Dit weekend heeft een enorme cyberaanval tegen grote bedrijven en publieke instellingen plaatsgevonden. Nalatigheid van overheden en bedrijven gaf hackers de mogelijkheid om gegevens op honderdduizenden computers te versleutelen. Dit gebeurde met behulp van tools die zijn ontwikkeld door de Amerikaanse veiligheidsdienst NSA.
In maart heeft Wikileaks 8.761 documenten vrijgegeven met betrekking tot de hack activiteiten van de CIA. Waarbij het gevaar van de "cyberwar"-afdelingen van de inlichtingenbureaus op internet aangetoond werd. Het lek bestond uit een set hacking tools genaamd "Vault 7", die voornamelijk gebruikt werd om bondgenoten te bespioneren en voor industriële spionage. Deze tools hebben de mogelijkheid om computers, Macs, Windows-computers en andere apparaten die een internetverbinding gebruiken (baby monitors, CCTV-camera's, routers, printers, enz.) te hacken. Ook privé-netwerken zonder internetverbinding (overheidsdiensten, multinationale bedrijven enz.) zijn hier niet tegen opgewassen.
De tools hebben CIA-agenten en contractors (in dienst van particuliere bedrijven) ertoe in staat gesteld om toegang te krijgen tot een gedeelde storage van hacking tools die kunnen worden gebruikt om computers en netwerken te infecteren.
Het meest controversiële aspect is dat de hack ook zogenaamde 0-Day exploits heeft geraakt. Dit zijn beveiligingsfouten in veelgebruikte software. Dit is een schending van een belofte van de Amerikaanse inlichtingendiensten om software- en hardware fabrikanten op de hoogte te stellen van eventuele fouten die ze vonden, zodat een patch vrijgegeven kon worden. Door deze informatie voor zichzelf te houden en ze allemaal in een slecht bewaakte omgeving voor hackers te plaatsen, hebben ze miljoenen zo niet miljarden apparaten over de hele wereld in gevaar gebracht.
De omvang van de dreiging werd in het weekend onthuld, toen bijna 200.000 computers werden getroffen door de “WannaCry” ransomware. Ransomware is een softwareprogramma dat alle bestanden op de geïnfecteerde computer versleutelt en vraagt de eigenaar om geld te betalen aan de hacker om de bestanden terug te krijgen. Daarnaast is er een worm die de ransomware van de geïnfecteerde computer verspreidt naar anderen, meestal met behulp van e-mails of sociale media of (zoals in geval) zwakke plekken in het bewuste netwerk.
Deze specifieke worm was niet afkomstig van de eerder genoemde "Vault 8" van de CIA, maar van bestanden die bij de NSA vandaan kwamen (misschien wel de beruchte Equation Group) en op de een of andere manier in de handen van de hackersgroep Shadow Brokers is terecht gekomen. Zij publiceerde in ieder geval een deel van die exploits in april.
Het specifieke beveiligingslek dat werd gebruikt door "WannaCry" houdt verband met een Windows file sharing model. Een patch hiervoor werd in maart uitgebracht. Vermoedelijk heeft de NSA, nadat ze zich realiseerden dat er een lek was, besloten dat het tijd was om Microsoft hierover in te lichten. De vraag is: hoeveel maanden of jaren hebben ze deze informatie en de kennis van deze kritieke beveiligingsfout in een van de meest gebruikte besturingssystemen ter wereld al in hun bezit gehad? Zonder er iemand over te vertellen? Niet alleen dat, ze hebben deze data zelf ook niet veilig bewaard.
Geen enkele computercode of computersysteem kan ooit 100% veilig zijn. Een hacker kan altijd verschillende manieren bedenken om volledig onschadelijke code te gebruiken om de meest kwaadaardige dingen te doen. Deugdelijk programmeerwerk helpt al veel, maar een softwareontwikkelaar wordt altijd geconfronteerd met miljoenen mensen die proberen de code te kraken middels de meest creatieve manieren.
Daarom vertrouwen softwarebedrijven op rapporten van anti-virus bedrijven, beveiligingsbedrijven, geïnfecteerde computers en vrijwilligers om te rapporteren over kwetsbaarheden. Iedereen die een lek tegenkomt en het niet rapporteert, vergroot het risico wanneer ze het met anderen delen. Als zij daarnaast ook software ontwikkelen die deze zwakke plekken exploiteren, dan verspreiden ze effectief nieuwe technieken in het wild, waardoor andere hackers erachter kunnen komen wat ze hebben gedaan. Dit gebeurt zelfs als er géén opslagruimte met hack tools wordt gedeeld, zoals dus is gebeurd met de NSA-repository en Vault 7 van de CIA.
Het is wel duidelijk dat het volstrekt onzin is om te zeggen dat de activiteiten van de inlichtingenbureaus en hun massale surveillance methoden slechts een probleem zijn als je ergens schuldig aan bent. De backdoors (om bijvoorbeeld encryptie te omzeilen) die softwareontwikkelaars vragen te maken, en de tools die ze opslaan en ontwikkelen, dragen bij aan de risico's van alle internetgebruikers. In plaats van het helpen om het internet een veiligere plek te maken, maken ze het juist onveilig.
Bovendien, de Wikileaks documenten uit Vault 8 tonen aan dat de doelen van deze aanvallen niet 'de terroristen' zijn, zoals vaak wordt beweerd om deze activiteiten te rechtvaardigen. Het zijn vaker buitenlandse overheden en bedrijven, waaronder veronderstelde bondgenoten. Wikileaks heeft de lijst niet vrijgegeven, maar ze omschrijven het als volgt:
Het doel van deze activiteiten is dus geen rechtshandhaving of bescherming, maar bedoeld om Amerikaanse bedrijven en Amerikaanse diplomaten de overhand te geven in hun concurrentie met andere staten.
Dit betekent dat de levens van patiënten in de gezondheidszorg in Groot-Brittannië, Telefonica-klanten in Spanje en Russische treinpassagiers in gevaar zijn gebracht of op grote schaal verstoord zijn, omdat de Amerikaanse regering wil dat Boeing de concurrentiestrijd met Airbus wint om meer orders te krijgen.
Naarmate de economische crisis intensiveert en het protectionisme nog meer aan de orde van de dag is, zullen we waarschijnlijk nog meer van dit soort aanvallen zien.
In oktober 2016 (het blijft onduidelijk waarom) werd de internet infrastructuur aangevallen door miljoenen kleine devices. Deze aanval zou uitgevoerd kunnen zijn door amateur hacker groeperingen, maar waarschijnlijker is een georganiseerde poging door een grote instelling. Het is een publiek geheim dat niet alleen de VS, maar ook Russische, Israëlische en Chinese inlichtingenbureaus honderdduizenden computers hebben geïnfecteerd om hun bedrijven of diplomaten een troefkaart toe te spelen.
Bedrijven en overheden die naarstig op zoek zijn naar manieren om geld te besparen laten het na om ook maar de kleinst mogelijke digitale beveiliging toe te passen. De fabrikanten van kleine apparaten en toepassingen gebruiken vaak standaard wachtwoorden voor hun producten, zoals "admin" of "wachtwoord", waardoor hackers met bijzonder gemak op deze apparaten kunnen inbreken. Dit brengt niet alleen de privacy van de gebruiker van het apparaat in gevaar (het delen van hun privébeelden over het hele internet bijvoorbeeld) maar vormt ook een bedreiging voor iedereen als een hacker deze toegang benut en zo voor cyberaanvallen gebruikt.
De onverantwoordelijke manier waarop regeringen en bedrijven handelen, brengt het hele bestaan van het internet in gevaar. Dit gevaar dreigt binnen de nationale grenzen (zoals dat al in grote mate in China is gebeurd) maar het zal ook op internationaal vlak één van de belangrijkste technologische prestaties van de afgelopen 20 jaar uitroeien.
De enige manier om dit te bestrijden is de beveiligingsdiensten te ontwapenen, alle exploitaties te publiceren (nadat eerst softwareproducenten software hebben kunnen patchen) en de broncode van Windows en andere software ter inzage te publiceren. De grootste softwarebedrijven moeten worden genationaliseerd en onder democratisch bestuur van hun werknemers komen. Maak een einde aan onontdekte en ongepatchte beveiligingsfouten. Samenwerking tussen landen en bedrijven is de enige weg naar voren. Het verwijderen van het winstbejag uit het internet is de enige manier om op de lange termijn onze toekomst veilig te stellen.
Vertaling: Dmitri Lenselink