Het idee dat hackers een soort raketgeleerden zijn die voor normale stervelingen onmogelijk zijn te stoppen, moet nodig worden ontkracht.
Als je het web, de kranten en tijdschriften, de tv en de radio moet geloven, krijgen we de laatste tijd steeds vaker te maken met uiterst geavanceerde hacks en malware. Het beeld dat oprijst uit de media is dat de wereld onder vuur ligt van nauwelijks te stoppen überhackers met superslimme tools en ‘mad skillz’.
De realiteit is toch wel even anders. Boosaardige hackers maken in feite al jaren gebruik van vrijwel dezelfde tools en misbruiken dezelfde bekende zwakke punten. Het probleem is dat bedrijven en eindgebruikers niet doen wat ze zouden moeten doen om zichzelf tegen die dreiging te beschermen. Iedereen die net doet alsof de hedendaagse aanvallers en hun gereedschap zo goed als onverslaanbaar zijn, maakt zich schuldig aan gevaarlijk misleidende beeldvorming.
De strategieën en technieken van de aanvallers zijn nauwelijks veranderd sinds de uitvinding van de computer: malware, buffer overflows, social engineering, wachtwoorden kraken en zo voorts. Met opvallend weinig uitzonderingen (zoals dynamische botnets) is er zo goed als niets veranderd – behalve dan dat de aanvallers meer doen met de toegang die ze weten te vinden.
Een voorbeeld: er is een nieuwe rootkit die Mebromi wordt genoemd, die in staat is het BIOS van je moederbord aan te passen, zodat het moeilijker wordt bepaalde malware te ontdekken en te verwijderen. Dat is best spannend, maar het is niets nieuws: het CIH-virus had er al veel succes mee in 1998. Malware die gegevens versleutelt en het in gijzeling houdt tot de eigenaar een bepaald bedrag betaalt is ook zo’n nachtmerrie waar je de laatste tijd veel over leest. Maar het AIDS Trojaanse paard deed dat al in 1989.
De meest voorkomende manieren om tot servers door te dringen (applicatie exploits en SQL-injecties) zijn al meer dan 10 jaar oud. Zelfs de meest gebruikte aanvallen op eindgebruikers (valse antivirusprogramma’s en misbruik van ongepatchte programma’s) bestaan al vele jaren. De eerste valse antivirus-melding dook op in 1989 en deed zich voor als McAfee software. John McAfee begon kort daarop met de digitale ondertekening van zijn software, en de rest van de online software branche volgde niet veel later.
Het is niet zo vreemd dat de booswichten maar blijven vertrouwen op dezelfde vertrouwde tactieken en technieken: waarom zou je nieuwe manieren verzinnen om te hacken als de oude het nog prima doen? Organisaties die hun omgeving een serieus stuk veiliger willen maken, kunnen beter eens serieus werk gaan maken met het volgende:
Train je eindgebruikers
Zware beveiligings-tools zijn niet het eerste waar je aan moet denken. Jezelf verdedigen tegen boosaardige indringers is echt niet onmogelijk, maar je moet wel zorgen dat je eerst de basis op orde hebt voor je zwaar geschut kunt overwegen.
Voor sommige vormen van beveiliging is internationale coördinatie nodig, bijvoorbeeld als je het moeilijker wilt maken om via het internet kwaadaardige handelingen te verrichten. Maar ook de uitdagingen die daar liggen zijn de afgelopen 20 jaar in feite niet veranderd. Het enige verschil is dat we nu de ervaring en de protocollen hebben om ervoor te zorgen dat onze systemen veilig zijn – we doen het alleen niet. De dag gaat gerust een keer komen dat we het wel doen, maar ik ben bang dat die dag pas komt nadat cybercrime nog veel meer onschuldige slachtoffers heeft gemaakt.
Zolang we ons niet internationaal gaan inspannen om het voor slechte mensen moeilijker te maken slechte dingen te doen via het internet, is het beste wat je in je eigen organisatie kunt doen: zorgen dat je je basis op orde hebt. Laat je verder vooral niet gek maken door alle hype.