Cybercriminelen bedwingen met karate en tequila

Trends is als enige Belgische medium uitgenodigd op de Security Analyst Summit van cyberveiligheidsspecialist Kaspersky Lab in Cancun, Mexico. De komende dagen leest u op onze website een verslag van de conferentie.

Meer dan 300 experts bespreken op de Security Analyst Summit de nieuwste trends in cybersecurity, van het beveiligen van smartphones tot aanvallen op energiecentrales en andere kritische infrastructuur.

Begin deze week raakte bekend dat hackers, wellicht uit Oost-Europa, wereldwijd banken hebben aangevallen en meer dan 1 miljard dollar konden stelen. De massieve virtuele hold-up, met ‘Carbanak’ als codenaam, kwam aan het licht dankzij Kaspersky Lab dat op het congres meer details gaf.

Voor het grote publiek is Kaspersky wellicht onbekend, maar in de sector wordt hun research met argusogen gevolgd. Ze staan in de voorlinie in de strijd tegen cybercriminaliteit en het opsporen van gesofisticeerde cyberaanvallen zoals de Carbanak-case. Daarnaast is het ook een van de belangrijkste aanbieders van anti-malware-oplossingen, bescherming tegen computervirussen en andere kwaadaardige software. Kaspersky had in 2013 een jaarlijkse omzet van 667 miljoen dollar en telt meer dan 3000 medewerkers over de hele wereld.

Zoals de naam het doet vermoeden, heeft Kaspersky Russische roots. De hoofdzetel is in Moskou. In 1997 werd het bedrijf opgericht door Eugene Kaspersky. Als tiener studeerde Kaspersky cryptografie op een speciale school die gelinkt werd aan de beruchte veiligheidsdienst KGB. Die link zorgt ervoor dat de Amerikaanse overheid slechts in beperkte mate een klant is, volgens The New York Times. Staten in het Midden-Oosten en in Azië die Amerikaanse cybersecurity-oplossingen wantrouwen omdat ze vaak het doelwit zijn van cyberaanvallen uit de VS, zijn dan weer gretige afnemers. Kaspersky heeft daardoor een zeer goed beeld van de capaciteiten van het Amerikaanse elektronische spionageprogramma.

Hun wedervaren met Amerikaanse spionagesoftware vormde het tweede hoogtepunt van de eerste congresdag. We kregen een uitgebreid relaas over de Equation Group, een organisatie die wellicht verbonden is met de NSA, en die meer dan vijftien jaar duizenden computers van overheidsinstellingen, bedrijven en belangrijke personen ongemerkt heeft kunnen hacken. Volgens Kaspersky gebeurde de aanval met de meest gesofisticeerde malware ooit en is de software nog gevaarlijker dan het beruchte Stuxnet, dat het Iraanse kernwapenprogramma saboteerde (Lees het artikel over de Equation Group in The Daily Trends).

Andere hoogtepunten en observaties op de Security Analist Summit.

‘Do not trust your iPhone’

De officiële verwelkoming startte met een waarschuwing voor iPhone-gebruikers. De toestellen zijn niet te vertrouwen, toch niet in Cancun. Om Amerikaanse toeristen het gemakkelijker te maken, is Cancun een tijdszone opgeschoven, maar Apple heeft dat nog altijd niet aangepast in zijn besturingssysteem, waardoor de automatische klok een uur achter loopt.

Cybersecuritynerds houden van gevechtssporten…

Het thema van de conferentie is ‘Mortal Kombat’, het legendarische computerspel waarbij personages elkaar tot de dood bekampen, zoals de cybersecurity-experts de hackers bekampen. De titels van de sessies verwijzen ook telkens naar gevechtsfilms- en -sporten. Maar het gaat verder dan wat beeldspraak. Veel sprekers pochen openlijk met hun vaardigheden als gevechtssporter en zijn duidelijk mensen waar men beter geen ruzie mee zoekt.

… en van tequila

Alle sprekers krijgen na hun presentatie een shot tequila aangeboden op het podium. De moderator doet telkens uit sympathie mee. Gelukkig voor de moderatoren in kwestie worden ze na een paar uur afgelost, toch krijgen ze zo op korte tijd een viertal shots binnen. Dit is duidelijk geen gewone IT-conferentie.

Het internet is onveilig, en daardoor is er zo veel concurrentie

Dan Kaminsky, een bekende veiligheidsresearcher, maakte een rake opmerking tijdens zijn presentatie over de onveilige opbouw van het internet. Omdat de architectuur van het internet niet was ontworpen met strakke veiligheidsprotocols in het achterhoofd, was het ook bijzonder moeilijk voor een bedrijf om het internet naar zijn hand te zetten. Dat is de reden waarom giganten zoals Google of Facebook niet op hun beide oren kunnen slapen. Ergens kan er wel een nieuwe dienst ontstaan in een studentenkamer of een garage. En er is geen enkele manier om nieuwe spelers de toegang tot het internet te ontzeggen.

Ook hackers zijn maar mensen

Het is algemeen bekend dat hackers altijd de zwakste schakel van de beveiliging op de korrel nemen: de mens. Veel te veel mensen gebruiken bijvoorbeeld nog kinderlijk eenvoudige wachtwoorden. Maar ook hackers laten steken vallen. In een fascinerende analyse toonde Chris McConkey van PWC aan hoe men verschillende geheime cybersoldaten kon identificeren door de sporen die ze hebben nagelaten. In enkele gevallen waren hackers in dienst van de Chinese overheid zelfs zo slordig dat ze inlogden op Facebook en andere netwerksites via de computers die ze aan het infecteren waren. Daardoor kon er allerhande privé-informatie over de hackers worden opgediept. De Chinese overheid liet niet toe dat ze op het eigen netwerk naar socialemediawebsites surften uit veiligheidsoverwegingen, maar voor de hackers was de verleiding toch te groot. De prijs voor domste cybercrimineel gaat wellicht naar twee Amerikanen die foto’s van buitgemaakte cash online plaatsten na het hacken van bankautomaten.

De gulle flappentappers van Carbanak

Een van de belangrijkste presentaties ging over de Carbanak-malware, waarmee Oost-Europese hackers bijna een miljard dollar aan cash bij banken konden ontvreemden. Een van de technieken was het hacken van bankautomaten die vanzelf geld uitspuwden wanneer een handlanger in de buurt was. Kaspersky werkte samen met de politie, maar de research verliep niet altijd even vlot. Uit privacy en juridische overwegingen mochten de mensen van Kaspersky de data enkel op een commissariaat bekijken, op een computer die niet was aangesloten op het internet en ze mochten enkel notities nemen op papier en onder toezicht.

De voortdurende paranoia van de systeembeheerder

Na de Carbanak-sessie had Kaspersky een presentatie gepland van de cyberexpert van de grote Amerikaanse bank Wells Fargo. De ex-marinier wond er geen doekjes om: een systeembeheerder mag niemand vertrouwen en ervan uitgaan dat er waarschijnlijk al hackers binnen zitten. De nadruk moet daarom liggen op het verhinderen dat hackers effectief data kunnen doorsluizen. Hij was ook bezorgd over de vele inbraken in medische databanken. Cybercriminelen kunnen de privégegevens van miljoenen mensen bemachtigen en die gebruiken bij andere instellingen, waaronder banken.

Waarom bedrijven beter beloningen uitreiken voor kritieke bugs

Er is online een zwarte markt waar hackers beveiligingslekken in software verkopen. Door de complexiteit van de huidige software heeft elk programma wel ergens een zwakke plek. Katie Moussouris heeft bij Microsoft nog het project opgestart om beloningen uit te loven voor grote lekken. Velen binnen Microsoft waren sceptisch omdat de beloning slechts een paar duizend dollars was en die kritieke bugs op de zwarte markt honderden keren meer waard zijn. Maar blijkbaar werkte een kleine beloning ook om dat illegale circuit droog te leggen.

Een chip in de hand vervangt wachtwoorden

Er zijn ook demonstraties op de Security Analyst Summit. Een daarvan was memorabel. Het publiek kon zien hoe een medewerker van Kaspersky een chip met een draadloze zender in zijn hand liet inplanten. In theorie kan hij het gebruiken om draadloos te betalen (als de automaat contactloos betalen toelaat) of om een virtuele klantenkaart te hebben. De man in kwestie hoeft dus geen wachtwoorden en PIN-codes meer te onthouden. Maar compleet onkraakbaar is het niet. Experts vrezen dat cybercriminaliteit zal evolueren naar biohacking, waarbij mensen met dergelijke implantaten zelfs lichamelijke schade kunnen oplopen.

Stijn Fockedey in Cancun