"De maffia heeft haar werkterrein naar internet verplaatst", zegt David Maynor, onderzoeker bij beveiligingsbedrijf ISS, tegenover Webwereld. "We hebben dit jaar al diverse voorbeelden van afpersing gezien."

Volgens Maynor werd de Super Bowl, de Amerikaanse nationale finale van baseball, door cybercriminelen aangegrepen om de verkopers van tickets en diensten te bedreigen met een denial-of-service-aanval. "Ze kregen de keus: geld betalen of de gevolgen ondervinden."

ISS ziet ook andere vormen van chantage gemeengoed worden. Zo zijn er bedrijven die 0-day-exploits, kritieke lekken in software waarvoor nog geen patch beschikbaar is, te koop aanbieden aan softwaremakers. Desgevraagd wil Maynor schoorvoetend erkennen dat er collegabedrijven zijn die ook aan deze vorm van chantage meedoen.

Verharding

De expert wijst erop dat dit soort bedreigingen meer zullen gaan voorkomen en dat het lastig is hiertegen een goede verdediging te voeren. "De criminaliteit is zich duidelijk op internet aan het verharden."

Maynor stelt duidelijk dat het onderzoek dat ISS verricht naar softwarematige beveiligingsproblemen wordt gedaan om de eigen preventieve producten beter te maken. "Ons onderzoek zorgt ervoor dat wij voor veel 0-day-problemen al een oplossing hebben voordat een patch beschikbaar is en natuurlijk delen we onze kennis gratis met de ontwikkelaars van de software."

Kritisch

De expert is kritisch over de capaciteiten van veel engineers. "Nog altijd zijn er veel bedrijven die nog geen mensen hebben om problemen op te pikken en te onderzoeken", betoogt Maynor. Hij denkt dat Microsoft inmiddels goed in staat is lekken aan te pakken en hoopt dat andere ondernemingen ook teams voor beveiligingsbugs gaan opzetten.

Dit is volgens hem hard nodig, want veel webapplicaties blijken ondanks de voorbeelden uit het verleden nog steeds gevoelig voor simpele fouten. Zo komt ISS nog veel standaardproblemen zoals SQL-injection-lekken en css-bugs (cross site scripting) tegen. "Eigenlijk zou dat niet meer moeten kunnen. Mensen moeten eindelijk eens penetratietests gaan uitvoeren."