Help, ik ben een China wappie

‘Politie kan niet uitsluiten dat data van DJI drones op Chinese servers belandt’ was te lezen op Tweakers.net. Ook stond mij het bericht nog vers in het geheugen dat Chinese hackers een database met persoonsgegevens van Amerikaanse overheidsmedewerkers hadden gestolen. Nooit goed begrepen wat de Chinezen hiermee wilden doe, maar nu vallen deze twee berichten samen en zie ik mogelijkheden.

Natuurlijk puur hypothetisch maar wel in lijn met het doel dat Xi Jinping zich heeft gesteld om het ‘Made in China’-label te transformeren van lowtech naar hightech. En om dit voor 2025 te kunnen realiseren is stelen van intellectual property de enige mogelijkheid ondanks alle afspraken rond copyright. Overigens voorspel ik dat China in 2025 wel met het Westen handelsafspraken wil maken, immers dan hebben ook zij iets te verliezen.

Copyright, is right to copy

DJI-drones zijn echt geweldig apparaten. Ze zijn zelfs volledig te besturen met je smartphone. Hiervoor moet je natuurlijk wel een app van DJI installeren. De app is een ecosysteem op zichzelf. Naast het besturen kan je over DJI-producten lezen, forum bezoeken en de app heeft zelfs de mogelijkheid om zich up-to-date te houden. Voor dit alles heeft het wel constante verbinding met de DJI-cloud. Dit klinkt misschien verdacht, maar bedrijven die een ecosysteem leveren doen dit wel vaker. Tot zover niets vreemds.

Spear infiltration

Stel nu dat de Chinese inlichtingendienst via de buitgemaakte database met persoonsgegevens van Amerikaans overheidspersoneel targets heeft geselecteerd. Vervolgens kijkt wie van deze targets toevallig ook Chinese apps, zoals bijvoorbeeld van DJI heeft geïnstalleerd, kan de Chinese inlichtingendienst eenvoudig gericht een backdoor op de smartphone van de target installeren. Een backdoor zoals Pegasus van de NSO Group. Net zoals Amerikaanse inlichtingendiensten toegang hebben tot Amerikaanse Clouds, zullen Chinese inlichtingendiensten ook toegang hebben tot Chinese Clouds.

  1. Chinese inlichtingendienst selecteren targets uit Amerikaanse database.
  2. Van targets wordt gekeken of zij in de DJI gebruikersdatabase zitten.
  3. Bij match wordt er een update naar de smartphone van de target gestuurd. De update bevat spionagesoftware a la Pegasus van de NSO Group.
  4. De spionagesoftware werkt op basis van triggers. Wordt een dergelijke trigger geactiveerd dan wordt de relevante informatie door gestuurd naar de DJI-cloud.

De Chinese apps worden via de verschillende app-stores aangeboden. Deze app-stores garanderen min of meer de kwaliteit van de software. Dergelijke onwenselijkheden zullen zeker niet door de controle heen komen, maar eenmaal het ecosysteem geïnstalleerd op de smartphone, is hier geen enkele controle meer op.

Natuurlijk puur hypothetisch, maar als ik dit kan verzinnen, zullen inlichtingendiensten al veel verder zijn.

Be aware and be prepared

Geplaatst in Cyberwarfare | Tags: , , , | Een reactie plaatsen

Cyber spionage

Het cyberdomein wordt ook misbruikt wordt voor spionage doeleinden, lijkt mij evident. Vrijwel alle landen maken zich hier wel schuldig aan en dan niet enkel de usual suspects.

Nuctech scanners bij de douane (China)

Veiligheidsdeskundigen maken zich zorgen over de scanners die gebruikt worden door de Nederlandse Douane, zo was in de media te lezen. De scanners zijn van het Chinese bedrijf Nuctech, dat deels eigendom is van de Chinese staat. Deze discussie wordt aangewakkerd door Litouwens besluit deze apparatuur te weigeren en hiermee de houding van de Verenigde Staten en Canada te volgen. Het Europees Parlement neemt nu ook deze zaak op.

China's offensieve houding in het cyberdomein

De argwaan komt voort uit de offensieve houding van China ten opzichte van de westerse maatschappij en haar doelstelling om de wereld afhankelijk te maken van Chinese technologie.

China's doelstelling de wereld afhankelijk te maken van Chinese technologie.

Er wordt gespeculeerd over misbruik van de scanners, enerzijds om informatie door te sluizen, anderzijds om m.b.v. een kill-switch de scanners uit te kunnen schakelen. Overigens worden deze risico’s door de douane niet als zodanig herkend. Daarnaast is de kans groot dat de apparatuur in Polen is geproduceerd. Nuctech staat overigens wel op de zwarte lijst van de Verenigde Staten.

SolarWinds / Supply Chain Attack (Rusland)

Zondag 13 december 2020 werd duidelijk dat het Amerikaanse ministerie van Financiën een cyberaanval onderging, zo ook  het ministerie van Binnenlandse Veiligheid. De FSB (voormalig KGB) wordt als dader aangewezen. Later bleek dat de ruim 18.000 klanten gezien worden als potentiële slachtoffers. De FSB wist te infiltreren in de infrastructuur van SolarWinds. Nadat zij door hadden hoe het voortbrengingsproces in elkaar zat, wisten ze een backdoor toe te voegen aan de Orion broncode. Onwetende klanten installeerden deze update in volledig vertrouwen.

RSA Backdoor (USA)

Mikko_Hypponen3December 2013 kwam het nieuws naar buiten dat Mikko Hypponen, Chief Research Officer van F-Secure, zijn uitnodiging om te spreken op het jaarlijkse RSA-congres (2014) af. Reden hiervoor was de aanklacht dat RSA in opdracht van de NSA een achterdeur (backdoor) in haar product Bsafe bouwde. Pijnlijker was het om te lezen dat zij dit deden voor geld ($10 miljoen) en niet uit staatsbelang of governmental pressure (lees ook dit artikel).

RSA bouwde een backdoor in voor geld!

Crypto (Nederland)

AroflexBegin vorig jaar (2020) werden we geconfronteerd met het bericht dat de Nederlandse inlichtingendiensten sinds eind jaren zeventig versleutelde communicatie van tientallen landen waaronder Iran, Egypte en Saoedi-Arabië konden meelezen. Eind jaren zeventig bouwde Philips samen met Siemens aan een versleutelingsmachine. Het apparaat, de Aroflex, werd gebruikt voor geheime communicatie tussen NAVO-bondgenoten. Er verscheen ook een commerciële variant met minder sterke cryptografie waardoor men eenvoudig inzage kreeg in de vertrouwelijke communicatie.

Nederlandse inlichtingendienst luisterde na kraken versleuteling jaren lang andere landen af

Smartphone infiltratie chip

iphone-hackWetenschappers van de Ben Gurion Universiteit (Israël) hebben in een proefopstelling aan kunnen tonen dat smartphones eenvoudig af te luisteren zijn door simpelweg originele onderdelen te vervangen door malafide onderdelen (bijv. bij reparatie van het scherm). Hier gaat het nog om een proefopstelling maar hoe eenvoudig moet dit zijn voor inlichtingendiensten. Als reactie hierop controleren smartphone fabrikanten onderdelen op authenticiteit. 

Prism (Amerika)

Het was Edward Snowden die in 2013 het grootschalige afluisterprogramma PRISM bekend maakte. Uit de presentatie bleek dat de NSA op grote schaal informatie haalde uit een reeks aan Amerikaanse internetbedrijven. Dit schokte de wereld en had grootte terughoudendheid van Amerikaanse internetbedrijven tot gevolg. Nu nog zijn westerse bedrijven voorzichtig in het gebruik van Amerikaanse clouddiensten.

Amerikaanse inlichtingendienst luisterde op grote schaal Amerikaanse internetdiensten af

Conclusie

Stel nu dat we ‘Nederlandse inlichtingendienst’ vervangen door ‘Chinese inlichtingendienst’, de wereld is dan te klein. Maar het zou naïef zijn te denken dat dit niet gebeurt en dan niet enkel door de usual suspects maar ook door bevriende naties (zie bijv. ‘Angela Merkel’s smartphone afgeluisterd door de Amerikaanse inlichtingendienst NSA en het spionage programma PRISM). Spionage is van alle dagen en het cyberdomein leent zich hier goed voor.

Who’s to trust

Geplaatst in Cyberwarfare, Security | Tags: , , , , , , , , , | Een reactie plaatsen

Cookie monster strikes back

Ondanks de AVG (GDPR) is de drang naar ons digitale gedrag nog nooit zo groot geweest. Het resultaat hiervan is direct zichtbaar door de vele ‘gepersonaliseerde’ reclames op de diverse webpagina’s. Maar ik maak me meer zorgen om de minder zichtbare resultaten. Ik vrees dat mijn digitale gedrag meer prijs geeft dan ik zou willen.

Digitaal profiel
Inmiddels weten we wel dat grote internetbedrijven haar gebruikers profileren op basis van zoekargumenten en klikgedrag natuurlijk wel in combinatie met haar eigen intrinsieke motivatie, namelijk hoe kan hier geld aan verdient worden. En dus:

Digitale gedrag (conform motivatie) = klikgedrag + zoekargumenten

Een zoekopdracht wordt afgestemd op het digitale profiel. Zoekresultaten zijn dus per persoon verschillend. Als ik als zoekargument ‘Java’ opgeef, richten de eerste resultaten zich vrijwel allemaal op de programmeertaal ‘Java’, terwijl dat bij mijn moeder het Indonesische eiland ‘Java’ geeft.

Zoekresultaten worden afgestemd op het digitaal profiel (conform motivatie)

Dit geldt voor zoekmachines, zoals: Google, Yahoo, Bing, DuckDuckGo, maar ook het Chinese Baidu en Russische Yandex. Maar ik bemerk dat deze groep veel groter is, namelijk alle mediagiganten hanteren een haast identieke aanpak.

En cookies dan? Deze bevatten veelal het digitale gedrag van haar gebruiker. Deze verwijderen heeft maar een beperkte invloed, immers het digitale gedrag wordt ook op de server van de mediagigant opgeslagen.

Sociale platformen gaan nog een stapje verder. Ongevraagd word je ‘toevallig’ geconfronteerd met informatie die aansluit op jou interessegebied. In mijn ogen spam. Facebook, Instagram en LinkedIn maken zich hier zeker schuldig aan.

Spam 2.0: gebruikers worden geconfronteerd met ongevraagde berichten door hun sociale platform

Het commerciële aspect gaat een onontkoombare rol op het Internet spelen. Ik weet niet of het een ander ook opvalt maar een zoekopdrachten levert steeds vaker alleen maar hits op van grote multinationals, mediagiganten en persagentschappen. Ik moet flink zoeken al wil ik nog een artikel van een kleine zelfstandige vinden (zoals bijvoorbeeld dit blog). Blijkbaar hebben deze organisaties hun Search Engine Optimization (SEO) goed op orde ;).

.. na pagina's zoekresultaten van grote bedrijven vind ik pas een pagina van een eenling (dit blog)

Als ik dan toch maar op een hit binnen de eerste 50 gevonden artikelen klik, word ik geconfronteerd met ellenlange pagina’s reclames en zo nu en dan een klein stukje tekst. Gelukkig kan ik met behulp van Webclipper van Evernote de content er simpel uitfilteren en zie ik dat er nog geen A4-tje overhoud aan tekst over het gezochte onderwerp. Daarnaast blijkt dat velen haast identieke informatie voorschotelen (blijkbaar maken ze allemaal gebruik van hetzelfde persagentschap).

Andere motivatie
Waar ik mij eigenlijk nog drukker over maak is, stel dat een ander met totaal andere motivatie naar mijn digitale gedrag kijkt. Of anders gezegd, hoe kijkt een cyber eenheden van minder bevriende landen naar mijn digitale gedrag (zoals Unit 61398, Unit 61486 uit China, of Fancy Bear / GROe uit Rusland)? Zij zullen zeker kijken naar je totale digitale presence.

Hoe kijken cyber eenheden naar mijn digitale gedrag?

Mijn zoekopdrachten, klikgedrag en totale digitale presence verraad mogelijk meer over mij dan ik zou willen. Daarnaast zullen deze eenheden zich weinig aantrekken van westerse privacy wetgeving. Maakt jou zoekgedrag jou tot een target? Kortom nogmaals: 

Wees je bewust van je digitale gedrag

Het is jammer maar helaas. Het Internet zoals ik dat ooit kende is dood. Het was ooit van niemand daarmee eigenlijk van iedereen. Nu wordt het gereguleerd door belastingontduikende  Internetgiganten.

Zie ook mijn anders blogs over cyberwarfare:

Be aware of it and act accordingly

Geplaatst in Cyberwarfare, New Technology, Security | Tags: , , , , , , | Een reactie plaatsen

Massive cyberattacks on maritime sector

Cybercriminelen hebben hun werkterrein verlegd naar de maritieme sector. Een toename van 900% over de afgelopen drie jaar. Zwakke afscherming in combinatie met een hoge kwetsbaarheid maakt ze een gewillige prooi.

900% toename van cyberaanvallen in maritieme sector

De incidenten stapelen zich inmiddels op. Een kleine opsomming:

2017 telde totaal 50 cyberaanvallen
  • 27 juni 2017 – AP-Moller Maersk
    / Haven van Rotterdam en Los Angeles

    De Deense rederij werd in verschillende havens waaronder Rotterdam en Los Angeles getroffen door de ransomware NotPetya (variant op Petya). In totaal waren 49.000 laptops, 3.500 servers en zelfs 1.000 applicaties zodanig besmet dat ze niet langer bruikbaar waren. De verstoring duurde in totaal 3 dagen en de schade wordt geschat op $300 miljoen. De ransomware was naar alle waarschijnlijkheid van Russische makelij.
2018 telde 120 cyberaanvallen
  • 24 juli 2018 – China Ocean Shipping Company (COSCO) / Haven van Long Beach
    De Chinese rederij met 1.114 schepen over de hele wereld werd in de haven van Long Beach getroffen door een cyberaanval. Alle mail, telefonie en externe verbindingen werden plat gelegd. Kritische systemen ontliepen de dans. Mogelijk was ransomware de oorzaak maar dit is nooit bevestigd door de organisatie.

 

  • 20 september 2018 – Haven van Barcelona
    De haven werd getroffen door een cyberaanval. De organisatie laat niet veel over de aanval los maar weet wel te melden dat het ging om interne IT-systemen en dat enkel de logistiek op het land verstoord werd. De maritieme operaties zijn niet geraakt door de ransomware. De gebruikte ransomware was waarschijnlijkheid Ryuk.

 

  • 25 september 2018 – Haven van San Diego
    Ook de haven van San Diego werd getroffen door een cyberaanval. Recentelijk heeft de organisatie toegegeven dat de ransomware SamSam verantwoordelijk was voor de verstoring. Ook is er het vermoeden dat de cyberaanvallen op Long Beach, Barcelona en San Diego mogelijk een zelfde oorsprong kennen.

 

  • december 2018 – 21 international shipping associations
    21 Internationale rederijen werden geraakt door diverse cyberaanvallen. Schepen, havens en overslagbedrijven raakten besmet met ransomware met grote onbeschikbaarheid tot gevolg. Een schip werd zelfs zodanig onbestuurbaar dat de Amerikaanse kustwacht ingeschakeld moest worden. Als reactie hierop heeft de Amerikaanse kustwacht maatregelen uitgevaardigd.
2019 telde 310 cyberaanvallen en
2020 telde ruim 500 cyberaanvallen
  • 9 april 2020 – Mediterranean Shipping Company (MSC)
    De Zwitserse container rederij is op één na grootste ter wereld. Het bedrijf telt meer dan 24.000 werknemers over 480 kantoren verspreid over 155 landen. Het bedrijf werd getroffen door ransomware waardoor de website voor vijf dagen uit de lucht was. Gevolg was dat er geen bookingen gemaakt konden worden.

 

  • 9 mei 2020 – Haven van Shahid Rajaee (Iran)
    Dit keer waren het niet cybercriminelen maar Israëlische cybereenheden die ter vergelding van Irans aanval op Israëlische watervoorzieningen een cyberaanval uitvoerden. Schepen konden niet meer gelost worden, vrachtwagens gevuld. Met als gevolg enorme files op zee en land. Logistiek werd het een nachtmerrie.

 

  • 15 augustus 2020 – Carnival Cruise, Holland America en Seabourn (onderdelen van Carnival Corp.)
    ’s Werelds grootste cruiseschip rederij werd getroffen door ransomware, overigens niet voor de eerste keer. In april 2019 werd het bedrijf ook al getroffen door een cyberaanval. Naast onbeschikbaarheid werd ook data buit gemaakt door de cybercriminelen.

 

  • 30 september 2020 – International Maritim Orgnization (IMO)
    Diverse website werden onbereikbaar door een cyberaanval.
Zo zijn de vier grootste rederijen inmiddels al het slachtoffer geweest van een cyberaanval

Op de een of andere manier leren we hier onvoldoende van, immers het is pijnlijk telkens te moeten constateren dat dergelijke cyberaanvallen een nagenoeg identiek patroon vertonen, namelijk:

  1. Ze beginnen vrijwel altijd met een phishing aanval.
  2. Gevolgd door een besmetting via niet gepatchte kwetsbaarheden in het systeem.
  3. En na een reboot is de ransomware actief.

Ransomware is een goudmijn voor cybercriminelen en deze laten dit niet zo maar los, integendeel, ook zij zullen hun ‘product’ verder ontwikkelen. Zo zullen zij na infiltratie kennis krijgen van backup en recovery procedures en hun tactiek hierop aanpassen.

Experts says: Maritime sector extremely vulnerable

Kwertsbaarheid
Een grote kwetsbaarheid is blijkbaar toch kenmerkend voor de maritieme sector. Dit wordt veroorzaakt door de grote complexiteit in combinatie met het grote gebrek aan hardening, met andere woorden:

  • Grote complexiteit:
    • Complexe Supply Chain: het logisitieke proces kent vele leveranciers en afnemers die allemaal zelf realtime inzage / invloed willen hebben op het proces. Met als gevolg een zeer onoverzichtelijke autorisatiematrix (wie heeft voor wel systeem welke rechten).
    • Complex netwerk: alle partijen hebben wel een eigen netwerk en eigen portals die vervolgens ook weer aan elkaar verbonden zijn. Met als gevolg een zeer onoverzichtelijk netwerklandschap.
    • Veel Operational Technology (OT): diverse hijskranen, navigatiesystemen, controle systemen, beveiligingssystemen, enz. zijn uitgerust met Internettechnologie en als zodanig ook ontsloten via een netwerk. Ook deze OT-componenten zijn inmiddels wel op leeftijd.
  • Gebrek aan hardening:
    • Fire-and-forget inrichting: De inrichting van OT-componenten zijn van het type fire-and-forget met andere woorden hij wordt initieel goed ingericht maar krijgt vervolgens nooit meer een herziening. Kwetsbaarheden die zich na verloop van tijd voordoen worden nooit meer verholpen (patching).

Gevolg van dit alles is wel dat BIMCO (de grootste maritieme vereniging ter wereld met 2100 leden in meer dan 120 landen) de IMO (International Maritime Organization) haar derde versie van richtlijnen over cyberbeveiliging aan boord van schepen heeft aangeboden.

Geplaatst in Security | Tags: , , , , , | Een reactie plaatsen

Betaalnetwerk onbeschikbaar

‘Banken plat door een grote storing’ is er nu te lezen op de diverse nieuwssites. Ook mijn bank-app meldt dat ik i.v.m. een storing geen gebruik kan maken van Internet Bankieren, Mobiel Bankieren en iDEAL. De oorzaak is nog onduidelijk (overbelasting door jaarafsluiting, inkopen voor de kerst, of toch een DDoS-aanval). We zullen het nog wel gaan horen.

Storingsvrij elektronisch betalingsverkeer is haast onmogelijk

Wij, Nederlanders, gaan mede dankzij COVID-19 steeds meer elektronisch betalen. Hierdoor worden we steeds meer afhankelijk van een goed werkend betaalnetwerk. Dat dit netwerk niet helemaal onfeilbaar is blijkt wel vandaag maar ook uit onderstaande tabel. De beschikbaarheid komt nauwelijks boven de 99,9% uit.

Kwetsbaarheid
Het betalingsnetwerk lijkt mij enorm complex. Om nu een DDoS-aanval uit te voeren op elk systeem afzonderlijk, lijkt mij haast ondoenlijk. Maar een goed geplaatste aanval op een belangrijk knooppunt kan mogelijk toch een dergelijk resultaat geven. Zo zijn er genoeg tussenliggende componenten (switches, gateways, etc.), waarvan de mate van afscherming onzeker is.

Cybereenheden van diverse minder bevriende staten zullen zeker het Nederlandse betaalnetwerk in kaart brengen om vervolgens de zwakste schakel te vinden. Vervolgens is het wachten op een goede reden om de aanval uit te voeren en dus een kwestie van tijd.

Nu is Nederland (gelukkig) maar een klein landje en bemoeit het zich niet echt uitgesproken met geopolitieke zaken. Maar aan de andere kant maakt het wel deel uit van grotere eenheden, zoals de EU of de NAVO. Dit zou redenen kunnen zijn voor een aanval.

De recentelijke uitzetting van twee Russische spionnen zou een reden voor Rusland kunnen zijn om een dergelijke aanval uit te voeren. Zo heeft het veel ervaring opgedaan in haar cyber proeftuin de Oekraïne. Om even wat cyber voorvallen te noemen: december 2015 energienetwerk (twee dagen voor kerst duizenden mensen enkele dagen zonder stroom), 2017 telefoonnetwerk, 2017 diverse banken, en later wederom het energienetwerk (overigens beweren de Amerikanen te weten wie de daders waren).

Toch een klein puntje van kritiek. Ons betaalnetwerk wordt door het NCTV gezien als vitaal (categorie B). Dit betekent driedubbele dijkbewaking lijkt mij. En toch is een storing met een dergelijke omvang mogelijk geweest, ongeacht of het nu wel of niet een cyberaanval is geweest.

Geplaatst in Cyberwarfare, Security | Tags: , , | Een reactie plaatsen