Veiligheid in 2017: we liggen er niet wakker van
Bij elk jaareinde hoort een nieuw begin, en bij een begin hoort een toekomstvisie. Daarom gingen we opnieuw, net als vorig jaar, in gesprek met James Lyne, grote baas van alle onderzoekswerk bij Sophos. Samen met hem keken we vooruit naar het nieuwe jaar en de bedreigingen die het met zich meebrengt. Om het helemaal interessant te maken, haalden we er ditmaal ook Paul Ducklin bij, security-evangelist bij Sophos en schrijver van blogs rond internetbeveiliging op Naked Security.
De eerste vraag die in elk zichzelf respecterend journalist, in gesprek met het kruim van de internetbeveiliging, naar boven komt, luidt uiteraard: waar mogen we naar uitkijken voor het komende jaar?
James Lyne: “Vorig jaar spraken we over de noodzaak voor meer aandacht aan de slechte beveiliging voor Internet of Things-toestellen. Het onderwerp verdween een beetje tussen de aandacht die naar ransomware ging, maar het komende jaar zal het IoT waarschijnlijk met de meeste vermeldingen gaan lopen. Dat kan ook niet anders, zoals technologiebeurs CES onlangs nog bewees: steeds meer en bizarre slimme toestellen betreden de markt. Ik kijk er alvast naar uit om aan de slag te gaan met een slimme haarborstel en diens zwakke plekken te gaan opzoeken.”
Paul Ducklin: “We gaven inderdaad al veel aandacht aan het IoT. Dat is nodig als je weet dat vele toestellen nog steeds gebruik maken van een beveiliging die ondertussen tien jaar oud is. Daar doorheen breken is niet eens een uitdaging. Het goede nieuws is dat meer en meer mensen aandacht beginnen te besteden aan de gevaren van het IoT. Het slechte nieuws is dan weer dat er nog veel te weinig mee gedaan wordt. Het wordt dit jaar tijd om daartegen actie ondernemen. Laat ons bijvoorbeeld beginnen met de beveiligingsinstellingen van die toestellen: veel te veel fabrikanten gebruiken voor elk toestel exact dezelfde inloggegevens. En vind je ze niet in de handleiding, dan vind je ze wel op internet. Het zal dus eerst nog erger worden voor het beter wordt.”
Lyne: “Natuurlijk moeten we de zaak ook niet overdrijven. Voor mij was 2016 voornamelijk het jaar van de zeurende professionals. Wij, de securitymensen die rechtstaan en roepen ‘pas op, dit is gevaarlijk! Luister naar ons!’ Natuurlijk zijn er gevaren verbonden aan het IoT, maar als we kijken naar bijvoorbeeld de Mirai-zaak waarbij een DDoS-netwerk werd opgericht van slimme huishoudapparaten, dan kunnen we zelfs daar vaststellen dat de hele zaak redelijk ongevaarlijk was en dat mensen uit onze industrie, samen met de media, er meer van maakten dan er echt aan de hand was.”
Spelen wij, de media en beveiligingsonderzoekers, dan een nefaste rol in de strijd tegen hacks, lekken en malware? Leggen wij misschien te vaak zwakheden bloot waar hackers dan gretig opspringen, nog voor ze die zelf ontdekt hebben?
Lyne: “Het is het verhaal van de kip en het ei. Ja, vaak zijn wij degenen die wijzen op een zwakke plek die nog niet ontdekt werd, waardoor hackers zich erop gaan richten, maar als we dat niet doen, dan vinden ze die plek vanzelf wel. Op deze manier kunnen we proberen ze te snel af te zijn. Wij, en waarschijnlijk geldt dat ook voor de media, willen mensen wijzen op die zwakke plekken om ze te waarschuwen, zodat ze zichzelf kunnen indekken en zodat ze druk zetten op de fabrikant om een probleem aan te pakken.”
Ducklin: “Het is net die druk die bedrijven nodig hebben om te reageren, anders zouden ze helemaal niets doen. Momenteel zijn ze vaak nog te zeer bereid om verouderde technologie – die extreem hackbaar is – naar buiten te brengen, zonder al te veel aandacht te schenken aan de mensen die ze kopen. Daarom heb ik ook zoveel respect voor wat Netgear eind vorig jaar deed: ze ontdekten een gigantisch veiligheidsprobleem op vele van hun routers. In plaats van dat in de doofpot te stoppen, herwerkten ze hun volledige firmware en lieten ze de consument zo snel mogelijk updaten. Ze hebben nu op korte termijn een deuk in hun imago opgelopen, maar op lange termijn zal dit hen veel krediet kopen.”
Lyne: “Daarnaast mogen we niet vergeten dat Mirai misschien wel redelijk onschadelijk was, maar dat het veel erger had kunnen aflopen indien de schuldigen echt hun huiswerk hadden gedaan. Nu gebruikten ze alleen een erg basale methode om wachtwoorden te raden, maar als ze toegewijd aan de slag zouden gaan, zouden ze veel meer schade kunnen aanrichten. 2017 zal dat hoogstwaarschijnlijk bewijzen. We moeten eigenlijk niet per se schrik hebben voor ons eigen welzijn of voor onze veiligheid, maar wel dat onze toestellen worden meegezogen in een botnet.”
Als hackers in een slim toestel kunnen geraken dat bij ons in de woonkamer staat, kunnen ze dan van daaruit doorstoten naar onze smartphone of computer?
Lyne: “Ik weet niet of dat al gebeurd is, maar in theorie is dat zeker mogelijk. Vele toestellen gebruiken immers code die gereflecteerd wordt in de app, wat wil zeggen dat de zwaktes van je toestellen terug te vinden zijn in de app.”
Ducklin: “Daarom hopen we dat 2017 het jaar wordt waarbij de consument op zoek gaat naar het toestel dat niet noodzakelijk het goedkoopst is, maar wel de beste prijs-kwaliteitverhouding weet te bieden. Daar hoort ook de veiligheid bij. Als je weet dat een bepaalde fabrikant nogal laks is op dat vlak, laat die dan links liggen. Je zal zien dat zijn volgende product wel de norm haalt.”
Moeten we, met zoveel onbetrouwbare apparaten rondom ons, nog meer schrik krijgen van ransomware? Wordt 2017 misschien nog erger?
Ducklin: “Volgens mij komt het einde van die trend in zicht. Criminelen achter ransomware blijken steeds meer onbetrouwbaar te zijn – ze geven bijvoorbeeld de encryptiesleutel niet meer zomaar af – waardoor hun slachtoffers steeds minder vaak geneigd zijn om te betalen. Eens die geldstroom stilvalt, is het ermee gedaan. In plaats daarvan denk ik dat 2017 meer het jaar van de ‘data breaches’ wordt.”
“Zoals we onlangs te horen kregen dat een miljard Yahoo-accounts gelekt waren, zullen we het komende jaar nog horen over vele andere lekken. Daardoor krijgen we eigenlijk een vreemde situatie: 2017 zal gedomineerd worden door acties die zich afspeelden twee, drie jaar of zelfs nog langer geleden. Dat betekent dat we nu pas beginnen aan een inhaalbeweging, en we veel gaan moeten slikken waar we nu niets meer aan kunnen veranderen. Langs de andere kant zal het ons onze zwakke plekken tonen, zodat we die kunnen aanpakken.”
Het einde van 2016 toonde ons nog een nieuwe dreiging: regeringen die zich (redelijk) openlijk moeien met verkiezingen in andere landen. Stevenen we af op een nieuwe koude oorlog?
Lyne: “We mogen niet te hard van stapel lopen wanneer we het hebben over spionage; dat is er altijd geweest. Elk land ter wereld probeert zo goed mogelijk up-to-date te zijn om geen achterstand op te lopen ten opzichte van andere wereldmachten. Het nieuws dat Russische hackers de Amerikaanse verkiezingen probeerden te beïnvloeden was dan ook geen echte verrassing; het was iets dat we konden verwachten. Frankrijk en Duitsland zijn overigens ook al gewaarschuwd voor hun komende verkiezingen.”
“Daarnaast is het interessant om te zien hoe lauw er op het nieuws gereageerd werd. Rusland hackt de Amerikaanse verkiezing en de reactie van het publiek is niet om op straat te komen en te protesteren, als wel om te zeggen ‘ach ja, het is weer van dat’. Er heerst momenteel echt een gevoel van ontgoocheling waar we moeten voor oppassen. Als we dergelijke zaken zomaar gaan aanvaarden, komen we in een negatieve spiraal terecht. Wist je bijvoorbeeld dat we nooit eerder zo goed beveiligd waren als nu, maar dat we eveneens nooit eerder zo lui en zelfvoldaan omgingen met bedreigingen? We werken momenteel toe naar een heuse ‘Big Brother-staat’ en het is belangrijk dat we die balans niet doen uitslaan naar de verkeerde kant.”
Is het dan begrijpelijk dat in deze tijden een normaal gesproken ‘niet-achtergesteld land’ als België er toch zo lang over gedaan heeft om een wettelijk kader op te stellen voor ethische hackers?
Lyne: “Ik heb dat nieuws met veel belangstelling gevolgd en was er eerlijk gezegd ook wat door verbaasd. Ik heb weet van penetratietests bij verschillende Belgische bedrijven – met hun toestemming – dus toen plots bleek dat we voordien illegaal bezig waren, vielen verrassend vaak de woorden ‘utterly bizar’. Nu, het is nodig om te beseffen dat het niet zozeer gaat om een beweging van illegaal naar legaal, als wel om het scheppen van een rechtskader waarbinnen hackers hun ding kunnen doen. Ik geloof niet dat België iemand achter slot en grendel had gezet als hij zich schuldig maakte aan het verbeteren van veiligheid en privacy. Het is belangrijk om dergelijke afbakeningen te hebben. Op die manier krijg je namelijk een zekere professionalisering die leidt tot betere beveiliging.”