Vier security-termen die je vast nog niet kent

Op het gebied van technologie hebben we met een enorme vooruitgang te maken. Maar hetzelfde geldt voor crackers, ofwel criminele hackers. Ook zij beschikken over nieuwe methodes die zeer geavanceerd zijn. Dat maakt het security-gebied zeer dynamisch. Het gevolg is dat we continu met nieuwe begrippen te maken hebben. Henk van der Heijden, Managing Director bij Comsec Consultancy in Nederland, legt vier nog relatief onbekende termen voor ons uit.

  1. Kwade tweeling (evil twin)

Henk van der Heijden

Meer dan 80 procent van de Nederlandse huishoudens maakt gebruik van wifi. Overal waar het maar kan, en het kan steeds vaker. Wereldwijd is het aantal publieke hotspots sinds 2009 vertienvoudigd. Maar veilig is wifi niet.

Een van de makkelijkste dubieuze toepassingen is de 'evil twin router'. Met niet meer dan een laptop of zelfs een smartphone en makkelijk te vinden software kan iedereen snel en moeiteloos elke willekeurige hotspot nabootsen. Hoe het werkt?

Eerst zoekt de criminele hacker – ook wel cracker genoemd - een plek in de buurt van zijn doelwit. Dan wacht hij tot het slachtoffer inlogt, en start hij een eigen basisstation met de identificatiecodes van het origineel. De volgende stap is een signaal (onderdeel van het wifi protocol) dat het contact tussen gebruikers en het originele station verbreekt.

Het slachtoffer zal automatisch proberen de verbinding te herstellen. Doordat de 'evil twin' een beter signaal toont - dankzij een kortere afstand, een sterkere zender of een richtantenne - wint hij op dat moment van het origineel. De cracker heeft nu volledige controle over de datastromen tussen zijn slachtoffer en internet.

De kwade tweeling is vergelijkbaar met de 'imsi-catcher', een apparaat dat zich voordoet als een basisstation van het mobiele netwerk. Politie en inlichtingendiensten gebruiken imsi-catchers om telefoons af te luisteren - ook het internetverkeer van een smartphone - en ze nauwkeurig te peilen. Uiteraard is ook deze technologie in handen van criminele organisaties.

  1. Door lucht gescheiden (air-gapping)

Geen enkele verbinding met de buitenwereld is veilig. Vandaar 'air-gapping', de fysieke isolatie van computers in onder andere nucleaire centrales, financiële centra en sommige militaire toepassingen.

Een air-gapped computer of lokaal netwerk staat los van elk publiek netwerk, en is niet uitgerust met draadloze communicatiemiddelen zoals wifi, bluetooth en 4g. Een serieuze air-gap wil zeggen dat alles binnen het eigen gebouw blijft, op ruime afstand van de buitenmuren.

Lang werd gedacht dat air-gapping de ultieme beveiliging was, afdoende in alle situaties. Maar in 2010 werd malware gevonden in de systemen voor procesbesturing van de nucleaire installatie bij Natanz (Iran). De malware - bekend als 'Stuxnet' - varieerde ongemerkt het toerental van de ultracentrifuges waarmee uranium wordt verrijkt. Het resultaat was een groot aantal defecten in relatief korte tijd, waar de Iraanse staf niets van begreep. Hun controlepanelen toonden heel normale toerentallen; Stuxnet speelde eerder opgeslagen informatie af om zijn werk te camoufleren.

Stuxnet is een besmettelijke 'worm' die zich waarschijnlijk verspreidde via usb-sticks. Hij werd later ook aangetroffen in andere landen. Vorig jaar ontdekten de Duitse onderzoekers Karsten Nohl en Jakob Lell wellicht het mechanisme; usb blijkt fundamenteel onveilig. Malware kan onzichtbaar worden opgeslagen in de firmware van een stick of ander apparaat met een usb-poort. Zulke malware kan gemakkelijk een computer infecteren, die op zijn beurt andere usb-firmware kan besmetten.

Verder is nu bekend dat de Amerikaanse inlichtingendienst NSA spioneert via 'Cottonmouth-1', een combinatie van malware en een 'Howlermonkey' radio transceiver in een uiterlijk heel gewone usb-plug. Cottonmouth-2 bestaat ook, verwerkt in een usb-chassisdeel. Cottonmouth-1 laat zich achteraf installeren, bijvoorbeeld door aansluiting van een ander keyboard. Nummer-2 wordt bij het doelwit naar binnen gedragen in nieuw gekochte, tijdens transport onderschepte en aangepaste hardware. Howlermonkey heeft een bereik van 13 kilometer - daar is een air-gap niet tegen opgewassen.

  1. Honingpot (honeypot)

De 'honeypot' is traditioneel een vrouwelijke agent, die onder andere criminelen in de val lokt. Ook moderne internetboeven blijken daar niet tegen bestand. Enkele jaren geleden installeerden Roemeense crackers malware in de betaalsystemen van honderden Amerikaanse horecabedrijven. De buit bestond uit gegevens van credit en debit cards van 80.000 klanten, inclusief de pincodes en handtekeningen nodig voor frauduleus gebruik. De schade liep in de miljoenen dollars. Hoe konden de daders naar de VS worden gelokt?

Een ervan, de 27-jarige Iulian Dolan, gokte online. Een vrouwelijke agent stelde zich voor als vertegenwoordigster van een Amerikaans casino en nodigde hem uit voor een weekend om kennis te maken met het gokpaleis. Verblijf op kosten van de zaak. Dolan belde voor de zekerheid het casino, dat de uitnodiging bevestigde en zijn vliegticket betaalde. Hij trapte er met beide benen in.

Medecrimineel Cezar Butu werd gevangen via analyse van zijn emailverkeer. Hij kreeg contact met een aantrekkelijke toerist die hij een jaar eerder in Frankrijk had ontmoet, en reisde naar Amerika op uitnodiging van een financieel onafhankelijke dame die voor de aardigheid in een Hooters-restaurant werkte. Althans, daar was hij van overtuigd. Beide heren werden ingerekend toen ze uit het vliegtuig stapten.

Een moderne honeypot is minder romantisch. Het is een meestal virtuele server die aantrekkelijk lijkt voor crackers, maar in werkelijkheid niet meer is dan een scherp gecontroleerde speeltuin. Een honeypot kan onder andere crackers afleiden, zodat ze niet aan een echte kraak toekomen. Verder krijgt de gebruiker beter zicht op hun methodes.

  1. Levende doden (pulsing zombie)

In de maffia op internet hebben ze de laagste rang; het zijn de picciotti, nog minder dan soldati, alleen goed voor het vuilste werk: websites in elkaar slaan, afpersing, digitale beroving. Ze worden 'zombies' genoemd, maar zijn hooguit verwaarloosd, aan hun lot overgelaten door eigenaren die niet de moeite nemen om ze te beschermen tegen het kwaad. Zombies werken gewoonlijk in een 'botnet', vaak met duizenden soortgenoten.

Een verwaarloosde pc, smartphone of webstek in een zombie veranderen is nooit bijzonder moeilijk geweest, maar wel tijdrovend. Dat maakt de 'botCloud' aantrekkelijk. Gebruik een gestolen credit card om een fors aantal virtuele servers te huren in een commerciële cloud en minuten later is een compleet botnet klaar voor gebruik. Waarvoor precies?

Spam blijft een winstmaker. Een nog tamelijk bescheiden botnet van 10.000 stuks kan honderden miljoenen e-mails per uur verzenden. Een studie van een webshop die handelde in geneesmiddelen en adverteerde via spam liet zien dat al die e-mail slechts enkele tientallen betalende klanten per uur opleverde. Maar dankzij relatief hoge prijzen betekende dat toch een jaaromzet van miljoenen euro’s.

Een tweede optie is afpersing. Betaal, of je webstek wordt lamgelegd met een DDoS-actie. De servers van de webstek reageren erop en hebben daardoor minder of geen tijd voor klanten. Een botnet kan ook worden verhuurd aan eigenaren van webshops die een concurrent willen dimmen.

Aangezien de herkomst van een constant bombardement zich tamelijk snel laat achterhalen, wint de 'pulsing zombie' terrein. Door op willekeurige momenten kort actief te zijn (en zich meer als een echte browser te gedragen) blijft hij vrijwel onzichtbaar, terwijl het botnet als geheel toch zwaar beslag kan leggen op de servers van een webstek, met kostenverhoging en/of gebrekkige dienstverlening als resultaat. De pulsing zombie lijkt ook beter geschikt voor een botcloud. Doordat het malafide karakter niet wordt herkend, ontstaat voor de verhuurder geen reden om er een eind aan te maken.