07/201507/2015 1110

Techniek / Misdaad

Virus-vangers

Shu

tt

er

St

oc

k

een bezoekje aan een website is genoeg om besmet te raken met een virus dat geld van je rekening haalt. De boosdoener? Die is niet meer te traceren. De Finse veiligheidsexpert Mikko hyppönen strijdt tegen steeds slimmer gemaakte virussen.

7 tekSt: AnouSchkA BuSch

Ooit waren computervirussen vooral het werk van balorige tieners met een wiskundeknobbel. Ze maakten de virussen voor de lol, of om te zien

of het kon. Want het is toch hilarisch als over de hele wereld miljoenen computers plat gaan dankzij een programmaatje dat jij geschreven hebt? Vandaag de dag zijn virussen en andere schadelijke software het werkterrein van crimi-

nelen. Je computer loopt niet meer gierend vast, maar zonder dat je er erg in hebt

worden kwaadaardige program- maatjes geïnstalleerd op je

harddisk: malware. En met een beetje pech wordt

daarna ineens een flinke som geld

van je rekening afgeschreven. Naarmate meer mensen via internet betalen en de hoeveelheid geld die met online criminaliteit verdiend kan worden toeneemt, worden virusmakers steeds professioneler. Het gevolg: een voortdurende wapenwedloop tussen criminelen en de virus-bestrijders.

AJagen op virussenPakweg een kwart van de computers in Neder-land is besmet met malware. Hoeveel mensen daardoor financiële schade oplopen is niet goed bekend. Maar volgens de Verenging van Banken kwam de totaalschade door fraude met malware in 2014 neer op 500.000 euro. ‘De eerste malware die tot doel had om er geld mee te verdienen dook in 2003 op, zo’n twaalf jaar geleden’, vertelt veiligheidsexpert Mikko Hyppönen. ‘Daarna ging het heel snel. Tegen-woordig vind je nog maar zelden malware van makers die het niet om het geld te doen is.’ We bevinden ons in de vergaderruimte van het Finse antivirusbedrijf F-Secure. Op het grote beeldscherm aan de muur komen in rap tempo de virussen voorbij die zojuist gedetecteerd zijn. Hyppönen, Chief Research Officer, legt uit hoe het bedrijf het hoofd biedt aan steeds geavan-ceerdere malware. Met zijn blonde paarden-staart, ronde brilletje en enthousiaste manier van vertellen zou je hem makkelijk voor een student kunnen verslijten. In werkelijkheid is hij al meer dan 20 jaar bezig virusmakers van over de gehele wereld te dwarsbomen. Als onderzoeker bij F-Secure, maar ook als adviseur voor verschillende bedrijven en regeringen.

ASchoon of besmet?Zo’n 279.000 verdachte bestanden zijn de afgelopen 24 uur binnengekomen, ziet Hyppönen in zijn systeem. Daar-van is lang niet alles daadwerkelijk malware. Het kan bijvoorbeeld ook een beschadigd bestand zijn dat door die beschading verdacht lijkt. Een computersysteem analyseert ze auto-matisch en hangt er een label aan: ‘schoon’ dan wel ‘besmet’. Wordt er malware gevonden die het systeem nog niet eerder is tegengekomen dan wordt deze malware toegevoegd aan de codes waar de antivirussoftware alert op moet zijn.

Wat beweegt de makers van kwaadaardige software?

12 07/2015 1307/2015

Techniek / Misdaad

‘Gijzelvirussen’ vergrendelen je bestanden zodat je er niet meer bij kunt

1

2

Hacker 3

Waar komt die enorme hoeveelheid verdachte bestanden vandaan die F-Secure iedere dag krijgt? Een deel komt van de gebruikers van hun antivirussoftware. ‘Als je iets tegenkomt op je computer wat je niet vertrouwt, is er een knop waarmee je het ons kunt opsturen. Of als de antivirussoftware zelf iets verdacht vindt, vraagt het of de gebruiker het wil opsturen.’

AHoningaap vangt malwareToch wordt de meeste malware die F-Secure binnenkrijgt door het bedrijf zelf verzameld op het internet. Het bedrijf gebruikt daarvoor lokcomputers en loknetwerken: honeypots en honeynets. Het zijn ‘honingpotjes’ die zich zo makkelijk laten kraken dat ze een magneet zijn voor hackers die zoeken naar een plaats om hun malafide waren achter te laten. Nog een andere bron van malware zijn honey-monkeys. Dat zijn computersystemen die het gedrag van een internetgebruiker imiteren en alles doen wat je als internetter juist niet zou moeten doen. Met een verouderd besturings-systeem, een gedateerde browser en een nooit ge-update versie van Flash surfen ze over het web. Ze klikken op dubieuze advertenties en bezoeken vooral sites waar je gemakkelijk een

virus kunt oplopen, met bijvoorbeeld porno of illegale downloads. F-secure heeft honderden van dergelijke machines die dag in dag uit over het web surfen en continu besmet raken. Ook wordt informatie uitgewisseld met andere anti-virusbedrijven. Hyppönen: ‘Wij versturen onze nieuw gevonden malware naar hen en zij die van hun naar ons.’

AMalware luistert meeWat doet al die malware die F-Secure binnen-krijgt nu eigenlijk? Van alles waar je bepaald niet blij wordt. Er zijn keyloggers die ‘luisteren’ naar wat je typt en die vooral geïnteresseerd zijn in wat je invult in webformulieren. Er is spyware die op je computer op zoek gaat naar vertrouwelijke informatie zoals wachtwoorden, creditcardgegevens en e-mailadressen. En er is remote-access software, ook wel een ‘achter-deurtje’ genoemd, die een internetcrimineel volledige toegang tot jouw computer geeft. Zo

kan hij niet alleen alles zien wat jij doet op je computer, maar ook bestanden veranderen of de webcam aanzetten. Verder zijn er banking trojans die bij het internetbankieren betalings-opdrachten wijzigen of toevoegen. En dan is er nog ransomware ofwel ‘gijzelvirussen’ die je computer of bestanden daarop vergrendelen. De enige manier om ze weer toegankelijk te maken is losgeld betalen.

AEen regeltje is genoegWie dacht veilig te zijn voor malware omdat hij nooit op een verdachte link of pop-up klikt, of bestanden van onbekende herkomst opent, zit ernaast. Het is steeds gemakkelijker geworden om ongemerkt een virus op te lopen tijdens het surfen. Moest je vroeger nog actief op een link of een advertentie klikken, tegenwoordig is een bezoekje aan een website al genoeg om besmet te worden. Hoe een crimineel dat voor elkaar krijgt? Hij

gebruikt kwetsbaarheden in je browser of de plugins die je daarin draait, zoals Flash en Java. Om die te kunnen uitbuiten installeren crimi-nelen stiekem een exploit kit op een website. Soms wordt daarvoor de website zelf gehackt, soms de advertenties die op die site staan. Zo’n exploit kit kan zich daardoor zelfs op de meest vertrouwenwekkende sites bevinden. Nog niet zo lang geleden was bijvoorbeeld de nieuwssite nu.nl het slachtoffer. Voor de eigenaar is het vrijwel onmogelijk te ontdekken dat zijn site gehackt is. Op het eerste gezicht ziet alles er nog precies hetzelfde uit. Het enige verschil: een klein regeltje tekst dat toegevoegd is aan de code van de website. Maar dat ene regeltje zet wel een heel proces in gang. Eerst wordt informatie over de gebruiker verzameld: welk besturingssysteem gebruikt hij? Welke versie? Welke netbrowser? Is die up-to-date? Welke plugins gebruikt hij? Op basis van deze infor-matie stelt de kit een op maat gemaakte exploit

Viruspioniers

Het eerste computervirus ooit dook in 1982 op en

werd gemaakt door de toen- tertijd 15-jarige Rich Skrenta uit het Amerikaanse stadje Mt. Lebanon. Het virus deed het op de Apple II-computer en wist zich te verspreiden via floppy disks. Skrenta wilde vrienden ergeren door elke 50ste keer dat ze een floppy gebruikten een tekst te tonen. Een ‘practical joke’ die nooit verder kwam dan Skrenta’s vriendenkring. Het eerste pc-virus, en het eerste virus dat wereldwijd toesloeg, werd in 1986 door de Pakistaanse broers Basit

en Amjat Alvi geschreven en stond bekend als het Brain-virus. Ook deze broers hadden geen kwaad oogmerk. Het virus moest de software die ze gemaakt hadden met hun bedrijfje Brain beschermen tegen illegaal kopiëren. Bij een illegale kopie werd de titel van de floppydisk veranderd in ©Brain. Ze voegden het virus echter ook toe aan de illegale kopieën van popu-laire software die ze zelf

verkochten in hun computer-winkel. Dat zorgde ervoor dat het virus zich veel sneller verspreidde dan ze ooit hadden verwacht.

Leuk cadeautje

De meeste malware valt onder de noemer trojan. De naam komt van de Griekse legende waarin de Oude Grieken de onneem-

baar geachte stad Troje toch wisten te veroveren door soldaten te verbergen in een reusachtig houten paard. De Trojanen dachten een geschenk te hebben gekregen en sleepten het paard binnen de stadsmuren. ’s Nachts, toen de Trojanen dronken van geluk waren, kwamen de soldaten tevoorschijn om de stadspoort voor hun collega’s te openen en de stad te overmeesteren.Een Trojaans paard gebruikt zo’n zelfde truc om jouw computer binnen te dringen. Het verbergt zich in een bestand dat onschuldig lijkt. Bijvoorbeeld een bijlage van een mailtje van je bank (althans, zo lijkt het), of afspeelsoftware die je moet downloaden om een bepaalde video te kunnen kijken. Ook computervirussen verbergen zich vaak op die manier in e-mailbijlages. Het grote verschil: zulke virussen vermenigvuldigen zichzelf en dat doet een trojan niet. Een virus verspreidt zichzelf van het ene naar het andere bestand in je computer en brengt daarbij vaak allerlei schade aan. Hoe langer een virus op je computer onopgemerkt blijft, hoe meer bestanden op je computer geïnfecteerd kunnen raken.

Om hun malware buiten het vizier van antivirusbedrijven

te houden, verzinnen de makers telkens weer nieuwe technieken. Zo weten ze bijvoorbeeld dat het testen of een stukje software kwaadaardig is in een speciale, afgeschermde omgeving plaats- vindt, een zogeheten sandbox. Hun malware probeert er eerst achter te komen of het zich niet in zo’n sandbox bevindt voordat het verdachte activiteiten gaat ontplooien. Of het wacht simpel- weg een tijdje voor het wat doet. Lang genoeg, hoopt men, om detectie te ontlopen.Ook weten de malwaremakers dat het testen grotendeels auto-

matisch gaat. Zijn er geen muis- bewegingen? Dan is er blijkbaar geen gebruiker en doet ook de malware niets. Antivirusbedrijven zijn natuurlijk ook niet gek en passen hun testmethodes aan om de malware toch uit te tent te lokken. Ze zorgen bijvoorbeeld voor geautomatiseerde muis-bewegingen, waarna de malware- makers weer nieuwe methodes moeten verzinnen. Een test bijvoorbeeld om ‘onnatuurlijke’, door de computer gegenereerde muisbewegingen te herkennen. Et cetera, et cetera. Zo blijven virusmakers en -bestrijders verwikkeld in een voortdurend kat- en muisspel.

Wapenwedloop

Het eerste computer- virus, Elk Cloner (1982). Niet schadelijk, wel irritant.

Een Trojaans paard lijkt een leuk bestand, maar

de verborgen inhoud kan behoorlijk schadelijk zijn.

In Europa is Neder- land het land waar de meeste malware wordt gehost. Dat komt door onze kwalitatief goede digitale infrastructuur.

Een honeynet: hacker kraakt simpele server (1) om anoniem in schijnbaar mooie computer (2) te komen, maar wordt door virusbestrijders (3) bespioneerd.

Ge

tt

y IM

AG

eS

Ge

tt

y IM

AG

eS

MA

rIj

n

1507/201514 07/2015

Techniek / Misdaad

Veel makers van malware zijn werkloze programmeurs uit Rusland

tinyurl.com/virusjager: TED-talk waarin Mikko Hyppönen vertelt hoe hij op zoek ging naar de makers van het eerste PC-virus.

M EER IN FO RMATIE

samen en stuurt deze naar je browser. Als je browser eenmaal op die manier geïnfecteerd is, kunnen de criminelen alle malware op je computer zetten die ze maar willen: banking trojans, keyloggers, ransomware.

AMakers worden professionelerHyppönen laat zien hoe zo’n exploit kit er aan de ‘achterkant’ uitziet: een strak vormgegeven en gebruikersvriendelijk programmaatje. Hier- mee kan de crimineel precies zien hoeveel mensen al geïnfecteerd zijn, uit welk land, met welk besturingssysteem en welke browsers. Wat we nu bekijken is Black Hole, een populair Russisch programma waar je ongeveer 1000 euro voor betaalt. ‘Dat ze dit soort analyse- tools hebben, laat zien dat het maken van een virus een professioneel bedrijf is geworden.’ Welke mensen zijn dat, die dit soort malware maken? ‘Meestal zijn het werkloze computer-programmeurs’, zegt Hyppönen. Daarom zie je ook veel online criminaliteit vanuit Rusland. Daar zijn veel hoogopgeleide programmeurs die geen baan kunnen vinden. Met malware is veel geld te verdienen en de kans is klein dat iemand je weet te traceren. Nog kleiner is de kans dat je ervoor veroordeeld wordt, want het maken en verkopen van virussen of exploit kits is op zich niet verboden. ‘Zij zijn niet degenen die mensen besmetten en hun geld afhandig

maken. Zij doen niets illegaals, dat zijn degenen die hun producten kopen.’ En dat zijn mensen in allerlei soorten en maten. ‘Om een exploit kit te schrijven heb je behoorlijk wat vaardig-heden en kennis nodig’, betoogt Hyppönnen. ‘Maar om hem te gebruiken hoef je helemaal niet zoveel te weten. Er zitten bijvoorbeeld kinderen bij uit de sloppenwijken in Brazilië. Ze zijn arm, maar ze hebben wel toegang tot het internet en ze leren snel. Hun omgeving

moedigt ze alleen maar aan. Als zo’n jochie winkeldiefstal pleegt, krijgt hij straf. Maar het stelen van creditcardnummers van een dikke, rijke Amerikaan wordt juist toegejuicht.’

AKoop een tabletIs er, behalve goede antivirussoftware instal-leren, nog iets wat je kunt doen om je computer te beschermen tegen internetcriminelen? De makkelijkste oplossing is om helemaal af te

stappen van de computer en over te gaan op een tablet, zegt Hyppönen. De meeste mensen gebruiken hun computer vooral om te surfen, te mailen en te internetbankieren. Als dat het enige is waar je je computer voor gebruikt, dan zijn tablets niet alleen een stuk sneller, maar ook veel veiliger. De voornaamste reden? Ze kennen veel meer restricties. De apps die erop draaien mogen veel minder en malware kan daardoor ook minder schade aanrichten. Op de iPad is het zelfs niet mogelijk om software te installeren die niet van te voren door Apple is gecontroleerd. Maar als iedereen op tablets overgaat, kan F-Secure de deuren dan niet sluiten? Hyppönen maakt zich daar niet veel zorgen over. ‘Crimi-nelen zullen altijd nieuwe manieren verzinnen om aan te vallen en computersystemen zullen altijd kwetsbaarheden blijven hebben. Zolang er slechte mensen op de wereld zijn, blijven wij verzekerd van een baan.’ 7

anouschka.bush@quest.nl

Politie kraakt computer?

Je bent betrapt! Je hebt illegale bestanden binnengehaald en nu heeft de politie je

computer vergrendeld. De enige manier om weer toegang te krijgen is een boete te betalen. Dat is wat slachtoffers van het ‘politievirus’ op hun scherm te zien krijgen. Zou de politie echt in iemands computer inbreken om boetes te innen? Nee, nooit. Toch schrikken mensen soms zo van deze melding dat ze snel met het gevraagde geld over de brug komen. Vaak helpt dat niet: de computer wordt niet ontgrendeld. Deze vorm van malware wordt ‘Ransomware’ genoemd. De nieuwste variant hiervan richt zich vooral op kleine bedrijven. Hierbij worden belang-rijke bestanden zoals tekstdocumenten of excelbestanden versleuteld. Decoderen kan alleen met de sleutel die de criminelen in hun bezit hebben. En ja, dat kost je geld. Betalen geeft je in dit geval meestal wel je bestanden terug. De criminelen weten namelijk heel goed dat mensen meteen gaan googelen naar ervaringen van andere slachtoffers: hebben die hun bestanden teruggekregen nadat ze hadden betaald? Toch kun je deze criminelen beter geen geld geven, adviseert de politie. Garantie dat het werkt heb je niet en door te betalen houd je deze vorm van afpersing in stand. Maar wat je dan wel moet doen als je geen back-up hebt gemaakt en je toch je bestanden terug wil, is onduidelijk. De cryptografie die gebruikt wordt om de bestanden te versleutelen is zo sterk dat het proces onomkeerbaar is.

Hoe je een rekening plundert

Over het algemeen heeft internetbankieren een

aantal beveiligingslagen. Om geld over te kunnen maken heb je niet alleen een wacht- woord nodig, maar ook een code die je per telefoon krijgt opgestuurd of de code die door een card reader wordt gegenereerd. Hoe weten criminelen dan toch met hun malware geld van je rekening te sluizen? Bijvoorbeeld door gebruik te maken van het feit dat er geen verschil zit tussen

de codes die nodig zijn om in te loggen en codes waarmee je een transactie bevestigt. Slachtoffers van malware krijgen een scherm te zien dat meldde dat het inloggen niet gelukt was. Nog een keer proberen? In werkelijkheid is het inloggen wel gelukt en zet de malware op de echte banksite snel een transactie klaar. Wie opnieuw inlogt, bevestigt deze transactie. Op die manier werd aan verschil- lende ABN-Amro klanten in

2007 geld ontfutseld. Een andere truc: onzichtbaar voor jou wordt een extra betalingsopdracht aan je overboekingen toegevoegd. Samen met de 10 euro naar je nichtje blijk je ineens ook 1000 euro naar Roemenië te hebben overgemaakt. Mocht je snode plannen hebben: Nederlandse banken hebben hun beveiliging inmiddels aangescherpt. Deze trucs werken vandaag de dag niet meer.

8

Wie geen last wil hebben van malware kan het beste

overgaan op tablets. Die zijn veel veiliger dan pc’s.

De totale schade door fraude met internetbankieren

(phishing en malware) bedroeg in 2014 zo’n 4,7 miljoen euro.

Shu

tt

er

St

oc

k

Shu

tt

er

St

oc

k

Ge

tt

y IM

AG

eS