Hij heeft zijn hele leven gewijd aan het beschermen van de privacy van mensen online en bij het bedrijf F-Secure zet hij dat werk voort. “Het kan op veel manieren worden gezegd… dat we de strijd om privacy hebben verloren. Veel mensen herinneren zich niet hoe de wereld was vóór het internet. Voor veel mensen is Google of Wikipedia er altijd geweest. En het is normaal dat ze een veelheid aan diensten op internet gebruiken, waarbij ze allerlei soorten gegevens en inhoud introduceren. Zo betaal je echt op internet. Een video maken kost geld maar we betalen het met onze data en privacy”, legt F-Secure-expert Miko Hypponen op RootedCON 2017 niet uit.
“Misschien hebben we een oorlog over privacy verloren. Wij zijn die generatie mensen wiens leven van begin tot eind kan worden gevolgd. We hebben allemaal volgapparatuur bij ons. Het is heel gemakkelijk om te controleren waar we zijn, met wie we communiceren. Het is gemakkelijk om te weten wat voor soort mensen we zijn. Wat interesseert ons. En alle gegevens worden verzameld. Data is de nieuwe olie. Dit is zo en daarom spreken we van inlichtingendiensten, maar ook van bedrijven die gegevens van ons verzamelen. Google verdiende in 2016 80.000 miljoen … door gratis diensten aan te bieden ”.
Asymmetrische oorlog tegen cybercriminaliteit
“We hebben de strijd om privacy en de strijd om veiligheid verloren. Ik weiger echter toe te geven dat we die laatste zijn kwijtgeraakt. Alles wat ik heb gedaan sinds ik begon met het bestuderen van malware en reverse engineering was voor dat doel: vechten tegen de slechteriken. Tegen degenen die malware verzenden, denial of service-aanvallen. Maar wij zijn degenen met de witte hoed in vergelijking met degenen met de zwarte hoed. Ik ontken niet dat ons werk ingewikkeld is, omdat aanvallers toegang hebben tot onze verdediging.
“Het eerste dat ze leren, is wat voor soort beveiliging ze moeten doorbreken. Dat is het uitgangspunt van een aanvaller. En als ze het eenmaal weten, beslissen ze hoe ze binnenkomen. Ze hebben veel tijd om zich voor te bereiden… en wij weinig om te reageren. We horen altijd slecht nieuws over computerbeveiliging, over aanvallen, lekken of over gebruikers die domme dingen doen, voor alles hetzelfde wachtwoord gebruiken en kwaadaardige links openen. Maar waar waren we 10 jaar geleden? Er zijn grote vorderingen gemaakt op het gebied van beveiliging. Tien jaar geleden gebruikten veel gebruikers Windows xp, dat standaard niet eens een firewall had.
“Op het gebied van veiligheid hebben we een lange weg afgelegd. We maken grote vorderingen, maar helaas evolueert ook de vijand met de tijd mee. Misschien is de tijd gekomen om de vijand te ontmoeten, hem te begrijpen. Maar zoals vaak het geval is, is het makkelijker gezegd dan gedaan. De eindgebruiker heeft geen idee wie er achter de aanvallen zit. Er zijn hacktivisten, criminelen, witte koppen, overheden, extremisten… er zijn allerlei soorten hackers. We hebben mensen als Charlie Miller en Chris Vallasek. Ze hacken omdat ze de beveiliging willen verbeteren. Anonymus heeft reden voor politiek protest. Criminelen willen geld verdienen door virussen te schrijven. En ook overheden zijn hierin geïnteresseerd, want cyberaanvallen tellen op. Ze zijn effectief, ze zijn niet duur en ze zijn onmiskenbaar. Het is een perfecte match als je denkt vanuit een militair oogpunt. Als je een wapen hebt dat goedkoop, effectief en onmiskenbaar is, heb je de perfecte mix. Daarom begint nu het moment van verandering ».
Een nieuwe cyberwapenwedloop begint
We staan aan het begin van de volgende gewapende strijd. We hebben de nucleaire wapenwedloop gezien. We zitten nu in die van cyberwapens. Het is begonnen en zal daar nog jaren blijven. Het zal tientallen jaren duren om over cyberontwapening te praten. En vanuit het oogpunt van de regeringen zijn er niet alleen het leger, maar ook de veiligheidstroepen. Als iemand me had verteld dat de politie virussen zou hebben om burgers te besmetten, had ik het niet geloofd, maar het is zo. Ik heb er geen probleem mee dat regeringen offensieve technologieën gebruiken om misdaden te onderzoeken en terroristen op te sporen. Je moet ervoor gaan in de fysieke wereld en in de online wereld. Maar als we als burgers dit recht aan de veiligheidstroepen geven, moeten we om transparantie vragen. Deze offensieve cybermacht moet ertoe leiden dat de veiligheidsdiensten statistieken publiceren. We infecteerden 200 computers met malware en 150 waren van slechte mensen en werden veroordeeld. Maar het kan ook het tegenovergestelde zijn. Er is geen transparantie en daarom kunnen we hier geen beslissingen over nemen. Maar de grootste groep die geld verdient met aanvallen zijn criminelen. Het zijn mensen die veel verdienen en vervolgd worden.
De nieuwste trends op het gebied van cybercriminaliteit om op uw kosten geld te verdienen
“Een van de nieuwste trends op het gebied van cybercriminaliteit zijn trojans die bitcoins en digitale valuta stelen. We weten dat uitvindingen voor de hand liggen … wanneer ze worden uitgevonden. Dat zijn de beste. Dankzij blockchaintechnologie kunnen transacties automatisch worden uitgevoerd zonder tussenkomst van iemand anders. Bitcoin en de blockchain zijn niet slecht. Ze zijn zo goed als geld. Het probleem is dat criminelen ook geld willen, fysiek of virtueel. Het is moeilijk om cocaïne te kopen met een creditcard. Maar met bitcoin is het makkelijker. Voor criminelen is bitcoin als een geschenk uit de hemel. Dit is de reden waarom er zoveel Trojan-boom is. We volgen momenteel 110 verschillende groepen die strijden om dezelfde slachtoffers. En niet alle groepen komen uit Rusland, er zijn er ook enkele uit Oekraïne.
Hoe gaan ze op zoek naar hun slachtoffers? Eerst door exploits die een computer infecteerden door een link te openen. Tegenwoordig is de meest gebruikelijke manier via een Word-document en een e-mailbijlage. Dit begon in 2008 te gebeuren via de macro. En nu is het terug. Dus degenen die meer aanvallen kunnen krijgen, zijn de personeelsafdelingen die geïnfecteerde cv's ontvangen met links om hun informatie uit te breiden. Microsoft moet de naam van de knop veranderen in plaats van inhoud in te schakelen, het zou moeten zeggen 'infecteer mijn systeem' "-gelach van het publiek-.
Het computervirus dat je 'vergeeft' als het twee vrienden besmet
«Er is zelfs een ransomware geweest - de software die een computer kaapt door de informatie te versleutelen - die $ 1.300 vraagt, maar je kunt jezelf redden door twee andere machines te infecteren. Je moet twee mensen infecteren die uiteindelijk de ransomwarepremie betalen. Het is de popcorn. Elk slachtoffer heeft een unieke url, dus als je het naar Facebook stuurt, zijn veel mensen besmet. Hij is erg creatief en mijn slim. Laten we teruggaan naar deze jongens na ransomware."
De cyberaanval op LinkedIN maakte van de cybercrimineel die het deed miljonair
«Er was een LinkedIN-hack in 2012 en als je erin zat…. ze hebben je sleutels gestolen. Dus als je een account had op dit sociale netwerk, is het gestolen door een cybercrimineel die nu iedereen kent - hij heeft zijn foto laten zien. Ik was een van zijn slachtoffers. Hij heeft nog geen straf gekregen, hoewel hij met zijn vriendin op vakantie in Praag wordt vastgehouden en hoopt dat hij wordt uitgeleverd aan de Verenigde Staten. Wat heeft het te maken met de diefstal van 130 miljoen wachtwoorden? Welnu, andere cybercriminelen zouden naar hen toekomen. Hoeveel kunt u verdienen met het verkopen van wachtwoorden? Ik weet het niet. Maar door een video op YouTube te bekijken, kunnen we een idee krijgen. Praat over je vakantie met supersportwagens zoals de Audi R8 en de Lamborghini Hurracane. Daarnaast is te zien dat hij een Mercedes, een Aston Martin, een Porsche, een Rolex en een Rolls Royce heeft. Hoeveel verdiende hij dan? Nou, ik weet het niet, maar genoeg ».
«Als je deze sleutels krijgt, heb je toegang tot 1,3 miljoen Gmail-accounts. Omdat ze allemaal hetzelfde wachtwoord hebben als in linkedIN. We hebben erom gevraagd en 50% van de gebruikers gebruikt op alle sites hetzelfde wachtwoord. Het is nogal dom. Dus zodra ze Gmail invoeren, zoeken ze naar oude e-mails. Gmail verwijdert ze nooit en ze zoeken naar een specifiek type. Degene die u ontvangt wanneer u zich registreert bij een internetwinkel, zoals Amazon. Zo weten ze dat je een account hebt met dit e-mailadres, bijvoorbeeld Amazon. En als uw wachtwoord er niet op werkt, maakt het niet uit. Omdat alle inlogpagina's een magische knop hebben "Ik ben mijn wachtwoord vergeten" en hoe ze toegang hebben tot Gmail … nou ja, ze hebben er toegang toe. Zodra ze toegang hebben tot Gmail, hebben ze toegang tot alles. Ze kunnen Xbox, Palystation kopen en jij gaat ervoor betalen ».
Het gevreesde internet der dingen
«Een andere grote uitdaging voor ons is de mooie toekomst van het Internet of Things en ICS, het industriële controlesysteem. Zo heeft hij een kernreactie laten zien die plaatsvindt in een zwembad. Waarom laat ik deze video zien? Nou, omdat het een voorbeeld is van industriële controle. Deze reactor wordt aangestuurd door een PLC, een programmeerbare robot. Alle infrastructuren worden beheerd door computers en software. Je moet er duidelijk over zijn. Wij zijn van computerbeveiliging en jarenlang dacht ik dat ik computers moest beveiligen. Maar nu weet ik het niet. Het is niet onze taak om computers te beveiligen…. Het bestaat uit het geven van veiligheid aan de hele samenleving. Het is tijd om de manier waarop je naar de wereld kijkt te veranderen. En er zijn zoveel dingen en er wordt over zoveel dingen gesproken over IOT- en ICS-risico's en de eerste is dat deze dingen verbinding maken met internet, ook al hoeven ze geen verbinding te maken. Deze dingen geven toegang tot wat erachter zit. Er zijn veel fabriekssystemen die per ongeluk verbinding maken met internet.
Zo heeft hij een online crematorium getoond, slaapkamers gezien door beveiligingscamera's … «Een vriend van mij vindt dingen als een boot die zonder wachtwoord is verbonden. Ook gordijnen en jaloezieën. En mijn vriend zegt dat als je gordijnen op internet kunt openen en sluiten, dit betekent dat het internet der dingen niet in de toekomst is. Is hier. En het zijn vectoren. Je hebt toegang tot een gloeilamp waarmee je andere systemen kunt bereiken. Je zet een koffiezetapparaat met wifi en het wordt de zwakste schakel in de keten en op een dag word je wakker en heb je al je computers versleuteld. Te doen? "Gebruik nooit een apparaat zonder sterke wachtwoorden in te voeren."
“De Mirai-malware infecteerde 120 miljoen IOT-apparaten, maar hun eigenaars gaven er niets om. We praten met ze. Je beveiligingscamera is gehackt … en ze antwoordden ja, wat cool? Maar het werkt prima. Als het werkt, maakt het mensen niet uit of het voor een aanval wordt gebruikt. En het meest trieste is dat het weinig wachtwoorden gebruikte die alle apparaten gebruikten. En ze gebruikten ook Telnet - een systeem uit de jaren 80 - omdat het niet versleuteld was ».
Elektronische apparaten moeten worden gereguleerd: als ze niet veilig zijn, moet je kunnen claimen
“Je moet investeren in veiligheid. We reguleren fysieke veiligheid en online veiligheid moet gereguleerd worden. Ik heb het niet over een apparaat dat voorschriften voor apparaten vaststelt. Maar het is noodzakelijk om te regelen dat de fabrikant wordt aangeklaagd voor de problemen die hij veroorzaakt. Als u een wasmachine heeft met kortsluiting, moet u deze repareren. En als je haar niet kunt aanklagen en dat moet in de cyberwereld. Dat je kunt aanklagen voor een inbreuk op de beveiliging.
Het is tijd voor cyberwapens en cyberontwapening
«Ik heb gesproken over regeringen en hun hacking. We zitten op de eerste rij bij het inzetten van aanvallen op de VS bij de presidentsverkiezingen. Rusland probeerde de uitslag van de verkiezingen voor 's werelds grootste mogendheid te beïnvloeden. Er staat een aantal maanden eerder een interview in Bloomber met Poetin maar dat was al bekend. Dus vroegen ze hem, wie heeft de Democraten gehackt? Maakt het echt uit? Het belangrijkste is de inhoud van de e-mails. Leid het publiek niet af over wie het heeft gedaan. Is dit cyberoorlog? Niet".
Oekraïense soldaten gedood nadat hun mobiel was geïnfecteerd … en geopositioneerd werd
Maar twee maanden geleden zagen Oekraïense soldaten hun telefoon besmet zijn met malware, ze werden gepositioneerd en de artillerie verpletterde ze. Ik spreek van de mist van cyberoorlogvoering. Deze wapenwedloop in een bepaald land, je kunt weten hoeveel tanks een land heeft…. Maar in cybercapaciteiten geen idee. We weten dat de VS goed is, dat er voor langere tijd meer geld is geïnvesteerd om cyberdefensiecapaciteiten op te bouwen, dat Israël, Rusland en China erg goed zijn. Maar dan is alles heel vaag, wat is het cyberoffensief vermogen van Zweden? Spanje? Vietnam? Geen idee. Dat is de cyberoorlognevel. Daarom is het heel anders dan de kernwapenwedloop. Zijn kracht lag niet in zijn gebruik, maar in zijn vermogen om angst te creëren. Hiroshima en Nagasaki waren duidelijke voorbeelden. Het gaat er niet om het te gebruiken, maar om te laten zien dat je ze hebt. Iedereen weet dat als een land dat wapen heeft, niemand ermee knoeit.
Met de cyberoorlognevel weet niemand iets. De kracht van cyberwapens is niet onenigheid. Daarom zien we ze. Het stuxnet en het hacken van het elektriciteitsnet in Oekraïne in 2015 of de Oekraïense soldaten die in 2016 sneuvelden op het slagveld.
De kracht van cyberwapens zit in het gebruik ervan. Cyberwapens zijn gemakkelijk verkrijgbaar en hebben veel kracht. Stuxnet kon niet worden bereikt met puur militair vermogen. Als het een kwestie was van vertraging van het Iraanse nucleaire programma, zou het land tegen hoge kosten kunnen worden binnengevallen, ook in levens, of de centrale zou kunnen worden gebombardeerd. Of je kunt stuxnet schrijven dat een miljoen kost. En het kost hetzelfde als een B52-uitgang. Maar in tegenstelling tot deze is hij niet zichtbaar.
Hackers verdedigen niet langer computers … nu verdedigen ze de wereld
«Dit is de wereld waarin we vandaag leven. We zijn allemaal beveiligingsmensen. We dachten dat het onze taak is om computers te beveiligen. Maar nu niet meer. Dit werk is vanaf nu om de samenleving veiligheid te geven en we moeten het heel serieus nemen omdat we een grote verantwoordelijkheid hebben, meer dan we veel denken omdat wij degenen zijn die onze samenleving verdedigen ».
U kunt meer van dit soort artikelen zien in OneMagazine.
