Blog 2 over editie: You will be hacked and you know it!

Maandag 10 juli was het tijd voor de 49e editie van de SMC050. Er werd gesproken over security en hackers door Erik Rutkens en Jobert Abma. Niet perse een avond om vrolijk van te worden. Er werd gesproken over verschillende soorten van internetcriminaliteit en de (on)mogelijkheden om die aan te pakken.

Erik is de oprichter en eigenaar van Insite Security. Erik is tevens algemeen directeur van ITsec en bestuurder van start-up Zerocopter. ITsec is het merk van Insite Security voor alle technische dienstverlening zoals penetratietesten. Zerocopter is een online platform waarmee organisaties hun online beveiliging kunnen testen.

Erik sprak onder andere over ransomware. Criminaliteit komt steeds vaker op het internet voor in plaats van in de fysieke wereld en ransomware is op dit moment het businessmodel voor internetcriminelen. Bij ransomware wordt als het ware je computer gegijzeld. Je kunt niet meer bij je bestanden en krijgt op je scherm de melding dat je een bepaald bedrag (meestal in bitcoins) moet betalen om weer bij je bestanden te kunnen. De software is eenvoudig te maken, het kan veel geld opleveren en de pakkans is minimaal. Daarom gebeurt het op grote schaal.

De 1e vorm van ransomware komt al uit 1989 en heette Aids. Wannacry en Petya of NotPetya zijn recentere voorbeelden. Wannacry heeft er in mei van dit jaar onder andere voor gezorgd dat ziekenhuizen in Engeland, stations in Duitsland en parkeergarages van QPark plat kwamen te liggen. In totaal werden er wereldwijd 230.000 systemen geïnfecteerd. Wannacry maakte gebruik van EternalBlue, waarschijnlijk gemaakt door de NSA. EternalBlue is een stukje software dat gebruik maakt van een lek in Windows.

Vaak wordt ransomware gebruikt om geld te verdienen, maar Petya of NotPetya werd vooral gebruikt om schade aan te richten. Ransomware verspreidt zich meestal via phishing, maar je ziet de verschuiving naar verspreiding door netwerken al toenemen. In de toekomst zal dit nog veel vaker voorkomen, doordat alles online is verbonden via het internet (of things). Meestal zijn producten slecht beveiligd en worden ze niet vaak genoeg geüpdatet, zodat criminelen gebruik kunnen maken van de zwakke plekken in de software.

Wat in de toekomst vaker zou kunnen gebeuren is een black-out van het stroomnetwerk. Het is nu al mogelijk om zonnepanelen die aan het internet hangen zo te manipuleren dat ze zorgen voor uitval van de stroom.

Er zijn 2 problemen die meespelen bij het verspreiden van bijvoorbeeld ransomware, namelijk de techniek en de mensen. Zoals Erik zei, ‘There is no patch for the human brain’. Software is de achilleshiel van de nieuwe technieken. Iedereen mag software maken en een goede programmeur maakt per 1000 regels code 10 fouten. Dat betekent dat er in een Tesla waar 100 miljoen regels code in verwerkt zijn, er 1 miljoen fouten gemaakt zijn. Die fouten kunnen worden misbruikt door criminelen.

Chip bugs

Kern van het verhaal van Jobert was: ‘Technology is advancing faster than security’. In 2010 waren er al 5 miljard devices verbonden met internet, in 2017 zijn dat er 20 miljard en in 2020 al 50 miljard. Per jaar worden er 111 miljard nieuwe regels code geschreven, dus er worden enorm veel fouten gemaakt. Cybercrime, malware en ransomware worden daardoor steeds gewoner.

Jobert is een van de oprichters van HackerOne, een netwerk van etische hackers die fouten opsporen in de software van de grootste bedrijven ter wereld zoals Über, Airbnb en Snapchat. Er werken zo’n 120.000 voornamelijk jonge hackers voor HackerOne. Als een bedrijf zich aanmeldt bij HackerOne om kwetsbaarheden bloot te leggen in de software, wordt er gekeken welk samengesteld team van hackers de opdracht het beste kan uitvoeren. HackerOne is actief in 100 landen en heeft al meer dan 50.000 bugs opgespoord en opgelost.

Ook overheden maken gebruik van kwetsbaarheden in software. De NSA bijvoorbeeld ontdekte een lek in Windows. In plaats van dat te melden aan Windows, gebruikten ze het om digitaal in te breken bij mensen die Windows gebruikten. Je hoeft als overheid dan geen dure spionnen meer naar het buitenland te sturen. Overheden kopen op digitale zwarte markten ook kwetsbaarheden, dus de overheid beschermt ons niet, zoals je dat wel zou verwachten.

Eigenlijk zouden hackers steeds vaker moeten worden ingezet voor security. De naam hacker heeft een negatieve connotatie, maar hacker is niet synoniem voor crimineel. Jobert gaf een mooie definitie:

Hacker: One who enjoys the intellectual challange of creatively overcoming limitations.

Om terug te komen op het aantal fouten dat er per jaar gemaakt wordt in software: dat zijn er elk jaar 111 miljoen. Dat zijn zeker niet allemaal fouten die misbruikt kunnen worden door internetcriminelen, maar bedrijven als die van Erik en Jobert zijn hard nodig om de criminelen een stap voor te zijn.

Tot slot een tip van Jobert: Keren Elazari vindt dat hackers het immuunsysteem van het internet zijn. Door kwetsbaarheden bloot te leggen, maken ze het internet sterker en gezonder en gebruiken ze hun macht om de wereld te verbeteren. Bekijk daarover haar TED Talk Hackers are the immune system of the internet:


Blog geschreven door Jasper Hoenderken van Radyus