De overheid moet burgers, bedrijven en zichzelf beschermen en terzelfdertijd de wet handhaven. Offline is dat de job van de mannen in het blauw, maar hoe ziet de situatie er online uit. We bekijken cyberbeveiliging op het hoogste niveau en de impact daarvan op jouw persoonlijke leven. Door Michaël Aussems

Cyberdefensie ontleed van een veilig datacenter tot jouw privacy

Eerst was er de computer, dan het internet, en voor we goed en wel beseften wat er allemaal gaande was, zaten we collectief met ons hebben en ons houden op het net. Alles en iedereen is verbonden. Dat is de kracht, maar ook de zwakte van het internet. Men-sen met slechte bedoelingen kunnen immers heel wat mispeuteren zonder vanachter hun pc te komen. Jezelf beschermen doe je met een goed antivirusprogramma, maar je kan niet alles zelf doen. Gaat het om het hand-haven van de wet en het veilig houden van maatschappij en infrastructuur, dan komen de overheid en gespecialiseerde spelers op het toneel. We onderzoeken in dit dossier hoe de grote jongens het internet en zichzelf veilig houden, maar ook wat dat betekent voor jouw privacy. Tot slot analyseren we stap voor stap een echte cyberaanval.

Het dossier is opgedeeld in vijf hoofdstukken. Ieder onderdeel staat op zich en het hele verhaal kan je in willekeurige volgorde lezen.

Hoe de kritieke infrastructuur van het internet wordt beveiligd Bedrijven en de overheid kampen met hetzelfde probleem: grote servers huisvesten gevoelige data en digitale infrastructuur drijft onmisbare systemen aan. De beveiliging van dergelijke omgevingen vereist net iets meer dan een eenvoudig antiviruspakket.

Zo werkt overheidscensuur op het internet

Het vrije internet is misschien wel het belangrijkste eigendom van de mensheid in haar geheel, maar van tijd tot tijd is een beetje censuur niet ongepast. Hoe strak die censuur is, hangt af van het land waarin je woont.

Wat de overheid allemaal weet over je internetgedrag Wie de wet online overtreedt, kan offline een agent voor zijn deur verwachten. Hoe justitie je adres te weten komt en wanneer een onderzoeksrechter je privacy mag schenden, is gelukkig streng geregeld.

Hoe iedereen oorlog voert op het internetHackers zijn klein bier in vergelijking met staten die online ten oorlog trekken. In dit hoofdstuk bekijken we wat er kan gebeuren wanneer de grote jongens komen meespelen.

Inside Telebot: analyse van een cyberaanvalAan de hand van een gedetailleerd rapport kunnen we stap voor stap een grote cyberaanval reconstrueren. Van de phishingmail waarmee alles begint, tot de kapotte computer waarmee het eindigt.

Zodra je een heleboel computers met ge-voelige informatie moet beveiligen, wordt het moeilijk. Overheden en grote bedrijven moeten hier het hoofd bieden aan dezelfde uitdagingen: ze hebben een uitgebreide IT-infrastructuur met servers die gevoelige informatie bevatten. Dergelijke systemen zijn voor hackers en criminelen wat een eenzame lamp in de nacht is voor een insect. De recentste versie van je favoriete gratis antivirussoftware volstaat dan ook niet om geavanceerdere infrastructuur te beveiligen.

Lekke beveiligingJe zou van grote bedrijven en overhe-den verwachten dat hun beveiliging zo waterdicht is als maar kan, maar dat slaat vaak tegen. “Twee derde van de bedrijven die getroffen worden door een hack moeten van een externe bron vernemen dat ze het slachtoffer zijn van een inbraak”, illustreert Ronald Prins, medeo-prichter van Fox-IT. Hij zit samen met zijn bedrijf al van in het begin in de wereld van de cybersecurity. FoxI-T is intussen een wereld-

speler die hacks van over de hele wereld aan het licht brengt. Het bedrijf werd recent nog onder de arm genomen door de Belgische overheid na de Belgacom/Bics-hack.

Evolutie in dreigingSinds Prins het Delftse bedrijf in 1999 sa-men met Menno van der Marel uit de grond

stampte, zijn de uitdagingen dan ook sterk veranderd. “In het laatste decennium zagen we een verschuiving van interne naar externe dreigingen”, aldus Prins. Vroeger was een misnoegde werknemer zowat het grootste

beveiligingsrisico. Iemand met legitieme toe-gang misbruikte die om gegevens te stelen of schade aan te richten. Na de hack volgde dan een onderzoek om de schuldige te pakken te krijgen.Vandaag komen bedreigingen van buitenaf. Jan en alleman, van script kiddies zonder ge-zonde hobby tot professionele misdaadsyn-dicaten en zelfs buitenlandse overheden, probeert gevoelige data te bemachtigen. De criminelen in kwestie zitten meestal veilig achten hun pc in een ander land, waar ze het gevoel hebben onaantastbaar te zijn.

NaïviteitLanden en bedrijven zijn genoodzaakt om die nieuwe realiteit onder ogen te zien en cyberdefensie te bombarderen tot prioriteit. Helaas is de aanpak niet altijd even goed. “Er is nog steeds veel naïviteit”, vindt Prins. “Hooggeplaatste managers geven veel geld uit aan in-drukwekkende beveiliging met mooie dashboards en kleurrijke grafiekjes. Ondanks die investering worden ze tot hun eigen verbazing toch gehackt.”

Het probleem schuilt in de tweeledigheid van een goede beveiliging. Een firewall en een dure securitysuite vallen onder het preven-tieluik. Het is echter naïef om te denken dat de preventieve maatregelen iedereen auto-

Hoe de kritieke infrastructuur van het internet wordt beveiligdVeel hoef je niet te doen om veilig online te gaan met je Windows-computer. Een combinatie van een degelijk antivirusprogramma en een portie gezond verstand volstaan om het meeste onheil af te wenden.

Twee derde van de bedrijven die getroffen worden door een hack

moeten van een externe bron vernemen dat ze het slachtoffer zijn

van een inbraak

matisch en voor altijd zullen buiten houden. Naast preventie is ook detectie onontbeerlijk. Dat een hacker zich een weg naar binnen for-ceert kan altijd, maar dat hoeft met een goed detectiesysteem geen ramp te zijn.

Een goed planEen dure beveiligingssuite volstaat dus niet om infrastructuur te beschermen van aanvallen. Prins legt stap voor stap uit hoe een goede beveiliging er dan wel uit ziet. “Alles begint bij een gesprek. We praten met het IT-departement van een bedrijf om een beeld te krijgen van de situatie.” Vaak wen-den bedrijven zich tot een beveiligingsfirma wanneer ze reeds het slachtoffer zijn van een hack. “We onderzoeken de omvang van het probleem en gaan dan aan de slag met het netwerk.” Experts tekenen de ganse te be-schermen infrastructuur uit en plaatsen hun eigen hardware. “Daarmee kunnen we mee-kijken naar wat er op het netwerk in kwestie gebeurt.” Verder neemt Fox-IT meteen ima-gebestanden van kritieke systemen op het netwerk. Met die identieke kopieën van de systemen van een klant gaan onderzoekers aan de slag in het labo.

Digitaal speurwerkWanneer er data gestolen is, vinden de speurders van Fox-IT bijna altijd nog sporen van de hack. “Soms is de hacker zelfs nog actief”, vertelt Prins. Wanneer de experts het netwerk analyseren komt het vaak voor dat er meer beveiligingslekken zijn dan het slachtoffer in eerste instantie dacht. Het ene gekende lek zorgt er dan voor dat ook andere problemen worden gevonden.De onderzoekers vertrouwen niet op een enkel programma. Ze schrikken er niet voor terug hun handen vuil te maken en duiken in de logs. Daarin staat alles wat er op het netwerk gebeurt, maar dergelijke logbestan-den zijn lang en saai, waardoor ze al te vaak slecht in het oog worden gehouden.

“Een IT-departement zou zijn logs toch min-stens wekelijks moeten nakijken”, vindt Prins. “Slimme scriptjes kunnen IT’ers automatisch attent maken op onregelmatigheden.”Hackers weten hoe een goed beveiligings-team te werk gaat en proberen detectie natuurlijk ook actief te vermijden. Willen ze een database met wachtwoorden en e-mail-adressen stelen, dan zullen ze het bestand van meerdere gigabytes niet meteen inte-

graal uploaden naar hun thuiscomputer in een ver land. Meestal zijn de criminelen ge-duldig. “Met een trage datastroom proberen ze de gegevens langzaam maar zeker naar buiten te laten sijpelen”, verduidelijkt Prins. Een stroompje van 300 kilobit per seconde valt immers niet meteen op tussen het regu-liere internetverkeer. Een grondige analyse

van de binnen- en buitenkomende data zal de constante gegevensstroom natuurlijk wel aan het licht brengen. “Eén hack is dus vaak een inbraak die wekenlang ongemoeid kan verder gaan.”

Laten hackenNa de ontdekking van een hack wil het slachtoffer natuurlijk zo snel mogelijk ac-tie ondernemen. De hacker moet uit het

systeem en het toegangspoortje waarlangs hij binnen kwam, moet op slot. “Zulke snelle actie is niet zonder risico”, vind Prins. Omdat hacken traag gaat, zijn hackers vaak al geruime tijd aanwezig in een systeem. “De kans is dus reëel dat ze meerdere wegen naar binnen ontdekt hebben.” De hack analyseren, in de gaten houden en het ultieme doel achterhalen is in dat opzicht een betere strategie. Pas als je weet wat de kraker wil kan je de juiste

veiligheidsmaatregelen nemen.

Om meer inzicht te verwerven, maken onder-zoekers gebruik van zogenaamde honeypots. Die nemen vaak de vorm aan van belangrijk uitziende, maar verouderde data met een nieuw aantrekkelijk label. Onderzoekers hou-den het lokaas in het oog en kijken wat de

Het volstaat niet om een goede firewall te installeren en naar huis te gaan. Een goede beveiliging vereist dat iemand van tijd tot tijd de logbestanden doorbladert die de netwerkactiviteit vastleggen.

Het is echter naïef om te denken dat de preventieve maatregelen hackers

voor altijd zullen buiten houden

hacker er mee wil. Zo verwerven ze inzicht over zijn methodes en zijn doel zonder dat er belangrijke gegevens in gevaar komen. Pas wanneer alle vragen beantwoord zijn, is het een goed idee om de hacker buiten te smijten en alle lekken te dichten.Na een professionele interventie van een beveiligingsbedrijf als Fox-IT hebben de meeste beheerders van grote systemen hun lesje wel geleerd. Gaat het om bedrijven, dan is de kans groot dat ze steunen op een externe specialist om het netwerk permanent te monitoren. Het bedrijf blijft natuurlijk aan preventie werken door goed beleid, sterke wachtwoorden en een high-tech firewall, maar de detectie wordt meer en meer uitbe-steed.

ControlecentrumFox-IT heeft een groot controlecentrum waar het netwerken van verschillende grote klan-ten in het oog houdt. Het uitbesteden heeft voordelen. Prins: “Als één bedrijf getroffen wordt door een nieuw soort aanval, kunnen we meteen maatregelen nemen om onze andere klanten te beschermen.” Bovendien is er een efficiëntievoordeel: een extern be-drijf kan experts aannemen en hen de hele

Zeker voor minder grote bedrijven kan het interessant zijn om het detectieluik van de beveiliging uit te besteden aan een externe firma.

De hack analyseren en het ultieme doel achterhalen is in dat opzicht een betere strategie dan de hacker

onmiddellijk buiten gooien

dag uitdagend werk voorschotelen. Wie zijn beveiliging intern wil regelen, heeft zelf een fulltime expert nodig.Overheden kiezen weinig verrassend voor die laatste optie. Zij hebben immers te maken met veel meer regeltjes en houden de contro-le over  hun systeem liever binnenshuis. Dat is minder efficiënt, maar wanneer het goed wordt aangepakt niet noodzakelijk minder veilig.

Ook online gelden wetten en regels, en als vadertje staat ze niet handhaaft doet nie-mand dat. Twee tools staan centraal voor de online ordehandhaving: censuur en op-sporing. Bij censuur denken we meteen aan China of Iran, opsporing doet dan weer den-ken aan de NSA in de VS. Toch worden beide technieken ook bij ons gebruikt.Kwam je zelf al in aanraking met censuur, dan was dat waarschijnlijk in het kader van de blokkade van torrentwebsites. In België zijn de voornaamste downloadwebsites geblokkeerd, in Nederland in principe ook, al woedt er een stevige juridische strijd rond de verplichting.

MachteloosheidDe blokkade illustreert onze (terechte) te-rughoudendheid voor censuur. De overheid heeft zelf niets te zeggen over het internet en kan websites enkel blokkeren met de hulp van de internetserviceproviders. Zij kunnen op gerechtelijk bevel verplicht worden om hun klanten de toegang tot specifieke sites te ontzeggen. De gebruikte techniek is bij ons

echter te omzeilen door iedereen met een absoluut minimum aan computerkennis.

Domain name serverWebsitecensuur gebeurt met de hulp van een zogenaamde DNS-blokkade. Nadat je een url intypt in je browser, wordt die door de domain name server van je provider vertaald naar een IP-adres. Zo weet je computer waar de website in kwestie te vinden is, en komt er een verbinding tot stand. De DNS huisvest een soort telefoonboek dat url’s kan vertalen in nuttige IP-adressen. Censuur vindt plaats op het niveau van die DNS-server. Wil je naar thepiratebay.se surfen, dan wijst de DNS je niet door naar de juiste server, maar naar een

Zo werkt overheidscensuur op het internetHet internet zit vol criminelen. De bescherming van lijf, leden en server is één belangrijk aspect van de beveiliging van het internet, maar security is lang niet alles. Langs de andere kant schuilt ordehandhaving.

Internetcensuur bij ons is te omzeilen

door iedereen met een absoluut minimum aan

computerkennisBelgië haalt de verwijzing van illegale websites uit het officiële ‘telefoonboek van het internet’ en verwijst je in de plaats door naar een eigen pagina, maar de site in kwestie wordt niet offline gehaald.

pagina van de staat waar op staat waarom de website niet toegankelijk is. Omzeilen kan je door een andere DNS te kiezen (die van Google bijvoorbeeld), één van de vele be-schikbare proxyservers te gebruiken of recht-streeks het IP-adres van de doelserver in te geven.  In de praktijk houdt onze censuur dus vooral minder technologisch onderlegde mensen weg van bepaalde sites, totdat vrien-den of familie even uitleggen hoe de vork in de steel zit. Dat is misschien jammer voor de film- en muziekindustrie, maar goed voor ons. Door-gedreven staatscontrole van het internet is immers geen goede zaak. Kijk maar naar China of Iran. Bij ons is een dergelijk scenario vooralsnog niet zomaar mogelijk. Dat er een video meer of minder gedownload wordt, zal de gemiddelde lezer vermoedelijk koud laten. De online onmacht van de staat heeft spijtig genoeg ook grote nadelen. De tools om onli-ne kinderporno te bestrijden zijn immers niet veel beter dan die om online piraterij aan te pakken.

Buitenlandse censuurBuiten Europa komt censuur van het internet meer voor. De Grote Firewall van China is misschien wel het bekendste voorbeeld. De Chinezen plaatsten hun ganse internet achter een door de staat gecontroleerde firewall zo-dat de overheid precies kan beslissen welke sites wel en welke niet toegankelijk zijn in het land. Zo liggen China en Google momen-teel in de clinch, en moet je dus je toevlucht zoeken tot de lokale zoekmachine Baidu om websites op het net te vinden. In tegenstel-ling tot Google zal die laatste je geen accu-rate informatie geven bij een zoekopdracht naar ‘het Tiananmen-plein’.

Iran is een andere censuurkampioen. De Iraanse overheid benadert censuur echter vanuit een andere hoek. In de plaats van een muur rond het bestaande net te bouwen, rolt

het land zijn eigen web uit. Iran introduceerde eind augustus met trots dat eigen nationaal internet. In 2005 begon het land aan de uit-bouw er van, vandaag is de eerste en belang-rijkste fase afgerond. De Iraniërs zelf claimen dat hun netwerk veiliger en  tot 60 keer sneller zal zijn dan het klassieke internet. De extra snelheid is te danken aan een combi-natie van glasvezellijnen, straalverbindingen, satellietconnecties en lokale datacenters. Het is de bedoeling dat meer en meer websites op het lokale net gehost zullen worden. In maart van 2017 zal Irans privé-internet echt operationeel zijn.Door de bewoners richting het nationale in-

ternet te porren, wordt het voor Iran wel heel eenvoudig om te beslissen welke content de computers van zijn gebruikers bereikt en welke niet. Vandaag is de censuur in Iran al erg strak maar kan je nog steeds op het vrije internet met de hulp van een VPN. In China kan je op dezelfde manier de staatcensuur omzeilen. Zoiets wordt met het nationale internet onmogelijk. Je kan ervan op aan dat de extra censuurmogelijkheden veel meer dan eventuele snelheidsboosts een motivatie zijn voor de aanleg van het Iraanse internet.

Websites sluitenTot slot verdienen de Verenigde Staten nog een vermelding. In de VS wordt er voorzich-tiger omgesprongen met censuur dan in bijvoorbeeld Iran of China, maar de VS zijn een stuk machtiger dan België. Dat komt voornamelijk omdat het land tal van servers huisvest. Omdat de servers van eventuele illegale websites fysiek in het land staan, kan de Amerikaanse FBI ze ook fysiek offline halen. Na zo’n inbeslagname krijg je een boodschap van de FBI te zien wanneer je toch naar de website surft. In tegenstelling tot de DNS-blokkade bij ons, is de website in zo’n geval wel van het internet verdwenen.

In de plaats van een muur rond het bestaande net te bouwen, rolt Iran zijn eigen

internet uit

Als de Amerikaanse FBI een website sluit, dan is die echt van het internet verdwenen.

Update van de wetTechPulse klopt aan bij Alexei Loubkine, mede-venoot bij het advocatenbureau Van Olmen & Wynant. Hij legt ons op een niet al te juridische manier uit wat de staat nu precies mag opvragen over jouw surfgedrag wanneer je iets mispeutert.De huidige stand van zaken is, op zijn zachtst gezegd, in flux. Voor 2014 bestond er al wet-geving omtrent onder andere het opvragen van telefoongegevens en het instellen van telefoontaps. Met de verschuiving van com-municatie richting het internet moest de wet-geving aangepast worden. Dat vond zowel Europa, dat in 2014 een richtlijn lanceerde, als België, dat die richtlijn in 2015 omzette naar lokale wetgeving. Ook Nederland pastte zijn wet op de bewaarplicht van telecommu-nicatiegegevens aan de Europese vereisten aan. Het Europese hof vernietigde vervolgens de Europese richtlijn, het Grondwettelijk Hof kelderde de Belgische omzetting en in Neder-land verklaarde de voorzieningenrechter de wet onverbindend. Reden: de regels zouden

te verregaand zijn en zo op een buitenpropor-tionele manier inbreuk maken op de privacy. De Europese teneur in dat opzicht is duidelijk: Europa mag geen tweede VS worden.

Belgische speculatieNemen we vandaag België als voorbeeld, dan zien we dat er een kersverse nieuwe wet van kracht is: de dataretentiewet van 29 mei 2016. Wat daarin staat, bepaalt op dit mo-ment wie wat mag opvragen, hoe en wan-neer. De wet heeft de ambitie tegemoet te komen aan de grieven die de vorige Europese richtlijn het leven hebben gekost, maar is een nieuwe richtlijn voor. De tekst illustreert dus hoe België de toekomstige richtlijn inschat. Wanneer die er doorkomt, kan het goed zijn dat de Belgische wet opnieuw aangepast moet worden. Ook Nederland moet zich dan terug conform de regels schikken.

Wat de overheid allemaal weet over je internetgedragHet internet is soms vergelijkbaar met het Wilde Westen. De arm der wet wordt gelukkig steeds langer. Mispeuter je iets online, dan kan de overheid in de echte wereld op je voordeur komen kloppen. Als de lange arm der wet je tenminste weet te vinden. Cybercriminelen in verre landen zijn relatief immuun voor wettelijke represailles, burgers van België of Nederland zijn dat niet. De staat kan immers met een bevel van een rechter aankloppen bij een serviceprovider op zoek naar persoonsgegevens die achter een IP-adres schuilen.

De Europese Unie is nog op zoek naar een goede balans tussen veiligheid en privacy, en wil niet vervallen in Amerikaanse praktijken.

De dataretentiewet is van toepassing op de ganse internetsector. Denk daarbij aan de operatoren die de internetverbinding zelf ver-zorgen, maar ook bedrijven achter commu-nicatiediensten die van het internet gebruik maken. Zowel een Telenet en een Proximus, als een WhatsApp of een Telegram moeten zich er dus aan houden. Zij zijn verplicht om bepaalde gegevens bij te houden.

Wat?Het gaat volgens Loubkine om gegevens die betrekking hebben op identificatie, ver-binding, lokalisatie en communicatie. Wat er precies onder die noemer valt, is niet helemaal duidelijk. Een koninklijk besluit dat de vernietigde wet uit 2014 aanvulde, wordt nog steeds als richtlijn gebruikt. Het gaat dan concreet om bijvoorbeeld IP-adressen, poortgegevens over de verbinding waarmee je lid werd van een commu-nicatiedienst, maar ook de tijdstippen waarop je online gaat. “De bewaarde gegevens zijn niet zo incriminerend”, vind Loubkine. Data over je surfge-schiedenis valt niet onder de wetge-ving. Je provider houdt dus niet bij dat je dagelijks naar mylittlepony.com surft, ook al ben kinderloos. “De inhoud van het internetgebruik wordt niet bijgehou-den”, bevestigt Jan Margot van Proximus. Het gaat dus vooral om gegevens die je als metadata kan bestempelen.

Hoe lang?Iedereen die onder de wet valt moet de rele-vante gegevens voor een periode van twaalf maanden bijhouden. De startdatum van dat jaar verschilt echter al naargelang de gege-vens. Data over je inloggedrag moet een jaar lang beschikbaar zijn te beginnen na de in-logsessie in kwestie, data in verband met de identificatie van jou als gebruiker moet een jaar lang bewaard worden te beginnen van de laatste dag waarop je van de dienst gebruik kon maken. “In de praktijk wil dat zeggen

dat identificatiegegevens zoals IP-adressen, maar ook gegevens over de manier waarop je bijvoorbeeld je internetabonnement hebt betaald, tot twaalf maanden na het beëin-digen van het contract moeten bewaard worden”, aldus Loubkine. Loopt de wettelijke bewaarplicht af, dan is iedereen die onder de wet valt meteen ook verplicht om de relevan-te gegevens te vernietigen.

Wie?Daarmee heb je een idee van het soort ge-gevens dat ergens op een server woont. Het is niet omdat de data wordt opgeslagen, dat iedereen er zomaar naar kan kijken. Wie de gegevens kan opvragen is sterk afgebakend. “Het gaat om de procureurs, de gerechtelijke politie, de inlichtingendiensten, de Cel Ver-

miste Personen en de ombudsdienst voor telecommunicatie”, vat Loubkine samen. Ook de hulpdiensten kunnen in sommige gevallen data opvragen. Meestal is het een procureur van het Openbaar Ministerie of een onderzoeksrechter die naar toegang tot de gegevens zal vragen in het kader van een on-derzoek. Wil de inlichtingendienst je IP-adres kennen, dan moet die strenge procedures doorlopen om misbruik te voorkomen.

BoetesIedereen die onder de wet valt, is verplicht om mee te werken aan een vraag van een bevoegde instantie. Wie denkt boven de wet te staan en de privacy van zijn gebruikers absoluut wil beschermen, kijkt aan tegen

een geldboete tot 10.000 euro. Yahoo werd door gelijkaardige wetgeving in 2013 al ver-oordeeld, omdat het niet wilde meewerken aan de identificatie van de gebruiker van een e-mailadres.Om tegemoet te komen aan de vragen van de overheid moet iedere operator een ‘Coör-dinatiecel Justitie’ oprichten die zich bezig houdt met de behandeling van de aanvragen. Werknemers actief in dat departement van je provider kunnen in theorie aan de gegevens, maar met misbruik wordt niet gelachen. Wie zonder wettelijke toestemming naar jouw data gaat kijken, riskeert een gevangenisstraf tot drie jaar en een boete tot 50.000 euro.

Hoe?Gegevens vallen onder twee noemers. Langs

de ene kant heb je de zogenaamde statische identificatiegegevens. Dat zijn gegevens die terug te brengen zijn naar een erg concreet punt in de tijd. Als onderzoekers willen weten wie er schuil ging achter het IP-adres dat vorige week om 17u30 een kinder-pornowebsite bezocht of een website probeerde te hacken, dan gaat het om zo’n data.Dynamische gegevens kunnen in con-

trast niet geïsoleerd worden tot een bepaald punt in de tijd. Wanneer onderzoekers weten dat een IP-adres iets heeft mispeutert, maar ze niet weten wanneer, gaat het om zo’n gegevens. De richtlijnen zijn hier een stuk strenger dan bij de statische variant, omdat het om meer data en dus een aanzienlijk grotere inbreuk op de privacy gaat.

Gaat het om statische gegevens, dan is er een schriftelijke en gemotiveerde beslissing nodig. Die hoeft niet te worden voorgelegd bij de opvraging, maar dient wel in het ge-rechtelijk dossier te worden bijgehouden. De motivatie moet desalniettemin duidelijk aangeven waarom de inbreuk op de privacy in het specifieke geval proportioneel is. Zijn er

Je provider houdt niet bij dat je dagelijks naar mylittlepony.com surft,

ook al ben je kinderloos

alternatieve onderzoeksmethodes die geen inbreuk op je privacy inhouden en hetzelfde resultaat kunnen bekomen, dan krijgen die altijd voorrang. Gaat het om lichte misdrijven, dan mag justitie zelfs geen gegevens opvra-gen die verder teruggaan dan zes maanden.De dynamische gegevens worden enkel gedeeld met het gerecht wanneer er vooraf al ernstige aanwijzingen bestaan voor het mis-drijf dat onderzocht wordt. Ook de eisen voor de motivering zijn in dit geval strenger.

AfluisterenMargot vult het bovenstaande nog aan. Jus-titie kan in specifieke gevallen wel vragen om internetverkeer van verdachten te monitoren. In dat geval wordt er een ‘tap’ geactiveerd die je gerust kan vergelijken met een telefoontap. De politie kijkt dan mee met het gemonitorde internetverkeer. Dergelijke tapmisdrijven zijn

per definitie zwaar en opnieuw is de moti-veringsplicht bijzonder streng. Er moeten al voldoende andere elementen bestaan die suggereren dat je betrokken bent bij een ern-stig misdrijf, alvorens je telefoon- en inter-netverkeer zomaar gemonitord mag worden.In conclusie kan je dus stellen dat gevoelige identificatiegegevens geruime tijd worden bijgehouden, maar dat het niet zo is dat de overheid over je schouder meekijkt naar je surfgedrag. NSA-praktijken waarbij alles wat

je doet zo lang mogelijk op een superserver terecht komt, zijn hier vooralsnog niet aan de orde. De staat heeft wel de nodige tools in handen om misdrijven die in de digitale wereld plaatsvinden terug te koppelen naar je voordeur. Het probleem van buitenlandse criminaliteit blijft natuurlijk. Zelfs met een Europese richtlijn is er niets dat een Siberi-sche operator tegenhoudt om de IP-adres-sen van een bende cybercriminelen voor zich te houden.

De overheid kan wel nagaan wanneer je een bericht verzond, naar wie en van waar, maar niet wat de inhoud van dat bericht is. Bovendien zijn steeds meer berichten stevig versleuteld.

Wie zonder wettelijke toestemming naar jouw data gaat kijken, riskeert een gevangenisstraf tot drie jaar

en een boete tot 50.000 euro

Offline aanvallenGeen beveiliging is 100 procent waterdicht en wie genoeg tijd, geld en middelen heeft raakt overal binnen. Stuxnet is daar een prachtig voorbeeld van. Officieel is Stuxnet een mys-terieuze worm, speciaal ontwikkeld om de controllers van industriële installaties aan te vallen. Officieus is Stuxnet een cyberwapen gebouwd door de VS en Israël, met als erg specifiek doel om het kernprogramma van Iran te beschadigen. Uiteraard geeft nie-mand dat officieel toe, maar de Washington Post staaft die analyse met getuigenissen van anonieme bronnen.Stuxnet had als doel om de nucleaire centri-fuges van Iran lam te leggen. Een uitdaging, aangezien de installatie in kwestie hardware-matig losgekoppeld was van het internet. De wifi uitschakelen en de ethernetkabel uit-trekken, schrikt de meeste hackers af, maar niet allemaal. De worm in kwestie maakte gebruik van vier zero-daylekken en was uit-gerust met gestolen digitale certificaten van gerespecteerde bedrijven. Zo kon het virus zichzelf mooi als rootkit installeren zonder

een antivirusprogramma of Windows zelf op stang te jagen. Vervolgens mikte de worm op verspreiding via usb-sticks, om zo het gebrek aan internetverbinding te omzeilen. De worm kon zich tot slot repliceren in een LAN-om-geving zonder internet, waar hij op zoek ging naar de juiste controllers om te infecteren. In

het geval van de centrifuges zorgde de worm ervoor dat ze zichzelf kapot maakten zonder hun vreemd gedrag aan monitoringsoftware door te geven.

Chinese hackersStuxnet is niet het enige voorbeeld van cy-beroorlogsvoering. Denk maar aan het lustig hackgedrag van China en Rusland, de ge-kraakte kiescomputers in twee Amerikaanse staten tijdens de voorverkiezingen of de ge-lekte e-mails van presidentskandidaat Hillary Clinton. De New York Times is er inmiddels

Stuxnet had het gemunt op het Iraanse kernprogramma. Een gelijkaardige worm gericht op veelgebruik-te IT-infrastructuur, kan onze maatschappij zonder meer lamleggen.

Hoe iedereen oorlog voert op het internetWie wil kan het internet voor veel meer duistere zaken gebruiken dan illegaal downloaden, persoonsgegevens stelen of zelfs aanslagen plannen. Het net zelf is het levensbloed van onze hoogtechnologische Westerse maatschappij. Kritieke systemen zijn er mee verbonden en kunnen platgelegd worden.

https://www.washingtonpost.com/world/national-security/stuxnet-was-work-of-us-and-israeli-experts-officials-say/2012/06/01/gJQAlnEy6U_story.html?utm_term=.254c79847b94http://www.nytimes.com/2016/12/09/us/obama-russia-election-hack.html?_r=0

op het gezag van de Amerikaanse staatsvei-ligheid min of meer zeker van dat Russische hackers de presidentsverkiezingen in de VS beïnvloed hebben.De nood aan verdediging in cyberspace is zonder meer acuut, maar België loopt naar trieste gewoonte weer flink achter wat cyberdefensie betreft. Ne-derland heeft al geruime tijd een Cybercommando, terwijl België de ambitie heeft om tegen 2019 een cybertak aan het leger toe te voegen. Zowel België als Nederland willen niet enkel verdedigend optre-den, maar ook offensieve cyberca-paciteiten hebben. Die laatste zijn dan bedoeld voor andere landen, maar ook terroristische organisa-ties.

Kwetsbare infrastructuurVoorlopig blijft een écht schadelijke cy-beraanval op het Westen uit. Gelukkig maar: er is weinig nodig om onze maatschappij te

ontwrichten. Deze zomer toonde het Zweed-se bedrijf Telia per ongeluk hoe kwetsbaar het net wel is. Telia is een Tier 1-netwerkbe-heerder en maakt als dusdanig deel uit van de ruggengraat van het internet. Heel veel verkeer passeert dus door de Zweedse da-

tacenters. In juni vergiste een ingenieur zich, waardoor per ongeluk heel wat Europees verkeer naar Hong Kong werd gerout. Het resultaat: tal van websites en diensten waren vanuit Europa voor enkele uren onbereikbaar. Een opzettelijke sabotage van het internet

behoort dus tot de mogelijkheden. Dat Slack niet werkt of je favoriete website onbereik-baar blijkt, is in dat opzicht het minste van je zorgen.

DoemscenarioRonald Prins van Fox-IT denkt luid-op aan een worm die Cisco-hard-ware aanvalt, naar analogie met Stuxnet. Die zou het net voor lange tijd beschadigen, maar ook alle onderliggende diensten onderuit halen. Het wereldwijde betalings-verkeer zou neergaan. Betalen met je bankkaart wordt onmogelijk, net als geld afhalen bij een automaat. Een dergelijke aanslag levert minder gruwelijke beelden op dan een bom

op een drukbevolkt plein, maar de maat-schappij en de economie zouden er veel har-der door afzien. Prins vreest dat het slechts een kwestie van tijd is alvorens iemand met de middelen en de kennis zo’n  cyberaanslag plant.

Een cyberaanslag levert minder gruwelijke beelden op dan een bom op een

drukbevolkt plein, maar de maatschappij en de economie zouden

er veel harder door afzien

Een cyberaanval die het internet lam legt, treft niet alleen je fa-voriete websites. Ook ‘s werelds betaal-verkeer valt zonder waarschuwing weg.

Of vijanden als IS dergelijke capaciteiten hebben, is twijfelachtig. Een geavanceerde worm ontwikkelen, ligt vermoedelijk boven de knowhow van de gemiddelde terrorist, maar dat wil niet zeggen dat cyberaanvallen uit den boze zijn. “Een aanval kan je kopen”, verklaart Prins. “Een zware DDoS-aanval op een systeem of website koop je al voor 2.000 dollar.”

De overheid helptGelukkig beweegt er wel het één en ander. Een geliefkoosd wapen van de cybercrimineel blijft bijvoorbeeld het botnet. Die verzameling van duizenden tot zelfs miljoenen geïnfec-teerde computers maakt DDoS-aanvallen mogelijk. Besmette pc’s worden vaak zonder medeweten van gebruikers ingezet om het doelwit van hackers te bestoken met valse verbindingsverzoeken.

In België bestaat sinds eind 2015 het Cen-trum voor Cybersecurity. Dat CCB wil in samenwerking met Microsoft eigenaars van geïnfecteerde computers op de hoogte bren-gen van het feit dat ze gehackt zijn. Het CCB weet welke IP-adressen gebruikt worden in DDoS-aanvallen van criminelen, maar kan de eigenaars daarvan momenteel niet op de hoogte brengen. Zoals je in hoofdstuk drie van dit dossier kon lezen, kan de overheid IP-adressen wel aan personen koppelen. Dat mag echter alleen door bevoegde instanties onder erg strikte voorwaarden, waardoor het CCB geen toegang krijgt.Een middenweg biedt soelaas. De internet-

providers zullen een lijst met IP-adressen van gehackte pc’s krijgen en zelf waarschuwin-gen naar de getroffen klanten sturen. Nadien wordt de lijst terug vernietigd. Het doel heiligt in dit geval de middelen. Niet alleen worden computers gebruikt als wapen om cyberaan-vallen uit te voeren, de systemen van de ge-troffen personen zijn bovendien per definitie geïnfecteerd en dus lek, met alle risico’s voor de privacy van de gebruikers.Naar Belgische normen klinkt dat allemaal weeral innoverend. Nederlandse lezers mo-gen eens goed lachen: in Nederland stuurde de politie al in 2010 waarschuwingen naar gebruikers die geïnfecteerd waren. In 2008 ge-beurde hetzelfde met het Shadowbot-netwerk.

Kwantumsatelliet tegen hackersAan de andere kant van de wereld gaat het er beslis hoogtechnologischer aan toe. Midden augustus lanceerden de Chinezen ’s werelds eerste kwantumcommunicatiesatelliet. Het ding maakt gebruik van een fenomeen dat kwantumteleportatie heet. Gegevens worden voor een stuk verzonden via kwantumver-strengeling, waarbij twee partikels met elkaar verbonden zijn doorheen tijd en ruimte en gelijktijdig van staat veranderen. Het deel van de communicatie nodig om de kwantumdata

te ontcijferen loopt wel via lasers, maar de laserstraal onderscheppen vertelt een hacker niets. Wie er op de één of andere manier toch in zou slagen de kwantumcommunicatie te observeren, doet de gegevens daarmee meteen kapot. De verstrengelde partikels veranderen immers van staat zodra ze geob-serveerd worden.De wetenschap achter de satelliet is extreem complex, het resultaat is dat niet. China werkt aan een communicatienetwerk dat aanzien-lijk veiliger is dan versleutelde communicatie, aangezien de data simpelweg niet te onder-scheppen valt. Vandaag is dat nog niet zo van belang. Zelfs een krachtige supercompu-ter verslikt zich in grondige encryptie. Zowat iedereen werkt echter aan kwantumcompu-ters. De vooruitgang is langzaam, maar wan-neer de dingen eindelijk praktisch werken, voorspellen onderzoekers dat ze zo krachtig zullen zijn, dat zelfs de zwaarste versleuteling op seconden gekraakt is. Voor toekomstige veilige communicatie is het kwantumnetwerk van China dus onontbeerlijk.

Digitaal strijdtoneelHet is veilig te stellen dat het internet een volledige wereld is, naast de echte wereld. Er is criminaliteit, inbraak, terreur en oorlog en alles heeft dezer dagen een erg directe im-pact op mensen en omgeving. Ondanks het bestaan van goede beveiliging lijkt het er toch op dat cyberverdediging in haar kinderschoe-nen staat. Een cyberterrorist in Siberië kan met voldoende geld vandaag een stuk onont-beerlijke infrastructuur in ons land platleg-gen, zonder dat de overheid daar ook maar iets aan kan doen. Gelukkig lijken er voorlopig maar weinig hackers te bestaan met een ambitie die verder reikt dan geldgewin.

In Nederland stuurde de politie al in 2010 waarschuwingen naar gebruikers die geïnfecteerd

waren door een botnet

De aanval werd ontdekt en grondig geana-lyseerd door onderzoekers van ESET, een beveiligingsfirma die zelf ook een antivirus-programma op de markt heeft. In de vorige hoofdstukken van dit dossier bespraken we al de belangrijkste facetten van compu-terbeveiliging, van privacy en censuur over cyberoorlogsvoering, tot de beveiliging van kritieke infrastructuur. Met de hulp van de analyse van ESET kunnen we stap voor stap overlopen hoe een grote cyberaanval er con-creet uit ziet, en waar een goede beveiliging de schade misschien kon beperken.

Fase 1De infectieAlles begint met de initiële infectie. De cy-beraanval die we hier beschrijven is gecom-pliceerd en werd in elkaar gestoken door professionals, maar de gebruikte vector is zoals meestal bijzonder low-tech. De groot-ste achterpoort waarlangs je software op een systeem kan binnensluizen, blijft menselijke naïviteit. De hackersgroep, die door ESET het label TeleBots kreeg opgeplakt, richt zich op financiële bedrijven en probeert daar

binnen te raken door phishingmails naar werknemers te sturen. De mails bevatten een Excel-document als bijlage. In dat document schuilt een schadelijke macro.Microsoft Office laadt bestanden die je van het internet haalde per definitie in een beschermende modus in. Eventuele scha-delijke code wordt daarin geblokkeerd. De

macro kan alleen maar zijn werk doen als het slachtoffer in kwestie op ‘Enable Content’ klikt wanneer Excel dat vraagt. Om onvoor-zichtige werknemers te overtuigen op de knop te klikken, is het document gevuld met nonsens. Zo kan een nietsvermoedende lezer denken dat ‘Enable Content’ nodig is om de inhoud van het document correct weer te geven. Met het indrukken van de knop start de cyberaanval pas echt.

Fase 2Versterking binnenhalenDe macro in het Excel-bestand heeft maar één doel: een malwarebestandje op het sys-

Inside Telebot: analyse van een cyberaanvalIn de tweede helft van 2016 werden verschillende financiële instellingen in Oekraïne het slachtoffer van een uitgebreide en geavanceerde cyberaanval. De gebruikte aanval bestaat uit verschillende stappen en illustreert goed hoe een slimme phishingmail een ketting in gang kan zetten die criminelen uiteindelijk toelaat om met administratorprivileges een heel systeem onherroepelijk te wissen.

Een trojaans paard met de naam Telebot geeft de hackers voet aan wal in het slachtoffersysteem.

teem droppen en uitvoeren. Dat bestandje heeft de naam ‘explorer.exe’, en zal dus niet meteen voor argwaan zorgen wanneer ie-mand de actieve processen in het taakbeheer inspecteert. Explorer.exe is in dit geval een trojan met als missie andere specifieke mal-ware binnen te halen.Om niet door de mand te vallen, gaat het Trojaanse paard op zoek naar een bestandje op putdrive.com. Dat is een perfect legitieme website waarop je bestanden kan delen. Het bestand dat de binnendringer zoekt is ver-momd als een stukje tekst. In werkelijkheid gaat het om een versleutelde backdoor trojan die schuilgaat onder het label ‘Python/Tele-bot.AA trojan’. Van dat stuk malware krijgen de aanvallers hun naam.

Fase 3Huiswaarts bellenZodra de Telebot-malware zich in het be-smette systeem gevestigd heeft, zoekt hij contact met een zogenaamde command & control-server. Via die servers kunnen de hackers hun programma instructies geven. Communicatie met louche buitenlandse servers kan al eens een alarm doen afgaan bij de virusbeveiliging, dus moet dergelijke trafiek vermomd worden. Telebot maakt daarvoor volgens ESET heel slim gebruik van Telegram. Telegram is een populair WhatsApp-alternatief waarop je geautomati-seerde bots kan maken. De infrastructuur die gebruikers de mogelijkheid geeft chatbots te maken, wordt door de malware misbruikt als communicatietool.Contact met de command & control-server wordt op die manier vermomd als onschul-dige https-trafiek waar geen haan naar zal kraaien. ESET bracht Telegram op de hoog-te van het misbruik van hun dienst. Het is echter twijfelachtig dat het bedrijf snel veel kan doen om het probleem te verhelpen. Het gaat immers niet om één account: ieder individueel stuk malware heeft een unieke ID

en communiceert met zijn eigen account via Telegram.

Fase 4Het misbruik begintDe hackers kunnen hun programma via Tele-gram besturen aan de hand van eenvoudige commando’s. Die commando’s zijn schrik-wekkend eenvoudig. Met ‘getdoc [bestand-spad]’ kunnen de hackers ieder willekeurig bestand vanop de geïnfecteerde computer via Telegram uploaden, zolang het minder dan 50 MB weegt. De malware zelf slaat automatisch alle bestanden op die afkomstig zijn van de command & control-server. Zo kan de hacker erg eenvoudig nieuwe malwa-re op de geïnfecteerde computer plaatsen.De hackers hebben op dit moment nog geen administratorbevoegdheden en zijn dus beperkt in hun mogelijkheden. Dat is slechts een kwestie van tijd. Door het gecamoufleer-de communicatiekanaal en de geïntegreerde bestandsoverdracht in beide richtingen kunnen de aanvallers van de Oekraïense financiële bedrijven in deze fase beginnen met eventuele gevoelige documenten van de geïnfecteerde pc te plukken. Tegelijkertijd zijn ze in staat de volgende fase van hun aanval te plannen.

Fase 5Meer bevoegdhedenDe hackers laten er geen gras over groeien en gebruiken het Telegram-kanaal om ge-

specialiseerde malware te installeren. Die heeft in hoofdzaak als doel om gevoelige informatie te vergaren. Zo ontdekte ESET dat het TeleBots-collectief steunt op enkele gekende virussen zoals ‘CredRaptor’. Die tool is in staat de opgeslagen wachtwoorden uit Chrome, Firefox, Opera of Internet Explorer buit te maken. Andere tools zijn een stuk software dat het geheugen misbruikt om Windows-wachtwoorden te ontfutselen of een simpele keylogger, die gewoon alle inge-drukte toetsen doorspeelt aan de criminelen.De combinatie van de verschillende tools geeft de hackers genoeg mogelijkheden om uiteindelijk administratorbevoegdheden te verkrijgen op de gehackte pc en het bijhoren-de netwerkdomein.

Fase 6Plan B, C en DDe initiële achterdeur geplaatst door de Te-lebot-trojan volstaat om de ganse aanval uit te voeren, maar de aanvallers maken van hun toegang gebruik om enkele nieuwe achter-poortjes te openen. Die nieuwe trojans voor-zien de hackers van de nodige gegevens om opnieuw een verbinding tot stand te brengen, moest Telebot ontdekt worden.Die werkwijze illustreert erg goed waarom professionele beveiligingsmensen niet ge-neigd zijn om een hacker meteen uit het geïnfecteerde systeem van een klant te gooien. Meestal hebben cybercriminelen zich in de dagen en weken waarin ze toegang hadden tot het systeem goed ingedekt. Het

Via Telegram kunnen de hackers ieder willekeurig bestand vanop de geïnfecteerde computer uploaden

is interessanter om een hack even te moni-toren, zo is de kans groter dat onderzoekers de volledige schaal van de inbraak kunnen vaststellen en meteen alle geopende deuren kunnen sluiten.

Fase 7VoortplantingIn de voorlaatste fase van de aanval gra-ven de hackers een digitale tunnel naar de besmette computer. De tool die daarvoor gebruikt wordt heet BCS-server, aldus ESET. De criminelen kunnen de malware gebruiken om data te verzenden en te ontvangen vanop het geïnfecteerde systeem, maar ze kunnen er ook mee binnendringen op andere com-puters binnen het domein. Zo komt het hele interne netwerk van het slachtoffer in gevaar.

Fase 8De genadeslagDe laatste fase van de aanval heet ‘KillDisk’ en helaas voor het slachtoffer dekt de vlag de lading. Op dit moment in de aanval hebben de criminelen administratortoegang tot de getroffen pc en het domein, hebben ze toe-gang gekregen tot andere toestellen in het netwerk en konden ze niet alleen wachtwoor-den ontfrutselen, maar ook naar believen bestanden vanop de besmette computer stelen.

Op dit moment heeft het geïnfecteerde sys-teem het TeleBots-collectief niets meer te bieden. De besmette computer staat nu op het punt de ultieme prijs te betalen. KillDisk is ontworpen om op Windows te draaien met alle mogelijke rechten. Aangezien de hackers in deze laatste fase alle nodige wachtwoor-den bezitten, is dat geen probleem. De tool meldt zich aan op het systeem als ‘Plug-And-Play Support’, wat opnieuw een slimme

naam is waarmee de hackers hopen arg-waan te vermijden.Als laatste wapenfeit geven de criminelen KillDisk via de command & control-server een activatie-order, eventueel voorzien van een specifieke datum en tijdstip. Op dat mo-ment schiet KillDisk in actie. De applicatie verwijdert essentiële bestanden van de pc, zodat hij niet meer opgestart kan worden. Vervolgens worden bestanden met vooraf bepaalde extensies overschreven. In de prak-

tijk zullen zowat alle gegevens op de com-puter overschreven worden door bestandjes met dezelfde naam. In die kleine bestandjes zit in het geval van de TeleBot-aanval een lijntje tekst. Ofwel staat er ‘mrR0b07’, ofwel ‘FS0cie7y’. Beiden zijn niets meer dan een verwijzing naar de populaire tv-serie ‘Mr. Robot’.

Tot slot krijg je onderstaand beeld te zien. ESET merkt op dat het niet om een foto gaat

De besmette computer staat nu op het punt de ultieme prijs te betalen

De hackers lijken buitenproportioneel veel werk te hebben gestoken in hun visitekaartje.

die bij de malware zit, maar om code waar-mee het beeld in realtime gemaakt wordt. De beveiligingsfirma merkt op dat de aanvallers bijzonder veel moeite hebben gestoken in dat visitekaartje. Of dat een troost is wanneer je ganse systeem gewist wordt, is twijfelachtig.

Eventuele lessenDe TeleBot-aanval is bijzonder geavanceerd. Achter de cyberaanval zitten professionele hackers met toegang tot hele slimme tools. De aanval die we hier beschrijven is boven-dien gericht op specifieke bedrijven met als

doel sabotage. ESET merkt op dat de ge-bruikte technieken, zoals de communicatie via het Telegram-kanaal, splinternieuw zijn.Ondanks alle knowhow van de aanvallers begint de aanval door een menselijke fout. De ontvanger van de mail had de macro in het Excel-bestand nooit mogen openen. Als bedrijf kan preventie hier helpen. Duidelijke richtlijnen over wat mag en niet mag, zijn geen overbodige luxe. Het kan ook interes-sant zijn om werknemers duidelijk te maken hoe groot de gevolgen van het openen van een besmet Office-bestand kunnen zijn.

Tot slot illustreert de hack hoe preventie door dure firewalls en antivirusprogramma’s zijn beperkingen heeft. Zeker bij gerichte aan-vallen zoals deze, ontwikkelen hackers hun tools op het scherpst van de snee. Zo zijn ze bestaande beveiligingssoftware soms te slim af. Enkel een menselijke component kan hier soelaas bieden: door het bedrijfsnetwerk nauwlettend in de gaten te houden, en te beseffen dat hackers aanwezig kunnen zijn, kan een aanval vaak ontdekt worden voor het te laat is.

www.techpulse.be