Bij de aanvallen op Google en nog een groot aantal andere bedrijven, activisten en internationale journalisten, is inderdaad gebruik gemaakt van Internet Explorer. De CTO van McAfee George Kurtz heeft dat uitgelegd in zijn blog. “In ons onderzoek hebben we ontdekt dat een van de stukken malware die gebruikt zijn in deze brede aanval gebruik maakt van een nieuw, nog niet bekend lek in Microsoft Internet Explorer”, schreef hij. Het is goed om hier op te merken dat Krutz hier voorzichtige bewoordingen gebruikt: “een van de stukken malware”, waarmee hij impliceert dat er nog andere aanvalspunten kunnen zijn geweest. Er is een goede kans dat Internet Explorer niet de enige factor is geweest die de aanvallen mogelijk heeft gemaakt.

Ik heb Kurtz gevraagd naar de eerdere speculaties dat de Adobe Reader zero-day er iets mee te maken had, dat Adobe vorige week heeft gepatcht. Hij antwoordde dat ze daar geruchten over hadden gehoord, maar dat ze geen bewijzen hadden gevonden dat het lek in Adobe Reader is gebruikt. “Ik kan alleen iets zeggen over de malware die wij hebben onderzocht. Maar er kunnen zeker nog andere stukken malware zijn die nog niet zijn ontdekt. Bovendien is het gebruikelijk onder aanvallers om eerst een ingang te vinden, om vervolgens andere interne systemen aan te vallen met andere exploits, die specifiek op die besturingssystemen of applicaties zijn gericht.”

Vals gevoel van veiligheid

Ook vroeg ik Kurtz naar de ironie dat Google, de maker van Chrome, gehackt was via een lek in Interenet Explorer. Zou Google geen Chrome moeten gebruiken?

Kurtz antwoordde: “Het is heel makkelijk om die conclusie te trekken, maar Internet Explorer is alomtegenwoordig en wordt door bijna elk bedrijf gebruikt. En er zijn veel bedrijfsapplicaties die alleen met IE werken, dus het is heel moeilijk om helemaal op een alternatieve browser over te stappen, zelfs als je die browser zelf maakt.”

Toch blijft het probleem met de “verlaat Internet Explorer”-strategie dat het een vals gevoel van veiligheid schept. Andere browsers, applicaties en besturingssystemen kunnen ook gekraakt worden, zeker door aanvallers die hun missie zo serieus nemen en beschikken over zulke geavanceerde middelen.

Op de CanSecWest conferentie van vorig jaar werd het Mac OS X besturingssysteem in een paar minuten opengebroken met een zero-day exploit voor Safari. In een interview dat op de Pwn2Own wedstrijd volgde legde de winnaar uit dat “het meer gaat om het besturingssysteem dan om het programma. Firefox op Mac is ook best makkelijk. Het onderliggende OS heeft geen anti-exploit-dingen ingebouwd.”

Terwijl onderzoek uitwijst dat de Internet Explorer zero-day die is gebruikt bij de aanvallen werkt op elke versie van Internet Explorer, zelfs op Windows 7, suggereert eerder onderzoek dat het systeem dat is aangevallen Internet Explorer 6 draaide op Windows XP. Het normale gebruik van een modern besturingssysteem en een moderne browser zou al veel meer bescherming hebben geboden.

Gevaarlijke evolutie

In plaats van dat ze hebben aangetoond waarom organisaties en gebruikers Internet Explorer in de ban moeten doen, laten de aanvallen in China een gevaarlijke evolutie zien van de aanvalsstrategieën.

Het hoofd van beveiligingsoperaties van nCircle vertelde me dat deze inbraak veel laat zien waar men in de beveilgingsgemeenschap de laatste 18 maanden over heeft gepraat. “We blijven er op hameren dat het hele bedrijf moet worden betrokken bij de beveiliging. Dat kan niet alleen de verantwoordelijkheid zijn van de IT-afdeling. Die beveiligingsmannen kunnen tegenwoordig niemand meer redden, zelfs niet met al het high tech beveiligingsgereedschap van de wereld.”

“Wat deze aanvallen uniek maakt is de gerichtheid, en het feit dat Google openlijk over de inbreuk wil praten. Ik denk dat bedrijven zich realiseren dat Advanced Persistent Threads (APTs) die core intellectueel eigendom aanvallen niet meer uitsluitend worden gericht op regeringsnetwerken”, zei Kurtz.

Nieuwe aanvallen en nieuwe verdediging

Andrew Storms van nCircle gelooft dat een les die we van deze inbreuk kunnen leren is “dat antivirus-software nu echt dood is. “Al sinds een tijdje is het de minst effectieve tool in de security gereedschapskist, omdat het alleen effectief is tegen bekende malware. Aanvallers hoeven zo’n stukje malware alleen een beetje aan te passen om op je netwerk te kunnen komen.”

In mijn e-mails met Kurtz ging die niet zo ver om de antivirus-tools dood te verklaren, maar hij suggereerde wel dat er een nieuwe aanpak nodig is. “Er zijn technologieën, zoals whitelisting zonder signatures. Bedrijven moeten er nu echt mee beginnen om beveiliging door whitelisting toe te voegen aan hun technologieën, die nu nog gedomineerd worden door zwarte lijsten.”

Kurtz raadt natuurlijk McAfee Application Control aan, dat de aanval had voorkomen. Organisaties die overgaan op Windows 7 en Windows Server 2008 kunnen bijvoorbeeld ook gebruik maken van AppLocker om bepaalde applicaties minder rechten te geven en andere helemaal te blokkeren.

Een andere mogelijkheid is om je data versleuteld op te slaan. In dat geval kan een aanvaller zich toegang verschaffen tot een server of pc, maar dat betekent dan nog niet dat hij toegang heeft tot de data. Microsoft levert BitLocker encriptie met de Ultimate en Enterprise edities van Windows Vista en 7. Voor andere platformen zijn er oplossingen voorhanden zoals Zecurion’s Zserver Storage. Ook Google heeft na de aanvallen encryptie omarmd. Voorheen hadden gebruikers de optie om het veiliger https protocol te gebruiken. Maar nu heeft Google dat standaard aangezet, waarmee het encryptie opt-out heeft gemaakt in plaats van opt-in.

Het belangrijkste is dat je in gedachten houdt dat deze aanvallen meer omvatten dan alleen Internet Explorer, en dat alleen wisselen van browser geen goede verdediging is. Kurtz vat het duidelijk samen op zijn blog: “De wereld is veranderd. Iedereen zal zijn dreigingsmodel aan moeten passen aan de nieuwe realiteit van deze geavanceerde en aanhoudende dreigingen. Naast de zorg over Oost-Europese cybercriminelen die credit card databases proberen af te romen, moet je tegenwoordig ook bedacht zijn op het beveiligen van je intellectuele eigendom, privé-informatie van je klanten en alles wat ook maar enigszins van waarde is.”

Bron: Techworld