BEDREIGINGS RAPPORT WEBSITE BEVEILIGING. Updates uit Symantec s Internet Security Threat Report

Transcriptie

1 BEDREIGINGS RAPPORT WEBSITE BEVEILIGING Updates uit Symantec s Internet Security Threat Report Gepubliceerd mei 2012

2 Inhoudsopgave Inleiding per maand in getallen 7 Samenvatting 8 Conclusie: Wat staat ons te wachten in Best practices voor bedrijven 17 Best practices voor consumenten 20 Certificaatinstanties onder aanval 9 Trends op het gebied van kwaadaardige code 10 Malware in Websitemalware 11 Malware per 12 Gevaarlijke websites 13 Misbruik op het web: aanvalstoolkits, rootkits en socialenetwerkbedreigingen 14 Het opbouwen van vertrouwen en het beveiligen van de zwakste schakels 15 Meer informatie 22 Eindnoten 23 Over Symantec 24 AFBEELDING Afbeelding 1 Gemiddeld aantal kwaadaardige websites gevonden per dag in Afbeelding 2 Gevaarlijkste typen websites, Afbeelding 3 Verhouding malware t.o.v. gewone ,

3 Inleiding Symantec heeft een van de uitgebreidste informatiebronnen over bedreigingen op internet ter wereld samengesteld. Dat is gedaan met behulp van het Symantec Global Intelligence Network, dat bestaat uit meer dan 64,6 miljoen aanvalssensoren die duizenden gebeurtenissen per seconde vastleggen. Dit netwerk registreert aanvalsactiviteit in ruim 200 landen en gebieden, met een combinatie van Symantec-producten en-services, waaronder Symantec DeepSight Threat Management System, Symantec Managed Security Services, de consumentenproducten van Norton en andere databronnen van derden. Daarnaast onderhoudt Symantec een van de grootste databases met kwetsbaarheidsinformatie ter wereld. Deze bevat nu al geregistreerde kwetsbaarheden (uit meer dan twee decennia) van leveranciers van in totaal producten. Gegevens over spam, phishing en malware worden vastgelegd via verschillende bronnen, zoals het Symantec Probe Network (dat bestaat uit zo n vijf miljoen nepaccounts), Symantec.cloud en een aantal andere Symantecbeveiligingstechnologieën. Skeptic, de eigen heuristische technologie van Symantec.cloud, kan nieuwe, geavanceerde en doelgerichte bedreigingen detecteren lang voordat ze de netwerken van onze klanten bereiken. Elke dag worden in 15 datacenters circa acht miljoen berichten en ruim 1,4 miljard webaanvragen verwerkt. Ook verzamelt Symantec informatie over phishing via een uitgebreide community van bedrijven die meewerken aan fraudebestrijding, leveranciers van beveiligingsproducten en ruim 50 miljoen consumenten. Al deze bronnen geven de analisten van Symantec ongeëvenaarde mogelijkheden voor het identificeren en analyseren van, en bieden van informatie over trends op het gebied van aanvallen, kwaadaardige code, phishing en spam. Het resultaat is het jaarlijkse Symantec Internet Security Threat Report. Daarin kunnen zowel bedrijven als consumenten belangrijke informatie lezen waarmee ze hun systemen effectief kunnen beveiligen, nu en in de toekomst. In deze ingekorte versie van het rapport, getiteld Bedreigingsrapport websitebeveiliging, is de aandacht vooral gericht op beveiligingskwesties voor websites. U kunt de volledige versie van het rapport hier downloaden. 3

4 MOBIELE BEDREIGINGEN HACKS UITGESCHAKELDE BOTNETS SPECIFIEKE BEDREIGINGEN SPAM PHISHING & 419 SOCIALE NETWERKEN Applicaties met de Android.Geiminibackdoor verschijnen in nietgereguleerde Android-marktplaatsen. Microsoft en de Amerikaanse autoriteiten stoppen het Rustock-botnet. Een scam doet zich voor als Indonesische Facebook-app om inloggegevens te stelen. Android.Rootcager verschijnt in de officiële Android Market. Scammers gebruiken de overstroming in Serrana, Brazilië om nepdonaties binnen te halen. Spammers misbruiken de aardbeving in Japan met 419-scams, valse donatiesites en kwaadaardige bijlagen. Hackers vervangen Google s tool voor het verwijderen van Android.Rootcager door een versie met een nieuwe trojan, Android.Bgserv. Beveiligingsbedrijf HBGary Federal wordt gehacked door Anonymous. Android.Pjapps, een andere backdoor trojan op basis van Android, verschijnt in nietgereguleerde Android-marktplaatsen. Comodo Registration Authorities, InstantSSL.it en GlobalTrust.it worden gehacked. Er worden valse certificaten aangemaakt voor bedrijven zoals Google, Hotmail, Yahoo!, Skype en Mozilla. Spammers gebruiken de onrust in Egypte en Libië voor 419-scams en gerichte aanvallen. 4

5 Facebook-tokens komen via apps bij derden terecht. Sony ontdekt dat het Playstation Network is gecompromitteerd door hackers. De service wordt stopgezet tijdens het herstellen van de beveiliging. Er wordt een gratis versie van de populaire Blackhole-exploitkit vrijgegeven. Iran claimt een aanval die lijkt op Stuxnet, genaamd Stars. Malware gevonden bij het registreren van Facebook-applicaties. De FBI krijgt van de rechtbank toestemming om het Coreflood-botnet stop te zetten, door een delete -commando te sturen (ingebouwd in de kwaadaardige code) naar de gecompromitteerde computers. Spammers en makers van valse antivirussoftware misbruiken het koninklijk huwelijk in Engeland voor nieuwe campagnes en SEO poisoning. LulzSec hackt Black & Berg Cybersecurity Consulting, weigert de dollar die eerder werd geboden als prijs. LulzSec hackt de Amerikaanse Senaat, CIA en aan de FBI gelieerde bedrijven in een reactie op de verklaring van de Amerikaanse overheid dat cyberaanvallen moeten worden gezien als een oorlogsdaad. Operatie AntiSec begint. Hackers worden aangemoedigd om websites van de overheid aan te vallen en hun bevindingen te publiceren. LulzSec wordt zelf het slachtoffer van een aanval door TeaMp0isoN/th3j35t3r, die vindt dat de groep onterecht veel aandacht krijgt. Een scripting-aanval verzendt Facebook-uitnodigingen. Een valutahandelssysteem voor de virtuele valuta Bitcoin wordt gehacked. De dood van Osama bin Laden leidt tot een stijging in het aantal malware- en phishingaanvallen. Certificaatinstantie DigiNotar blijkt te zijn gehacked. Dit leidt tot de ondergang van het bedrijf. De hackersgroep LulzSec krijgt naamsbekendheid. Spammers zetten hun eigen services op voor het inkorten van URL s. De tagging -spamcampagne verspreidt zich over Facebook. 5

6 Microsoft biedt een beloning van dollar voor informatie die leidt tot de arrestatie van de makers van het Rustock-botnet. De dood van Amy Winehouse wordt gebruikt om Infostealer.Bancos te verspreiden. W32.Duqu wordt officieel ontdekt. Dit is mogelijk de bedreiging die door Iran is verspreid in april. De daders achter de Blackholeexploitkit beginnen een spamcampagne rond de dood van Steve Jobs. De whitepaper Nitro Attacks wordt vrijgegeven. Hierin wordt gedetailleerde informatie gegeven over een gerichte aanval op de chemische sector. Trojan.Badminer ontdekt; deze laat het mijnen van bitcoins door de grafische processor uitvoeren. Er worden phishingaanvallen ontdekt die gebruikmaken van valse trustzegels. Volgens het Microsoft Security Intelligence Report, volume 11, is Java de meest misbruikte software en komt het daarmee boven Adobe en Microsoft te staan. Na de dood van de Libische leider Gadaffi volgt een spamcampagne voor het verspreiden van malware. Anti-CSRF Token-aanvallen gevonden op Facebook. Spammers gebruiken de tiende herdenking van 11 september om adressen te verzamelen. Spam van de farmaceutische industrie maakt gebruik van de bomaanslag in Delhi. Stratfor, een bedrijf dat wereldwijde geopolitieke analyses maakt, wordt gehacked. Het Kelihos-botnet wordt gestopt door Microsoft. De hoeveelheid spam bereikt het laagste niveau in drie jaar. 6

7 2011 IN GETALLEN 5,5 MILJARD 5 TOTAAL AANTAL AANVALLEN GEBLOKKEERD IN VS. 3 MILJARD IN , MILJARD IN MILJARD IN 2010 GESCHATTE HOEVEELHEID SPAM PER DAG WERELDWIJD 1.1 MILJOEN IDENTITEITEN GESTOLEN PER LEK GEMIDDELD AANTAL GEVALLEN VAN PHISHING : 1 OP 299 7

8 Samenvatting Symantec blokkeerde meer dan 5,5 miljard aanvallen in 20111; een toename van ruim 81% ten opzichte van het jaar daarvoor. Deze toename was grotendeels te wijten aan de opkomst van polymorfe malwareaanvallen, met name die van webaanvalskits en social engineering - aanvallen via malware in . De gerichte aanvallen op zero-day kwetsbaarheden waren de gevaarlijkste. Het is vrijwel onmogelijk om erachter te komen dat je wordt aangevallen, omdat het hele idee achter dergelijke aanvallen is dat ze onopgemerkt blijven. In tegenstelling tot de chronische gevallen kwamen juist de gerichte aanvallen, de door politiek gemotiveerde aanvallen door hacktivisten, gegevensdiefstal en de aanvallen op certificaatinstanties in 2011 in het nieuws. Certificaatinstanties en Transport Layer Security (TLS) V1.0 worden doelwitten nu het gebruik van SSL toeneemt De opvallende aanvallen op certificaatinstanties, de leveranciers van Secure Sockets Layer (SSL)-certificaten, bedreigden de systemen die de basis vormen voor het vertrouwen in het hele internet. SSL-technologie was echter niet de zwakke schakel bij de inbreuk bij DigiNotar en vergelijkbare hacks. De aanvallen onderstreepten juist de noodzaak voor organisaties in de hele aanvoerketen van certificaatinstanties om hun infrastructuur te versterken en strengere procedures en beleid voor de beveiliging op te zetten. Een malwareexploit gericht op TLS 1.0 liet zien dat het hele SSL-systeem moest worden bijgewerkt naar nieuwere versies van TLS, zoals TLS 1.2 of hoger. Websiteeigenaars zagen in dat ze SSL breder moesten inzetten om zogeheten Man- In-The-Middle aanvallen tegen te gaan. Dit had met name betrekking op de beveiliging van pagina s waarop geen transacties plaatsvinden, en is gedaan door onder andere Facebook, Google, Microsoft en Twitter met behulp van Always On SSL 2. 8

9 Certificaatinstanties onder aanval Certificaatinstanties, die de SSL-certificaten uitgeven waarmee websites en andere online services hun encryptieen authenticatieservices beveiligen, lagen in 2011 enorm onder vuur. Opmerkelijke aanvallen in 2011 waren: 6 Er worden diverse frauduleuze certificaten uit naam van DigiNotar ontdekt. De hacker (genaamd ComodoHacker) eist de verantwoordelijkheid op van de aanvallen op Comodo en DigiNotar, en claimt nog meer certificaatinstanties te hebben aangevallen. Ook beweert hij afkomstig te zijn uit Iran. 7 Beveiligingsexperts demonstreren de Browser Exploit Against SSL/TLS (ofwel BEAST) 8. Dit is een techniek waarbij misbruik wordt gemaakt van een kwetsbaarheid in de encryptietechnologie van TLS 1.0, een standaard die wordt gebruikt door browsers, servers en certificaatinstanties. 1 Bij een aanval worden de inloggegevens van een partner van het Italiaanse bedrijf Comodo gestolen en worden frauduleuze SSL-certificaten aangemaakt 3. 2 Het wordt bekend dat nog een partner van Comodo is gehacked: ComodoBR in Brazilië 4. 3 StartCom, de certificaatinstantie achter StartSSL, wordt zonder succes aangevallen 5. 4 DigiNotar wordt gehacked, maar er worden nog geen certificaten uitgegeven 6. 5 Tijdens een interne audit wordt ontdekt dat er is ingebroken in de infrastructuur van DigiNotar, waardoor de cryptografische sleutels zijn gecompromitteerd. Het gevolg van de hack is dat er frauduleuze certificaten worden uitgegeven voor Google, add-ons voor Mozilla, Microsoft Update enmeer 7. 8 D e certificaatinstantie GlobalSign wo rd t aangevallen. Er vindt geen inbreuk plaats maar de webserver wordt gecompromitteerd 9 en verder niets 10. ComodoHacker beweert ook achter deze aanval te zitten. 9 De Nederlandse overheid en andere klanten van DigiNotar moeten met spoed alle DigiNotarcertificaten vervangen, omdat alle belangrijke browsers DigiNotar uit de lijst met vertrouwde certificaten hadden verwijderd 11. DigiNotar vraagt faillissement aan. NOVEMBER 10 Digicert Sdn. Bhd. (Digicert Malaysia), een certificaatinstantie in de keten van Entrust (zonder relatie met de bekende certificaatinstantie Digicert Inc.) geeft certificaten met zwakke persoonlijke sleutels uit, zonder de juiste gebruiksextensies en intrekkingsinformatie. Ten gevolge daarvan besluiten Microsoft, Google en Mozilla om Digicert Malaysia uit de lijst met vertrouwde certificaten te verwijderen 12. Dit was echter niet het gevolg van een aanval, maar van slechte beveiligingspraktijken binnen Digicert Sdn. Bhd. Deze aanvallen laten zien dat niet alle certificaatinstanties gelijk zijn. Ze zorgen ervoor dat certificaatinstanties moeten blijven opletten en er een consistent hoog beveiligingsniveau moet worden gehandhaafd in de hele sector. Voor zakelijke gebruikers tonen ze het belang aan van het kiezen van een betrouwbare, goedbeveiligde certificaatinstantie. Ten slotte zouden ook consumenten gebruik moeten maken van moderne, bijgewerkte browsers en altijd goed moeten opletten dat de sites die ze bezoeken gebruikmaken van SSL van een grote, vertrouwde certificaatinstantie. In het gedeelte Best practices aan het einde van dit rapport hebben we daarvoor advies opgenomen. 9

10 Trends op het gebied van kwaadaardige code Malware In 2011 Door kwaadaardige code te analyseren kunnen we bepalen welke soort bedreigingen en aanvalsmethoden worden gebruikt. Het eindpunt is meestal de laatste verdedigingslinie, maar kan vaak ook de eerste verdediging zijn tegen aanvallen die worden verspreid via USB-apparaten, onveilige netwerkverbindingen en gecompromitteerde, besmette websites. De cloudtechnologie en reputatiesystemen van Symantec kunnen helpen bij het identificeren en blokkeren van nieuwe aanvallen die we nog niet eerder hebben gezien, zoals gerichte aanvallen op tot dan toe onbekende zero-day kwetsbaarheden. Analyses van trends op het gebied van malware, zowel in de cloud als op het eindpunt, kunnen meer informatie verschaffen over de aard van de bedreigingen waarmee bedrijven te maken hebben, met name van gemengde aanvallen en bedreigingen voor mobiele werknemers. Met hun grote aantallen internetgebruikers zijn de Verenigde Staten, China en India de grootste bronnen van kwaadwillende activiteiten. Het gemiddelde percentage aanvallen afkomstig uit de Verenigde Staten nam in 2010 met een procentpunt toe, terwijl dit percentage voor China met 10 procentpunten afnam ten opzichte van De VS waren de grootste bron voor alle activiteiten behalve kwaadaardige code en spamzombies, die voornamelijk afkomstig waren uit India. Ongeveer 12,6% van alle bot-activiteit, 33,5% van alle webgebaseerde aanvallen, 16,7% van alle netwerkaanvallen en 48,5% van alle phishingwebsites was afkomstig uit de Verenigde Staten. 10

11 Websitemalware Drive-by aanvallen blijven een uitdaging voor consumenten en bedrijven. Deze zorgen ieder jaar voor honderden miljoenen pogingen tot besmetting, bijvoorbeeld wanneer een gebruiker naar een website gaat waar malware wordt gehost. Dit kan gebeuren wanneer ze klikken op een link in een of op een socialenetwerksite. Ook kunnen ze een website bezoeken die op zich legitiem is, maar ook met malware is besmet. De aanvallers blijven hun technieken aanpassen en zijn inmiddels zeer geavanceerd. Slecht gespelde, ongeloofwaardige s zijn vervangen door methoden zoals clickjacking of likejacking. Daarbij gaat de gebruiker naar een website om een video te bekijken, en gebruiken de aanvallers die klik om een bericht te sturen naar alle Facebook-vrienden van de gebruiker, en ze te stimuleren ook op de kwaadaardige link te klikken. Om dit tegen te gaan heeft Facebook een zogeheten Clickjacking Domain Reputation System toegepast waarmee veruit de meeste clickjacking-aanvallen worden voorkomen, door de gebruiker te vragen om een Vind ik leuk te bevestigen voordat deze wordt geplaatst als het betreffende domein als onbetrouwbaar wordt beschouwd. Op basis van gegevens van Norton Safe Web 13 Symantectechnologie waarmee op het web wordt gezocht naar sites met malware is duidelijk dat 61% van alle kwaadaardige sites eigenlijk gewone websites zijn, die zijn gecompromitteerd en besmet met kwaadaardige code. Afbeelding 1 Gemiddeld aantal kwaadaardige websites gevonden per dag in 2011 Web Sites Blocked Per Day 9,314 10,000 8, ,051 6,000 4,000 2,000 JAN FEB MAA APR MEI JUN JUL AUG SEP OKT NOV DEC Source: Symantec Source: Symantec.cloud 11

12 Gevaarlijke websites Afbeelding 2 Gevaarlijkste typen websites, 2011 Plaats Top 10 van meest misbruikte typen websites % besmettingen van totale aantal websites 1 Blogs / webcommunicatie 19.8% 2 Hosting / zelf-gehoste sites 15.6% 3 Zakelijk / economie 10.0% 4 Winkels 7.7% 5 Onderwijs / informatie VOLUME 1 VOLUME 2 6.9% 6 Technologie, computer en internet 6.9% 7 Entertainment en muziek 3.8% 8 Auto's 3.8% 9 Gezondheid en medicijnen 2.7% 10 Pornografie 2.4% Source: Symantec 12

13 Het is opmerkelijk dat websites met seksueel en pornografisch materiaal niet in de top vijf staan, maar pas op de tiende plaats komen. Afbeelding 2 toont de complete lijst. Daarnaast bleek dat religieuze en ideologische sites driemaal het gemiddelde aantal bedreigingen hadden per besmette site in vergelijking met pornografische sites. Vermoedelijk is de gedachte hierachter dat eigenaars van pornosites al geld verdienen via internet en er dus baat bij hebben om hun sites vrij van malware te houden. Besmettingen zijn tenslotte niet goed voor de zaken. I n w e r d e n m e t d e S y m a n t e c V e r i S i g n - malwarescanservice 14 ruim 8,2 miljard URL s gescand op malwarebesmetting, en werd op ongeveer 1 op de 156 unieke websites malware gevonden. Websites met kwetsbaarheden zijn gevoeliger voor malwarebesmettingen. Daarom is Symantec vanaf oktober 2011 begonnen met het aanbieden van een kwetsbaarheidsbeoordeling voor websites aan haar SSL-klanten. Tussen oktober en het einde van het jaar ontdekte Symantec dat 35,8% van de websites ten minste een kwetsbaarheid had, en 25,3% had ten minste een kritieke kwetsbaarheid. Malware per In 2011 nam de verhouding kwaadaardige s ten opzichte van normale verder toe. Bij grote bedrijven was de stijging het grootste: 1 op de 205,1 s was kwaadaardig bij bedrijven met meer dan werknemers. Bij kleine en middelgrote bedrijven met maximaal 250 werknemers was 1 op de 267,9 s kwaadaardig. Criminelen vermommen de malware in deze s als diverse soorten bijlagen, bijvoorbeeld pdf-bestanden en Microsoft Office-documenten. Met de kwaadaardige code in deze bijlagen wordt misbruik gemaakt van kwetsbaarheden in de bijbehorende applicaties. Ten minste twee van dergelijke aanvallen maakten gebruik van zero-day kwetsbaarheden in Adobe Reader. Makers van malware gebruiken social engineering om de kans te vergroten dat er op de besmette bijlage wordt geklikt. Zo werden bij recente aanvallen berichten verstuurd van bekende koerier- en pakketdiensten over mislukte afleveringen, of leken de s bijlagen te bevatten afkomstig van scanners en kopieerapparaten aangesloten op het netwerk. De oude regel om niet op onbekende bijlagen te klikken is helaas nog steeds van toepassing. Daarnaast liet verdere analyse zien dat 39,1% van de malware in s bestond uit hyperlinks naar kwaadaardige code, in plaats van code in een bijlage. Dit is een stijging van 23,7% ten opzichte van 2010 en een duidelijk signaal dat cybercriminelen beveiligingsmaatregelen proberen te omzeilen door hun methoden aan te passen en van s over te stappen op het web. Afbeelding 3 Ratio of malware in traffic, 2011 Verhouding malware t.o.v. gewone , op 0 1 op op op op op op 300 JAN DÉC JAN DÉC Source: Symantec.cloud Source: Symantec 1 op

14 Misbruik op het web: aanvalstoolkits, rootkits en socialenetwerkbedreigingen Aanvalstoolkits, waarmee criminelen nieuwe malware kunnen maken en een complete aanval kunnen opzetten zonder dat ze de software helemaal opnieuw hoeven te schrijven, zijn verantwoordelijk voor bijna tweederde (61%) van alle verdachte activiteit op kwaadaardige websites. En omdat deze kits steeds eenvoudiger te verkrijgen zijn en gemakkelijker worden in het gebruik, is de verwachting dat dit percentage zal toenemen. Nieuwe exploits worden snel in de aanvalskits opgenomen en elke nieuwe release ervan gaat gepaard met een stijgende hoeveelheid kwaadwillende activiteit op het web. En wanneer er een nieuwe versie uitkomt die functionaliteit voor een nieuwe exploit bevat, wordt deze vaak snel en zo veel mogelijk gebruikt, voordat potentiële slachtoffers hun systemen met een patch hebben beveiligd. Een voorbeeld hiervan zijn aanvallen met de Blackhole-toolkit; deze werden in 2010 erg vaak uitgevoerd maar vonden halverwege 2011 nog maar een paar honderd keer per dag plaats. Toen de nieuwe versie uitkwam steeg dat aantal weer naar honderdduizenden besmettingspogingen per dag tegen het einde van het jaar. Gemiddeld bevat een aanvalstoolkit zo n tien verschillende exploits, meestal voor kwetsbaarheden in browseronafhankelijke plug-ins zoals Adobe Flash Player, Adobe Reader en Java. Populaire kits worden soms wel om de paar dagen geüpdatet, waarbij elke update zorgt voor een nieuwe aanvalsgolf. Ze zijn relatief gemakkelijk te vinden en worden verkocht op de zwarte markt en webforums, met prijzen die uiteenlopen van 40 tot dollar. Aanvallers gebruiken aanvalstoolkits voornamelijk op twee manieren: 1 Gerichte aanvallen. De aanvaller selecteert het type gebruiker dat hij wil aanvallen. De toolkit genereert s, tekstberichten en blogposts om het beoogde doelwit naar de besmette content te lokken. In veel gevallen zal het gaan om een link naar een kwaadaardige website, die de malware op het systeem van het slachtoffer installeert. 2 Broadcastaanvallen. De aanvaller richt zich op een groot aantal websites, door middel van SQL injections, websoftware of kwetsbaarheden op servers. Het doel is om een link te plaatsen die naar een kwaadaardige site leidt, waar de computer van gebruikers wordt besmet. Als het plaatsen van de link slaagt, wordt iedere volgende bezoeker aangevallen. 14

15 Het opbouwen van vertrouwen en het beveiligen van de zwakste schakels Gebruikers die zich aan de wet houden, hebben belang bij een veilig en betrouwbaar internet. De laatste ontwikkelingen tonen aan dat de strijd om het vertrouwen van de eindgebruikers onverminderd voortduurt: Always On SSL. De Online Trust Alliance 15 promoot Always On SSL, een nieuwe benadering voor de implementatie van SSL op een website. Bedrijven zoals Facebook 16, Google, PayPal en Twitter 17 bieden hun gebruikers de mogelijkheid van blijvende SSL-encryptie en -authenticatie op alle pagina s van de geboden services, dus niet alleen op inlogpagina s. Dit voorkomt niet alleen Man-In-The-Middle aanvallen zoals Firesheep 18, maar biedt ook end-to-end beveiliging zodat alle webpagina s die op de site worden bezocht veilig zijn, niet alleen de pagina s voor inloggen en financiële transacties. Extended Validation SSL-certificaten. EV SSL-certificaten bieden het hoogste authenticatieniveau en tonen via de browser een duidelijk zichtbare indicatie dat de gebruiker zich op een beveiligde website bevindt: de groene adresbalk. Dit biedt waardevolle bescherming tegen diverse online aanvallen. Uit een door Symantec gesponsorde enquête onder online shoppers in Europa, de VS en Australië bleek dat de groene SSL EV-balk het gevoel van veiligheid bij de meeste (60%) mensen verhoogt 19. Daarentegen gaf 90% van de deelnemers in een Amerikaans onderzoek naar online consumentengedrag aan dat ze een transactie afbreken wanneer de browser een waarschuwing laat zien over het ontbreken van een beveiligde verbinding. 20 Baseline Requirements for SSL/TLS Certificates. Het CA/Browser Forum heeft Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates uitgebracht, de eerste internationale standaard voor de activiteiten van certificaatinstanties die digitale SSL-/ TLS-certificaten uitgeven die standaard door browsers worden vertrouwd. Deze nieuwe standaard werd in december 2011 aangekondigd en wordt op 1 juli 2012 van kracht. Code-signingcertificaten en beveiliging met persoonlijke sleutels. De bekende gevallen van diefstal van persoonlijke code-signingsleutels onderstreepten de noodzaak voor bedrijven om hun persoonlijke sleutels goed te beveiligen en beschermen wanneer ze houder zijn van digitale certificaten 21. Als een hacker erin slaagt om code-signingsleutels te stelen kan hij die gebruiken om malware digitaal te ondertekenen, waardoor een aanval met malware nog moeilijker te herkennen wordt. Dit is precies wat er is gebeurd in de Stuxnet- en Duqu-aanvallen. DNSSEC. Deze technologie wordt steeds populairder als methode voor het behouden van de integriteit van het domain name system (DNS). Het is echter geen wondermiddel voor alle online-beveiligingsbehoeften; het biedt geen authenticatie van identiteit bij websites en geen encryptie. DNSSEC moet dan ook worden gebruikt in combinatie met Secure Sockets Layer (SSL)-technologie en andere beveiligingsmechanismen. Wettelijke vereisten. Veel landen, waaronder de lidstaten van de Europese Unie 22 en 46 staten van de Verenigde Staten 23 hebben ten minste een meldingsplicht voor gegevensdiefstal in bepaalde sectoren. Dit betekent dat bedrijven de autoriteiten moeten inlichten (en indien nodig de betrokken individuen) wanneer ze te maken hebben gehad met een inbreuk op de gegevensbeveiliging. Dit dient niet alleen als stimulans voor sectoren die minder gereguleerd zijn, maar ook als geruststelling voor gebruikers in het geval van gegevensdiefstal worden ze snel op de hoogte gebracht en kunnen ze maatregelen nemen (zoals het wijzigen van wachtwoorden) om de gevolgen zoveel mogelijk te beperken. 15

16 Conclusie: Wat staat ons te wachten in 2012 E en bekende uitspraak luidt: Doe nooit voorspellingen, vooral niet over de toekomst. In dit rapport hebben we teruggekeken op 2011, maar in de conclusie willen we een voorzichtige blik op de toekomst werpen. Daarbij gebruiken we de huidige trends om naar 2012 en daarna te kijken. Gerichte aanvallen en APT s blijven serieuze bedreigingen, en de frequentie en verfijning van de aanvallen nemen toe. Technieken en exploits die zijn ontwikkeld voor gerichte aanvallen komen terecht in de bredere ondergrondse economie en worden gebruikt om gewone malware nog gevaarlijker te maken. Malwaremakers en spammers breiden het gebruik van socialenetwerksites nog verder uit. Het CA/Browser Forum 24 brengt aanvullende beveiligingsstandaarden uit voor uitgevers van digitale certificaten, om ervoor te zorgen dat het vertrouwen op internet bestand is tegen mogelijke aanvallen in de toekomst. Consumentisme en cloudcomputing blijven zich ontwikkelen en veranderen mogelijk de manier waarop we werken en zakendoen. Daarbij worden IT-afdelingen gedwongen zich aan te passen en nieuwe manieren te vinden voor het beschermen van eindgebruikers en bedrijfssystemen. Malwaremakers blijven manieren zoeken om mobiele telefoons en tablets aan te vallen en, zodra ze een effectieve methode hebben gevonden, daar genadeloos misbruik van maken. In 2011 waarde er meer kwaadaardige code rond die gericht was op Mac s, doordat Macgebruikers te maken kregen met sites die trojans konden plaatsen. Deze trend zet zich naar verwachting voort in 2012, wanneer aanvalscode voor Mac-exploits verder wordt geïntegreerd in de breedgeoriënteerde aanvalstoolkits. Het aantal externe bedreigingen blijft toenemen, maar ook interne bedreigingen komen in het nieuws, met werknemers die zowel opzettelijk als onopzettelijk waardevolle gegevens lekken of stelen. De basis voor de volgende Stuxnet-achtige APT-aanval kan al zijn gelegd. Sterker nog, Duqu is wellicht al de eerste schok van de volgende aardbeving, maar het duurt misschien langer voordat de naschok ook het grote publiek bereikt. 16

17 Best practices voor bedrijven Maak gebruik van Defense-in-Depth strategieën. Leg de nadruk op meerdere, elkaar overlappende en ondersteunende beveiligingssystemen die bescherming bieden tegen single-point failures in bepaalde technologieën of beschermingsmethoden. Binnen dit systeem moet ten minste gebruik worden gemaakt van firewalls die regelmatig worden geüpdatet, antivirusbescherming op de gateway, inbreukdetectie en -bescherming en gatewayoplossingen voor webbeveiliging in het hele netwerk. Bewaak netwerkbedreigingen, kwetsbaarheden en merkmisbruik. Controleer op netwerkinbraken, verspreidingspogingen en andere verdachte verkeerspatronen, en identificeer pogingen om verbinding te maken met kwaadaardige of verdachte hosts. Zorg dat u op de hoogte blijft van nieuwe kwetsbaarheden en bedreigingen voor alle aanwezige platformen, zodat u proactief maatregelen kunt nemen. Houd misbruik van uw merknaam in de gaten met behulp van domeinbewaking en waarschuwingen voor valse websites. Antivirus op eindpunten is niet genoeg. Op eindpunten is bescherming tegen virussen op basis van signatures niet voldoende als bescherming tegen moderne bedreigingen en aanvalstoolkits op het web. Gebruik een uitgebreide beveiligingsoplossing voor eindpunten met meerdere beschermingslagen, zoals: Inbraakpreventie die ervoor zorgt dat niet-gepatchte kwetsbaarheden worden misbruikt, beschermt tegen social engineering en voorkomt dat malware de eindpunten bereikt. Browserbeveiliging ter bescherming tegen verhulde aanvallen via het web. Overweeg het gebruik van malwarebescherming in de cloud als proactieve bescherming tegen onbekende bedreigingen. Reputatieoplossingen voor zowel bestanden als websites, die een risico en reputatie -waardering toekennen aan elke applicatie en website, om snel muterende en polymorfe malware tegen te gaan. Beschermingsmiddelen op basis van gedrag, die alert zijn op het gedrag van applicaties en malware. Controlemiddelen voor applicaties, die voorkomen dat applicaties en browserplug-ins verboden kwaadaardige content downloaden. Controlemiddelen voor apparaten, die voorkomen dat USB-apparaten worden gebruikt of het gebruik daarvan beperken. Bescherm uw websites tegen Man-in-the-Middle aanvallen en malwarebesmetting. Voorkom dat u de vertrouwensrelatie met uw klanten beschadigt door het volgende te doen: Implementeer Always On SSL. Scan uw website dagelijks op malware. Beveilig alle sessiecookies. Beoordeel regelmatig de kwetsbaarheden van uw website. Kies SSL-certificaten met Extended Validation zodat de groene adresbalk wordt getoond aan de bezoekers van uw website. Plaats erkende trustmarks op duidelijk zichtbare locaties op de website. Daarmee stelt u uw klanten gerust en laat u zien dat u zich inzet voor hun veiligheid. Neem uw digitale certificaten af bij een gevestigde, betrouwbare certificaatinstantie die er een uitstekende beveiliging op nahoudt. Bescherm uw persoonlijke sleutels. Een strenge beveiliging is noodzakelijk voor de bescherming van uw persoonlijke sleutels, met name wanneer u digitale certificaten gebruikt. Symantec adviseert organisaties het volgende te doen: G e b r u i k g e s c h e i d e n i n f r a s t r u c t u r e n v o o r testondertekening en releaseondertekening. Bewaar sleutels in veilige, cryptografische hardware die is beveiligd tegen inbreuken. Implementeer fysieke beveiliging om te voorkomen dat uw apparatuur wordt gestolen. Gebruik encryptie voor de bescherming van gevoelige data. Implementeer en handhaaf een beveiligingsbeleid waarbij gevoelige gegevens worden versleuteld. De toegang tot vertrouwelijke gegevens moet worden beperkt met bijvoorbeeld een oplossing voor Data Loss Protection (DLP), een systeem waarmee data wordt geïdentificeerd, bewaakt en beschermd. Dit helpt niet alleen gegevensdiefstal te voorkomen, maar kan ook de potentiële schade van het lekken van informatie vanuit een organisatie beperken. 17

18 Gebruik Data Loss Prevention ter voorkoming van gegevensdiefstal. Zet een DLP-oplossing in die ontdekt waar de gevoelige gegeve n s z i ch b evinden en die ve rvo l ge n s b ewa a k t en beschermt tegen verlies. Deze oplossing moet de gegevensstroom monitoren wanneer deze de organisatie verlaat via het netwerk, en alert zijn op het kopiëren van vertrouwelijke gegevens naar externe apparaten of websites. Ook moeten verdacht kopiëren en downloaden van data worden geïdentificeerd en geblokkeerd. DLP is daarnaast geschikt voor het identificeren van vertrouwelijke data assets in het netwerk en op pc s, zodat de juiste beschermingsmaatregelen (zoals encryptie) kunnen worden genomen ter beperking van de risico s. Implementeer een beleid met betrekking tot verwijderbare media. Beperk waar mogelijk het gebruik van onbevoegde apparatuur, zoals draagbare harde schijven en andere verwijderbare media. Met dergelijke apparaten kan malware het bedrijf binnenkomen, en kan intellectueel eigendom het bedrijf opzettelijk of onopzettelijk verlaten. Als externe mediaapparaten zijn toegestaan, zorg dan dat ze automatisch worden gescand op virussen zodra ze worden aangesloten op het netwerk, en monitor ze om te voorkomen dat vertrouwelijke gegevens naar niet-versleutelde externe apparatuur worden gekopieerd. Update beveiligingsmaatregelen vaak en snel. In 2011 identificeerde Symantec ruim 403 miljoen unieke malwarevarianten. Bedrijven moeten hun antivirussoftware en inbreukpreventiesystemen dus minimaal eenmaal per dag actualiseren. Voer een agressief update- en patchbeleid. Update, patch en vervang oude en onveilige browsers, applicaties en browserplug-ins, werk met de nieuwste versies en maak gebruik van de automatische updatemechanismen van de leverancier. De meeste softwaremakers brengen trouw patches uit om kwetsbaarheden te elimineren, maar die zijn alleen effectief als ze ook daadwerkelijk worden gebruikt. Pas op met het gebruik van standaard software-images die oudere versies bevatten van browsers, applicaties en plug-ins, omdat die achterhaald en onveilig kunnen zijn. Automatiseer indien mogelijk de uitrol van patches, om te zorgen dat het hele bedrijf is beschermd tegen misbruik van kwetsbaarheden. Dwing een effectief wachtwoordbeleid af. Stel het gebruik van sterke wachtwoorden verplicht ze moeten ten minste 8 tot 10 tekens lang zijn en zowel letters als cijfers bevatten. Waarschuw gebruikers voor hergebruik van hun wachtwoord op meerdere sites. Gedeelde wachtwoorden moeten verboden zijn. Daarnaast moeten wachtwoorden regelmatig, dus ten minste elke 90 dagen, worden gewijzigd en kunnen ze het beste niet worden genoteerd. Blokkeer bepaalde bijlagen. Configureer mailservers zodanig dat ze s verwijderen met bijlagen die vaak virussen bevatten, dus bestanden met de extensies VBS, BAT, EXE, PIF en SCR. Bekijk de opties voor een beleid met betrekking tot pdf-bestanden die wel zijn toegestaan als bijlage. Zorg dat u beschikt over responsprocedures in geval van besmetting. Zorg dat u beschikt over de contactinformatie van de leverancier van uw beveiligingssoftware; weet wie u moet bellen en welke stappen u moet nemen in geval van besmetting van een of meerdere systemen. Zorg dat u een goede oplossing voor back-up en herstel hebt, zodat u gegevens snel kunt terugzetten na een eventuele succesvolle aanval of rampzalig verlies van data. Gebruik de mogelijkheden voor detectie van besmetting van de webgateway, eindpuntbeveiliging en firewalls om besmette systemen snel te identificeren Isoleer besmette computers om te voorkomen dat de besmetting zich verder verspreidt. Als netwerkservices worden misbruikt door kwaadaardige code of andere bedreigingen, moeten die services worden uitgeschakeld of geblokkeerd totdat een patch is geïnstalleerd. Voer een forensische analyse uit op besmette computers en herstel ze met behulp van media die u kunt vertrouwen. Geef gebruikers informatie over bedreigingen. Open geen bijlagen, tenzij u die verwacht en ze afkomstig zijn van een bekende, vertrouwde afzender. Voer geen software uit die is gedownload van internet (als dat al is toegestaan) tenzij die is gescand met antivirussoftware. Wees terughoudend met het klikken op URL s in s of socialemediaprogramma s, ook wanneer ze afkomstig zijn van vertrouwde afzenders en vrienden. 18

19 Klik niet op verkorte URL s zonder eerst een voorbeeld te bekijken of ze uit te breiden met daarvoor geschikte tools en plug-ins. Wees voorzichtig met het geven van informatie op sociale netwerken, omdat de gebruiker daarmee doelwit kan worden van een aanval of kan worden overgehaald om een kwaadaardige URL of bijlage te openen. Wees kritisch op de resultaten van zoekmachines en klik alleen door naar vertrouwde bronnen bij het zoeken naar informatie, zeker wanneer het gaat om veelbesproken, actuele onderwerpen. Gebruik plug-ins die de reputatie van URL s controleren wanneer die worden weergegeven als zoekresultaten. Download alleen software (als dat al is toegestaan) van bedrijfslocaties of direct van de website van de leverancier. Als een Windows-gebruiker een (valse) waarschuwing ziet dat de computer besmet is nadat ze op een URL hebben geklikt of een zoekmachine hebben gebruikt, moet de gebruiker de browser afsluiten met Alt-F4, Ctrl+W of Taakbeheer. G e b r u i k e e n m o d e r n e b r o w s e r e n m o d e r n besturingssysteem, en houd systemen up-to-date met beveiligingsupdates. Zoek naar de groene adresbalk, HTTPS en trustmarks op websites voorafgaand aan het inloggen of delen van persoonlijke informatie. 19

20 Best practices voor consumenten Bescherm uzelf. Gebruik een moderne oplossing voor veiligheid op internet die de volgende mogelijkheden bevat, voor maximale bescherming tegen kwaadaardige code en andere bedreigingen. Antivirus (bestanden en heuristisch) en antimalware op basis van gedragspatronen kan onbekende bedreigingen stoppen voordat ze worden uitgevoerd. Bidirectionele firewalls blokkeren malware zodat het geen misbruik kan maken van potentieel kwetsbare applicaties en services op uw computer. I n b r e u k p r e v e n t i e t e r b e s c h e r m i n g t e g e n aanvalstoolkits, niet-gepatchte kwetsbaarheden en social-engineeringaanvallen. Browserbeveiliging ter bescherming tegen verhulde aanvallen via het web. R e p u t a t i e t o o l s d i e d e r e p u t a t i e e n h e t betrouwbaarheidsniveau van bestanden en websites controleren voordat deze worden gedownload, en de reputatie van websites die worden gevonden via zoekmachines. Overweeg het implementeren van software voor ouderlijk toezicht voor alle platformen, zoals Norton Online Family 25. Blijf up to date. Update virusdefinities en beveiligingscontent dagelijks, en liever nog ieder uur. Met de nieuwste virusdefinities beschermt u uw computer tegen de recentste virussen en malware die de ronde doen. Zorg dat uw besturingssysteem, webbrowser, browserplug-ins en applicaties zijn geüpdatet naar de laatste versie met de automatische updates van die programma s, als die beschikbaar zijn. Bij gebruik van oudere versies loopt u meer risico te worden aangevallen via internet. Weet wat u doet. Wees u ervan bewust dat malware of applicaties die proberen u te overtuigen dat uw computer besmet is, kan zijn geïnstalleerd met de installatie van file-sharing programma s, gratis downloads en freeware- en sharewareversies van software. Gratis, gekraakte of illegale versies van software kunnen ook malware bevatten of leiden tot socialengineeringaanvallen die u willen laten geloven dat uw computer besmet is, en u proberen te laten betalen om dat op te lossen. Wees op uw hoede bij het bezoeken van websites. Malware kan afkomstig zijn van een gewone website, maar is vaker afkomstig van goksites en sites waar pornografisch materiaal en gestolen software te krijgen is. L e e s e l k e e n d - u s e r l i c e n s e a g r e e m e n t (eindgebruikersovereenkomst of EULA) zorgvuldig door en zorg dat u alle voorwaarden begrijpt voordat u die accepteert. Sommige beveiligingsrisico s kunnen worden geïnstalleerd na of omdat u akkoord gaat met een EULA. Hanteer een effectief wachtwoordbeleid. Laat uw wachtwoorden uit zowel letters en cijfers bestaan en verander ze regelmatig. Wachtwoorden kunnen beter geen bestaande woorden zijn. Gebruik niet hetzelfde wachtwoord voor meerdere applicaties of websites en maak complexe wachtwoorden (met hoofdletters, kleine letters en speciale tekens) of woordcombinaties. 20

21 Denk na voordat u klikt. Bekijk en open nooit bijlagen tenzij u die verwacht en de afzender vertrouwt. En zelfs dan moet u nog voorzichtig zijn. Wees terughoudend met het klikken op URL s in s of socialemediaprogramma s, ook wanneer ze afkomstig zijn van vertrouwde afzenders en vrienden. Klik niet zomaar op verkorte URL s zonder ze eerst uit te breiden met een plug-in of een voorbeeld te bekijken. Klik niet op links in socialemedia-applicaties met grappige titels, zelfs niet als ze afkomstig zijn van vrienden. Als u dat toch doet, bestaat de kans dat u de link leuk vindt en die naar al uw vrienden stuurt, alleen maar doordat u ergens op de pagina hebt geklikt. De beste oplossing is om uw browser af te sluiten. Gebruik een reputatietool die de reputatie en het betrouwbaarheidsniveau controleert van websites die worden gevonden via zoekmachines. Wees kritisch op de resultaten van zoekmachines en klik alleen door naar vertrouwde bronnen bij het zoeken naar informatie, zeker wanneer het gaat om veelbesproken, actuele onderwerpen. Wantrouw waarschuwingen waarin wordt beweerd dat u een mediaspeler, documentviewer of beveiligingsupdate moet installeren. Download software alleen van de website van de leverancier. Bewaak uw persoonlijke gegevens. Maak zo min mogelijk persoonlijke informatie openbaar op internet, zeker niet via sociale netwerken. De informatie kan worden verzameld en gebruikt bij kwaadwillende activiteiten zoals gerichte aanvallen en phishingscams. Onthul nooit vertrouwelijke, persoonlijke of financiële gegevens op internet, tenzij onomstotelijk is bewezen dat de vraag naar die informatie legitiem is. Controleer regelmatig de gegevens van uw bank en creditcard op verdachte activiteit. Telebankier en winkel niet online met openbare computers (in bijvoorbeeld de bibliotheek of een internetcafé) of via niet-versleutelde wifi-verbindingen. Gebruik HTTPS wanneer u via een draadloos netwerk uw leest, socialenetwerksites bezoekt of bestanden deelt via internet. Controleer de instellingen en voorkeuren van de applicaties die u gebruikt en websites die u bezoekt. Zoek naar de groene adresbalk, HTTPS en herkenbare trustmarks op websites voorafgaand aan het inloggen of delen van persoonlijke informatie. Co n f i g u re e r u w w i f i - n e t we rk t h u i s vo o r s t e rke authenticatie en zorg dat een uniek wachtwoord is vereist voor toegang ertoe. 21

22 Meer informatie Symantec.cloud Global Threats: Symantec Security Response: Internet Security Threat Report Resource Page: Norton Threat Explorer: Norton Cybercrime Index: 22

23 Eindnoten 1 NB. In deze afbeelding zijn voor het eerst gegevens van Symantec.cloud opgenomen. Als deze cijfers niet worden meegenomen in de vergelijking met 2010, komt het totale aantal op 5,1 miljard aanvallen Gehackte certificaatinstanties (Comodohacker), inbraken en intrekkingen van vertrouwen in 2011: Comodo (2 RA s gehacked), StartCom aangevallen, DigiNotar gecompromitteerd en failliet, Aanvallen en academische proof-of-concept demonstraties: BEAST en TLS 1.1/1.2, THC-SSL-DOS, LinkedIn SSL cookiekwetsbaarheid linkedin-ssl-cookie-vulnerability/ linkedin-ssl-cookie-vulnerability/ hack.html Ga voor meer informatie over Norton Safe Web naar 14 Ga voor mee informatie over kwetsbaarheidsbeoordelingen door Symantec naar: Door Symantec gesponsorde enquête onder online shoppers in het Verenigd Koninkrijk, Frankrijk, Duitsland, de Benelux, de Verenigde Staten en Australië, in december 2010 en januari 2011 (onderzoek uitgevoerd in maart 2011) tabid/13489/ Voor meer informatie over Norton Online Family, kunt u terecht op 23

24 Over Symantec Symantec is een vooraanstaande wereldwijde leverancier van oplossingen op het gebied van beveiliging, opslag en systeembeheer. Daarmee helpen we consumenten en bedrijven bij het beveiligen en beheren van hun IT-omgeving. Onze software en services beschermen klanten tegen meer risico s op meer punten, op een complete en efficiënte manier. Dat zorgt voor vertrouwen in alle omgevingen waar informatie wordt gebruikt of opgeslagen. Het hoofdkantoor van Symantec is gevestigd in Mountain View, Californië en we hebben vestigingen in 40 landen. Meer informatie is te vinden op Raadpleeg onze website voor de vestigingen en telefoonnummers in uw land. Voor een gesprek met een productspecialist Bel of , kies optie 2 en vervolgens optie 1 Symantec BV Website Security Solutions, Orteliuslaan BB UTRECHT, Nederland Alle rechten voorbehouden. Symantec, het Symantec-logo, het Checkmark-logo, Norton Secured en het Norton Secured-logo zijn handelsmerken of geregistreerde handelsmerken van of gelieerde ondernemingen in de Verenigde Staten en andere landen. VeriSign en aanverwante merken zijn handelsmerken of geregistreerde handelsmerken van VeriSign, Inc. of haar gelieerde ondernemingen of dochterondernemingen in de Verenigde Staten en andere landen, die onder licentie door worden gebruikt. Andere namen zijn mogelijk handelsmerken van de betreffende eigenaren. Alle technische informatie die beschikbaar wordt gesteld door is auteursrechtelijk beschermd en eigendom van. GEEN GARANTIES. Symantec stelt dit document beschikbaar in de huidige staat, en geeft geen garantie met betrekking tot juistheid of gebruik. De informatie in dit document kan onjuistheden of typografische fouten bevatten en bevat mogelijk geen informatie over de nieuwste ontwikkelingen. Symantec geeft geen verklaring of garantie dat het document compleet, correct of actueel is, noch geeft Symantec enige vorm van waarborg of garantie met betrekking tot eventuele meningen of verwijzingen. De juistheid van de inhoud van dit document kan veranderen naar gelang de omstandigheden veranderen. De meningen die worden geuit in dit document zijn een weergave van de opvattingen ten tijde van publicatie en zijn aan verandering onderhevig. Elk gebruik van de informatie in dit document is voor eigen risico. Symantec is niet aansprakelijk voor fouten, weglatingen of schade die voortkomt uit het gebruik van het document of het vertrouwen op de daarin geboden informatie. Symantec behoudt het recht om dit document op ieder moment en zonder kennisgeving te wijzigen.