Achtergrond

‘Updaten is niet sexy’

De bedrijfstak cybersecurity groeit als kool doordat de digitale dreiging steeds verder toeneemt. Twee jaar geleden lag de Rotterdamse haven weken plat door ransomware, onlangs gingen de systemen van de Universiteit Maastricht op zwart. Security architect Peter Rietveld biedt dit soort dreigingen het hoofd. ‘We moeten erkennen dat systemen te groot worden.’

Bèta’s komen steeds vaker terecht in de cybersecurity. Mensen met een technische achtergrond zijn gewild in deze bedrijfstak, die groeit als kool doordat de problemen rond digitale beveiliging steeds acuter lijken te worden. Onlangs raakten alle Windows-systemen van de Universiteit Maastricht besmet met Clop-ransomware. De website van de universiteit ging op zwart en gegevens van studenten waren onbereikbaar. Volgens het universiteitsblad werd aan de criminelen een paar ton betaald om de bestanden weer te ontsleutelen. Eerder sloegen aanvallers met deze ransomware toe bij een Frans ziekenhuis en de Universiteit Antwerpen.

Om toegang tot netwerken te krijgen maken aanvallers onder meer gebruik van exploits voor softwarelekken en phishingaanvallen. De aanvallen met ransomware worden steeds brutaler. De Amerikaanse stad Pensacola werd recent slachtoffer van Maze-ransomware. Hun mail- en betaalsystemen gingen offline. Omdat de stad de gevraagde miljoen dollar voor het ontsleutelen niet wilde betalen, zetten de criminelen als drukmiddel 2 gigabyte van de gestolen data online.

Voor security architect Peter Rietveld (55) van Traxion (information security) zijn dit soort problemen gesneden koek. Rietveld wordt al een aantal jaar ingehuurd voor de digitale beveiliging van Ahold Delhaize. Volgens hem is de zwakke plek bij veel bedrijven dat ze geen overzicht hebben van hun eigen systemen. ‘De meeste organisaties hebben zoveel spullen dat de gemiddelde persoon het niet meer kan overzien,’ vertelt hij. ‘Bij het netwerk waar ik verantwoordelijk voor ben bij Ahold Delhaize werken 750.000 mensen en het netwerk bevat 20 miljoen apparaten. Dat is teveel om te begrijpen. We moeten erkennen dat het te groot wordt. We verzuipen in de hoeveelheid informatie.’

Hoeveel softwarelekken zijn er momenteel?

‘Een aantal maanden geleden was er een kritiek gat in de computernetwerken van de Luchtverkeersleiding, de rijksoverheid en bedrijven zoals Shell en KLM. Ze waren lange tijd heel kwetsbaar voor aanvallen. Van dit soort gaten zijn er op jaarbasis 200 tot 300. De gemiddelde tijd om het te dichten is 200 dagen, waardoor je er gemiddeld zo’n 10 tegelijk open hebt staan. Op de lijst van meest gebruikte trucs staat heel hoog een gat in de webapplicatie Apache Struts, geschreven in Java. Met dat gat, destijds een zero day, werd Equifax, een van de grootste bedrijven die de kredietwaardigheid van consumenten beoordeelt, in 2017 gehackt. Dat was een van de grootste lekken uit de Amerikaanse geschiedenis waardoor persoonlijke gegevens van 148 miljoen Amerikanen, Britten en Canadezen op straat lagen. Dat gat zit in heel veel objecten, maar omdat het ook in kant-en-klare producten zit van grote computerleveranciers, valt het niet op. Tegen de tijd dat je een update krijgt van de leverancier, ben je twee jaar verder. Je moet dus eigenlijk voorlopen op de updates van de leverancier, en zelf voor al die kleine onderdelen updates draaien. Dat is een heel gedoe. Door logistieke problemen staat deze voormalige zero day jaren na dato nog steeds open.’

‘Door een filmpje met een kwetsbaarheid kan ik je hele netwerk overnemen’

Het is een groot probleem dat systemen te weinig ge-update worden. Hoe komt dat?

‘Uit onderzoek bleek dat het updaten van systemen bij banken, die het meest uitgeven aan computerbeveiliging, nota bene slechter was dan bij retailbedrijven. Dat komt omdat het updaten van een computersysteem niet sexy is. Dat is wat er misging toen de computernetwerken van onder meer de Luchtverkeersleiding kwetsbaar waren voor aanvallen. Het ging om een softwarelek dat in april al gedicht was, maar die partijen hadden de veiligheidsupdates niet uitgevoerd. Ook al klinkt het simpel, updaten is heel moeilijk. Als je door een update iets verandert, kan het zijn dat er iets niet meer werkt. Stel je voor dat ik het systeem van de kassa’s bij Albert Heijn update en er gaat iets mis, dan doet bij Albert Heijn geen enkele kassa het meer. Daarom moet je een update eerst testen. Er moet worden afgesproken wanneer dat kan, en daardoor kan het even duren voordat het lukt.’

Phishing is populair. Kan er een achterdeur in alle soorten bestanden zitten?

‘Met phishing wordt met een valse email gehengeld naar inloggegevens of andere waardevolle informatie. Vaak moet je op een besmette link klikken of de hacker doet een besmette bijlage bij zijn mail waar een exploit in zit. Die malware is zo ontworpen dat hij optimaal profiteert van kwetsbaarheden in het computersysteem. Niet bij MP3, maar een pdf, een Word bestand, een AVI of WMV filmpje kan een exploit bevatten. Dan denk je: een filmpje, wat kan daar nou mee gebeuren? Maar door een filmpje met een kwetsbaarheid kan ik je hele netwerk overnemen. Of ik kan de besmette opmaak van een lettertype opsluiten in wat voor bestandstype dan ook, en daarmee je netwerk binnenkomen. Dat is meer dan eens gebeurd. Dit soort kwetsbaarheden wordt ook verkocht. Die met dat lettertype is verkocht voor 500.000 dollar. En vervolgens kan je, na verkoop, alsnog door dit achterdeurtje de boel hacken. Dat heeft niemand in de gaten.’

Hingen vliegtuigen stuurloos in de lucht tijdens een hack bij de Luchtverkeersleiding?

‘Ik ken hun netwerk niet, maar normaal gesproken krijg je door deze specifieke kwetsbaarheid voet aan de grond in het interne netwerk. Je weet alleen niet waar je verder moet zoeken, dus de kans bestaat dat je op deze manier de luchtvaart verstoort, maar is klein. Als iemand zo’n soort aanval plant doe je het waarschijnlijk toch met een phishingmailtje naar de beheerder van het computersysteem van de luchtverkeersleiding.’

Is de cloud beter beveiligd dan de interne netwerken van bedrijven?

‘De bedreigingen zijn hetzelfde. Het idee leeft dat de cloud minder veilig is omdat je fysiek niet weet waar de data is opgeslagen. Een intern netwerk kun je beter overzien en beveiligen. Maar in de praktijk is de cloud beter beveiligd. Microsoft, Amazon en andere cloudproviders draaien alle updates zelf. Ze weten niet wat de gevolgen voor gebruikers zijn of dat computers met oude besturingssystemen dan niet meer werken. Als bedrijf zou je er daarom voor kiezen sommige updates niet uit te voeren, waardoor kwetsbaarheden ontstaan. De cloud voor je bedrijf is niet goedkoop, maar in een aantal gevallen is het een goed idee omdat je niet de vrijheid hebt om het zelf verkeerd te doen.’

CV

2015 - heden Ahold Delhaize, Domain Architect Identity and Access Management

2006 - heden Traxion, Competence Manager Security Architecture

2011 - heden secretaris Dutch Cyber Warfare Community

2017 - 2018 Gastdocent HAN post-doc training Data Protection Officer

1982 - 1989 Universiteit Utrecht, Security Affairs, War History and International Law

 

Ontvang de nieuwsbrief, binnenkort 2 keer per week

Meld je nu aan!

Gratis proefabonnement TW

Bestel nu 2 gratis proefnummers TW