Er is een hoogst curieuze veiling gaande: een groep hackers, de ShadowBrokers, slijt publiekelijk een roedel zogeheten zero-day exploits aan de hoogstbiedende. Zero-day exploits zijn beveiligingsgaten die nog niet zijn gepubliceerd en waar de betrokken software- of hardware-fabrikant geen weet van heeft, zodat ze geen verweer tegen de bewuste kwetsbaarheid hebben kunnen ontwerpen.
Het effect? Iedereen die zulke hardware of software gebruikt, kan worden gehackt door deskundigen – of door groepjes die zulke exploits verzamelen en heimelijk aan elkaar doorgeven – met mogelijk grote gevolgen. De fabrikant heeft niet door dat zijn product lek is, de klant weet niet dat zijn gegevens geoogst kunnen worden door kwaadwillenden. Beiden denken hun zaakjes op orde te hebben, maar verkeren in schijnveiligheid.
We weten al langer dat de NSA, de Amerikaanse afluisterdienst, dergelijke zero-day exploits verzamelt. De NSA zet zelfs deskundigen in om die als eerste op te sporen, teneinde ze later naar eigen goeddunken te gebruiken tegen mogelijk verdachte organisaties.
De NSA is terdege bekritiseerd om deze praktijk. Door gevonden exploits niet te publiceren, zoals serieuze veiligheidsexperts doen, maar ze te eigen bate geheim te houden, verzwakken ze uiteindelijk ieders veiligheid. Want welke zekerheid hebben we dat andere, minder nette clubjes, diezelfde exploits niet ook hebben gevonden? Vergroot het onze veiligheid wanneer de NSA denkt dat zij als enige dergelijke exploits heeft gevonden en die secuur kan beheren? Is het niet beter om zulke exploits bekend te maken, opdat ieders algemene veiligheid wordt verbeterd?
De NSA denkt: als wij zulke lekken niet bekend maken, kunnen alleen wij ze heimelijk inzetten.
Deze veiling maakt korte metten met dat idee. De ShadowBrokers hebben ergens in 2013 digitaal ingebroken bij de NSA en zijn er vandoor gegaan met het hele toenmalige pakket aan zero-day exploits. En die verkopen ze nu aan de hoogste bieder. Aan de hand van het lokkertje dat de ShadowBrokers vorige week publiceerden om bieders over de streep te halen, hebben diverse beveiligingsexperts inmiddels bevestigd dat de verkopers een set authentieke zero-day exploits in handen hebben, en dat die inderdaad van de NSA afkomstig moet zijn.
Je wil er niet aan denken dat ISIS, of een andere terreurorganisatie, straks de hoogste bieder blijkt te zijn, en dan dat akelige pakket aan exploits in handen krijgt.
Wat te doen?
De slimste optie: de NSA gedraagt zich per direct als een verantwoordelijk beveiliger, meldt alle ooit gevonden beveiligingslekken alsnog bij de betreffende fabrikanten, wacht tot die een patch hebben uitgebracht, en publiceert dan het lek. Dat ondermijnt de veiling van ShadowBrokers finaal en maakt iedereen op slag veiliger.
Maar de kans dat de NSA voor die optie kiest, is klein. Om ons te beveiligen, hebben ze liever dat wij kwetsbaar blijven.
Bij ons op het werk draaien 3 types computers: een serie voor contact met de buitenwereld, een serie voor alleen het interne netwerk en niet verbonden met de buitenwereldcomputers, en de echt belangrijke computers zijn stand-alone en zelfs zonder netwerkkaart.
Tot nu toe hebben we alle ellende buiten kunnen houden vor zover we weten.
1.@Pieter. Je vergeet een ding. Veel werknemers gaan naar beurzen etc. daar krijgen ze allerlei kleine cadeautjes zoals een muismat (met RFID chip) een muis met opname en verzend mogelijkheid, een toetsenbord dat aanslagen kan opslaan met verzend mogelijkheid, USB-stick dat ook van alles kan. Dat wordt op het werk dan wel thuis gebruikt of beide vooral de USB-stick. Deze dingen kunnen ook gebruik maken van de exploits of trojans bevatten. Via een richtantenne is het mogelijk RFID’s uit te lezen. Een USB-stick merkt dat het contact heeft met internet op de thuis PC en zend alles door. Een leuke pen dat gespreksopnames kan maken en neem je dat mee naar huis en het komt Wi-Fi of Bluetooth tegen dan kan het de boel doorgeven.
Daarom is het bij sommige bedrijven verboden dit mee naar het werk of in bepaalde ruimtes mee te nemen. Veelal mag je dan ook alleen USB-sticks etc. gebruiken die door de werkgever verstrekt zijn. Afhankelijk van de informatiegevoeligheid zijn daar natuurlijk ook weer regels en aparte middelen om lekken zoveel mogelijk te voorkomen.
Zelfs in de wat grotere cadeau’s kan onprettige verrassingen zitten een router-switch dat stiekem data verzend. Maar vergeet ook niet de echte Chinese smartphones, die zijn in sommige bedrijven verboden om naar binnengebracht te worden.
Vroeger had je daarvoor het kopieerapparaat natuurlijk dat elke gemaakte kopie opsloeg en de onderhoudsmonteur nam dat dan mee. Maar misschien wordt dat nog steeds gebruikt wie zal het zeggen.