Interview met Filip Maertens en Paul Bakker over cybersecurity

Cybersecurity is een van dé modewoorden van 2010. De militaire inlichtingendienst ADIV nam vier cyberdefensiespecialisten in dienst. De Europese Unie en de Navo plaatsen internetcriminaliteit steeds hoger op de agenda en bereiden zich voor op een heuse cyberoorlog. En zelfs het Internationale Rode Kruis organiseerde eind oktober een congres over cyberoorlog.

Overdreven veel aandacht voor een hype die wel weer overwaait? Niet volgens specialisten terzake. De Federal Computer Crime Unit van de federale politie maakte bekend dat internetfraude in 2009 voor 68 miljoen euro schade heeft berokkend. Zelfs Ronald Noble, hoofd van Interpol, werd slachtoffer van identiteitsdiefstal op het internet.

In het wereldje van cyberdefensie voelen de Belg Filip Maertens en Nederlander Paul Bakker zich als een vis in het water. Maertens begon zijn loopbaan in 2000 als senior IT security advisor bij Ernst & Young, werkte vervolgens bij het Belgische IT-beveiligingsbedrijf Uniskill en runt sinds 2008 zijn eigen advies- en onderzoeksbureau, Avydian. Paul Bakker werkt sinds 2002 voor het Nederlandse bedrijf Fox-IT (dat onder meer de telefoongesprekken van Nederlandse ministers beveiligt) en is gespecialiseerd in de strijd tegen spionage en online veiligheidsdreigingen.

–

Wordt de dreiging die uitgaat van cybercriminaliteit niet overdreven? Houden jullie de hype niet zelf mee in stand?

Maertens: Dat stadium zijn we intussen al voorbij.

Bakker: Kijk gewoon naar de voorbeelden die het afgelopen anderhalf jaar publiek zijn geworden: Ghostnet, Aurora en Stuxnet. Ghostnet, een grootschalige aanval op computers in meer dan honderd landen, is een voorbeeld van een cyberaanval gesponsord door een staat. Bij Operation Aurora werden heel erg gericht een aantal grote internationale organisaties aangevallen, waaronder Google en de twintig grote bedrijven in Amerika. Terabytes aan informatie zijn uitgelekt naar –waarschijnlijk, maar niemand weet het zeker– China. En het doelwit van Stuxnet waren process control systemen van Siemens gebruikt in kerncentrales in Iran. Anderhalf jaar lang was Stuxnet onopgemerkt gebleven. Het maakt gebruik van zogenaamde zero-days exploits, kwetsbaarheden in een systeem die nog niet bekend waren. Waarschijnlijk zit er tot tien manjaren aan werk in.

Hoe groot is het probleem in de Lage Landen?

Bakker: Al drie jaar op rij waarschuwt de Nederlandse geheime dienst AIVD in zijn jaarrapporten voor cyberaanvallen tegen Nederlandse infrastructuren en bedrijven. Onder andere door Rusland en China wordt gespioneerd vanuit de digitale arena. Meer specifieke info daarover wordt stilgehouden, wat ook logisch is.

Maertens: Het zou fout zijn om met concrete details over cyberaanvallen naar buiten te treden –niet alleen vanuit deontologisch maar ook vanuit veiligheidsperspectief. Maar ook België gaat inderdaad niet vrijuit in de wereldwijde toename aan succesvolle cyberaanvallen.

Bakker: Om je een idee te geven van de frequentie van aanvallen: midden oktober heeft Iain Lobban, het hoofd van de Britse geheime dienst GCHQ, voor het eerst in lange tijd een toespraak gehouden over cyberdefensie. Hij zei dat er dagelijks meerdere aanvallen zijn op Engelse infrastructuren, afkomstig vanuit het buitenland.

Kun je die lijn doortrekken naar België?

Maertens: De situatie is elders niet anders dan in Groot-Brittannië.

Bakker: Nou ja, het is anders in landen waar ze geen internet hebben. Maar dat zijn er niet zo heel veel.

Maertens: In de laatste twaalf jaar –waarin ik dagdagelijks met de problematiek geconfronteerd ben– is het echt op wekelijkse basis dat er in België meerdere, ernstige gevallen van cybercriminaliteit gemeld zijn. En die trend zet zich enkel maar in stijgende lijn voort.

Elke week wordt in België wel een bedrijf slachtoffer van cybercrime?

Maertens: Dat is een ernstig understatement. Het zijn er zeker meer. Maar het probleem is dat er geen kwantitatieve of kwalitatieve meting gebeurt. Er zou een betrouwbare statistiek moeten komen, willen we de frequentie en impact van cybercriminaliteit realistisch inschatten.

Bakker: Ook in Nederland zijn die cijfers niet voorhanden. Probleem is dat de meeste organisaties er niet over willen praten –als ze al merken dat ze het doelwit zijn.

Maertens: Dat is het aspect van reputationele schade. Ook bestaat er in België geen meldingsplicht bij het vaststellen van gegevensverlies.

Bakker: In Nederland wordt er wel nagedacht over de verplichting om gegevensverlies te melden: mensen laten usb-sticks liggen, laptops worden gejat, info lekt uit. Het grote probleem is dat het in veel gevallen niet makkelijk te determineren of traceren valt wat er echt gebeurd is of welke gegevens naar buiten zijn gegaan.

De militaire inlichtingendienst ADIV heeft in 2010 vier specialisten cyberdefensie aangenomen, de Staatsveiligheid telt hooguit een vergelijkbaar aantal. Als het probleem zo groot is als jullie beschrijven, volstaat dan een handvol mensen om België tegen cybercriminaliteit te beschermen?

Bakker: Het is een beetje weinig.

Maertens: Het is een goed begin, maar in termen van capaciteit is het inderdaad niet toereikend. Zeker als het gaat om het beschermen van het wetenschappelijk en economisch potentieel en de toenemende assymetrische dreigingen die cyberaanvallen met zich meebrengen. Anderzijds: ook al heb je een team van tweehonderd mensen, dan nog steeds kun je het probleem niet adequaat beheersen zonder een plan van aanpak.

De vier specialisten voor ADIV zijn een goed begin, maar het mag nu niet stilvallen. De volgende stap moet zijn: een nationale strategie en visie ontwikkelen. Anders is het een slag in het water. Er moet ook een keuze gemaakt worden: welke detectie- en responsieve mechanismen en organisaties wil je inrichten op nationaal niveau? Hoe kunnen we private en publieke initiatieven verzoenen? Hoe planten we ons in in een internationaal juridisch kader?

Voor die nationale aanpak heeft minister Van Quickenborne begin dit jaar toch het Computer Emergency Response Team opgericht?

Maertens: Ik zie voorlopig weinig impact hiervan. Ik heb de indruk dat –gegeven het politieke klimaat in België– de aandacht eerder verslapt is, en dat de focus nu ergens anders ligt. Dat verwoordt het heel netjes denk ik. Maar de cyberproblematiek stopt uiteraard niet. Integendeel.  De missie van het CERT verder nationaal ondersteunen als nationaal communicatieplatform naar burger en bedrijven toe, samen met een uitgesproken publiek-private samenwerking kan het pas echt naar een hoger niveau tillen. Dit staat wel op de planning van het CERT; ik hoop dat die plannen ook effectief uitgevoerd zullen worden.

In Dubai zag ik posters in het straatbeeld die de burger bewust maken van het risico van kwijtgespeelde USB-sticks.  In België zie ik enkel maar posters over het promoten van handenvrij bellen. Binnen een gezamenlijk overlegorgaan moet een visie op nationaal niveau ontwikkeld worden, zowel voor defensie, privébedrijven als overheidsdiensten.

Bakker: Hoever moet een overheid gaan in cyberdefensie? De dreiging is immers niet alleen gericht op overheidsorganisaties maar ook op andere onderdelen van de maatschappij. Waar begint de verantwoordelijkheid van de commerciële partijen –banken, de beurs, energiemaatschappijen? Wanneer een bedrijf als Shell platligt, heeft heel het land problemen. Dat zag je eind oktober wel in Frankrijk, ook al was de oorzaak daar geen cyberaanval. Moet een overheid alleen infrastructuur bieden en zorgen dat mensen bij elkaar kunnen komen om informatie te delen? Of moet zij verplichtingen opleggen?

Maertens: Het zal vermoedelijk pas bij een grootschalig incident zijn dat deze dreiging ernstig genomen zal worden en initiatieven genomen worden. Vergis u niet. We weten nu reeds zeker dat een “digitale 9/11” of “digitale Pearl Harbour” in de maak is en dat we als land lang niet voorbereid zijn hierop. Enkel weten we niet wanneer een dergelijke cyberaanval zich zal voltrekken.

Intussen gaan ook de EU en de Navo zich steeds meer bezighouden met cyberdefensie.

Bakker: De discussie is nu inderdaad gestart op boven-nationaal-niveau. Kijk, wetten worden op nationaal niveau gemaakt, maar de agressors werken internationaal. Ze zitten overal ter wereld. Je kunt je niet goed verdedigen in de cyberwereld als je niet kan straffen. Wat doe je met een agressieve actie over de grenzen heen? Wat telt als een act of war en wat niet?

Bakker: “Als je kijkt naar de cijfers en statistieken die wél publiek bekend zijn –de banken zijn er logischerwijze heel erg voorzichtig in– dan is er in de laatste jaren meer geld gestolen via de digitale weg dan dat er ooit fysiek via bankroven is buitgemaakt.”

 

Maertens: Het definiëren van een act of war is in cyberspace ook heel gevaarlijk. Als een cyberaanval wordt ingezet vanuit een IP-adres uit België, is de aanvaller niet per se een Belg. Misschien wordt die Belgische computer wel misbruikt door een Russische computer, die op zijn beurt gecompromitteerd is door iemand uit pakweg Israël.

Het is heel moeilijk om te bepalen waar een cyberaanval vandaan komt?

Bakker: Inderdaad. En we zitten in een situatie die niet houdbaar is. Je kan het vergelijken met de fysieke wereld. Als je als Nederlandse militair in Afghanistan in je tank wordt bekogeld met steentjes, dan reageer je na een tijdje. In de digitale wereld zijn we al vijf jaar in het scenario dat iedereen steentjes naar elkaar aan het werpen is, zelfs ook stenen en rotsen. En er wordt niets gedaan. Niemand reageert. Het gebeurt gewoon en mensen accepteren: “Ja, dat is nou eenmaal zoals het in elkaar zit”. Hoe moet je daar als land mee omgaan? Je wilt je burgers immers ook niet afsluiten van het internet –dat is een beetje te extreem.

–

Met welk soorten cybercriminaliteit komen jullie zelf dagelijks in aanraking?

Maertens: Voorlopig gaat het over klassieke fraude waarbij geautomatiseerde omgevingen worden gebruikt. Werknemers die mysterieus een bedrijf verlaten om vervolgens met dezelfde klantenlijst een eigen bedrijf op te starten. Dat soort computer-ondersteunde fraude zie je quasi op wekelijkse basis. Met betrekking tot zuivere cybercrime –waaronder gerichte aanvallen om een onderneming plat te leggen, botnets, digitale infiltraties om er informatie te stelen– zie ik een toenemende trend waar ik zelf maandelijks mee in aanraking kom. Een voorbeeld: een klant van me ontving onlangs een e-mail uit China waarin hij werd gevraagd de pdf in bijlage, met informatie over een nieuwe wagen, te openen. Uit onderzoek bleek dat die pdf zo opgezet was dat hij ongemerkt informatie –meer bepaald een bepaald bestand dat typisch was voor mijn klant– uit de geïnfecteerde computer zou doorsturen.

Waarom zou een werknemer zo een verdachte e-mail openen?

Maertens: Hij was heel gericht, de afzender en de aanspreektitels in de e-mail waren gepersonaliseerd en de boodschap leek vrij realistisch. Vaak is de eindgebruiker zich nog niet adequaat bewust van de risico’s. Om informatie te vinden, gebruiken hackers sociale netwerksites zoals Facebook. Als je dan ziet welke info over werknemers bestaat op Facebook, Twitter of Myspace, dan stel je vast dat het deze open bronnen zijn die moderne criminelen vaak en meer en meer gebruiken.

Bakker: Mensen zijn zich niet altijd bewust van de info die ze delen via LinkedIn, Facebook, Twitter, Flickr… Zo is het voor aanvallers heel makkelijk om een goed beeld te krijgen van hun doelwit. Die gerichtheid is heel erg gevaarlijk. Het betekent dat je specifiek mensen kan cherrypicken die je belangrijk vindt, die op cruciale plekken binnen een organisatie werken en die toegang hebben tot informatie. Wanneer je die mensen kiest, moet je niet de Filips en de Pauls pakken –je zoekt best werknemers die niet al te security- of IT-minded zijn.

Maertens: Mensen staan niet altijd stil bij de levenscyclus van de informatie die ze delen. Je zet een foto op Facebook, maar wat gebeurt er daarna mee? Je wordt getagged, de foto wordt misschien geforwarded, of gebruikt door mensen met misschien minder goede bedoelingen –om een vals profiel aan te maken bijvoorbeeld.

Op basis van informatie die publiek beschikbaar is, doet Fox-IT wel eens spionageaanvallen op vraag van organisaties die hun eigen beveiliging willen testen. Geef eens een voorbeeld van zo’n beveiligingstest.

Bakker: Op Facebook merkten we dat sommige werknemers regelmatig artikels plaatsten over Laura Dekker. Vervolgens hebben we een nieuwssite nagemaakt met berichten over het zeilmeisje, en de werknemers hierop uitgenodigd. Eens ze op onze nieuwssite klikten, werd hun pc geïnfecteerd met malware.

Maertens: Als hackers een aanval opzetten, is verkenning het eerste stadium. Je probeert zoveel mogelijk te weten te komen over je doelwit, waarna je je aanval zo gericht als mogelijk maakt. Om je aanval voor te bereiden, maakt het wel degelijk een verschil als iemand wel of niet Facebook of Twitter gebruikt.

Hebben jullie zelf Facebook?

Bakker: Speciaal voor deze tweedaagse opleiding hebben we een profiel aangemaakt van een zekere “Sophie Draufster” (anagram van Fraudster) om te laten zien hoe gemakkelijk het is om contacten te leggen. Sophie heeft op twee dagen tijd zeventig nieuwe vrienden gemaakt, en heeft wereldwijd connecties op LinkedIn met ceo’s en presidents van bedrijven. Gewoon door met de juiste personen een vriendschapsverzoek te doen en door een goede sfeer te creëren.

Zetten jullie dan een mooi meisje op de profielfoto?

Bakker: Dat heeft voordelen, inderdaad.

–

Op het internet zweven zoveel virussen rond. Elke pc is wel geïnfecteerd. Als er zoveel lekken zijn, is het dan nog wel een probleem? Wie kan iets doen met die massa’s informatie?

Bakker: Een van de grootste problemen op dit moment is de dreiging op online banking. Hackers richten zich op iedereen die potentieel bij een bepaalde bank zaken doen en pakken gewoon iedereen in een land, heel ongericht. Naar alle Belgische burgers of iedereen met een Belgisch e-mailadres sturen ze mailtjes. Zo proberen ze heel breed te infecteren. Wanneer computergebruikers vervolgens interageren met hun bank, dan zullen de hackers bijkomende transacties uitvoeren. Je geld gaat dan niet alleen naar de energierekening die je wilde betalen, maar ook naar een criminele organisatie.

Je zou verwachten dat banken daartegen intussen wel voldoende beschermd zijn.

Bakker: Als je kijkt naar de cijfers en statistieken die wél publiek bekend zijn –de banken zijn er logischerwijze heel erg voorzichtig in– dan is er in de laatste jaren meer geld gestolen via de digitale weg dan dat er ooit fysiek via bankroven is buitgemaakt. Het moet toch ergens vandaan komen? Maar banken zullen het niet toegeven.

Sommige georganiseerde misdaadgroeperingen verdienen veel geld met online bankieren. Maar na een tijdje zal dat moeilijker worden. Dan wordt het voor hen interessanter om een heel bedrijf of zelfs een heel land te gaan blackmailen. Hoe? Door een stuk van de kritieke infrastructuur over te nemen. Dat klinkt als het scenario van Bruce Willis’ Die Hard. Maar vanuit crimineel perspectief zijn dat de evolutiestappen om meer geld te verdienen.

Filip, jij hebt de voorbije twee jaar op eigen houtje onderzoek gedaan naar de spelers binnen de cybercriminaliteit. Daarbij stootte je steeds weer op drie groepen?

Maertens: De eerste groep waar ik mee in contact kwam, is afkomstig uit Rusland en het Oostblok.  Deze maken gebruik van erg gesofisticeerde malware, beschikken over een goed georganiseerd crimineel netwerk en hebben de financiële sector als primair doelwit. Ten tweede heb je de Aziatische dreiging. Daarbij lijkt het meer te gaan om state sponsored crime om hun nationale belangen te versterken tegenover de Westerse wereld. En ten slotte heb je de Afrikaanse connectie, gespecialiseerd in scamming en fraude via spam en phishing.

Gaat het om individuele hackers die elkaar op een nerdcongres hebben ontmoet?

Bakker: Het is best heel georganiseerd. Het vergt ook een hele infrastructuur om op grote schaal geld weg te trekken uit bankrekeningen. Wanneer hackers toegang hebben tot iemands bankaccount, dan begint het nog maar pas. Ze hebben mensen nodig om het geld te transporteren –money mules. Die weten soms niet eens dat ze meedraaien in een criminele organisatie.

Maertens: We spreken niet meer over een individuele hacker maar over georganiseerde misdaad. Het zijn dezelfde organisaties die zich bezighouden met wapen-, drugs- en mensenhandel, die nu ook een cel cybercriminaliteit omvatten, met diensten als “Crime-As-A-Service”, “Rent-a-Botnet” en “Custom Malware Development”. Een trend van de voorbije jaren is dat cybercriminelen zich verder gaan structureren en organiseren. Vroeger had je enkelingen die kleine cluster-units vormden. Nu krijg je echter organisaties die zich inrichten als volwaardige organisaties met grote gelijkenissen met de manier waarop de Cosa Nostra opereerden. Cybercrime is een heel lucratieve economie geworden, met minder risico en grotere returns dan de traditionele criminaliteit.

Lees ook het interview met Jan Torreele over cybercriminaliteit