‘Gamification wordt belangrijk hulpmiddel om awareness te creëren’

  1. 4 mrt 2014
  2. 0 reacties

Hoe maken we security leuk voor eindgebruikers? Want alleen dan gaan gebruikers beveiligingsmaatregelen serieus nemen. Dat was een van de vragen die centraal stond tijdens de  Security Analyst Summit  die Kaspersky Lab onlangs in San Juan, Puerto Rico organiseerde. Gamification zou hierbij wel eens een sleutelrol kunnen gaan vervullen.

Begin februari werd het Ritz Carlton Hotel in San Juan, Puerto Rico geheel overgenomen door een grote groep security-experts. Dat gebeurde tijdens de zogeheten Security Analyst Summit van Kaspersky Labs. Doel van dit vijf dagen durende event was kennisuitwisseling tussen deze security-aanbieder, wetenschappers en overheidsorganisaties die proberen cybercriminelen op te sporen en voor de rechter te brengen.

Android-malware

Tijdens het programma kwam een brede waaier aan onderwerpen ter sprake. De presentaties behandelden thema’s zo divers als smart money-technologie, de opkomst van fake supportafdelingen, gamification van security, hardwarematige ondersteuning bij dataclassificatie of behavioral detection op Android-apparaten.

Om met dit laatste punt te beginnen, Android is in relatief korte tijd uitgegroeid tot het meest gebruikte mobiele platform. Daarmee is het ook uitgegroeid tot een zorgenkindje van formaat. Yury Slobodyanyuk van Kaspersky Lab liet een grafiekje zien waarin de groei van het aantal malware-applicaties voor Android werd weergegeven. De 700.000 nieuwe activeringen die iedere dag weer plaatsvinden, heeft voor een enorme aanwas van malafide Android-apps gezorgd. In januari 2013 - dat is dus al weer ruim een jaar geleden - lag het aantal reeds op zes miljoen.

Traditionele antivirus-oplossingen kunnen die vloedgolf niet meer aan. Er moet dus iets gebeuren en volgens Slobodyanyuk ligt de oplossing bij ‘behavioral detection'. Door het gedrag van een app te volgen en te analyseren, kunnen afwijkingen worden gevonden. Wordt een malware-app gedetecteerd, dan kan het functioneren van deze app direct gestopt worden. Trucs als ‘obfuscation’ waarbij een app zich voordoet als een andersoortige app en daarmee dus zijn werkelijke functie verbergt, werken bij gebruik van behavioral detection niet, terwijl het via dit soort gedragsgebonden detectiemethoden ook goed mogelijk is om nieuwe en nog niet eerder ontdekte bedreigingen te onderkennen. ‘Behavioral’ kan bovendien voorkomen dat apps bepaalde als gevaarlijk gekenmerkte functies gebruiken. Zeker als die app voor zijn normale functioneren helemaal geen gebruik van die gevaarlijke functies hoeft te maken.

Kenmerkend van deze manier van detecteren is het nadrukkelijk analyseren van logbestanden waarin het gedrag van een app wordt vastgelegd. Slobodyanyuk liet enkele voorbeelden zien hoe deze methode kan helpen om bijvoorbeeld een virus als de Trojan-SMS.AndroidOS.Opfake te onderscheppen.

Fake support-teams

David Jacoby houdt zich bij Kaspersky Lab onder andere bezig met onderzoek naar malware voor Unix- en Linux-platformen en andere systemen. Hij is in het onderwerp ‘fake support’ gedoken. Hij ontdekte dat alleen al in de UK dagelijks 1.000 mensen het slachtoffer worden van namaak-call centers waarvan de medewerkers zich voordoen als support-medewerker van bijvoorbeeld Microsoft. Men claimt te bellen vanuit Londen, Los Angeles of New York, maar afhankelijk van het type scam dat men nastreeft kan het ook om een ‘supportafdeling’ gaan waarvan men zegt dat deze in locaties als het Belgische Hasselt zijn gevestigd. Men belt steevast omdat ‘het bedrijf’ op afstand zou hebben ontdekt dat er een probleem is met de Windows- of Office-omgeving van de gebruiker. Hierna biedt men aan om dit te verhelpen. Soms zou het gaan om een virusinfectie, ‘fouten’ in de computer die ontdekt zijn door ‘Microsoft’ of licenties die verlopen zouden zijn. De oplossing kost uiteraard geld, maar men biedt een handig lijstje van betalingsmogelijkheden, dus afrekenen hoeft geen probleem te zijn. Dat kan via credit card, Paypal of - wanneer dat beter lijkt uit te komen - desnoods kan de factuur via Western Union worden voldaan.

De truc die men uithaalt is dat men via remote access tools als Aplemix, Ammyy, LogMeIn of TeamViewer toegang probeert te krijgen tot de computer van het slachtoffer. Die moet daarvoor wel zelf een paar handelingen verrichten. Vandaar alle social engineering. Met de hulp van deze tools bekijkt men de computer van het slachtoffer, waarbij men eigen software toevoegt (vaak fake antivirus-software) en ondertussen de argeloze gebruiker fraaie lijstjes met gevonden ‘problemen’ toont.

Jacoby beschreef in zijn presentatie de jacht op een dergelijke operatie die luisterde naar de naam Kavish Technosoft. Hij had al snel een aanzienlijke hoeveelheid gegevens verzameld over een van deze scammers - onder andere een man uit India die als naam Sudipta Ganguly hanteerde en ook onder die naam op LinkedIn te vinden bleek. Het bleek echter nog niet zo eenvoudig om voldoende hard bewijsmateriaal te vergaren, zodat de politie in actie kon komen. Uiteindelijk bleek het toch mogelijk een compleet dossier met e-mailadressen, Paypal-accounts en dergelijke te overhandigen, zodat juridische actie mogelijk werd.

Safe Money

Safe Money-technologie kreeg ook de nodige aandacht tijdens de Security Analyst Summit. Onderzoeksbureau IDC heeft berekend dat circa 60 procent van de Internet-gebruikers inmiddels online winkelt en bovendien online betaalt. eBay stelt op zijn beurt dat het aantal eCommerce-accounts momenteel met gemiddeld 15 procent per jaar groeit. Voeg hierbij dat het heel eenvoudig is om een Trojan op een niet goed beveiligde pc geplaatst te krijgen die vervolgens de inloggegevens van de gebruiker doorstuurt en het is duidelijk dat er een groot maatschappelijk probleem dreigt te ontstaan: online fraude. Het aantal phishing-pogingen om bancaire inloggegevens te achterhalen, groeit dan ook exponentieel.

Ondanks allerlei voorlichtingscampagnes passen veel computergebruikers nog altijd niet veel meer toe dan een traditioneel antiviruspakket. Afhankelijk van de mate waarin de gebruiker dit pakket up-to-date houdt, kunnen hiermee veel traditionele aanvalspogingen worden tegengehouden. Maar met de verplaatsing van ons betalingsgedrag naar internet neemt ook de inventiviteit van cybercriminelen om dit soort AV-tools te omzeilen snel toe. Safe Money-technologie kan echter helpen om te voorkomen dat inloggegevens in verkeerde handen vallen. Hierbij wordt gebruikgemaakt van een aanpak die uit meerdere hulpmiddelen bestaat: trusted sites, trusted connections en trusted environment.

Virtual of secure?

Wat betekent dit? Wanneer een gebruiker naar de site van zijn bank gaat, wordt de url automatisch gecheckt bij een database van zogeheten ‘trusted addresses’ die Kaspersky Lab bijhoudt. Hier kan ook een lijst worden toegepast van url’s die de gebruiker zelf aanlegt. Bovendien wordt de authenticiteit gecontroleerd van de server waarmee contact wordt gemaakt. Hierdoor wordt Kaspersky’s service voor het verifiëren van digitale certificaten ingezet. Kan het certificaat om wat voor reden dan ook niet gecontroleerd worden, dan wordt de verbinding niet tot stand gebracht. Tenslotte wordt de computer die gebruikt wordt om een transactie te doen gecontroleerd. Hierbij wordt onder andere een check gedaan op ‘vulnerabilities’ op OS-gebied. Worden problemen aangetroffen, dan wordt de computer als riskant voor bancaire transacties aangemerkt en wordt - in het geval van een Windows-computer - automatisch Windows Update opgestart om de problemen op te lossen.

Daarnaast geeft Kaspersky’s Safe Money-aanpak de gebruiker twee opties om het feitelijk intikken van gegevens te beschermen. Dit kan via een zogeheten ‘virtual keyboard’ of een ‘secure keyboard’. De eerste wordt op beeldscherm weergegeven en kan alleen via de muis worden bediend, zodat geen toetsaanslagen kunnen worden geregistreerd. Met een ‘secure keyboard’ wordt een speciale driver voor het toetsenbord gebruikt, waardoor de input van de gebruiker extra beveiligd is.

Gamification

Misschien wel de meest interessante sessie tijdens de Security Analyst Summit had betrekking op manieren om security voor gebruikers leuker en relevanter te maken. Gamification speelt hierbij een hoofdrol. Als 70 procent van de bedrijven mensen als belangrijkste security-probleem ziet, dan moet de awareness rond beveiliging omhoog, verklaarde Vera Trubacheva, business analyst bij Kaspersky Lab. Traditionele security-trainingen werken hierbij meestal niet, want worden door gebruikers gezien als saai en als verplicht nummer. Gamification daarentegen, zo vertelde Trubacheva, helpt wél. Een game wordt namelijk steevast als leuk ervaren en daarmee blijven de security-adviezen en -afspraken veel beter ‘hangen’. Niet voor niets maakt bijvoorbeeld het Amerikaanse leger uitgebreid gebruik van games om de security naar een almaar hoger niveau te brengen. In een game komen namelijk twee aspecten bij elkaar: simulaties van situaties, maar ook story telling - aansprekende anekdotes waardoor de onderliggende security-regels veel beter onthouden en toegepast worden.

Er zijn reeds een aantal leveranciers actief die zich concentreren op security gamification. Denk aan Apozy of Wombat. Ook Kaspersky Lab legt zich op gamification toe, aldus Trubacheva. Een game bestaat hierbij uit een aantal belangrijke componenten:

  • -      training in de juiste context
  • -      aansprekende anekdotes
  • -      herkenbare situaties
  • -      gebruikers confronteren met gevolgen van hun handelingen
  • -      feedback geven op de juistheid of de risico’s van bepaalde beslissingen

Daarnaast kan een spelelement worden toegevoegd aan het security-beleid zelf. Bijvoorbeeld door punten toe te kennen aan iedere beslissing of handeling die een gebruiker conform het beveiligingsbeleid neemt of uitvoert. Net zoals veel bedrijven een ‘medewerker van de maand ‘ kennen in bijvoorbeeld de verkoopafdeling of op de fabrieksvloer, kan ook een ‘security-medewerker van de maand’ in het leven worden geroepen - compleet met een award.

Het uitroepen van een ‘security-medewerker van de maand’ mag in eerste instantie wellicht klinken als een wat gemakkelijke aanpak. Wie zich echter bedenkt dat een groot deel van de computergebruikers - zowel privé als zakelijk - nauwelijks bewust aandacht aan security besteed, realiseert zich dat er nog veel evangelisatie en voorlichting nog is om zelfs de meest basale security-maatregel algemeen geaccepteerd te krijgen. Laat staan dat gebruikers op eigen initiatief extra energie in security gaan steken.

Door Robbert Hoeffnagel