Beveiligingsfirma Fox-IT zelf slachtoffer van cyberaanval: wat jij er van kan leren
Fox-IT, een beveiligingsbedrijf in Nederland dat bij ons vooral bekend is omwille van het onderzoek naar het Belgacom-hack enkele jaren geleden, werd zelf het slachtoffer van cybercriminelen. Fox-IT is een grote speler op het vlak van security en biedt zijn diensten niet alleen aan bedrijven aan, maar werkt ook samen met onder andere de Nederlandse overheid. Het mantra van het bedrijf is al geruime tijd hetzelfde: “het is niet de vraag of je ooit gehackt wordt, maar wanneer“. Dat de beveiligingsfirma zelf het doelwit werd van hackers, doet dienst als mooie illustratie van dat statement.
Fox-IT kreeg in september van vorig jaar te maken met een man-in-the-middle-aanval. Het bedrijf heeft die aanval een jaar lang onderzocht en denkt nu een goed beeld te hebben van wat er precies is gebeurd. In een blogpost doet de beveiligingsexpert het volledige verhaal uit de doeken.
Aanval en detectie
De hacker in kwestie heeft zich toegang verschaft tot de DNS-gegevens van de fox-it.com-website. Die data houdt bij waar een website precies terug te vinden is. De DNS-gegevens vertalen met andere woorden de url die jij in je browser intypt in adresgegevens voor de websiteserver waar je computer iets mee is. Ze worden niet beheerd door de eigenaar van de website, maar door een domeinnaambeheerder of registrar. Door de DNS-gegevens aan te passen, kon de hacker al het verkeer naar fox-it.com omleiden naar een eigen server. Van daaruit verwees hij het verkeer door naar de oorspronkelijke website. Het resultaat: alle trafiek naar fox-it.com passeerde via de server van de cybercrimineel, zonder dat je daar als bezoeker iets van merkte. Zo’n aanval, waarbij een hacker zich middenin de communicatie tussen twee partijen positioneert, heet daarom man-in-the-middle-aanval.
[related_article id=”168319″]
De aanvaller had het gericht op een digitaal portaal dat Fox-IT gebruikt om bestanden uit te wisselen met klanten. Na ongeveer 10 uur had Fox-IT door dat er iets niet pluis was. Als je weet dat het gemiddeld weken of zelfs maanden duurt alvorens een goed uitgevoerd hack ontdekt wordt, valt die termijn best mee. In die periode maakte de hacker desalniettemin enkele beveiligde bestanden buit. Zodra de beveiligingsfirma de aanval detecteerde, heeft het de tweestapsauthenticatie voor de klanten op het portaal uitgeschakeld, waardoor zij niet meer konden inloggen en hun gegevens niet meer onderschept werden. Het hack bleef op dat moment wel actief, zodat de onderzoekers de tijd kregen om de modus operandi van de hacker verder te onderzoeken.
6 toepasbare tips
Uiteindelijk heeft Fox-IT vastgesteld welke tekortkomingen aan de basis lagen van de succesvolle aanval. Het bedrijf deelt daarom enkele best practices die voor iedereen relevant zijn.
Contacteer je registrar en kijk na of een gebruikersnaam-wachtwoordcombinatie volstaat om de DNS-gegevens te wijzigen. Tweestapsverificatie had in het geval van Fox-IT volstaan om de aanval te voorkomen.
Kies niet alleen voor complexe wachtwoorden, maar verander ze ook geregeld. Het wachtwoord van Fox-IT om in te loggen op het portaal van de registrar was van hoge kwaliteit, maar werd sinds 2013 niet meer veranderd. Dat heeft de hacker volgens het bedrijf mogelijk geholpen.
Monitor de websitecertificaten, zodat je snel merkt wanneer een hacker een frauduleus websitecertificaat gebruikt.
Monitor je netwerkverkeer en sla de data op. Dat maakt het mogelijk om na de aanval heel nauwkeurig na te gaan hoe groot de impact was, en wat er precies is buitgemaakt. Doordat Fox-IT door de geschiedenis van de eigen netwerktrafiek kon bladeren, kon het bedrijf snel zien welke bestanden de hacker had buitgemaakt, en welke partners werden getroffen.
Overweeg of het mogelijk is om de aanval te laten doorgaan na de detectie. Door maatregelen te nemen kan je het hack onschadelijk maken zonder de hacker meteen uit je systeem te duwen. Dat geeft je de kans om veel meer te weten te komen over de aanval, de impact en eventuele tekortkomingen waar je in de toekomst op kan inzetten.
Waarschuw meteen de politie, zodat ze je kunnen helpen. Wees ook transparant naar getroffen klanten of partners toe. Contacteer hen zo snel mogelijk en breng hen op de hoogte van wat er precies gestolen is.
Verder toont het hack het belang van detectie en respons aan wanneer preventie gefaald heeft. Door enkel in te zetten op een hoge preventiemuur heb je onvoldoende tools in huis om actie te ondernemen wanneer een hacker toch eens over de muur raakt. Tot slot zijn we fan van de open communicatie van Fox-IT: als beveiligingsfirma het slachtoffer worden van een hack is altijd pijnlijk, transparantie en eerlijkheid zijn in zo’n geval het beste wapen tegen imagoschade.
https://www.smartbiz.be/achtergrond/172130/zo-breekt-een-hacker-op-jouw-computer/