De innovatie op het gebied van technologie is indrukwekkend, maar we vergeten vaak dat criminelen ook voordeel halen uit deze ontwikkelingen. Ondanks de verbeteringen in antivirussoftware, is het nog nooit zo gemakkelijk geweest om malware of ransomware te installeren. Internetserviceprovider OVH is al anderhalf jaar bezig om het internet veiliger te maken door kwaadwillige programma’s te onderscheppen en, waar mogelijk, te voorkomen dat ze gebruikmaken van het OVH-netwerk. Frank Denis, beveiligingsexpert bij OVH’s Security Operation Center (SOC), dat bestaat uit een team van twintig medewerkers verspreid over drie continenten, biedt meer inzicht in de ontwikkelingen.
Distributed Denial of Service-aanvallen (DDoS) zijn pogingen om een computer of netwerk onklaar te maken, door meerdere computers tegelijkertijd te laten aanvallen. Deze aanvallen komen steeds vaker voor en worden steeds intenser, maar datacenters en hostingbedrijven zijn steeds beter in staat om deze aanvallen af te slaan, door systemen te installeren die deze aanvallen detecteren en afwenden. Denis: “Hier zijn wel kosten aan verbonden en daarnaast moet OVH zorgen voor extra netwerkcapaciteit om de grote hoeveelheden aanvallen te kunnen verwerken, zonder dat de gebruikers hier hinder van ondervinden.”
Lokaas als kaas in een muizenval
Gebaseerd op het principe van een muizenval, plaatst OVH bewust machines in het netwerk die eenvoudig te hacken zijn. “Deze machines nemen alle activiteiten op en op die manier hebben we inzicht in wat er op de servers gebeurt en kunnen we ingrijpen waar nodig”, legt Denis uit. Daarnaast heeft OVH duizenden e-mailadressen en domeinen gecreëerd en beschikbaar gesteld aan spammers. Er rest dan nog slechts de taak om regelmatig de val te zetten. “De ontvangen e-mails worden geanalyseerd en degenen die interessante bijlagen bevatten, worden opgeslagen, gegroepeerd en ontleed. Op die manier zien we de lopende campagnes en identificeren we de mails die onze OVH-infrastructuur beïnvloeden.”
Wanneer voldoende bewijs is verzameld tegen deze vorm van computercriminaliteit, kan een onderzoek gestart worden. Dat is niet eenvoudig, want het gaat vaak om een server die wordt geïnfecteerd en geconfigureerd door computercriminelen om bijvoorbeeld phishing-sites te hosten. Dit maakt echter onderdeel uit van een complex netwerk, met diverse geïnfecteerde servers en machines die informatie met elkaar uitwisselen. Die machines communiceren onderling met proxies of met een beveiligde VPN-verbinding, zodat het lastig wordt om te zien waar die informatie terecht komt. Die servers staan vaak ook nog eens verspreid over meerdere datacenters en verschillende continenten, met andere wetgeving. Dit maakt het krijgen van een goed overzicht schier onmogelijk.
Samenwerking gerechtelijke instanties
OVH kan niet alleen de strijd aanbinden tegen deze cybercriminelen, en werkt daarom nauw samen met gerechtelijke instanties. Volgens Denis bestaat de expertise van OVH uit het identificeren van machines en IT-systemen die bovenaan het lijstje van cybercrime-netwerken staan en die de bron zijn van malware-campagnes. De politie heeft het alleenrecht om deze praktijken verder te onderzoeken. Door samen te werken kunnen deze officiële instanties zich richten op de interessantste machines en is de kans van slagen groter om deze criminaliteit te stoppen.
Hoewel het de officiële instanties zijn die daadwerkelijk tot actie overgaan, is er ook voor OVH een rol weggelegd tegen deze vorm van criminaliteit. Denis: “Servers die verschillende vormen van ransomware versturen, mogen bij ons tijdelijk blijven staan om bewijs te verzamelen. Dit mag niet wanneer instanties ons expliciet vragen niet te handelen. We nemen alle maatregelen om verspreiding te voorkomen van kwaadaardige software en diefstal en verkoop van data die opgeslagen staan op onze machines.”
Klanten attenderen om actie te ondernemen
Wanneer het lijkt alsof de server van een OVH-klant is gehackt, dan wordt de eigenaar hierop attent gemaakt en geadviseerd om actie te ondernemen. Zij moeten dan de machine opschonen of opnieuw installeren om te voorkomen dat OVH de server afsluit.
Het traceren van cybercriminelen is noodzakelijk, maar het proces is een langdurig proces
Het traceren van cybercriminelen is noodzakelijk, maar het is een langdurig proces. En daardoor vissen de internetserviceproviders (ISP) zoals OVH vaak achter het net. Er wordt alleen ingegrepen wanneer er een melding binnenkomt en dat is dus vaak weinig effectief: de URL’s zijn meestal niet meer actief, de servers waarop het effect heeft, zijn niet meer in gebruik of de malware-campagne is afgerond. “Daarom moeten er twee acties worden ondernomen: klanten trainen en cybercriminelen ontmoedigen om gebruik te maken van het OVH-netwerk”, aldus Denis.
Computercriminelen ontmoedigen
Dat ontmoedigingsbeleid is belangrijk, want dit betekent een proactieve houding om tactieken van cybercriminelen onbruikbaar te maken. Denis: “Een ander onderdeel van mijn baan bestaat uit het uitoefenen van reverse engineering op malware die we hebben onderschept of hebben ontvangen van andere beveiligingsonderzoekers. Het doel is om een proactieve aanpak te bedenken waarbij we zwakke signalen opvangen om nieuwe werkmethodes van de cybercriminelen te identificeren en aanvallen te voorkomen.”
Denis legt dit uit aan de hand van een voorbeeld uit 2015, waarbij bank-malware zich razendsnel verspreidde vanuit diverse servers, waarvan het merendeel door OVH werd gehost. “We hadden snel in de gaten hoe de gehackte servers geconfigureerd werden om schade aan te richten en konden deze hackers tegenhouden voordat ze konden worden ingezet. Dit resulteerde erin dat we deze malware nooit meer hebben gezien. Als cybercriminelen zien dat malware wordt ontdekt voordat het schade aan kan richten, dan worden ze meestal ontmoedigd om het nogmaals te proberen.”
Besmetting is vaak een menselijke fout
Op het gebied van training is ook nog veel werk te verzetten, volgens de OVH-beveiligingsexpert. Een besmetting komt vaak tot stand door een menselijke fout, of in ieder geval een gebrek aan waakzaamheid. Op pc’s is e-mail nog steeds een van de efficiëntste manieren van besmetting via kwaadaardige banners (malvertising) en de exploitatie van software-gebreken. Bij servers zijn er twee categorieën beheerders: zij die de sleutel in de deur laten zitten door gebruik te maken van heel eenvoudige wachtwoorden, en zij die het raam open laten staan door bijvoorbeeld te vergeten de laatste software-updates te installeren. “Het is niet zo dat de code voor deze applicaties slecht is ontwikkeld, maar meer dat de massale uitrol van deze apps de hackers wakkerschudt. Doordat er meer mensen op zoek zijn naar kwetsbaarheden in de beveiliging worden er ook meer gevonden.”
Om dergelijke kwetsbaarheden snel op te kunnen sporen is OVH gebonden aan passieve netwerkanalyse. Dit houdt in dat OVH het netwerkverkeer observeert zonder actie te ondernemen. Denis: “Daarnaast kunnen we hacks ontdekken met behulp van monitoringtools en de eigenaar van de server waarschuwen.” Dit is effectief maar niet waterdicht, omdat malware gecodeerd kan worden om deze tools te deactiveren of aan te passen waar ze op zoeken. Denis adviseert om sandboxes te gebruiken, die de uitvoer van discutabele bestanden binnen een afgesloten omgeving toestaan. Op die manier is er inzicht in wat de applicatie echt doet. Dit is niet altijd de oplossing. “Om gedrag te veranderen kan malware dergelijke sandboxes detecteren, om op die manier constant nieuwe beveiligingsmaatregelen te ontdekken.”
Door ons werk maken we het de criminelen moeilijker en duurder, omdat ze gedwongen worden hun infrastructuur te updaten
Geen hopeloos gevecht
Is het een hopeloos gevecht tegen deze vorm van cybercriminaliteit? “Niet echt”, zegt Denis. “Er zullen altijd gerichte aanvallen worden gedaan waar geen detectiemodel voor bestaat en die gebruikmaken van menselijke fouten. Door ons werk maken we het de criminelen moeilijker en zeker duurder, omdat ze gedwongen worden hun infrastructuur te updaten. Criminelen die hier hun dagtaak van hebben gemaakt, worden hier echter niet volledig door tegengehouden. Zij zoeken hun heil ergens anders, waar ze nog wel toegang kunnen krijgen. Toch remt het andere hackers aanzienlijk en dat is voor ons ook een belangrijke uitkomst.”
Frank Denis is beveiligingsexpert bij OVH’s Security Operation Center (SOC)