Afgelopen donderdag (30 mei) werd bekend dat onder meer de Nederlandse Politie en het Openbaar Ministerie hebben deelgenomen aan de grootste internationale operatie tegen cybercriminaliteit: Operation Endgame. Met deze operatie is een grote slag geslagen door een ransomware-infrastructuur onbruikbaar te maken. Ook is getracht om helder te krijgen wie slachtoffer is geworden van deze criminaliteit. Nu is het belangrijk om deze slachtoffers op de hoogte te brengen van de onveiligheid van hun inloggegevens. Het Dutch Institute for Vulnerability Disclosure (DIVD) speelt in deze slachtoffernotificatie een belangrijke rol. Het DIVD is een vrijwilligersorganisatie, bestaande uit voornamelijk ‘ethisch hackers’, die het internet scant op kwetsbaarheden en organisaties daarvan op de hoogte brengt. Wouter Scherpenisse, promovendus op het gebied van cybersecurity aan Erasmus School of Law, legt over Operation Endgame een aantal vragen voor aan ethisch hacker Max van der Horst. Van der Horst is eveneens gastdocent bij de master Recht & Technologie aan Erasmus School of Law en hij is werkzaam voor het DIVD.
Voordat we kijken naar Operation Endgame is het goed om voor de lezer duidelijk te maken wat ethisch hacken inhoudt. Wat versta jij onder ‘ethisch hacken’?
“Specifiek in de context van computers is ‘ethisch hacken’ het inbreken op systemen voor legale en constructieve doeleinden. Ethisch hackers proberen de kwetsbaarheden in (digitale) systemen te vinden waar cybercriminelen misbruik van maken, maar met een gedragscode en het doel deze kwetsbaarheid te melden bij de eigenaar van dat systeem. In de praktijk wordt dit meldproces ook wel Coordinated Vulnerability Disclosure (CVD) genoemd. Bij het DIVD speuren wij met een team het hele internet af naar dit soort kwetsbaarheden met CVD als doel. Wij doen dit volgens een aantal basisprincipes die ervoor zorgen dat ons werk de wereld verbetert en niet onbedoeld onveiliger maakt. Deze aanpak is erkend door het Openbaar Ministerie en kan als volgt beschreven worden:
- Maatschappelijk doel: ons werk is bedoeld om schade aan het internet en haar gebruikers te voorkomen en wij dienen geen politieke, financiële of persoonlijke doeleinden.
- Principe van proportionaliteit: ons onderzoek mag de integriteit en beschikbaarheid van online systemen niet verslechteren en dienen het maatschappelijk doel met gepaste middelen.
- Principe van subsidiariteit: als er meerdere middelen zijn om het maatschappelijk doel te dienen, kiezen wij altijd voor de minst impactvolle optie.”
En wat houdt Coordinated Vulnerability Disclosure (CVD) in?
“Coordinated Vulnerability Disclosure is precies wat de naam aangeeft: een gecoördineerde manier om een kwetsbaarheid te melden. Dit geldt niet alleen voor bijvoorbeeld een ontwikkelaar van kwetsbare software, maar ook voor haar gebruikers. Het principe stamt af van het zogeheten Responsible Disclosure, waar een software- of hardwareontwikkelaar de tijd en ruimte werd gegeven om een kwetsbaarheid op te lossen voordat deze werd gepubliceerd. Deze tijd en ruimte is nodig om bijvoorbeeld te voorkomen dat er fouten gemaakt worden in de oplossing. Een andere afweging is echter dat hoe langer er gewacht wordt met het doorvoeren van de oplossing voor een kwetsbaarheid, hoe groter de kans dat cybercriminelen deze kwetsbaarheid vinden en er misbruik van maken. In de discussie rondom deze afweging werd het duidelijk dat de verantwoordelijkheid niet alleen bij de hacker ligt, maar ook bij de kwetsbare organisatie. Om die reden werd Responsible Disclosure later gewijzigd naar Coordinated Vulnerability Disclosure.”
Operation Endgame is niet het eerste incident waarin jullie worden betrokken door de overheid. Zou je iets kunnen vertellen over andere incidenten waarbij jullie samenwerkten met de overheid?
“Wij hebben goed contact met ruim 30 overheden wereldwijd waarmee we met enige regelmaat samenwerken. Dat is nodig aangezien het internet zich niet houdt aan landsgrenzen. We werken samen met de Nederlandse overheid, maar hebben bijvoorbeeld ook goed contact met de Amerikaanse, Belgische, Oostenrijkse en Britse overheden. Overheden hebben normaal gesproken beperkte wettelijke autoriteit om te zoeken naar kwetsbaarheden en hebben een grondslag nodig om te vragen naar deze gegevens. Hierin is weinig ruimte voor proactiviteit, waardoor er een gat ontstaat in het aanpakken van ernstige kwetsbaarheden. DIVD neemt deze verantwoordelijkheid door wereldwijd te scannen voor kwetsbaarheden en deze in de eerste instantie direct te melden bij de eigenaars van kwetsbare systemen. Echter, het komt veel voor dat wij overheidssystemen en andere kritieke infrastructuur tegenkomen die ook kwetsbaar zijn. In deze gevallen geven wij proactief deze gegevens aan de overheid in kwestie zodat zij hierop kunnen reageren.
Een goed voorbeeld is een wereldwijde ransomware-aanval op een specifiek type virtualisatiesoftware. Elke minuut liep het aantal aangevallen servers op. Een DIVD-collega en ik probeerden samen sneller te zijn in het vinden van kwetsbare systemen dan de aanvallende criminelen. Deze gegevens speelden wij door naar verschillende overheden. Niet alleen om proactief gegevens te delen, maar ook om het aanpakken van de kwetsbaarheid te decentraliseren. Deze wereldwijde aanval was op het moment dat wij begonnen met scannen nog niet in beeld van de overheden waarnaar wij uiteindelijk gegevens deelden.”
Jullie worden door de overheid betrokken in gevoelige zaken. Dat geeft blijk van een groot vertrouwen in jullie werk. Toch is het in de praktijk lastig om organisaties waar jullie ondersteuning aan willen geven, te overtuigen van jullie goede intenties. Hoe gaan jullie daarmee om?
“Het is eigenlijk heel logisch dat organisaties sceptisch zijn. Dat zou ik ook zijn als ik uit het niets een mailtje zou krijgen dat zegt dat ik kwetsbaar ben en actie moet ondernemen. Ik zou zelf ook even dubbelchecken of het geen phishing e-mail is. E-mail is ons grootste wapen maar ook ons grootste probleem. Het is het beste wat we hebben, maar omdat het ook zo grootschalig door criminelen wordt gebruikt, vermindert dit de effectiviteit ervan. Bij DIVD proberen we dit aan te pakken door goed na te denken over onze meldtekst met communicatiespecialisten, uitgebreid te documenteren en uitleggen wat we doen, extra informatie te geven over wat we gevonden hebben, en wanneer, en door externe adviezen (zoals die van een softwareontwikkelaar) mee te geven. Dit geeft wat meer vertrouwen in een meldtekst.”
Laten we nog even kijken naar Operation Endgame. Zou je kort kunnen uitleggen wat er daar aan de hand was?
“Operation Endgame is een internationale politieoperatie waarbij zes sleutelnetwerken in de internationale cybercriminaliteit zijn neergehaald. Dit is tot nu toe de grootste operatie van dit type ooit en heeft geleid tot vier arrestaties, 100 ingenomen servers en 2000 overgenomen malafide domeinen. Een van de hoofdverdachten heeft naar vermoeden 69 miljoen euro verdiend met het verhuren van criminele infrastructuur voor het lanceren van ransomware-aanvallen. Dit is overigens nog maar de start, want de operatie is nog lang niet afgerond!”
En wat is jullie rol in deze operatie geweest?
“Tijdens de inname van de servers en het neerhalen van de netwerken zijn grote hoeveelheden gestolen accounts ontdekt. Het gaat hierbij om gebruikersnamen of emailadressen en de bijbehorende wachtwoorden. Gezien de bestaande wetgeving rondom privacygevoelige informatie kan de politie burgers hier niet zelf over benaderen. DIVD kan dit echter wel. De politie heeft deze data om die reden met DIVD gedeeld zodat DIVD de slachtoffers van deze criminelen kan benaderen om hulp aan te bieden. Dit zijn wij op het moment aan het doen voor ruim 16 miljoen personen.”
Het DIVD is een groeiende organisatie. Waar staan jullie over 10 jaar?
“Cybersecurity wordt alsmaar belangrijker naarmate de tijd verstrijkt. In een utopie zouden wij niet nodig zijn, maar dit lijkt voorlopig nog niet binnen bereik te zijn. Wij bewegen echter mee met de tijd en stimuleren verdere beleidsontwikkelingen om zo de (digitale) wereld voor iedereen veiliger te maken. We zijn en blijven hackers: vanuit onze ideologie vinden we wel weer het volgende probleem om op te lossen.”
- Promovendus
- Meer informatie
Lees hier meer over Sectorplan SSH-Breed.