Ter lering ende vermaak dus, maar ook ter waarschuwing: dit kan iedereen overkomen. Sterker nog: dit overkomt velen, vaak. Misschien zelf wel vaker, tegenwoordig.

‘Onze security is op orde’

De grootste fout die je kunt maken, is op je lauweren rusten. Denken dat je je beveiliging wel op orde hebt. Omdat je er veel tijd en moeite in hebt gestoken, omdat je er zelf goed in thuis bent, of zelfs expert en leverancier in bent. Securitybedrijf RSA is daar het meest recente voorbeeld van. Dat bedrijf heeft met de eigen beveiligingssystemen een grote, zeer geavanceerde cyberaanval op zijn ict-infrastructuur gedetecteerd, meldt een topman in een excuusbrief aan klanten.

In een excuusbrief? Ja, want die aanval is gedetecteerd, onderzocht en bleek toen al een tijdje te lopen. Én bleek al succes te hebben geboekt. Want RSA biecht in diezelfde open brief op dat de cyberinbrekers informatie hebben gestolen. Van de interne systemen van het beveiligingsbedrijf en betrekking hebbend op beveiligingsproduct SecurID, voor

Maar de dieven hebben niets wat succesvolle, directe aanvallen op SecurID-gebruikers mogelijk maakt, sust RSA. Dus niet het hele hebben en houden is buitgemaakt, maar wel voldoende voor indirecte aanvallen. En dat zijn tegenwoordig juist de meeste aanvallen: indirect en daardoor ook minder opvallend.

Bovendien hoeven die slinkse aanvallen langs omwegen niet eens zo geavanceerd complex te zijn. Beveiligingsexpert Michal Zalewski (lcamtuf) van Google, bekend van het ontdekken van browserlekken, reageert sceptisch op de SecurID-datadiefstal. Hij twittert cynisch (of grappend): “RSA: “extreem verfijnde cyberaanval .. in de categorie van een Advanced Persistent Threat (APT)”, in andere woorden: een SQL-injectie?”

‘Dat overkomt een ander’

Volgende veelgemaakte fout: denken dat je niet interessant bent, dat de bad guys het niet op jou gemunt hebben. Natuurlijk, een grote securitypartij als RSA of een internetreus als Google zijn doelwitten. Maar ook kleinere ondernemingen kunnen in de kijker komen.

En dan zijn het heus niet alleen de Stichtingen Brein van deze wereld die maatregelen moeten nemen, of eigenlijk: hadden moeten nemen. Want het begint met platleggen van een simpele website, maar daarlangs zijn via buffer overflows - of domweg eigen fouten van het slachtoffer - meer doelen te bereiken.

Wat eigen fouten betreft, schort het nog flink aan basale security-kennis. Kijk maar naar HBGary Federal, een Amerikaans beveiligingsbedrijf dat consultingdiensten en advies aanbiedt. Aan zwaargewichten als de FBI, CIA, en de NSA. Het bedrijf levert ook sabotage-acties en lastercampagnes op maat, zoals voor de Bank of America tegen Wikileaks. Oh, en het levert forensische software die onder meer in gebruik is bij diverse opsporingsdiensten in Nederland (de KLPD en de Marechaussee).

Natuurlijk, HBGary begaf zich al in security-gewijs interessante kringen én stak zijn nek flink uit door kopstukken van Anonymous te ontmaskeren. Dat los-vaste hackercollectief was daar niet bepaald van gediend en heeft het securitybedrijf gehackt, en volledig gepwnd, met klassieke trucs.

Niet vooruit kijken

Natuurlijk, beveiliging is exponentieel duurder naarmate het beter is. Die laatste stapjes om de meest exotische en theoretische aanvalsmogelijkheden te weren, zijn flink duurder dan de eerste stappen. Terwijl die basis vaak al niet in orde is. Maar dan nog. Enige mate van vooruit kijken, juist in verband met het verwachte gebruik én levensduur van je product of dienst.

Zie Trans Link Systems (TLS), maker van de OV-chipkaart met bijbehorend registratiesysteem. Het gebruik, zo niet de ‘populariteit’, van de OV-chipkaart is groot. De hele Nederlandse ov’ende bevolking mag, nee moet, aan die reispas. Dus de mogelijkheid voor fraude en de kans op fraudeurs is groot. Wat ook maar gebleken is.

Hetzelfde geldt voor ‘het nieuwe pinnen’, met de EMV-chip. Die net ingevoerde opvolger voor pinnen met de magneetstrip moet de oplossing zijn voor skimmen. Skimmers zijn dieven die eigen magneetlezers monteren op pinapparaten om dan de transactie ‘af te luisteren’ en dan rekeningen te plunderen. De onveilige magneetstrip moet eind dit jaar vervangen zijn door de EMV-chip.

Alleen is die beoogde opvolger niet veilig. Sterker nog: de malafide uitleeselektronica voor EMV-chips is flink kleiner dan de voor magneetstrips benodigde voorzetstukjes. Dus de vooruitgang aan de ene kant (banken) is niet alleen ingehaald door de vooruitgang aan de andere kant (bad guys), maar gepasseerd. Het wordt de skimmers makkelijker gemaakt om onopvallend hun ‘werk’ te doen.

Niet luisteren

Maar goed, wie had dat kunnen voorzien? Dat elektronica steeds krachtiger, kleiner en betaalbaarder wordt. Dat daardoor krachtige encryptie van nu morgen een makkie is. Dat dure rekenmonsters voor een prikkie zijn te huren, in de cloud. Dat speciale rekenwonders (ook in de vorm van gpu’s, op videokaarten) straks bij veel mensen gewoon thuis staan.

Dat hebben veel mensen kunnen voorzien en dat is dan ook gedaan. Jaren terug al. Herhaaldelijk. Internationaal. Bijvoorbeeld door enthousiaste hackers die elk beveiligingssysteem zien als een uitdaging. En die behulpzaam vroegtijdig melden dat iets niet bepaald veilig is.

Goed, welk serieus bedrijf of organisatie kan of wil er luisteren naar elke loslopende hacker, zelfbenoemde l33t hax0r? Nee, besteedt dan aandacht aan serieuze wetenschappers, ook gewoon hackers trouwens. Die in het geval van de EMV-chip een jaar geleden al de noodklok hebben geluid.

Of luister naar eigen experts, die je juist betaalt om zwakke plekken in kaart te brengen. Zoals Visa en de - gelukkig nog weinig voorkomende - creditcards met rfid-chip erin. Die zijn op afstand uit te lezen. Weet de creditcardmaatschappij, al zeker sinds 2006. Toen heeft het namelijk een patent ingediend waarin het gevaar van dit ‘data-skimmen’ specifiek wordt genoemd.

Scriptkiddies kunnen geen kwaad

Tenslotte de security-denkfout dat echt serieus, gevaarlijk hacken iets is voor de kenners, die schaars zijn. Eventueel gecombineerd met de overtuiging dat er weliswaar veel scriptkiddies zijn, maar dat die geen groot gevaar vormen. Dat zijn toch n00bs op securitygebied, en zoe bovenstaande valkuilen: ‘wij hebben onze security op orde’ en ‘zijn geen doelwit’.

Een botnet is zo aan te leggen of te huren. Gebruik van een cloudserver voor encryptie-kraken is niet duur. DDoS-tooltjes zijn zo te downloaden en met een muisklik te richten op een doelwit. En een DDoS, mits massaal, kan flink raak zijn en dan ook nog eens anderen raken. Nogmaals, een website of webdienst platleggen komt niet altijd neer op succesvol inbreken.

Terug naar HBGary, dat is gepwnd met klassieke trucs en bovendien ook nog eens door een schoolgaand tienermeisje. Juist dat laatste maakt het gevaar groter. Ook voor andere, kleinere organisaties die zichzelf nog altijd minder interessant achten als doelwit. Er zijn namelijk veel, heel jongeren (jongens en meisjes) met veel, heel veel tijd en computerkennis. Én met weinig besef van of angst voor juridische gevolgen van hun cyberdaden. Dat legertje aan potentiële aanvallers staat naast de al bestaande en ervaren ouderen, met tijd en kennis en wellicht ook ideologie. Wees waakzaam.