Eigenlijk moeten we leveranciers van hardware en software verantwoordelijk stellen.

De recente Zembla-uitzending ‘Hacken voor dummies’ (http://zembla.vara.nl/dossier/uitzending/hacken-voor-dummies) schokte Nederland. Wachtwoorden, paspoorten, vertrouwelijke informatie van beursgenoteerde bedrijven, geheime Europoldossiers… Het ligt allemaal voor het oprapen. Maar welke lessen kunnen we hier nu uit trekken?

“Steeds meer computers en apparaten zijn aangesloten op het internet, en dat is een groot risico want daarmee is al die apparatuur kwetsbaar voor hackers.” Met deze quote begon vorige week de Zembla-uitzending ‘Hacken voor dummies’. “Een beetje hacker kan er zo bij.”

Wat zich vervolgens afspeelt in deze uitzending van Zembla is voor mij als informatiebeveiliger niets bijzonders meer. Als je in dit werkveld bezig bent, ken je al deze fouten ondertussen wel. ‘Het vinden van vertrouwelijke of persoonlijke data die ‘per ongeluk is gelekt’ is vaak veel te eenvoudig. Dat laten de voorbeelden in uitzending duidelijk zien.

Omgekeerd beveiligingsprincipe

Twee zaken vielen me direct op. Als eerste wat ik noem het ‘omgekeerd beveiligingsprincipe’. Daarmee bedoel ik dat je bij het in gebruik nemen van nieuwe apparatuur en software er vanuit moet kunnen gaan dat alles op slot zit zodat er geen verkeer mogelijk is tenzij je dat expliciet aangeeft.

Dat is nog steeds geen standaardprincipe dat fabrikanten toepassen. Aan het einde van de uitzending wordt ook de suggestie gegeven om in de toekomst leveranciers wettelijk aansprakelijk te stellen wanneer dat soort instellingen niet de juiste bescherming biedt. Lijkt me een goed plan!

Mens de zwakste schakel

Ten tweede wederom de constatering dat de mens de zwakste schakel is en blijft. In het Europol-incident dat in de uitzending werd gereconstrueerd, start het beveiligingsincident met een overtreding van de regel dat bepaalde geclassificeerde data niet het kantoor mogen verlaten. Die mogelijkheid bleek wel te bestaan (vermoedelijk om legitieme redenen), en daar maakte de medewerkster misbruik van om thuis verder te werken.

“Dat merken ze toch niet…”, moet de medewerkster hebben gedacht. Dat zou ook zo zijn geweest zijn als een eenvoudige back-up naar een onveilige NAS-appliance de boel niet had verpest. Vertrouwelijke politiedossiers over terrorisme waren gedurende langere tijd voor iedereen toegankelijk via internet.

Mensen patchen?

Hoe lossen we dit probleem op, dat mensen de zwakste schakel zijn? Een mens kunnen we op dit moment nog niet patchen, zoals de Finse beveiligingsexpert Mikko Hypponen altijd zo mooi zegt.

Wat dat betreft zouden leveranciers van IoT-apparatuur veel kunnen leren van de manier waarop het betalingsverkeer wordt beveiligd. Als ik een nieuwe rekening open bij een bank, dan is die ook niet standaard volledig bereikbaar via internet. Het zou raar zijn als je eindgebruiker zelf alle beveiliging moet aanbrengen.

De fabrikant van de Iomega NAS-apparaten legt in de uitzending via haar woordvoerster Carina van Vlerken wel erg veel verantwoordelijkheid bij de eindgebruiker. Het wel of niet slot doen van je auto is van een andere orde dan het standaard open laten staan van een verbinding vanaf het internet naar je interne gegevens. De basisbeveiliging die na het inpluggen van een apparaat beschikbaar en ingesteld is moet door de fabrikant geregeld worden. “Je mag de eindgebruiker daar niet verantwoordelijk voor stellen”, zegt ook hoogleraar Computerveiligheid Herbert Bos in de uitzending.

Trigger

Exact hetzelfde apparaat als in de uitzending wordt getoond (een Iomega NAS), heb ik thuis ook op zolder staan. Gelukkig is die van mij al enige tijd geleden overleden. Het was sowieso een apparaat van een abominabele kwaliteit.

Wel werd ik weer even getriggerd om toch mijn eigen infrastructuur te testen. Ik heb wel een NAS thuis staan, zoals zoveel mensen, maar ik doe niet zo vaak een controle of alles wel veilig staat ingesteld. En dat bleek het geval, Ik ben gelukkig nog steeds veilig. Hoe snel de ontwikkelingen echter gaan in bijvoorbeeld het IoT-domein, kun je onder andere lezen in dit artikel: http://www.ispreview.co.uk/index.php/2016/11/talktalk-isp-routers-potentially-vulnerable-new-mirai-worm.html. De laatste update is van 1 december 2016, daar zijn al weer duizenden infecties geconstateerd als gevolg van de Mirai-worm die gebruikt wordt voor DDoS aanvallen…


Deze bijdrage werd geschreven door Jeroen Veraart, security specialist met brede ervaring op technisch en organisatorisch gebied en verscheen op http://cio.nl/security/95508-wat-we-hebben-geleerd-van-hacken-voor-dummies.