Over kritieke infrastructuur, hardwarehacks, cryptominers en meer.
Deskundigen van beveiligingsinstituut kijken vooruit gebaseerd op de trends die ze momenteel zien bij de creatiefste aanvallers. Beveiligers moeten de volgende vijf aanvallen leren te bestrijden.
Elk jaar kijken de onderzoekers van SANS op beveiligingscongres RSA naar de nieuwe trends die ze tegenkomen in hun werk. Zo waarschuwden ze twee jaar geleden nog voor de opkomst van PowerShell-malware en dat ging in 2017 ook werkelijk mainstream bij de aanvallers. Momenteel wordt de tool bijvoorbeeld misbruikt om cryptominers heimelijk te installeren.
De onderzoekers houden het niet bij doemstijdingen, maar geven praktijkvoorbeelden en scenario’s om een ellendige toekomst te voorkomen. Voor twee van de vijf technieken die in opkomst zijn geen makkelijke oplossingen – voor zover een beveiligingsmaatregel überhaupt makkelijk is. Maar voor de meeste zaken geldt dat een beetje begrip over wat er precies mis kan gaan een slok op een borrel scheelt om het netwerk, de endpoints en de cloud-stores beveiligder te houden.
1. Kritieke infrastructuur gaat onderuit
Beveiligers waarschuwen al jaren voor kritieke controlesystemen die zich op hetzelfde netwerk bevinden als de rest van bijvoorbeeld een energiecentrale en vertrouwen op een stukje security through obscurity om beschermd te blijven. Vanwege de standaardisolatie van systemen zijn er weinig mitigatietechnieken en dat gaat problemen opleveren, waarschuwt SANS-onderzoeker James Lyne op het beveiligingscongres, maar de isolatie verdwijnt steeds meer. “We hebben gevallen gezien waarbij SIS – de monitoringssystemen die ervoor zorgen dat er geen kritieke fouten plaatsvinden – op hetzelfde netwerk worden gezet en dat IT’ers ze aansturen via RDP.”
Niet huis-, tuin- en keukencrimineel
Twee jaar geleden sprak SANS’ Ed Skoudis over een beruchte ICS-aanval op Oekraïense energiecentrales. Het beveiligingsinstituut deed uitgebreid onderzoek naar de precieze manier waarop aanvallers de centrale zo ernstig te grazen konden nemen en ontdekten dat het een uitgebreid aanvalsplan betrof waarbij na binnenkomst met bekendere malware, de hackers firmware flashten, UPS’en herprogrammeerden, MBR’s wisten, switches werden uitgeschakeld en veel veel meer.
Lyne wijst erop dat gangbare criminelen die uit zijn op geldelijk gewin hier niet in geïnteresseerd zijn. Het is ook bijzonder veel werk om zo’n aanval als op de Oekraïense energiecentrale uit te voeren. “Je moet enorm veel reverse-engineeren”, begint Lyne, omdat het obscure systemen zijn waarvan de aanvallers het wiel opnieuw moeten uitvoeren. “Je hebt een testomgeving nodig die de realiteit benadert en dat alleen al is een behoorlijke opgave. Maar voor politieke of militaire doeleinden is dit geen obstakel.”
Gepokt en gemazeld
Dus het zal minder veel voorkomen dan mainstream criminaliteit, maar als het gebeurt is de impact enorm – en dat wordt alleen maar groter naarmate we meer bouwen en aansluiten. Het motief ervoor is duidelijk en er zijn al praktijkvoorbeelden geweest. “Zijn we hier wel op voorbereid?” vraagt Lyne zich af. “We zijn hier weinig mee bezig. Traditionele besturingssystemen zijn gepokt en gemazeld door aanhoudende aanvallen, bugs en patches. Maar deze omgevingen vertrouwen vooral op hun obscuriteit.”
Op een vraag uit het publiek waarom aanvallers zich niet zouden richten op de eenvoudiger benaderbare Process Control Systems die genetwerkt allerlei onderdelen aansturen, maar op geïsoleerdere SIS’en heeft Lyne wel een antwoord. “Het ligt voor de hand een Distributed Control System [een PCS] aan te vallen, vanwege het grotere aanvalsoppervlak. De reden om een SIS te pakken te nemen is omdat deze monitoringsystemen zeer kritieke problemen voorkomen. De aanvaller die dit doet wil dus substantiële schade aanrichten.”
2. Jouw gegevens worden misbruikt
Skoudis haalt het een belangrijk actiepunt aan van vrijwel elke hacker: shell-toegang krijgen op een doelsysteem. “Maar systemen zelf zijn niet meer het doel. Criminelen richten zich nu op de dataopslag zelf.” En dan heeft hij het niet over datadiefstal – dat is verre van nieuw – maar aanvallers die jouw data misbruiken voor eigen doeleinden, en zelf operaties en analytics rechtstreeks uitvoeren op gegevens. SANS waarschuwt voor de privacy-implicaties van onder meer ‘anonieme’ data.
Netflix i.c.m. imdb
Een goede voorbeeld waarom privacy complex genoeg is om een vaste medewerker op te zetten is de anonieme data die Netflix gebruikt voor zijn Netflix Prize. Dat was een zoektocht sinds 2006 waar ontwikkelaars een miljoen dollar mee kunnen winnen als ze een algoritme bedenken die de recommendation-engine van de videostreamingservice tien procent verbetert. In 2009 werd de hoofdprijs ook daadwerkelijk uitgekeerd, bij Thrillist staat het hele relaas over hoe dat is gegaan te lezen.
Skoudis wijst op het probleem dat anonieme data vaker eigenlijk pseudonieme data is, als je de set gegevens kunt combineren met andere gegevens om meer te weten te komen over ‘anonieme’ identiteiten. Voor de Netflix Prize werd namelijk een anonieme dataset vrijgegeven met meer dan 100 miljoen beoordelingen van honderdduizenden klanten. “Onderzoekers vergeleken die data met gegevens van imdb. Als imdb-gebruiker A films X, Y en Z beoordeelt ongeveer hetzelfde moment en dezelfde volgorde als Netflix-gebruiker B die films X, Y en Z beoordeelt en soortgelijke beoordelingen geeft, is er kans dat dit dezelfde gebruiker is.”
Focus op data
Onderzoekers haalden deze methode aan – en deanonimiseerden als test een aantal gebruikers op deze manier – als een manier om de wedstrijd zelf te bespelen (PDF). Immers, als je weet wat gebruikers van de dataset leuk en niet leuk zullen vinden, kun je dat opnemen in de engine om betere resultaten te serveren. Skoudis haalt het aan als een herinnering dat we erg voorzichtig moeten omgaan met ogenschijnlijk onschuldige gegevens.
“Zorgt het combineren van gegevens van je datasets voor een bedrijfsrisico?” is volgens hem een vraag die een privacy officer moet kunnen beantwoorden. Vooral met het oog op de strengere dataregelgeving AVG die over vier weken van kracht gaat, is dat een actuele en relevante vraag. “Ja, we moeten nog steeds voorkomen dat mensen shell-toegang krijgen op je systemen, maar de focus moet duidelijker op data, waarbij misbruik je bedrijfsmissie kan ondermijnen.”
3. Lekkende cloudsleutels en andere missers
Zoals al in punt twee werd geïllustreerd: aanvallers negeren clients steeds meer en gaan voor toegang tot de infrastructuur: sleutels, tokens en wachtwoorden die ze directe toegang geven tot clouddata. We hebben de laatste maanden meerdere incidenten gezien met verkeerd geconfigureerde S3-buckets. Daarbij werd juist door de actie van IT’ers informatie gelekt omdat in de standaardconfiguratie de data-store onbenaderbaar is, wat een aardige indicatie is dat wellicht Amazon’s configuratie aan de ingewikkelde kant is.
Waar staat alle data?
SANS’s Skoudis wijst op twee hoofdissues: verkeerde configuratie van de buckets zelf of het deponeren van data in de verkeerde buckets, waardoor gevoelige informatie wordt blootgesteld. Volgens de beveiligingsdeskundige moet elke organisatie iemand aanstellen die verantwoordelijk is voor de data en weet waar alle gegevens zijn opgeslagen, op welke clients, in welke clouds en wie heeft er toegang?
“Inventariseer”, is zijn belangrijkste advies. “Assets die standaard worden geïnventariseerd servers, computers, mobiele apparaten – doe hetzelfde voor data. Zorg voor een datacurator, iemand die weet waar alle data-assets zich bevinden, in clouds en op apparaten.”
Hij noemt een aantal tools dat IT’ers kan helpen om problemen te voorkomen. “Git-seekret en git-secrets zoeken naar keys en credentials in commits om te voorkomen dat je deze uploadt. Gitrob doet hetzelfde met al je bestaande GitHub-repo’s. Amazon gebruikt machine learning voor de tool Macie die S3-buckets bekijkt. Microsofts Azure SQL Threat Detection bekijkt toegangslogbestanden. En de Google Cloud Data Loss Prevention-API kijkt of persoonsgegevens worden blootgesteld.
Actief scannen
Dit voorkomt dat aanvallers ofwel hun eigen malafide operaties op je data uitvoeren of bedrijfsdata of persoonlijke gegevens stelen, met alle AVG-consequenties daarvan. Hackers scannen volgens Skoudis actief op slechte configuraties en toegangssleutels die via commits uitlekken, waarvan we de laatste jaren meerdere voorbeelden hebben gezien.
4. Criminelen pikken resources, geen data
“Niemand wil je data meer, want ze hebben het allemaal al”, begint Johannes Ullrich. “Daarom begonnen ze jouw data aan je terug te verkopen, via ransomware. In plaats van data zijn ze nu uit op je computerkracht.”
Een van de opvallendste incidenten van 2017 ging om aanvallers die Oracle-servers hadden bemachtigd. Die bevatten belangrijke en gevoelige gegevens, en die systemen hebben daarom de ‘kroonjuwelen’ voor bedrijven qua data die ze bezitten. “Maar ze hebben helemaal niet naar de PeopleSoft-data gekeken!” merkt Ullrich nog steeds een beetje verbaasd op.
Onzichtbare malware
Cryptokapende criminelen gebruiken rekenkracht van zulke servers om cryptovaluta als Monero uit te rekenen. Dat is een directe winst: geen data-heling nodig, geen beheer van ransomware-transacties, maar meteen XRM’s binnen op de juiste pool. De aanvallers bouwen de minende malware zodanig dat ze zo moeilijk mogelijk zijn op te merken, want het draait hier vooral om infiltratie en onzichtbaarheid, in tegenstelling tot een ‘lawaaierige’ aanval als met ransomware.
Lees ook: Wat is crypotjacking en wat doe je eraan?
Hij wijst erop dat de malware niet zo onzichtbaar is als de makers graag zouden zien. “Let op systemen die een hoge pcu-load hebben. Servers die vaak idle staan en opeens actief zijn. Kijk naar de omgevingstemperatuur. Moet er opeens harder worden gekoeld? En op netwerkniveau naar contact met miningpools.” Op SANS’ storm center vind je bijvoorbeeld een Threat Feed over IP-adressen die worden geassocieerd met miningpools om te blacklisten.
Onder de vloer in serverruimte
De overstap naar ransomware was een logische gezien de waardevermindering van gestolen data. Om precies die reden zijn cryptominers ook populair aan het worden: je zet het veroveren van capaciteit zonder gedoe om in winst. Ullrich geeft zelfs een voorbeeld van een fysieke aanval, waarbij onverlaten een cryptominend apparaat onder de verhoogde vloer van een datacenter hadden geplaatst. “Misschien wordt het tijd om een infraroodcamera als detectietool in te zetten”, aldus Ullrich.
5. Hardwarehacks nemen toe
Vorig jaar schreef Computerworlds Roger Grimes over de redenen dat chiphacks interessant zijn en logischerwijs zullen toenemen, onder meer omdat ze OS-agnostisch zijn, firmware ook gevoelig is voor exploiteerbare bugs en vanwege een grote hardwaremonocultuur. En dit was nog voor Meltdown en Spectre die vrijwel de hele sector zorgen baarde in januari – tot op heden zelfs.
“Meltdown en Spectre waren niet de eerste voorbeelden”, zegt Ullrich. “Het eerste voorbeeld dat ik kon vinden komt uit de jaren 60 en ging om magnetische ringkerngeheugen. Bij lees en schrijfopdrachten flipte je soms bits die er niets mee te maken hadden. Klinkt dat niet een beetje als Rowhammer?” Bij die methode gebeurt hetzelfde bij juist moderne DRAM-modules (DDR3 en DDR4) omdat door chipkrimp lading naar omringende cellen lekt, waardoor je geheugenoperaties kunt uitvoeren buiten de bedoelde ruimte.
Vertrouwenskwestie
“Ik vertrouwde er altijd op dat hardware dingen goed doet, maar kun je hardware wel vertrouwen?” vraagt de deskundige zich af. “Je hebt te maken met dezelfde complexiteitsissues als met software en problemen ontstaan op dezelfde manier: te snel en simpel iets willen optimaliseren.” Meltdown en Spectre zijn bijvoorbeeld ontstaan nadat fabrikanten als Intel geheugenoptimalisaties doorvoerden die vervolgens informatie kunnen lekken.
“Hoe verdedig je hiertegen? Wie kun je vertrouwen? Die vraag stelden we eerder bij netwerken, waar we vrij snel beseften dat je niemand kunt vertrouwen. Daarom kwam encryptie op de lijn, middels TLS, in opkomst.” Hij vergelijkt dat met hardware, waar we moeten kijken naar encryptie bij data in rust. En naar technologieën als homomorfe encryptie, waarbij operaties worden uitgevoerd op versleutelde data zonder deze te hoeven ontsleutelen.
Opkomst chiphacks
Het is logisch dat aanvallers zich meer op hardware richten, omdat je met een goede exploit van geheugen of processor je een aanval hebt die op meerdere apparaten van toepassing is, of het nu een onbekend IoT-platform, Windows, macOS of Linux is. Met IoT-apparaten schuif je sowieso dichter naar de hardwarelaag (vandaar dat low-level talen weer in de mode raken) en een een generatie creatieve hardwarehackers groeit op met bordjes als Arduino en Raspberry Pi om meer zicht te krijgen op de wisselwerking tussen software en hardware.
Grimes waarschuwde in zij artikel dat chiphacks zouden groeien, maar ook dat fabrikanten al tien á vijftien jaar dichter zelf dieper richting de hardware gaan met beveiligingsoplossingen. Zo’n twaalf jaar geleden stapten meer OEM’s over op dedicated chips op moederbroden die cryptografische processen uitvoeren, die de aanwezige hardware verifiëren en deze TPM-features zijn mainstream gegaan. Er zijn meer van die ontwikkelingen die niet reactief zijn op de tijd die gaat komen, maar zich richten op beveiliging op hardwareniveau.
Bron: Computerworld