Nieuws

Top tien security-fiasco’s van 2014

Oude fouten, nieuwe vijanden en menselijke naïviteit: hier zijn de grootste securityfiasco's van 2014 tot dusverre.

In 2013 veranderde Edward Snowden ingrijpend de manier waarop we over veiligheid spreken. Sommigen overleefden de beveiligingsnachtmerries die werden toegeschreven aan Blackhole, de SEA en Cryptolocker.

Het jaar 2014 was anders: de kraan met gegevensdiefstal en informatiebeveiligings-rampen werd volledig opengedraaid – en de ego"s eromheen groeien evenredig snel.

[related_article id=”161920″]

Het was het jaar van de gigantisch grootschalige retail-aanvallen; van China, dat een steeds grotere rol begon te spelen bij aanvallen; van uit de hand gelopen Facebook-oplichterij; van Shellshock en Heartbleed (en z"n Poodle); en het jaar waarin applicatiebeveiliging de zwakste schakel werd door een combinatie van haar eigen fouten en van de meest gekende truc van onverantwoordelijke mensen: het afschuiven van schuld naar iemand anders.

Hier tellen we af naar de tien belangrijkste beveiligingsdreigingen van 2014.

10. Gewone mensen

De Amerikaanse winkelketen Target werd dit jaar getroffen door zowel een grootschalige diefstal van klantengegevens door malware – die maar liefst 70 miljoen gebruikersaccounts en 40 miljoen kredietkaartnummers buitmaakte – als door een al even groots opgezette phishingaanval. In beide gevallen werd de schade aangericht door de goedgelovigheid of onoplettendheid van niet technologisch geschoolde, gewone werknemers. Die groep werd dan ook meteen een van de grootste risico"s van het jaar. Zowel onderzoek van F-Secure als van RAND Corporation wijzen uit dat menselijke inbreng steeds vaker de zwakste schakel zal zijn bij het vermijden van de alomtegenwoordige aanvallen.

Op dit moment, aan het einde van 2014, gelooft 95 procent van alle IT-managers dat de grootste dreiging waartegen ze zich proberen te wapenen het argeloos en onvoorzichtig gebruik van mobiele toestellen door hun eigen werknemers is.

9. Clouddiensten

In 2014 bereikte het vertrouwen in de cloud een absoluut dieptepunt, ondanks het feit dat bedrijven massaal de overstap maken naar cloudoplossingen.

De Xen-bug, die zowel Amazon als Rackspace dwong z"n servers te rebooten, droeg daar zeker aan bij, maar ook de iCloud-hack die naaktfoto"s van een hoop beroemdheden buitmaakte en Apples laattijdige antwoord daarop deden klanten en investeerders panikeren.

Een studie van BT in elf landen giet de tweespalt van bedrijfs-IT wat de cloud betreft mooi in cijfers: meer dan drie vierde van de IT-managers is "extreem bevreesd" over de mogelijke veiligheidsgevolgen van het gebruik van clouddiensten – maar 70 procent van alle zakelijke managers (79 procent in de VS) adopteert cloudopslag en webapplicaties in zijn bedrijf.

8. Applicatiebeveiliging

Meer dan zeven miljoen gebruikers van online diensten zagen hun privacy de deur uit vliegen in slechts twee van de grote datadiefstallen van 2014: Dropbox en Snapchat. Beide bedrijven bedienden zich echter van the blame game om slechte pr te ontwijken.

Nadat hackers 6.937.081 inloggegevens van Dropbox hadden buitgemaakt, stelde het bedrijf dat het niet gehackt was en dat de gegevens van andere diensten waren gestolen, waarna de hackers de combinaties van e-mailadressen en wachtwoorden gewoon hadden toegepast in Dropbox.

Bij "the Snappening", een aanval waarbij een database van de populaire chat-app Snapchat met daarin 100.000 foto"s en video"s online gelekt werd, gebeurde iets gelijkaardigs. Snapchat schoof alle schuld af op de externe app die bij nietsvermoedende gebruikers malware installeerde en zo hun gegevens buitmaakte. Ondanks het feit dat de Amerikaanse privacy-waakhond FCC het bedrijf net nog had beboet omdat ze zélf op een onethische en bedrieglijke manier omgingen met de data van hun gebruikers.

7. Facebookoplichting

In 2014 werd zowat elke week een nieuwe vorm van oplichterij op Facebook aan het licht gebracht. Volgens Bitdefender lopen er momenteel niet minder dan 850.000.

Het grootste probleem bij deze oplichting, zeker bij de grote groep die hun slachtoffers een nieuwe feature beloven waarmee ze alle views op hun profiel kunnen opvolgen, is dat gebruikers door de manier waarop Facebooks interface is opgebouwd niet kunnen onderscheiden wat echt is en wat niet.

6. De Drupal-boeman

Het team achter Drupal presteerde het om een heel, heel erge SQL-injectie-kwetsbaarheid te ontdekken in Drupal 7 – en waarschuwde vervolgens z"n hele community dat ze gehackt zouden worden als ze niet binnen zeven uur een patch downloadde. Niet zo fraai voor een platform dat pocht met meer dan een miljoen gebruikers en dertigduizend developers.

5. Rotte Apple

Na jaren waarin het bedrijf uit Cupertino zijn befaamde veilige OS onder ieders neus mocht wrijven, kreeg Apple in 2014 een paar lelijke knauwen in die reputatie. Een probleem met SSL-encryptie dat al veel eerder naar boven had moeten komen maakte iOS- en OS X-gebruikers kwetsbaar voor een man-in-the-middle-aanval; een iCloud-hack zette filmsterren in hun blootje; China"s iCloud-klanten werden aangevallen; en meer.

Microsoft deed het echter niet veel beter. Het bedrijf patchte een zerodaybug die al negentien jaar te vinden was in zowat elke Windows-versie sinds Windows 95. Daarnaast dook er een kwetsbaarheid op in de meeste versies van Internet Explorer die zo ernstig was dat de Amerikaanse, Britse en Zweedse overheidsteams voor cybersecurity Windowsgebruikers ernstig aanmaanden om over te schakelen naar Chrome of Firefox tot Microsoft het probleem had opgelost.

4. China

In 2014 werd de rol van Chinese hackers in alles van malware en IP-diefstal tot overheidsgesponsorde aanvallen exponentieel groter.

Vooral de inmenging van het Chinese leger en de overheid in grote hackschandalen, zoals aanvallen van Apples iCloud, het hacken van de Amerikaanse Post, en grootschalige bedrijfsspionage, werd onder de aandacht gebracht, onder andere door het CrowdStrike-team.

3. Shellshock

Shellshock dook op in september en werd onmiddellijk herkend als een enorm probleem, dat de helft van alle bestaande websites kon aantasten. De bug bestond al twintig jaar in de Bash-shell en was in veel gevallen makkelijk te exploiteren, wat dan ook al binnen de dag na z’n ontdekking gebeurde.

2. Enorme lekken in retail

Grootschalige aanvallen op meestal Amerikaanse winkelgiganten waren dit jaar schering en inslag. De lijst is lang.

Een samenvatting van 2014 samengesteld in oktober geeft een weinig rooskleurig beeld: 621 geweten en beschreven grote lekken, waarbij naar schatting zo’n 77.890.487 accounts en andere gegevens gestolen werden. Daarbij gaat het overigens niet enkel om winkelketens; ook de financiële sector, bedrijven en gezondheidszorg werden geraakt.

Een gevaarlijk neveneffect van al deze lekken is dat de gewone consument een punt van vermoeidheid aan het bereiken is: een gevoel van machteloosheid dat niet aanzet tot veiliger gedrag of het vermijden van onvoorzichtige bedrijven, omdat iedereen uiteindelijk toch gehackt wordt.

1. De rode draad in de bedreigingen: zwaktes in TLS/SSL-protocols

De grote ster van SSL’s rampenjaar was Heartbleed, een gevaarlijke bug die, compleet met eigen logo, opdook en bekendgemaakt werd voor bedrijven de tijd hadden om patches uit te brengen. Google, AWS en Rackspace werden allemaal getroffen, maar Azure ontsnapte.

Heartbleed kan in theorie gebruikt worden om ogenschijnlijk beveiligde communicaties over HTTPS te onderscheppen, waardoor een hacker kan binnenwippen, allerlei data van wachtwoorden tot financiële details kan stelen, en weer verdwijnen zonder een spoor achter te laten.

Heartbleed was bovendien niet de enige fout in SSL-encryptie: Apples bovenvermelde probleem in februari kwam ook voort uit een fout in SSL-versleuteling, net als de 19 jaar oude WinShock zerodaybug.

Poodle, tenslotte, een zware beveiligingsfout in het verouderde maar nog steeds veelgebruikte SSL 3.0, liet aanvallers toe om "veilige" cookies te stelen, waardoor ze kunnen inbreken op beveiligde verbindingen.

En wat met 2015?

Sommige dreigingen uit 2014 zullen waarschijnlijk ook in 2014 blijven, terwijl andere zich alleen maar heviger zullen verspreiden als we er niet in slagen de gemiddelde gebruiker beter te onderwijzen in veiligheidsmaatregelen, aanbieders ook effectief de verantwoordelijkheid te laten nemen om gegevens veilig te houden, en retailers betere beveiliging te laten aanwenden.

Een paar hints naar de toekomst? Android-malware, nu al verantwoordelijk is voor 70 procent van alle mobiele aanvallen, zal in de spotlights komen te staan, net als aanvallen op de gezondheidssector en het internet der dingen.

beveiligingheartbleedpoodlesnapchatsslveiligheid

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken