GhostNet: een waarschuwing

3 april 2009
Het bestaan van GhostNet werd bekend door publicatie van het werk van de universiteiten van Toronto en Cambridge. Twee onderzoeksgroepen analyseerden op verzoek van de Tibetaanse leiding de IT-systemen op het hoofdkwartier in Dharamsala in het noorden van India. Via gerichte social engineering, ook wel bekend als social phishing, werden medewerkers verleid op interessante links te klikken. Die waren echter ingericht om malware op de betreffende pc te installeren.

Zo ontstond een netwerk van minstens 1295 computers in 103 landen, waarvan 30 procent beschouwd kan worden als cruciale diplomatieke, politieke, economische en militaire doelwitten. Door het spionagenet werd het mogelijk dat de Chinese overheid een diplomaat kon afraden in te gaan op een uitnodiging van de daila lama, nog voordat deze officieel door de Tibetaanse leider was benaderd.

Nederlandse organisaties zijn niet gevrijwaard. Ross Anderson, hoogleraar Beveiliging aan de University of Cambridge Computer Laboratory, stelt in het onderzoeksrapport dat maar weinig organisaties buiten defensie en inlichtingendiensten een aanval zoals deze op de Tibetaanse leiding kunnen weerstaan.
Schade cyberaanval 193 miljard euro
De Europese Commissie waarschuwt deze week voor de ontwrichting van computernetwerken van bedrijven en overheden als gevolg van gerichte cyberaanvallen. Voorvallen in Estland, Letland en Georgië noemt eurocommissaris Viviane Reding als voorbeeld. In 2007 moest het Estlandse parlement twaalf uur lang zijn e-mailservers uitschakelen als gevolg van een aanval. Ook raakten de systemen van twee banken onklaar. Reding schat dat de komende tien jaar er tot 20 procent kans bestaat dat communicatienetwerken in Europa ontwricht raken, met een potentiële economische schade van 193 miljard euro.

Reding wil een Europabrede publiek-private samenwerking om tot strategieën te komen voor beveiliging van de communicatie-infrastructuur. Ook moeten er noodplannen komen voor incidenten. Het is belangrijk dat binnen Europa een lijn getrokken wordt omdat zwakheden in het ene land de beveiliging van andere landen kunnen ondermijnen.

‘Zijn we er zeker van dat er geen spionnen werkzaam zijn binnen de Nederlandse politiek of overheid?’, vraagt Walter Belgers, ethisch hacker bij beveiligingsbedrijf Madison Ghurka, zich af. “Dat soort vragen is nooit met zekerheid te beantwoorden.” Onderzoek doen naar de aanwezigheid van spionagesoftware op de systemen van deze gebruikers is niet eenvoudig. De enige manier om een organisatie te wapenen tegen social phishing is alle medewerkers te trainen en alert te houden. Belgers: “Deze aanvallen maken gebruik van de zwaktes bij mensen.”

Paul Derksen, ethisch hacker bij IT-beveiliger Motiv, merkt op dat de malware van GhostNet gebruikmaakt van lekken in software waar al maanden een patch voor beschikbaar is. Een accuraat patchbeleid bij IT-beheerafdelingen is dus van groot belang. “Daar ontbreekt het nogal eens aan”, concludeert Bastiaan Bakker, business development manager van Motiv, uit intern onderzoek naar patchdiscipline van onder meer Oracle- en Microsoft-toepassingen.

Hij ziet bovendien mogelijkheden beter in de gaten te houden welke informatie het bedrijf verlaat met behulp van moderne toepassingsbewuste (application-aware) firewalls. “Het probleem is dat veel IT-afdelingen vertrouwen op firewalls die alleen onderscheid maken tussen verschillende protocollen. Inmiddels verpakt malware daarom zijn verkeer als http-verkeer omdat de meeste firewalls dat ongehinderd laten passeren.”

GOVCERT.NL, de alarmeringsdienst voor een groot aantal overheden, acht de kans klein dat gevoelige staatsinformatie weglekt. De Nederlandse ministeries hanteren een fysiek gescheiden netwerk voor informatie die geheim moet blijven. Verder bestaan strenge protocollen hoe met informatie moet worden omgegaan en heeft GOVCERT.NL analysegereedschap waarmee veel malwarecommunicatie kan worden onderschept. Woordvoerster Ella Broos: “Het grote voordeel van zo’n incident is dat iedereen weer op scherp staat.”

SP-parlementariër Arda Gerkens maakt zich geen illusies. “Nederland staat bekend als het meest ‘afgetapte’ land. Linkse partijen zijn sowieso vaak doelwit van onderzoek.” Toch heeft zij wel vertrouwen in de beveiliging van de systemen die de Tweede Kamer gebruikt. “De zwakste schakel is wat je privé doet. Ik zal zelf daarom nooit informatie uit de Kamer via privémail versturen. Ook wil ik geen draadloos netwerk thuis omdat ik de beveiliging niet vertrouw.”

Bakker van Motiv twijfelt of de inschatting van Gerkens over de overheidssystemen terecht is. “Eindgebruikers zijn snel onder de indruk van beveiliging, tot het misgaat. Het is de taak van de beveiligingsdienst alert te blijven. Nieuwe risicovolle aanvalstechnieken zoals GhostNet vragen mogelijk om nieuwe maatregelen.”



 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!