Er is kennis die moet worden verspreid en gedeeld. Het onderwerp is alleen niet erg sexy en daarmee is de kans dat u dit stuk wilt gaan lezen helaas klein. Misschien moet ik à la John Oliver de wat meer aansprekende potentiële gevolgen uit de doeken doen, in plaats van de saaie oorzaken. In zijn ‘Last Week Tonight’ show probeerde hij Amerika eindelijk eens te interesseren voor massa-surveillance door de overheid, door zich bij alle lopende surveillanceprogramma’s af te vragen of de inlichtingendiensten zijn voor privédoelen bedoelde naaktfoto’s zouden kunnen zien. Project ‘Can They See My Dick?’ was geboren. Het fragment en een uitvoerige uitleg is te vinden via de site https://cantheyseemydick.com/. Oliver legt de vinger op de zere plek: privacy is een vage term, die niemand iets interesseert. Totdat we begrijpen dat het ons persoonlijk wel aangaat: we willen immers niet in adamskostuum worden betrapt.
Het onderwerp waar ik het over wil hebben ligt niet ver van de materie van John Oliver af. Alleen wil ik het niet over de semi-legale spionage hebben die wordt uitgevoerd door inlichtingendiensten, maar de spionage waar cybercriminelen voor verantwoordelijk zijn. Laten we wel wezen: cybercriminelen zijn er -net als, naar ik aanneem, de NSA – niet direct op uit om blootfoto’s van willekeurige burgers te bekijken. Maar het lijkt mij menselijk en dus begrijpelijk dat een spion of crimineel (of een gewone brave burger) toch even kijkt als hij een dergelijke compromitterende foto op zijn beeldscherm krijgt. En aangezien cybercriminelen (met behulp van malware) bijna altijd direct na het binnendringen van een pc automatisch de gehele pc afspeuren, op zoek naar persoonlijke en waardevolle data, zal het regelmatig gebeuren dat dergelijke zeer persoonlijke foto’s door hen worden aangetroffen. Dit nog naast de gehele pornocollectie die mogelijk op de pc staat. En dan hebben we het nog niet eens over het feit dat de controle over de webcam kan worden overgenomen en dus zelfs ‘live’ kan worden meegekeken wanneer het adamskostuum thuis wordt geshowd.
Willen we dat voorkomen? Oké, dan komt nu het stukje kennis dat moet worden verspreid: voer patches uit! Het G DATA SecurityLab heeft eens zeer nauwkeurig bestudeerd wat het effect van een nieuwe patch is binnen cybercrime. En dat effect blijkt groot.
Zodra er een patch is uitgebracht, wordt een proces van reverse engineering in gang gezet bij malwareschrijvers. Zij analyseren de uitgekomen patch direct, zodat ze kunnen begrijpen welk lek de patch beoogt te dichten. Op die wijze kunnen zij kennis nemen van het lek, waarvan zij eerder hoogstwaarschijnlijk nog geen weet hadden. Razendsnel vinden zij manieren om misbruik te maken van het veiligheidslek. Uiteindelijk ontwikkelen ze een exploit, een speciaal stukje code dat de zwakke plek kan uitbuiten, om de deur van een pc voor cybercriminelen open te stellen om allerlei spyware en andere malware op de pc binnen te sluizen.
Ondertussen zijn er natuurlijk al duizenden zwakke plakken in software die door het uitkomen van patches aan het licht zijn gekomen. Voor bijna al die zwakke plekken zijn inmiddels exploits ontwikkeld. Je zou kunnen stellen dat cybercriminelen hierdoor te veel keuze hebben: ze kunnen door de bomen het bos niet meer zien. Gelukkig hebben slimme ondernemers in de ondergrondse economie van de cybercrime daar iets op gevonden: abonnementjes. Als cybercrimineel kun je een abonnement nemen op een zogenaamd exploit kit, een boeket van relevante exploits. Deze exploit kits kun je bijvoorbeeld in de code van een website verwerken, of in de code van een gevaarlijke banner. Wanneer een argeloze websitebezoeker dan op je site komt, gaat de exploit kit als een razende aan het werk. Binnen een fractie van een seconde controleren alle verschillende exploits in de kit of ze een kans maken op de pc van de bezoeker. Als er ook maar één patch niet goed is uitgevoerd door het slachtoffer, en er geen goede, bijgewerkte antimalware op de pc staat, heeft de cybercrimineel beet.
Het G DATA Securityab bestudeert al geruime tijd een aantal populaire exploit kits en heeft onlangs voor het eerst een aantal bevindingen hierover gepubliceerd in het G DATA PC Malware Report (te lezen via https://secure.gd/dl-en-pcmwr201501, vanaf pagina 14). De drie belangrijkste exploit kits zijn Angler, Nuclear en Neutrino. In de meeste gevallen werd er drie à vier dagen na het uitkomen van een nieuwe patch een exploit aan de kits toegevoegd om het corresponderende beveiligingslek te misbruiken.
Trouwe lezers van Blogit kunnen bijna niet met droge ogen beweren dat zij nog nooit eerder zijn gewezen op het belang van een goed patchbeleid. Maar misschien maakt de wetenschap, dat bij traag of onvolledig patchen de eigen naaktfoto’s plotseling niet meer zo privé zijn, de boodschap nóg iets urgenter. Ik roep alle lezers van dit stuk (zijn jullie er nog steeds?) op om dit inzicht te delen. Wie weet kunnen we, met zijn allen, exploit kits uiteindelijk nutteloos maken.
Dirk Cools, Country Manager G DATA Benelux
