Van geld stelen naar naaktfoto's buitmaken | Europees reageren op cyberaanval

Goedemorgen! In deze nieuwsbrief geven we je wat extra context en verdieping bij het hack- en privacynieuws. Met deze week: hoe het threat model van internetgebruikers steeds intiemer wordt en Europese reacties op digitale aanvallen. 

Hoe kan een internetcrimineel nog geld verdienen op het Nederlandse internet? De schade door fraude met internetbankieren nam weliswaar toe in 2017, maar is nog steeds historisch laag. In 2011 werd voor ruim 35 miljoen euro gefraudeerd met internetbankieren, vorig jaar was dat ‘slechts’ 1,2 miljoen euro.

In bijna 97 procent van de gevallen betaalt de bank de schade. Geen verrassing dus dat uit onderzoek blijkt dat Nederlanders zich weinig zorgen meer maken om fraude met internetbankieren.

Maar dat betekent natuurlijk niet dat die internetgebruiker niets meer te vrezen heeft. Ransomware gaat voorlopig nergens heen. Voor criminelen veel makkelijker en schaalbaarder dan fraude met internetbankieren, je hoeft er bijvoorbeeld geen tweetrapsauthenticatie voor te omzeilen. En je koopt het gewoon op de zwarte markt.

Ironisch, eigenlijk, dat encryptietechnologie die bedoeld is om gebruikers te beschermen enthousiast wordt gebruikt door aanvallers: ransomware leunt immers op sterke encryptie-algoritmes als AES en RSA, waardoor ontsleuteling zonder hulp van de aanvallers zo goed als onmogelijk is. (Doe je backups!)

Feit is dat de bestanden op de gemiddelde consumentenlaptop beter versleuteld zijn nadat hij door ransomware is getroffen. Microsoft leverde namelijk jarenlang geen ingebouwde versleuteling mee met de consumentenversies van Windows en dat gebeurt nog steeds niet op alle apparaten.

Maar het threat model van de gemiddelde Nederlander zou meer moeten omvatten dan ransomware. En vooral de gemiddelde Nederlander met een camera in z'n huis. Alle slimme apparaten zijn natuurlijk een risico, zoals alle apparaten met een internetverbinding dat zijn, maar Cybernieuwtjes vreest toch het meest voor voor camera’s.

Bol.com merkte een verdubbeling van de verkoop van het aantal ‘slimme’ camera’s, en Coolblue ziet dat mensen steeds geavanceerdere en ook steeds meer camera’s kopen. 

Veel webcams zijn afkomstig van Foscam; in Nederland prijken er volgens de Consumentenbond 50.000 en 100.000 webcams met dat logo. De vraag is of die netjes zijn bijgewerkt - zo niet, dan zijn ze op afstand over te nemen. De kwetsbaarheden in Foscam-camera’s zijn al een maand oud, maar de Consumentenbond vreest dat veel mensen de update niet hebben geïnstalleerd. Je moet daar namelijk zelf actie voor ondernemen. Als je slimme apparaten uitbrengt, zouden die zichzelf op z'n minst automatisch moeten kunnen updaten, denkt Cybernieuwtjes. 

Ook zou er wetgeving kunnen komen om leveranciers van kwetsbare apparaten aansprakelijk te stellen, al is dit natuurlijk lastig te handhaven als onveilige apparaten rechtstreeks op de Chinese markt gekocht worden. Onder andere de Cyber Security Raad, die het kabinet adviseert, is hier voorstander van, net als het Agentschap Telecom.

De risico’s van onveilige camera’s zijn groot. Zo loop je het risico dat er binnen mum van tijd iets vervelends op je webcam draait en dat hij wordt gebruikt om andere apparaten aan te vallen, te spammen en ddos-aanvallen uit te voeren − vooral als je een goedkoop model van sites als AliExpress haalt. Sommige webcams hebben een telnet-verbinding aan boord die toegankelijk is met een root-account waar je het wachtwoord niet van kunt wijzigen.

Maar een slimme camera is natuurlijk bij uitstek gevoelig omdat er, nou ja, een camera aan boord zit. En het zal je verbazen wat mensen voor het oog van zo'n camera doen. De NOS-helft van Cybernieuwtjes dook in maart in een forum met voyeur-beelden en zag buitgemaakte webcambeelden met grafische seksuele handelingen.

Ook op het gemiddelde iCloud- of Google-account is aardig wat te vinden. Denk aan met toestemming gemaakte naaktselfies die beter niet op het openbare deel van het internet belanden. Wat dat betreft is het schokkend dat minder dan 10 procent van de Google-gebruikers in januari tweestapsauthenticatie had ingeschakeld.

Hoe fout dat kan gaan blijkt wel uit de slachtoffers van twee mannen die lid waren van het wraakpornonetwerk waar RTL Nieuws-journalist Daniel Verlaan eerder over schreef. Ze doorzochten de accounts van jonge meisjes en vrouwen, op zoek naar naaktbeelden en seksfilmpjes.

Dat lukte ze bijvoorbeeld door oude wachtwoorden van meisjes en vrouwen te vinden in uitgelekte lijsten met wachtwoorden, die relatief makkelijk te vinden zijn. Ook raadden ze de geheime vragen van iCloud-gebruikers. (‘Geheime vragen’ bestempelt Cybernieuwtjes tot de domste beveiligingsmaatregel ooit.)

Het treurige is dat het gaat om twee scriptkiddies − niet qua leeftijd, wel qua skills. Het nemen van triviale beveiligingsmaatregelen is voldoende om dat soort aanvallers buiten te houden. (Waarbij we nadrukkelijk niet aan victim blaming willen doen.)

En controle verliezen over beelden die intiem zouden moeten blijven, is eigenlijk veel erger dan geld verliezen met internetbankieren, denkt Cybernieuwtjes. Dat krijg je wel terug (zo nee, meld het ons!). Maar een naaktfoto die op internet is belandt, verdwijnt nooit meer. Dus update die slimme camera’s en stel tweestapsauthenticatie in, en doe hetzelfde bij al je kennissen. Nu! 

Ter land, ter zee, in de lucht, in de ruimte. En in de cyber. In 2016 benoemde de NAVO informatietechnologie als vijfde domein waar het verantwoordelijkheid voor draagt om te beschermen. 

Sinds een Amerikaanse generaal in 2012 speculeerde over een cyber-Pearl Harbor wordt er veel gesproken over de consequenties van zo'n digitale oorlogsoperatie.

Wat dit soort scenario’s lastig maakt, is dat het moeilijk is een respons te formuleren op cyberaanval. Het is ingewikkeld om met grote zekerheid vast te stellen wie er achter een aanval zit, en zelfs of het wel om een aanval gaat of gewoon een storing.

Ondanks de problemen rond attributie kan een doelgerichte verstoring van bijvoorbeeld een energienetwerk niet straffeloos blijven. Dus de vraag is: hoe veroordeel je als land een cyberaanval van een buitenlandse mogendheid? In 2014 liet president Obama vijf Chinese officieren vervolgen voor cyberspionage. De kans dat de mannen ooit een voet op Amerikaans grondgebied zouden zetten was klein, dus deze stap van Obama was bedoeld om een signaal af te geven: we houden jullie in de gaten.

Om vergelijkbare reden kondigde gisteravond speciaal aanklager Mueller aan om 12 Russen te zullen vervolgen naar aanleiding van ongewenste inmenging in de Amerikaanse verkiezingen.

Het is interessant om te volgen hoe de Europese Unie zich voorbereidt op een eventuele cyberaanval. Nationale veiligheid is namelijk van oudsher iets wat lidstaten graag zelf regelen, maar op het internationale toneel loont het om samen te werken.

In 2017 spraken de lidstaten voor het eerst af dat er diplomatieke middelen ingezet zouden kunnen worden om te reageren op een cyberaanval, bijvoorbeeld door een officiële brief te bezorgen bij de ambassade van de dader. Zulke politieke consequenties zouden de drempel voor een cyberaanval verhogen.

Inmiddels is het denken een stuk verder: voortaan zou in EU-verband samengewerkt moeten worden in het geval van een large scale cyber incident. Hoe groot zo'n incident moet zijn om voor large door te gaan, wordt vooralsnog in het midden gelaten.

Europese ministers spraken eind juni in de Raad af dat lidstaten weliswaar nationaal verantwoordelijk zijn voor hun eigen crisisrespons, maar in EU-verband zullen samenwerken door bijvoorbeeld crisisoefeningen uit te voeren en elkaar technische ondersteuning te bieden.

Ook vinden de Europese ministers dat sommige crises beter op Europees niveau aangepakt zouden kunnen worden. Europese samenwerking na een cyberaanval zal gaan bestaan uit het identificeren van ‘technische, operationele, en politieke maatregelen’ en ‘waar noodzakelijk’ zal ook samen gecommuniceerd worden. Misschien hoor je in plaats van speculatie over Russen dus voortaan wel van Donald Tusk hoe de vork echt in de steel zat.

Voor de meeste mensen lijkt vijf jaar al ver weg, maar de makers van deze klok willen dat mensen na gaan denken op een termijn van tienduizend jaar. Hoe ziet de menselijke soort er dan uit, en wat voor impact heeft zij op geologische schaal?

Achter dit project zitten onder meer Steward Brand, bekend van de Whole Earth Catalog, en Amazon-oprichter Jeff Bezos. De podcasts van Long Now Foundation zijn ook prikkelend.

Wij vinden het altijd leuk om op onze feilbaarheid gewezen te worden en waren dan ook blij om opnieuw van onze scherpe lezers te horen. Klik deze slimme mensen aan op twitter!

Jeroen (inmiddels welbekend bij de trouwe CyberNieuwtjes-lezer) wees er terecht op dat WannaCry geen interactie van de gebruiker vergt:

Er was wel een scenario waarin gebruikers een Windows-UAC-scherm voor hun kiezen kregen, zoals wij schreven, maar dat was een beperkt scenario en daarbij ging het niet om de initiële infectie.

En lezer Dennie zou een baan bij Politico moeten krijgen omdat hij zo ongeveer als eerste doorhad dat de stemming in het Europarlement nog niet ging over het aannemen van de copyrightwet zelf, maar over het mandaat van de JURI-commissie om daarover te mogen onderhandelen. 

Dat was het, tot over twee weken!