mensen over de hele wereld, zonder ze te kennen of echt te ontmoeten. In de eerste jaren was het gebruikelijk om op bulletin boards en fora een zogenaamd ‘handle’ te gebruiken, een alias zonder je eigen naam te vermelden. Hoe weet je nu wie wie is?

Op een forum is dat misschien nog niet zo spannend en maakt het je misschien niet uit
met wie je van doen hebt. Het wordt anders als het gaat om een bedrijf waar je iets wilt kopen. Dan wil je wel zeker weten dat je de spullen geleverd krijgt. Hiervoor zijn CA’s opgericht. CA staat voor ‘Certification Authority’, de instantie die websites certificeert op echtheid. Een soort digitale Notaris die het stempel ‘betrouwbaar’ op een website zet.

(Zie o.m. Security.nl voor een wat diepere uitleg van hoe SSL certificaten werken)

Wat is er gebeurd?

Het is al ruim twee jaar geleden dat DigiNotar gehackt is. Hierbij zijn bestanden op de
servers van DigiNotar achter gelaten. Nu twee jaar later komt men daar achter en constateert men dat er ruim 500 Certificaten gekaapt zijn. De vraag is of DigiNotar dit zelf wist en verzwegen heeft, of het gewoon niet opgemerkt heeft. In beide gevallen een kwalijke zaak.

Verschillende hackers hebben de afgelopen jaren meerdere keren de portal van het Nederlandse DigiNotar gehackt, maar of deze aanvallen ook verband houden met de recente SSL-blunder is onbekend. DigiNotar gaf onlangs een SSL-certificaat uit voor alle *.Google.com domeinen. Daarmee werden vervolgens Iraanse Gmail-gebruikers afgeluisterd. Hoe de hackers bij het Nederlandse bedrijf wisten binnen te dringen is onbekend. De aanvallers lieten wel twee meldingen achter, die op het moment van schrijven nog online stonden.

Deze meldingen zijn echter al jaren oud, aldus het Finse F-Secure. Een andere melding van Turkse hackers zou al uit 2009 stammen. “Deze hacks zijn zo oud, dat het waarschijnlijk niets met het huidige probleem te maken heeft, althans, dat hopen we”, zegt Mikko Hypponen. Eerder liet hij nog weten: “Deze kleine Nederlandse SSL-winkel moet waarschijnlijk zo trots zijn geweest toen Google besloot hun SSL-certificaat bij hen te vernieuwen.”

Bron: Security.nl

Wat is het gevolg?

Uit het bovenvermelde citaat blijkt al dat er Gmail gebruikers zijn afgeluisterd, maar
daarnaast heeft de hack verstrekkende gevolgen voor de Nederlandse overheid. Na
eerdere berichten over de betrouwbaarheid van DigID lijkt dit een zware slag
voor de e-overheid.

Alle efforts richten zich nu op het geruststellen van de burger, getuige bijvoorbeeld de verklaring op de website van de Belastingdienst.

De communicatie is gericht op het geruststellen van de ondernemer. Het regeltje
over de particulier is echter veelzeggend: Nu Even Niet!

Betrouwbaarheid

Betrouwbaarheid is het sleutelwoord voor een CA. Als het vertrouwen weg is, is het einde
oefening. Dat zie je nu ook gebeuren bij de klanten van DigiNotar, en dan met name de Nederlandse Overheid. Ook Roel Schouwenaar van antivirusbedrijf Kaperski ziet dit als het einde van DigiNotar;

The main reason why Diginotar has been excommunicated is the fact they didn’t disclose the breach. With some 500 authorities out there globally it’s hard to believe Diginotar is the only compromised CA out there. Diginotar will quite likely go out of business. This should serve as a very strong message for CAs to go public with any breach.

Maar ook als een zeer sterke motivator om nu eindelijk security eens hoog op de agenda
te zetten;

The attack on Diginotar doesn’t rival Stuxnet in terms of sophistication or coordination. However, the consequences of the attack on Diginotar will far outweigh those of Stuxnet. The attack on Diginotar will put cyberwar on or near the top of the political agenda of Western governments.

Bron: Securelist

Van Bulletin Board naar Facebook

Waar we vroeger via Bulletin Boards met elkaar communiceerden en ondertekenden met een anonieme handle zijn we na 9/11 een stuk persoonlijker geworden op het internet. 9/11 stimuleerde de drang om met elkaar te delen en kreeg het sociale internet momentum. We delen nu steeds meer van onze eigen identiteit, geven steeds meer prijs.

Met alles wat we van onszelf weggeven is het voor de geoefende – en kwaadwillende
– hacker geen probleem om een identiteit te stelen. De roep om een persoonlijke CA wordt langzaam groter; een instantie die niet alleen een bedrijf of website kan certificeren maar een autoriteit je digitale identiteit kan bevestigen. Maar met deze informatie in huis is zo’n CA hack target nummer 1.