Cyberwar has started (part 4: Iran)

Iran is nummer 4 op de cyberleger ranglijst. Opmerkelijk aangezien Iran een Internetdichtheid kent van nauwelijks 40%Deze plaats is, hoe vreemd het ook moge klinken grotendeels te danken aan de Stuxnet aanval uit 2011. Weinigen onder ons zullen zich om deze informatie druk maken, maar de vraag is of dat wel helemaal terecht is, immers de hack op Diginotar was een Iraanse daad zo weten we nu.

Algemeen
Iran is verwikkeld in het Sjiitisch-Soennitisch conflicten (ook wel Perzisch-Arabisch conflict genoemd) en staat daarin loodrecht tegenover aartsvijand Saoedi-Arabië. Dit conflict wordt al lange tijd op de grond uitgevochten in landen als Afghanistan, Irak, Syrië, Libië en Yemen en heten de strijdende partijen ISIS, Al Qaida, Taliban en anderen. 4 november 2017 werd nog vanuit Yemen een raketaanval uitgevoerd op de Saudische hoofdstad Riyad door sjiitische Houthi-rebellen. Saudi-Arabië reageerde hierop door de havens en vliegvelden in Yemen te sluiten en voerde ook een serie bombardementen uit op de hoofdstad van Yemen, Sanaa.

Het kunnen beschikken van atoomwapens wordt voor strijdende partijen nog altijd gezien als de overtreffende trap. Saoedi-Arabië is zeer goed bevriend met de kernmacht, de Verenigde Staten. Iran heeft daarom al lange tijd een atoomwapen op haar bucketlist staan. Via Abdul Qadir Khan (en daarmee Nederlandse betrokkenheid) verschaften zij zich de kennis.

Dankzij Abdul Qadir Khan (en dus Nederlandse betrokkenheid) beschikt Iran over nucleaire kennis.

En via uraniumverrijkingsinstallaties beschikken zij inmiddels ook over de noodzakelijke grondstoffen. Totdat Israël en de Verenigde Staten via een cyberwapen genaamd Stuxnet hier hardhandig een einde aan maakten.

Stuxnet was onbedoeld het startschot voor Iran om zwaar te investeren in haar cyberleger.

Geïmponeerd door de destructieve kracht van het cybervirus, was dit (onbedoeld) het startschot voor Iran om zwaar te gaan investeren in haar cyberleger (enkel in 2017 al meer dan $100 miljoen). Een nucleair akkoord met de Verenigde Naties was snel gemaakt en daarmee de sancties opgeheven.

Motivatie
De motivatie van het Iraanse cyberleger ligt voor de hand, het zal een fundamentele bijdrage moeten leveren in het Sjiitisch-Soennitisch conflict. In deze strijd richt het zich voornamelijk op vitale infrastructuren (gas, water, licht en het financiële circuit). Saoedi-Arabië en bevriende naties, waaronder de Verenigde Staten zijn hier regelmatig de dupe van wat ook blijkt uit een publicatie van RecordedFuture.

Nederlandse betrokkenheid
Nu ligt Nederland niet direct in de dangerzone maar kan wel de dupe worden van collateral damage, zoals dat in 2011 al eens gebeurde bij de Diginotar hack. Dit zal anders worden zodra Nederland prominenter kiest voor het Soennitische kamp.

Bondgenoten
Naast de andere Sjiitische landen zoals Azerbeidzjan, Bahrein en Irak en minderheden in Pakistan, India, Libanon, Jemen, Syrië, Afghanistan en diverse Golfstaten, is Iran ook bondgenoot van schurkenstaat Noord Korea. Kenmerkend voor bondgenoten is dat zij informatie met elkaar delen, zo ook cyber en nucleaire kennis. Noord Korea heeft bij cyberaanval op Sony (en daarmee de Verenigde staten) gebruik gemaakt van het Wiper-virus, het virus das ook is gebruikt bij Iran’s aanval op Saudi Aramco uit 2012 (Wiper-broncode uit het Shamoon-virus).

Acts of war
De lijst met cyberaanvallen is inmiddels omvangrijk. Een eerste inventarisatie is gedaan door het Security bedrijf Cylance, te lezen in het rapport Operation Cleaver. De meest spraakmakende cyberaanvallen zijn afgebeeld in timeline van Cylance.

 

 

 

 

Een kleine opsomming:

  • In juni 2011 werd DigiNotar slachtoffer van een cyberinbraak. Er werden certificaten gestolen waarmee diverse sociale netwerkdiensten als Gmail, Twitter, Facebook en de geheime diensten als de CIA, MI6 en Mossad mee afgeluisterd werden. De hacker noemde zich Comodohacker, vernoemd naar zijn voorlaatste slachtoffer Comodo. Beiden commerciële leveranciers van digitale certificaten.Door aantoonbare nalatigheid was dit het einde voor DigiNotar. Comodo is nog altijd een vertrouwde speler in deze markt.
  • 15 augustus 2012 richtte een “spear-phishing” aanval enorme schade aan bij één van Saoedi’s grootste oliemaatschappijen Saudi Aramco. Meer dan 30.000 computers raakten besmet met het Shamoon virus. Later werd ook de oliemaatschappij RasGas getroffen.
  • In 2012 wist een groep die zich later OilRig noemden te infiltreerden in een olieplatform en maakte het onbruikbaar door een poot in te trekken.
  • Tussen 2011 en 2013 werd de financiële sector van de Verenigde Staten getrofen door DDoS-aanvallen. Bedrijven als New York Stock Exchange, SunTrust, JPMorgan Chase, CitiGroup, Wells Fargo, U.S. Bancorp, Capital One, PNC, HSBC en BB&T waren het slachtoffer. Dit zogenaamd als vergeldingsactie voor de beledigende video van de profeet Mohammed op YouTube.De aanval kreeg de geuze naam Operation Ababil mee en werd geclaimed door de Cyber fighters of Izz Ad-Din Al Qassam. Nu jaren later weten we dat Iran achter deze aanval zat. De hoofdverdachten staan zelfs met naam en afbeelding op de Most Wanted website van de FBI.

  • In 2013 wist een groep hackers die zich SOBH Cyber Jihad noemde zich toegang te verschaffen tot de stuwdam Bowman Avenue Dam in Rye Brook, New York. Gelukkig werkte de sluizen niet helemaal goed meer waardoor de aanval beperkt bleef. De schade was niet te overzien als dit niet het geval was immers de dam grensde aan de buitenwijken van New York.
  • In april 2013 Een groep genaamd Syrian Electronic Army hackte het Twitter account van de Associated Press en publiceerde nepnieuws waardoor de Dow Jones Industrial 150 punten daalden en hierdoor $136 miljard aan waarde verloor.
  • In 2016 kregen cybercriminelen met de naam OilRig d.m.v. nepberichten op Facebook toegang tot een beheerdersaccount van Deloitte waardoor zij uiteindelijk in handen kwamen van vele klantgegevens.

Structure of Iranians Cyberforces
Net als elk ander land maakt Iran onderscheid tussen binnenlandse en buitenlandse cyberdomein. Het Committee for Identifying Unauthorized Sites en de FETA, de Iraanse politie neemt het binnenlandse cyberdomein voor haar rekening. Het buitenlandse werkdomein kent natuurlijk een puur defensieve instelling. Defensieve taken worden uitgevoerd door het Cyber Defense Commandwelke deel uitmaakt van het Passive Defensive Organization onder aansturing van het hoogste orgaan de General Staff of the Armed Forces.

Offensieve taken worden uitgevoerd door de Iranian Revolutionary Guard Corps (IRGC). De werkelijke betrokkenheid (attribution) is altijd moeilijk aan te tonen omdat activiteiten in het cyberdomein veelal anoniem van aard zijn en vaak opgezet worden vanuit een ander land. Diverse taken worden uitgevoerd door het Basij Cyberspace Council (eenheid opgericht door de grote leider Ayatollah Khamenei), deze richt zich voornamelijk op buitenlandse propaganda en het opleiden van cyberspecialisten. Basij wordt gezien als de morele politie. Andere belangrijke eenheid is het Quds Force (ook wel Jerusalem Force genoemd) welke zich voornamelijk richt op 

Inmiddels kennen we diverse groeperingen met vele uiteenlopende aliassen, zoals:

  • Iranian Cyber Army (ICA),
  • Ashiyane Digital Security Team,
  • OilRig,
  • APT33,
  • Rocket Kitten, Charming Kitten (aka Newscaster and NewsBeef) en CopyKittens,
  • Cobalt Gypsy (Magic Hound),
  • TG-2889,
  • ComodoHacker,
  • SOBH Cyber Jihad,
  • Syrian Electronic Army,
  • Cyber fighters of Izz Ad-Din Al Qassam,
  • Parastoo

Zie ook:
The Cold Cyberwar has started (part 3: Russia)
Airlines got hacked?
Cyberwar has started (part 2: Noord Korea)
Cyberwar has started (part 1)

Advertenties
Geplaatst in Cyberwarfare, Security | Tags: , , , | Een reactie plaatsen

Backdoors for sale

De Amerikaanse overheid weert antivirus van Kaspersky op verdenking van misbruik door Russische inlichtingendiensten. Backdoors, toch niet een onbekend fenomeen voor de Amerikaanse inlichtingendienst.

Kaspersky backdoor
Israëlische inlichtingendienst beweerden dat Russische overheidshackers misbruik maakten van Kaspersky anti-virus software om zodoende via een backdoor toegang te krijgen tot Amerikaanse overheidsinstellingen.

RSA backdoor
December 2013 werd bekend gemaakt dat RSA, marktleider op security gebied in opdracht van de NSA een backdoor in haar product Bsafe had gebouwd. Als gevolg hiervan gaf Mikko Hypponen, Chief Research Officer van F-Secure, te kennen niet te zullen spreken op het jaarlijkse RSA-congres. Later bleek zelfs dat RSA dit niet deed uit staatsbelang of governmental pressure maar gewoon voor geld, namelijk $10 miljoen.

TrueCrypt backdoor

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

Zo is sinds mei 2014 te lezen. TrueCrypt stopte abrupt met haar product. De werkelijke reden is tot de dag van vandaag nog altijd onbekend. Omdat voor deze functionaliteit werd verwezen naar een concurrerend commercieel product (Microsoft Bitlocker) was dit olie op het speculatievuur. Een van de reden zou kunnen zijn dat de makers van TrueCrypt er achter kwamen dat de Amerikaanse inlichtingendienst te diep geïnfiltreerd zat in hun product en ontwikkeling van het product en ze maar besloten er abrupt mee te stoppen.

CCleaner backdoor
Een gratis product voor de opschoning van je Windows systeem. Recent nog overgenomen door Avast. Echter op 13 september 2017 maakte Cisco Talos bekend dat zij een backdoor in het programma hadden ontdekt.

OnePlus smartphone backdoor
En recentelijk (13november 2017) ontdekte een ontwikkelaar een backdoor in de smartphones van OnePlus. De backdoor zat in een app die geleverd werd door Qualcomm en was bedoeld voor testdoeleinden maar helaas nooit meer verwijderd.

… en andere producten?
Het zou haast naïef zijn te denken dat er niet meer producten backdoors bevatten welke misbruikt worden door inlichtingendiensten dan wel cybercriminelen, sterker nog het zal vaker voorkomen dan dat wij eenvoudige Internetgebruikers maar durven te vermoeden.

Geplaatst in Security | Tags: , , , | 2 reacties

Nederlandse betrokkenheid ontwikkeling Noord Koreaanse kernwapens

Noord Korea koketteert met haar kernwapens en provoceert de wereld met enige regelmaat. Naast de regionale dreiging is het probleem veel groter immers bevriende staten delen informatie met elkaar en dus zal deze Noord Koreaanse kennis en kunde zeker gedeeld worden met andere schurkenstaten zoals bijvoorbeeld Iran.

De atoomkennis van Noord Korea zal gedeeld worden met Iran

BFF, best friends forever
Dat Noord Korea en Iran elkaar helpen bleek wel uit een recent door FireEye gepubliceerd onderzoek naar de activiteiten van een Iraanse hackergroep met de codenaam APT33. Deze groep wordt verantwoordelijk gehouden voor diverse cyberaanvallen op Zuid Koreaanse bedrijven waaronder een olie raffinaderij eind 2016 begin 2017.

Iran helpt Korea in cyberspace

Iran
Noord en Zuid Korea verkeren nog altijd in staat van oorlog. Iran daarentegen is de hoofdrolspeler in het Sjiitisch-Soennitisch conflict en staat het daarin loodrecht tegenover Saoudi-Arabië. Dit uit zich door bemoeienis in de gevechten in Irak en Syrië. Minder zichtbaar zijn de onophoudelijke cyberaanvallen op aartsvijand nummero een: Saoedi-Arabië.

Nederlandse betrokkenheid
In de jaren ’70 studeerde Abdul Quadir Khan kernfysica in Delft. Hierdoor verkreeg hij de kennis om een atoombom te maken. In 1975 kwam hij niet meer terug van zijn vakantie naar Pakistan. Khan maakte van Pakistan een kernmacht. Later (2004) bleek dat hij de informatie doorverkocht had aan schurkenstaten zoals Libië, Iran en …. Noord Korea.

Abdul Quadir Khan verkocht informatie aan Noord Korea

Ranking the cyberforces
Zowel Iran als Noord Korea profileren zich stevig in het virtuele domein. Als we kijken naar de omvang van hun cyberleger en executiekracht worden ze geplaatst op de respectievelijk vierde en vijfde plaats wereldwijd.

Iran is 4 en Noord Korea 5 op de cyber wereldranglijst

Geplaatst in Cyberwarfare, Security | Tags: , , | 3 reacties

De ransomware industrie

Ransomware (gijzelsoftware) haalt de voorpagina, eerst met WannaCry nu met Petya. Het einde is nog lang niet in zicht immers het is een té goed verdienmodel en bovenal krachtig instrument waardoor deze ‘industrie’ zich telkens weer zal aanpassen. Van het gijzelen van één enkel systeem tot het gijzelen van totale organisaties.

Ransomware timeline
F-Secure heeft een timeline gepubliceerd. Zeer opvallend is de explosieve groei in het aantal varianten de laatste jaren maar in het bijzonder de laatste maanden. Dit maakt duidelijk dat er goed geld aan verdiend wordt. Het kan niet anders zijn dat deze onethische functionaliteit blijkbaar een goed verdienmodel is en dat er inmiddels sprake is van een ware ‘industrie‘.
Het aantal varianten ontstaan doordat de ransomware gedetecteerd wordt en als gevolg daarvan de crimineel het aanpast. Maar daarnaast ook dat criminelen niet de aandacht willen trekken van de internationale opsporingsdiensten en daarom hun campagnes klein houden.

Criminelen ontlopen internationale opsporingsdiensten door het klein houden van haar campagnes

Waarschuwing NCSC
Het NSCS heeft eind vorig jaar al gewaarschuwd voor deze explosieve toename in haar meest recente publicatie. Citaat:

Ransomware is gemeengoed en is nog geavanceerder geworden
Het gebruik van ransomware door criminelen is het afgelopen jaar gemeengoed geworden.
Besmettingen zijn aan de orde van de dag en raken de gehele samenleving.
Waar in het verleden dezelfde prijs betaald moest worden per besmetting,
wordt nu een prijs bepaald aan de hand van het type getroffen organisatie.
Bovendien is de malware zelf verfijnder: naast bestanden op de lokale schijf worden
tegenwoordig ook databases, back-ups en bestanden op netwerkschijven versleuteld.

Ransomware versus GDPR
In mei 2018 zal de Europese wetgeving (GDPR) kracht worden bijgezet. Gevolg hiervan is dat organisaties boetes kunnen krijgen bij aantoonbare nalatigheid. Gijzeling van de informatie met de dreiging deze openbaar te maken in ruil voor een bedrag onder de boete, zal een scenario worden waar zeker rekening mee gehouden moet worden.

Kortom GDPR stelt de hoogte van het te betalen bedrag

State-sponsored Cybercriminals
Mogelijk zullen state-sponsored cybercriminelen gebruik maken van de destructieve kracht van ransomware. Bij WannaCry wordt gewezen naar Noord-Korea en Petya mogelijk Rusland. De ransomware wordt dan ingezet om vernielingen te veroorzaken en angst te zaaien bij de burgerbevolking.

Geplaatst in Security | Tags: , , , , , | Een reactie plaatsen

Vijf maatregelen om cyberaanvallen te voorkomen

De digitale strijd tussen goed en kwaad is eigenlijk altijd in het voordeel van de cybercrimineel. Vele processen, mechanismen en beperkingen ten spijt, de cybercrimineel heeft maar één zwakheid nodig om zich digitaal te infiltreren in een organisatie. Ondanks deze pessimistische inslag, valt er wel wat tegen te doen. Naast de traditionele maatregelen zoals filtering, malware inspectie, hardening, etc., zijn er een vijftal maatregelen die daadwerkelijk het verschil kunnen maken.

1 – Handel risicobewust
Het cyberklimaat verandert voortdurend. Een baseline hanteren geeft hier maar beperkt invulling aan. Risk Management is dan het enige antwoord. Weet wat de kroonjuwelen zijn, maar weet ook wat er te halen valt voor de cybercrimineel. Voer met enige regelmaat een risk-assessment uit waarbij je expliciet kijkt naar de trends binnen cybercriminaliteit en zeker de trends die zich binnen de eigen bedrijfstak manifesteren. Ken je eigen zwakheden en neem vervolgens passende maatregelen.

2 – Scherm informatie af
Traditioneel zetten we graag een groot hek om onze IT-dienstverlening, om vervolgens achter dit hek minder te hoeven doen. Security wordt immers vaak als hinderlijk beschouwd. Door de afscherming direct op de informatie te implementeren is het onleesbaar zodra het in handen komt van ongeautoriseerden. Deze maatregel heeft een negatieve impact op de performance, daarom is het raadzaam om enkel het werkelijk gevoelige gedeelte van de informatie af te schermen. Scherm niet de hele database af, maar enkel de specifieke attributen.

3 – Pas segmentering toe
Segmentering is een oude maatregel, maar in een hybride omgeving nog altijd zeer effectief, mits goed toegepast. Segmenteer de totale infrastructuur, onderken de verschillende vertrouwde, minder-vertrouwde en niet-vertrouwde zones en sta tussen de zones enkel wenselijk dataverkeer toe.

4 – Hanteer sterke authenticatie voor alle medewerkers én componenten
Sterke authenticatie is geen garantie, want als de cybercrimineel eenmaal binnen is, biedt het weinig bescherming meer. Het is echter wel weer een extra hindernis. Als ook interne componenten zich op basis van digitale certificaten aan elkaar authentiseren, wordt het wel erg moeilijk gemaakt voor de cybercrimineel.

5 – Controleer op afwijkend gedrag
Na infiltratie zal een cybercrimineel verder opzoek gaan naar de jackpot. In deze zoektocht laat hij verschillende sporen na. Om deze te kunnen detecteren moeten we weten wat ‘normaal’ gedrag is, zodat afwijkend gedrag geregistreerd kan worden. ‘Anomaly Detection’ is daarmee de ‘last mile’ op Security gebied.

Ook cybercriminelen maken een afweging tussen wat levert het doel op en wat zijn de kosten/inspanning om deze te bereiken

We weten allemaal wel dat het een utopie is om te denken dat 100% afscherming bestaat. Tevens weten we dat er geen Silver Bullit in deze business is. Maar zoals elke onderneming een afweging maakt tussen risico nemen of investeren om het risico te mitigeren, maakt de cybercrimineel ook een afweging tussen zijn doelen en de inspanning die hij moet leveren om deze te bereiken. Het is onze uitdaging om dit omslagpunt voor de cybercrimineel zo ver als mogelijk in ons voordeel te verschuiven.

> Dit artikel werd op 10 mei 2017 gepubliceerd op Securitymanagement.nl.

> Lees ook het voorgaande artikel: Vijf redenen waarom cyberaanvallen slagen

Geplaatst in Security | Tags: , , , | Een reactie plaatsen

Vijf redenen waarom cyberaanvallen slagen

Het klimaat in cyberland verandert voortdurend, maar omdat we er midden in staan zijn we hier niet altijd bewust van.

Zo is de tijd dat een cybercrimineel onopgemerkt binnen een organisatie zijn gang kan gaan weliswaar afgenomen naar gemiddeld 146 dagen (tegenover 204 dagen in 2014). Daarentegen is het aantal organisaties dat slachtoffer is geworden van een cyberaanval fors toegenomen, namelijk met een stijging van 15% ten opzichte van 2015. Als we de lijst met slachtoffers van cybercrime bekijken, is het aantal organisaties waarvan we mogen verwachten hier voldoende tegen geëquipeerd zijn schrikbarend. Een bijna naïeve vraag die opspeelt is: hoe is dit mogelijk? Nemen organisaties de cyberdreiging onvoldoende serieus? Of is het antwoord toch complexer?

In oktober 2015 werd de financiële wereld geraakt door de Carbanak-groep. Niet enkel de buit was indrukwekkend, een bedrag tussen 300 miljoen en 1 miljard dollar, maar ook de omvang van de aanval, namelijk zeker 100 financiële dienstverleners verspreid over zo’n 30 landen. De hele operatie heeft drie jaar geduurd. In vele oogpunten, maar zeker op organisatorisch gebied, een hoogstandje. De Carbanak-aanval heeft hiermee een nieuwe standaard gezet als het gaat om georganiseerde cybermisdaad. Wanneer we deze aanval als voorbeeld nemen, zien we de volgende vijf oorzaken:

1 – Cyberbewustzijn
Ondanks de inzet van een grote hoeveelheid awareness-campagnes, blijft het effect ervan toch laag. Te veel medewerkers reageren nog altijd positief op phishingmails. Zelfs mensen die werkzaam zijn in de IT, waarvan verwacht mag worden dat zij minstens over voldoende cyberkennis beschikken, geven een positieve opvolging aan het criminele verzoek. Het gevolg hiervan is dat de crimineel toegang krijgt tot het interne netwerk van de organisatie. Infiltratie is dan een feit. Zoals eerder genoemd, hebben ze vervolgens gemiddeld 146 dagen de tijd om uit te zoeken waar zich de heilige graal van een organisatie bevindt en hoe er gebruik, of beter gezegd misbruik, van gemaakt kan worden. De Carbanak-aanval begon met een gerichte phishing-aanval, waarop meerdere medewerkers positief reageerden. Minstens één van deze slachtoffers had voldoende rechten om de criminelen onbewust ‘toegang’ te geven tot het interne domein.

2 – Aanpassingsvermogen
De IT-klok tikt steeds sneller. Of het nu gaat om adoptie van nieuwe technologieën of het up-to-date houden van haar eigen IT-middelen, veel organisaties hebben niet of nauwelijks meer het vermogen om zich telkens weer aan te passen. Dit komt pijnlijk tot uiting binnen het patchproces dat voor vele organisaties nog altijd een worsteling is. Het belang van gedegen patchen wordt nog steeds zwaar onderschat. Kijkend naar de Carbanak-casus, zien we dat kwetsbaarheden van wel twee jaar oud misbruikt zijn. De slachtoffers liepen dus zeker twee jaar achter. Dit lage aanpassingsvermogen wordt door verschillende factoren veroorzaakt, zoals de toegenomen complexiteit door integratie van IT-diensten van derden of de omvangrijkheid van de totale IT-huishouding, waardoor onderhoud te kostbaar is geworden.

3 – Traditioneel handel- en denkvermogen
Door veroudering van het IT-personeel wordt er te lang vastgehouden aan traditionele gewoontes. Afscherming richt zich nog te vaak enkel op de omgeving in plaats van de informatie. Oude en onveilige communicatieprotocollen, zoals Telnet, worden nog vaak gebruikt. Er wordt ‘baseline’ gedacht, in plaats van risicobewust te handelen. De totale inrichting, de processen en gebruikte mechanismen rond security waren prima voor de 20ste eeuw, maar absoluut onvoldoende voor het heden. Oude gewoontes combineren met nieuwe technologieën kan desastreus zijn.

4 – Professionele cybercriminaliteit
Cybercriminaliteit is inmiddels volwassen geworden, maar we hebben moeite dit in te zien. Zo zet het security bedrijf Kaspersky de groep die verantwoordelijk is voor de Carbanak-aanval nog denigrerend weg als ‘gang’. Als we echter kijken naar de totale Carbanak-operatie zullen we toch moeten toegeven dat we hier te maken hebben met een zeer goed georganiseerde en professionele organisatie. Geld en resources zullen niet langer de beperkende factor zijn.

5 – Overschatting eigen securitymaatregelen en onderschatting van de dark force
Veel organisaties hebben een groot vertrouwen in de securitymaatregelen en gaan ervan uit dat een dergelijke cyberaanval hen niet kan overkomen. Echter bestaat er geen ‘silver bullit’. Alle maatregelen ten spijt, ze gaan allemaal uit van het bekende en hebben geen oog voor het (nog) onbekende. Kijkend naar de Carbanak-aanval: wie van de financiële dienstverleners heeft zich nu daadwerkelijk afgevraagd of een dergelijke aanval ook hun had kunnen overkomen? Een duidelijk voorbeeld van een ver-van-mijn-bed houding.

Dit artikel werd op 3 mei gepubliceerd op Securitymanagement.nl zo ook het vervolg ‘Vijf maatregelen om cyberaanvallen te voorkomen‘ (deze zal ik later hier ook publiceren).

Geplaatst in Security | Tags: , , , | 1 reactie

Zero Day Exploits

Zero Day Exploit is de nachtmerrie van elke IT organisatie. Immers voor de zwakte in de IT-component bestaat (nog) geen verbetering (patch). Maar ondanks het ontbreken van de patch valt er toch wel wat tegen te doen maar is veelal afhankelijk van de aanval.

In december 2016 werd een Zero Day Exploit gepubliceerd die zich richtte op de SMB implementatie van Windows (Microsoft Windows SMB Remote Code Execution, MS17-010: CVE-2017-0143). Kort na bekendmaking publiceerde Laurent Gaffie een Proof-of-Concept code (Win10.py) voor Windows 10 op GithubDe mitigerende maatregel was uiteindelijk redelijk eenvoudig, blokkeren van het uitgaande SMB verkeer (TCP ports 139 en 445 en UDP ports 137 en 138).

Dat we Zero Day Exploits serieus moeten nemen zal niemand ontkennen maar opvallend is de massaliteit. Binnen enkele dagen is er een massale aanval waarneembaar, dit blijkt uit het aantal SMB-connecties die door de firewall zijn tegengehouden gedurende die periode.

Al lange tijd is er een levendige handel in Zero Days (zowel de kwetsbaarheid/vulnerability als de uitnutting/exploit ervan), waaronder:

  • Software leveranciers; De grotere software leveranciers betalen voor elke nieuwe kwetsbaarheid. De hoogte is afhankelijk van het risico maar kan oplopen tot zo’n $90.000, blijkt uit het artikel van Threatpost.
  • Handelaren; Ook bedrijven hebben hierin een nieuw verdienmodel ontdekt. Zo roept bijvoorbeeld Zerodium op om voor geld nieuwe kwetsbaarheden bij hun te melden.
  • Hackathons; Er worden bijeenkomsten georganiseerd waarbij teams uitgedaagd worden om Zero Days te vinden. Een bekende is Pwn2Own waarbij jaarlijks letterlijk tonnen aan prijzengeld wordt uitgekeerd.
  • Criminelen; Zero Days inclusief de bijbehorende Exploit worden voor veel geld verhandeld op de Dark Web. De prijzen zijn natuurlijk weer afhankelijk van de bruikbaarheid maar lopen als snel op naar zo’n $5.000.
  • Cyberlegers; Het is zeker dat deze vele Zero Days bezitten. Recent nog werden er een aantal Zero Days gepubliceerd die ontvreemd waren van de CIA.
Geplaatst in Security | Tags: , , | Een reactie plaatsen