Hoe organisaties het risico van cybercrime kunnen verminderen

Transcriptie

1 Aanpak yber crime Verdeel en heers Hoe organisaties het risico van cybercrime kunnen verminderen Henk-Jan van der Molen Sr ICT adviseur / projectleider 1 28 september 2010 Even voorstellen 2010 (1:52) 1979 Elektrotechniek studie 1990 Informatica studie 1995 DTO (systeemontwikkeling) 1998 IT consultant 2002 Min SZW (IT beleid / informatiebeveiliging) 2006 (sr Projectleider / ICT adviseur) IVW houdt toezicht / handhaaft wetten; Stelt regels: vervoer, vervoersveiligheid, waterbeheer; inspecties, vergunningverlening en kennisoverdracht; Verklein kans ongevallen, milieuvervuiling, verstoorde marktverhoudingen 2 1

2 Malware in het nieuws Bedrijven hebben veel last van cybercrime (bron: ICT barometer van Ernst & Young jan 2009) Incidenten afgelopen jaar: 16% Malware op werkstation 8% Computerinbraak (hack aanval) 8% Phishing 5% Denial of Service (platleggen systeem) 4% Diefstal bedrijfsinformatie De afgelopen maand heeft 5% van de ondervraagde bedrijven last gehad van een computervirus en 1% heeft last gehad van computerinbraak. In beide gevallen gaat het om een grote stijging ten opzichte van vorig jaar. 3 Aanpak yber crime Doel & indeling presentatie Verdeel en heers Doel presentatie: bewustwording situatie cybercrime Onderwerpen in de presentatie: ICT ontwikkelingen 5 Goede redenen voor standaardisatie Ontwikkelingen cybercrime Wat kan beter Afsluiting en vragen 4 2

3 Ontwikkeling ICT in NL Snelle acceptatie van ICT Meer online toepassingen Meer centralisatie Meer outsourcing (SSO) Meer samenwerking Invoering Basisregisters Meer dezelfde systemen Grotere ICT afhankelijkheid 5 Goede redenen voor standaardisatie Schaalvoordeel licenties Dezelfde hoge kwaliteit van ICT ondersteuning Uitwisselbaarheid gegarandeerd (files, macro s e.d.) Dezelfde ICT kennis, ICT beheerders zijn uitwisselbaar Flexibilisering werkplekken (Rijkspas 2.0) 6 3

4 Wat is Malware? Malware (verzamelnaam): kwaadaardige / schadelijke software, valt kwetsbaarheden in gebruikte software aan Computer Software bijv. MS Internet explorer Besturingssysteem bijv. MS Windows Hardware bijv. printer, HDD, 7 Wat doen we tegen Malware Firewalls Virusscanner Patchen software Wachtwoorden Intrusion Detection systeem Instellingen software (rechten PC gebruikers) Procedures (backup, restore, besmetting,..) Bewustwording personeel 8 4

5 1e stelling over malware Stelling 1: Professionele cybercriminelen maximaliseren hun return-on-investment van malware ( = P x Q) door te focussen op Q(uantiteit) Maximaliseren op Prijs: hoge opbrengst (met weinig besmette computers), vergt voorkennis Maximaliseren op Quantiteit: veel computers besmetten (met een gemiddeld lage opbrengst) 9 Doel van cybercrime Rapport Who wrote Sobig : Sobig was in 2003 een succesvolle worm Sobig spamt via besmette PC s Testversies, hergebruik van code Voor Sobig was universitaire kennis nodig Russische maffia verspreid veel virussen Sobig levert betaalde diensten aan leden 10 5

6 Verdienmodel malware Hack bedrijfsserver Steel geheime/ gevoelige info Verkopen Cyber crimineel 11 Hack internet Game server Grootschalig sites hacken / malware verspreiden Hack user account, steel game info, virtuele $ Hack / steel: bankrekening, creditcard, beveiliging account, virtuele $ Inzetten BotNet Verkopen Geld witwassen Verkoop spam of software DOS aanval Chanteren websites, verkoop DOS aanval Ontwikkelingen malware Malware besmet steeds sneller Internet snelheid in MB/sec Systemen continu online Viruskits op internet (one( click virus) Meer soorten online programmatuur Malware op vertrouwde sites Reverse engineering patches? 12 6

7 Professionele cybercrime Hoe later malware wordt ontdekt,, hoe meer inkomsten Volledige systeemcontrole => verwijderen sporen Veiligheidsmaatregelen: : encryptie, updates, virusscanner Kennis + inventiviteit + social engineering Gerichte malware (bedrijf( X, persoon Y) Roulerende webservers Internationaal opererend 13 Malware steeds kwaadaardiger 14 7

8 Over Conficker Verspreiding sinds 21 nov 2008 (Conficker.A) Worm infecteert MS Windows computers Zeer succesvol: miljoenen pc's besmet Verschillende varianten in omloop Zoekt actief sinds 1 april 2009 naar opdrachten Inzet Conficker triggert detectie (Trouw.nl ) 15 Malware en overheden Russia 'launches cyberwar' on Estonia May 17, 2007 Estonia's computer systems are being bombarded by a three-week wave of cyber-attacks, the first assault of its kind on a nation state. Computer hackers have disabled the websites of government ministries, political parties, newspapers and banks, causing chaos in the small Baltic state. Nato has now dispatched its top cyber-terrorism experts to investigate and help the Estonians strengthen their electronic defences. 16 8

9 Cyberspionage Betere beveiliging nodig China neust rond, ook in Nederland Pers.nl (Camil Driessen) 21 april 2009 Cyber warfare military computers designed to be impenetrable to US Het buitenland, met name China, blijkt naar hartelust te spioneren. In de VS stalen de Chinezen het ontwerp van de military and intelligence agencies, The Washington Times JSF. Ook in Nederland neuzen ze ijverig rond. reported on Tuesday. Nederland heeft in toenemende mate te kampen met spionage van The newspaper said the existence of the secure operating buitenlandse inlichtingendiensten. De Algemene Inlichtingen- en system was disclosed to Congress during recent hearings Veiligheidsdienst (AIVD) ontdekte vorig jaar ruim heimelijke activiteiten uit het buitenland : een toename van bijna 60 which included new details on how China's government is procent. Vooral Marokko, Rusland en China zijn erg actief. preparing to wage cyberwarfare with the United Het gaat daarbij steeds vaker om whizzkids die van de andere kant van de wereld digitaal inbreken op computers. Alles digitaliseert, dus dan groeit de spionage mee, aldus Bibi van Ginkel van onderzoeksinstituut Clingendael. Overheid en bedrijven moeten van de AIVD beter letten op spionage uit het buitenland op politiek, militair, economisch en technisch wetenschappelijk terrein. Maar daarvoor is een andere houding nodig, zegt xs4all-oprichter en hacker Rop Gonggrijp. Bij Nederlandse bedrijven en de overheid heerst een mentaliteit van we Kylin: China deploys secure computer operating system Information Warfare Monitor - May 14, 2009 WASHINGTON (AFP) China has installed a secure operating system known as "Kylin" on government and States. "This action also made our offensive cybercapabilities ineffective against them, given the cyberweapons were designed to be used against Linux, UNIX and Windows," he said, citing three popular computer operating systems. The newspaper said US offensive cyberwar capabilities have been mainly focused on getting into Chinese government and military computers outfitted with less secure operating systems like Microsoft's Windows. Coleman said Chinese state or state-affiliated entities are zijn al lang blij dat de computer werkt. Naar beveiliging kijken ze amper. Gevolg is dat landen als China toeslaan en de AIVD waarschuwt voor Chinese hackactiviteiten bij departementen en hightechbedrijven. Van Ginkel ziet China als een land met een enorme, opkomende economie dat het Westen probeert in te halen. Door geavanceerde technologie uit het buitenland te kopiëren, bespaart China tijd, geld en moeite en maakt het grotere stappen in zijn ontwikkelingsproces. on a wartime footing in seeking electronic information from Stelen is voordeliger dan zelf ontwikkelen, zegt ook de the US government, contractors and industrial computer AIVD. Dat hebben ze gemerkt in de Verenigde Staten. Dinsdag 17 networks. meldde The Wall Street Journal dat Chinese hackers gevoelige JSFinformatie hebben gestolen van Amerikaanse computernetwerken. The Chinese have also developed a secure Cyber spionage: ghostnet PC s regering Tibet gehackt in 2009 Moeilijk detecteerbare besmetting via mail met MS Word.doc Bestuurd Botnet van besmette pc s in 103 landen 30% Pc's bevat belangrijke informatie (1x NL NATO pc@shape) Via malware volledige controle besmette Pc's Wie er achter zit is onduidelijk - politiek of profit Doorwrochte aanpak: dit lijkt niet het enige spionage netwerk! Onderzoek Information Warfare Monitor + Toronto University, 29 maart

10 Cyber capaciteit China Een grote bevolking met veel ICT kennis Eigen software en hardware industrie Veel cyber aanvallen vanaf Chinees gebied 1998: cyberspace doctrine active defense 1999: Red Flag Linux: verplichte migratie voor servers : beslag op M$ 73,- aan Chinese Cisco 2009: Ontwikkeling eigen, veilige hardware Qua cyber acties staan Rusland en Israël voorlopig nog boven China 21 Groei malware probleem Another record breaking year in the growth of malicious software: Detection numbers have tripled The silent acceleration of malicious software (malware) continues and 2008 has been another groundbreaking year. The year 2007 doubled our overall detection count and that count has now tripled during the year An additional one million database signatures were added during the year, bringing our total number of signature based detections to approximately 1.5 million (F-secure) 22 10

11 Schattingen cybercrime schade Top 10 schades door malware [1998] CIH: M$ [1999] Melissa: M$ Totaal : [2000] ILoveYou: G$ [2001] Code Red: 2.6 G$ miljard $ [2003] SQL Slammer: > 1 G$ [2003] Blaster: 2-10 G$, > PCs geinfecteerd [2004] Bagle: > 10 M$...and counting [2003] Sobig.F: 5-10 G$, > PCs geinfecteerd [2004] MyDoom: Internet performance -/- 10%, Web load times -/- 50% [2004] Sasser: > 10 M$ [2008] Conficker:??? Schade cybercriminaliteit wereldwijd: 10 miljard $ (FBI 2009) 23 2e stelling over malware Stelling 2: Als organisaties een standaard software product kiezen voor algemeen gebruik, introduceren ze een single-point-of-failure dat misbruikt kan worden door malware De hoogte van het risico hangt af van het marktaandeel van de gebruikte software 24 11

12 Kwestbaarheid monoculturen De landbouw kweekt tegenwoordig vanuit efficiency relatief weinig gewassoorten in grote monoculturen. Moderne gewassen met steeds meer uniforme karakteristieken vervangen traditionele gewassen in de hele wereld en vormen daarmee een bedreiging, omdat de genetische basis smaller wordt. De gekweekte gewassen worden steeds kwetsbaarder voor ziekten en plagen. (bron: World Resources Institute, 2001) 25 Software marktaandelen Categorie Software product Markt % (schatting) Datum / bron van schatting Populariteit bij hackers kwetsbaarheden Elk code monocultuur software compartiment; monopolieis hebben systemen allemaal in essentie dezelfde binnen een groot Office suite MS Office 80% July 2009 Forrester ++ Operating MS Windows 89% Dec 2008 Marketshare.com ++ system Web client MS IE 64% July 2009 Statcounter ++ Web server Apache 47% June 2009 Netcraft + Database server Oracle 48% Aug 2008 Gartner

13 Uniformiteit computersystemen Windows PC s met MS Office met IE en Outlook (express) Apple PC s Linux PC s Een Microsoft kwetsbaarheid kan veel PC s besmetten 27 Malware volgt marktleiders 1,0 Varkenscyclus bij beweeglijke markten 0,9 Omvang binnen populatie [0..1] 0,8 0,7 0,6 0,5 0,4 0,3 0,2 0,1 Marktaandelen softwaremarkt al jaren stabiel Met Marktaandeel Aandeel exploits als gevolg 0,0 Tijdsduur in maanden 28 13

14 Malware in een statische markt % malware exploits marktleidende software trekt de meeste malware aan 29 Leveranciers Microsoft # zero days 22 IBM 10 RealNetworks 9 Apple 7 Adobe 6 EMC 5 Computer Associates 3 Mozilla Firefox 3 Symantec 3 America Online 2 Hewlett-Packard 2 Novell 2 Oracle 2 Oracle / PeopleSoft 2 Noot: de ernst Sun Microsystems 2 BMC Software 1 Borland 1 IBM, EMC Legato 1 Sirius 1 31 Zero day exploits jan 2007 heden (bron: TippingPoint) ernst van 75 kwetsbaarheden zijn hoog, 9 medium (84 totaal) en deze trend stijgt 14

15 Detectie schiet tekort Jaarlijks overlijdt slechts 0,01% van de Nederlandse bevolking aan de gevolgen van griep. Daarentegen heeft de mens geen resistentie tegen een H5Nx virus, zoals vogelgriep. Het immuunsysteem herkent zo'n virus niet direct, waardoor het virus zich ongebreideld kan vermenigvuldigen. Het lichaam keert zich pas tegen de besmetting als de besmette persoon, vaak letterlijk, doodziek is. (bron: Wikipedia) 32 Zichtbaarheid malware I asked security officials whether the laptops and BlackBerry I had used while living in China would have been bugged in some way while I was there. The answers were variations on Of course, with the you idiot left unsaid

16 Effectiviteit AntiVirus Virusscanners laten 60% bots door Virusschrijvers passen zo snel hun malware aan, dat virusscanners vaak tekort schieten. Beveiligingsbedrijf FireEye onderzocht de ontwikkeling van bots en hoe snel anti-virus software hierop reageert. De resultaten zijn niet bemoedigend, want gemiddeld laten de scanners zestig procent van de nieuwe bots door. Hoe meer tijd er verstrijkt, des te beter de detectie van virusscanners. Bots die bijvoorbeeld al maanden oud zijn, worden door 70 tot 80% gedetecteerd. De realiteit is echter dat virusschrijvers hun creaties na een paar dagen al vervangen. (security.nl ) 34 Kwaliteit van software 35 16

17 Beveiliging minder effectief Onvolwassenheid ICT Complexe, mobiele, online systemen Meer software in systemen en per systeem Snellere time-to-market = minder testen Kennis veroudert snel / Information overload Gebruiker weet weinig van ICT en beveiliging Veiligheid ICT moeilijk te onderzoeken Speciale kennis en tools nodig A patched buffer overflow doesn't just mean that there's one less way attackers can get into your system; it means that the design process was so lousy that it permitted buffer overflows, and there are probably thousands more lurking in your code (Schneier on Security - August 9, 2007) Regelgeving beperkt dit (DVD encryptie, OV chipkaart) Gevolg: incidenten steeds minder te voorkòmen Gewenst: meer verdediging in de diepte 36 Eisen aan betrouwbaarheid Kabinet wil grote internetuitval voorkomen Voorkomen grootschalige 'ict-verstoringen' Verbeter respons op incidenten Nationaal responsplan voor ict en telecom 'Landelijke Operationele Staf' voor crisisbeheersing. Grootschalig oefenen met gesimuleerde grote ict-storing Onderzoek aantasting vitale ICT-infrastructuren (webwereld ) 37 17

18 Hoe malware impact verminderen? Antivirus software moet alle malware elimineren! Probleem: ISP-ers moeten alle malware tegenhouden Wat is malware? Softwaremakers: maak betere software! ICT afdelingen moeten sneller patchen ICT afdelingen moeten backup systemen hebben Gebruikers moeten veiligheidsbewust zijn Justitie moet cybercriminelen veroordelen Cybercriminelen: stop met malware verspreiding! Bezig En testen dan? tegen malware? Hoelang? Hoeveel? ROI malware. 38 n Vaak gehoorde misvatting #exploits Indeling van software producten naar risico Product Y weinig kwetsbaarheden & exploits #Kwetsbaarheden Software migratie veel kwetsbaarheden & exploits Product X Product visie: Om exploits te vermijden moeten we een slecht product vervangen door een product met minder kwetsbaarheden. Dit is een misvatting; het aantal exploits en het aantal kwetsbaarheden zijn nl. niet direct gerelateerd 40 18

19 Wat te doen? Stelling 3: De impact van malware vermindert door standaardsoftware te kiezen: met een klein marktaandeel, waarvoor snel patches beschikbaar komen waarvan de broncode klein en kwalitatief hoogwaardig is 41 Diversificatie een beproefde methode De druifluis is zeer schadelijke voor druivenplanten. In de negentiende eeuw vernietigde deze bladluizensoort veel Europese wijngaarden, in Frankrijk wel zo'n 70% van alle planten. Het bestrijden van de druifluis was vrijwel onmogelijk. Men ontdekte dat de wijnrankfamilies in Noord- Amerika wel resistent waren tegen de druifluis. De oplossing was deze wortelstokken te importeren en Europese varianten hierop te entten. (Wikipedia) KNMI, US Dod en RIM (Blackberry) diversificeren nu al 42 19

20 KNMI: diversificatie van meteo Schiphol Back-up systeem in hardware en software Back-up systeem is gebouwd door een andere leverancier Hoofdsysteem draait op windows draait op een ander besturingssysteem (linux) Doel is verminderen kans op volledige uitval meteo systeem Gebruik Open Standaarden As a matter of logic alone: If you care about the security of the commonwealth, then you care about the risk of a computing monoculture. If you care about the risk of a computing monoculture, then you care about barriers to diversification. If you care about barriers to diversification, then you care about user-level lock-in. And if you care about user-level lock-in, then you must break the proprietary format stranglehold on the commonwealth. Until that is done, the user-level lockin will preclude diversification and the monoculture bomb keeps ticking Dealing with the lack of diversity The IT industry has tended towards dominant suppliers. As systems become increasingly interconnected, a common vulnerability could trigger cascading failures. Diversity can be a security issue as well as a competitive one. Options to promote logical diversity 1. Promoting open standards to facilitate market entry 2. Promoting diversity in the procurement process and e-government 3. Advise competition authorities when lack of diversity presents a security issue (Enisa, 2008) 44(Daniel Geer: Massachusetts assaults monoculture) 20

21 Relaties tussen regelgeving Nationale Veiligheid Pandemieën/plaagorganismen Digitale verlamming convention on biological diversity, importregels bestrijdingsmiddelenwet beleid bevorderen gezondheid planten & dieren, EU gezondheidsstrategie ontbreekt! wet computercriminaliteit I & II, VIR(-BI), WBP, BevVS 2005 beleid bescherming eigen ICT infrastructuur EU verordening bestrijding zoönosen beleid repressie cybercrime international health regulations (WHO): surveillance & response regelgeving inperking digitale verlamming, nat. continuïteitsplan, nat. continuïteitsplan telecom (NaCoTel), beleidsplan crisisbeheersing 45 Alternatieve software Office suite MS Office OpenOffice StarOffice Koffice Wordperfect Office Gnome Office Lotus Symphony Softmaker Office Database server Oracle MS SQL server IBM DB3 MySQL PostgreSQL Sybase ASE SQLite Web client MS IE Firefox Opera Google Chrome Safari Operating systeem MS Windows Mac OS X Ubuntu Linux + KDE RedHat Linux + Gnome OpenSuse Linux + Xfce Solaris FreeBSD 46 21

22 Open Source Software onveiliger? OSS is NIET onveiliger door reverse engineering van CSS OSS volgt Kerkhoff s principe: veiligheid moet vertrouwen op een goede sleutel, niet van het geheim blijven van de werking OSS verbetert het zicht op kwetsbaarheden (zie slide 39) OSS + open standaarden bevorderen toegevoegde waarde OSS bevordert concurrentie = betere producten, lagere prijzen OSS projects can achieve / exceed commercial quality Meestal meer keuze, kleiner marktaandeel per product Maar OSS heeft last van FUD antireclame 47 Geen diversificatie Huidige situatie: alle overheidsorganisaties gebruiken Risico stapeling Ongerichte exploits (op marktleidende software) dezelfde, marktleidende software; Uitwisselbaarheid van informatie is daarmee gegarandeerd Organisatie A Gerichte exploit 1 Organisatie B Gerichte exploit 2 Organisatie C Gerichte exploit 3 Schade: 6 x 3 = 18 besmettingen 49 22

23 Effect diversificatie Gewenste situatie: overheidsorganisaties gebruiken Risico spreiding Ongerichte exploits (op marktleidende software) geen marktleidende software; Open Standaarden garanderen de uitwisselbaarheid van informatie Organisatie A Organisatie B Organisatie C Gerichte exploit 1 Gerichte exploit 2 Gerichte exploit 3 50 Schade: = 6 besmettingen Model voor diversificatie Figuur 1 Besmetting en ontsmetting in het SIS model Totale populatie Geïnfecteerd (I) malware Vatbaar (S) Ontsmetting γ.i β.i.s Besmetting 23

24 Berekenen effect diversificatie Voor wie het thuis nog ff na wil rekenen 24

25 Legenda Resultaatketen = Activiteit = SMART doelstelling Resultaatketen aanbevelingen (bronnen: Gartner, US Cyber security Act 2009) Kies Open Source software Minder exploits / incidenten Lagere ROI malware Verbeter Patch management Kortere patch cyclus Verbeter Incident response Ojectieve bewaking marktaandelen Gebruik Open Standaarden Minder 0-days diversificatie software Opleiding & Bewustwording Thuisgebruik nieuwe software Minder impact incidenten Meer innovatie, betere producten, toekomstvaster Verbeter pakkans cybercrime Lagere licentiekosten, betere continuiteit, economische voordelen Kies Open Source software Vervang marktdominante software 54 Vitale Infra minder kwetsbaar Betere concurrentie Lagere ICT kosten Aanbevelingen in detail Stel - de ICT organisatie ondersteunt: 1 kritieke online toepassing: 1 niet-kritieke organisatie: >1 niet-kritieke organisaties: 1 kritieke organisatie: Software alternatief A Software alternatief B Geen marktleidende standaardsoftware voor Office, web browser & mail 2 software alternatieven voor Office, web browser & mail Geen marktleidend besturingssysteem Voor elke ICT organisatie geldt: gebruik Open Standaarden! 55 25

26 Inhoudelijke Interactief element Tijdsduur: en procesmatige argumenten voor en tegen Groepsdiscussie De zaal is de tot 20:45 jury tussen Pro s de Contra s Waarom geen diversificatie? 1. Onze software is veilig genoeg 2. Het Beleid schrijft deze software voor 3. We standaardiseren IT en centraliseren IT services bij de SSO 4. We missen kennis en ervaring, onze medewerkers willen dit niet 5. Waarom wij wel en zij niet? 6. Isoleren we onszelf met andere software? 7. Geen tijd / budget; eerst reorganiseren; de migratie duurt te lang, is te complex 8. We hebben te veel systemen om van OS te kunnen wisselen 9. Biologische diversificatie, OK: maar IT diversificatie?? 57 26

27 Waarom wel diversificatie 1. Software is voorlopig nog erg onveilig en cybercrime groeit sterk 2. Wie accepteert formeel het hogere cybercrime risico? 3. Wie bepaalt het standaardproduct - klant of leverancier? 4. Kies geen marktleidende software bij EOL huidige software. Verbeter kennis met opleiding en ondersteuning. 5. Waarom zij wel en wij niet? 6. Gebruik Open Standaarden 7. Hoeveel is vermindering van risico waard? Doen we naast spoedeisende, ook belangrijke dingen? 8. Zo snel mogelijk aanpakken platform / vendor lock-in 9. Diversificatie vermindert kwetsbaarheid 58 Faced with the choice between changing one s mind and proving that there is no need to do so, almost everyone gets busy on the proof. (J.K. Gailbraith) Aanpak yber crime Verdeel en heers Afsluiting Doel presentatie: bewustwording situatie cybercrime Onderwerpen in de presentatie: ICT ontwikkelingen 5 Goede redenen voor standaardisatie Ontwikkelingen cybercrime Wat kan beter Vragen? henk-jan.vander.molen@ivw.nl 60 27