Ik blijf me erover verbazen welke security issues veel aandacht krijgen en welke niet. De afgelopen weken is er veel geschreven over Spectre en Meltdown, het lijkt wel of een waar hackers armageddon aanstaande is. Bedrijven worden overstelpt met berichten van “experts” die stellen dat het allemaal zeer ernstig is en dat er direct actie ondernomen moet worden. Gelukkig zijn er ook bedrijven die niet mee werken aan de hype rondom issues zoals Spectre en Meltdown. Morey Haber van BeyondTrust hekelt in een van zijn blogs de berichtgeving in de media waardoor mensen onnodig worden bang gemaakt. Om misbruik van de kwetsbaarheden te maken moet er malware op een systeem worden uitgevoerd of via de browser een gehackte of kwaadaardige website worden bezocht. De dreiging van Spectre en Meltdown is volgens Haber niet te vergelijken met bijvoorbeeld WannaCry, dat systemen zonder interactie van gebruikers kon besmetten. Helaas sneeuwen dit soort kritische blogs onder in de berichten die angst aanwakkeren.

Spectre en Meltdown?

Voor wie nog niet precies weet wat Spectre en Meltdown zijn: onderzoekers van verschillenden universiteiten, Google en twee andere bedrijven hebben een kwetsbaarheid gevonden in moderne processorarchitecturen dat al 20 jaar aanwezig. De kwetsbaarheid maakt het mogelijk voor een aanvaller om systeemgeheugen uit te lezen dat eigenlijk niet toegankelijk zou moeten zijn. Het gaat dan bijvoorbeeld om wachtwoorden, encryptiesleutels of andere informatie uit applicaties.

Dat is op zich een serieuze bedreiging, maar om de kwetsbaarheden te kunnen misbruiken moet een aanvaller kwaadaardige code op een systeem kunnen uitvoeren. Een aanvaller moet dus al toegang hebben tot het systeem, er dus al op ingebroken hebben, om de aanval uit te kunnen voeren. Een andere manier om de aanval uit te voeren, is door kwetsbaarheden te misbruiken die op andere (web)servers aanwezig zijn. De onderzoekers zeggen dat ze ook een exploit hebben ontwikkeld die via JavaScript kan worden uitgevoerd. In dit geval is een aanval via de browser mogelijk. Hoewel de onderzoekers over “ernstige kwetsbaarheden” spreken, beoordeelt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit de ernst van de kwetsbaarheden op een schaal van 1 tot en met 10 met een 1,5, wat zeer laag is. Het CERT/CC stelt wel dat het probleem lastig is te verhelpen. Doordat de kwetsbaarheden worden veroorzaakt door ontwerpkeuzes in de processorarchitectuur, kan alleen het vervangen van de processor het probleem volledig verhelpen.

Business case

Om deze kwetsbaarheden te misbruiken, moet een aanvaller behoorlijk zijn best doen. Zo is er kennis nodig van processorarchitectuur om de kwetsbaarheid te kunnen misbruiken. Daarnaast moet er toegang zijn tot het systeem dat je wilt hacken of een javascript schrijven dat door een argeloze gebruiker wordt ingeladen.

Waarom zou je een ingewikkelde hack uitvoeren om wachtwoorden te achterhalen op een systeem waar je toch al toegang toe hebt? Met een simpele keylogger kun je deze wachtwoorden ook achterhalen en er zijn al verschillende tools beschikbaar die wachtwoorden uit het geheugen lezen. Dus wanneer je al toegang hebt tot een systeem, lijkt misbruik van Spectre en Meltdown niet zo zinvol, toch?

Wanneer een aanvaller besluit om een javascript te gaan schrijven, dan zal er eerst serieus veel tijd geïnvesteerd moeten worden in het schrijven van de malware en het testen ervan. Als het gelukt is om een werkende proof of concept te maken, dan is de volgende uitdaging alweer in zicht. Hoe zorg je ervoor dat een gebruiker de code gaat inladen in zijn of haar browser? Via een phishing campagne kun je gebruikers proberen te verleiden om naar een website met kwaadaardige code te gaan, maar of dat ook gebeurt? Best een behoorlijke investering met een hoogst onzekere uitkomst.

Wat veel mensen nog niet weten, is dat internetcriminelen ook een businesscase maken. Hoeveel tijd, kennis en ervaring kost het om een aanval te laten slagen? Staat de beloning dan nog steeds in verhouding tot de gedane investeringen? Doordat besturingsystemen, hard- en software steeds beter beveiligd worden, hebben hackers steeds meer ervaring, kennis en vooral tijd nodig om een succesvolle aanval te orchestreren. Dat betekent dat ze ook vaak voor langere tijd in groepen moeten samenwerken. Gedurende die periode is de kans aanwezig dat het beoogde doelwit een maatregel treft die ervoor zorgt dat de hackplannen weer terug naar de tekentafel kunnen. In het geval van Spectre en Meltdown zijn de investeringen behoorlijk, maar is de beloning laag of uiterst onzeker.

Hackers, het zijn net mensen!

Zoals zoveel mensen, zoeken kwaadaardige hackers ook naar de makkelijkste manier om de klus te klaren. Misbruik van Spectre en Meltdown behoren niet tot die categorie, wat dan wel? Binnen de community wordt de term ‘living of the land’ gebruikt. Als hacker kijk je naar wat er al aanwezig is in een organisatie en denk je na over hoe je dat kunt misbruiken. En dat is in sommige gevallen kinderlijk eenvoudig. In zo’n beetje elke organisatie wordt gebruik gemaakt van email. En in heel veel organisaties wordt gebruik gemaakt van Microsoft Office. En laat binnen die laatstgenoemde software nou juist een aantal standaard hulpprogramma’s aanwezig zijn, waar aanvaller misbruik van kunnen maken!? Door een simpele Word of Excel bijlage via email te versturen, kan een aanvaller malware op een systeem installeren dat ervoor zorgt dat de aanvaller toegang krijgt tot het systeem en de daarom aanwezige wachtwoorden. Deze manier van aanvallen is vele malen eenvoudiger dan het misbruiken van Spectre en Meltdown en de kans op succes is ook nog eens vele malen groter.

Wil je veiliger worden? Focus nu dan niet alleen op Spectre en Meltdown!

Voor organisaties die hun beperkte tijd voor security optimaal willen benutten kunnen deze afwegingen maken:

  1. Wat heb ik in mijn organisatie dat de moeite waard is voor een kwaadwillende, wat zijn de kroonjuwelen?
    (denk aan persoonsgegevens, intellectueel eigendom, betaalbestanden, patiëntinformatie)
  2. Welke waarde vertegenwoordigen de kroonjuwelen?
    (niet alleen voor jezelf, maar ook voor een kwaadwillende)
  3. Voor welke kwaadwillende ben ik een interessant doelwit?
    (denk aan concurrenten, criminelen, op hol geslagen medewerkers)
  4. Op welke wijze kan een kwaadwillende bij de kroonjuwelen komen?
    (via een medewerker, via een it-systeem en/of via fysieke inbraak?)
  5. Hoe gemotiveerd zijn de kwaadwillenden?
    (hoe graag willen zij de kroonjuwelen bemachtigen, hebben ze er veel of weinig geld voor over, hebben ze veel of weinig middelen tot hun beschikking?)
  6. Hoeveel kan er redelijkerwijs geïnvesteerd worden om een incident te voorkomen?
    (als de kroonjuwelen € 100.000,- waard zijn en makkelijk zijn te reproduceren, dan is een investering van € 75.000,- in bescherming ervan vanuit bedrijfseconomisch oogpunt mogelijk niet zo’n goede beslissing.)

In veel gevallen zul je zien dat het opleiden van medewerkers en het patchen en updaten van systemen veel effectiever zal zijn dan het vervangen van processoren.

Bronnen

https://upload.wikimedia.org/wikipedia/commons/thumb/a/a5/Columbus_Breaking_the_Egg%27_%28Christopher_Columbus%29_by_William_Hogarth.jpg/1200px-Columbus_Breaking_the_Egg%27_%28Christopher_Columbus%29_by_William_Hogarth.jpg

https://www.security.nl/posting/544733/Meerdere+kwetsbaarheden+in+AMD-+en+Intel-processors+ontdekt

http://www.kb.cert.org/vuls/id/584653

https://www.security.nl/posting/545027/Securitybedrijf+waarschuwt+voor+hype+rond+Spectre+en+Meltdown