7 spannende dreigingen

Als het gaat om de gevaren van de nieuwe digitale wereld, valt de discussie al snel in twee kampen uiteen: het kamp dat zich nergens zorgen om maakt ('privacy is sowieso een illusie, het mag innovatie niet in de weg staan, ik heb toch niks te verbergen en de branche komt vanzelf met aanvaardbare oplossingen'), en het kamp dat ervan overtuigd is dat de beren op de weg op het punt staan zich daar permanent te vestigen. Dat laatste kamp vindt dat er iets fundamenteel mis is met de manier waarop we de digitale wereld benaderen, met name omdat veiligheid over het algemeen pas op het tweede plan komt, terwijl het om effectief te zijn aan de basis van een veilig design zou moeten liggen.

Wie er gelijk heeft en waar we straks uitkomen, zullen we ongetwijfeld in de komende jaren gaan zien. Voor het zover is, laten je graag kennismaken met zeven dreigingen die volgens experts de komende tijd een grote vlucht gaan nemen.

Collateral damage

Volgens Todd Feinman, CEO van DLP-leverancier Identity Finder, doen groepen als Anonymous het niet voor het geld. Dit soort clubs heeft vooral voor ogen hun doelwit in verlegenheid te brengen, waarbij het gewoonlijk gaat om autoriteiten als regeringen en wetsdienaren. Wat je helaas steeds vaker als neveneffect ziet, is dat er allerlei gevoelige persoonlijke informatie van onschuldige burgers openbaar wordt gemaakt, die op zijn beurt weer door een tweede laag van vaak aanzienlijk minder vaardige cybercriminelen wordt misbruikt voor identiteitsdiefstal.

Hoe anoniemer deze groepen zijn, hoe minder ze zich druk lijken te maken om dit soort bijkomende schade. Het doel heiligt de middelen, zo lijkt het. AntiSec heeft (volgens Feinman) in een online posting zelf gezegd: "Collateral damage kan ons niets schelen. Dat gebeurt nu eenmaal."

Sociale media en social engineering

Volgens veel experts draait de toekomst van malware niet eens zo zeer om de malware zelf, als wel om de manier waarop potentiële slachtoffers benaderd worden. "Als mensen besluiten in vertrouwen met een sociaal netwerk in zee te gaan, beseffen ze lang niet altijd wat daarvan de gevolgen kunnen zijn. Tegenwoordig is het voor iemand die je totaal niet kent veel eenvoudiger om van alles over je te weten te komen dan vroeger," zegt dr. Hugh Thompson, voorzitter bij de RSA Conferenties rond encryptie en informatiebeveiliging. "Tegenwoordig is het bijzonder simpel de antwoorden te achterhalen op de vragen die je worden gesteld voordat ze je wachtwoord doorsturen ('Wat is de meisjesnaam van je moeder?' - red.). Tools als Ancestry.com, die helemaal niet met dat doel gebouwd zijn, bieden een schat aan bruikbare informatie voor mogelijke hackers," aldus Thompson.

Whaling

Waar 'phishing' de inmiddels welberuchte praktijk is om een soort web uit te spreiden over het internet in de hoop dat een promille van de bezoekers zo stom is in de val te trappen, is 'whaling' de relatief nieuwe praktijk om vergelijkbare oplichting heel gericht toe te passen op specifieke doelen. Chris Larsen, die leiding geeft aan onderzoekslab Blue Coat Systems, beschreef onlangs bijvoorbeeld een geval waarbij een groep hackers zich bewust richtte op de partners van de bestuursleden van een grote onderneming. Het idee erachter was dat er op zijn minst één leidinggevende moest zijn die thuis een slecht beveiligde pc had staan waarop een technisch minder handige huisgenoot bereid zou zijn op een link naar een namaak-beveiligingsprogramma te klikken. Op die manier zochten ze een achterdeurtje om via de bestuurslaag toegang te krijgen tot gevoelige bedrijfsinformatie. Volgens Paul Wood, senior intelligence analyst bij Symantec, is whaling duidelijk aan een opmars bezig. "Enkele jaren geleden zagen een of twee van dit soort aanvallen per dag. Op dit moment komen er op sommige dagen wel 80 langs."

Wormen op smartphones

Hoewel iedereen het er over eens is dat smartphones bepaald niet allemaal even goed beveiligd zijn en dat het risico van deze apparaten waarschijnlijk groot is, wachten we nog steeds op het eerste serieuze incident. Dat valt deels te verklaren uit het feit dat 'de smartphone' geen eenduidig platform is; er is een aantal totaal verschillende systemen in omloop, en dat maakt dat het voorlopig voor malware-schrijvers nog een stuk eenvoudiger en rendabeler is om zich op Windows-pc's of websites te richten.

Er is een heel goede reden om aan te nemen dat dit niet zo zal blijven. Laren, van Blue Coat, verwacht dat platform-onafhankelijke (webgebaseerde) wormen de volgende stap zullen zijn. Malware-schrijvers wachten op dit moment simpelweg totdat de makers van legitieme platform-onafhankelijke software het zware werk hebben gedaan. Als websites en apps straks geschikt zijn gemaakt voor allerlei verschillende apparaten, is het voor hackers een peulenschil om misbruik te maken van de nieuwe universele standaarden die dat mogelijk maken, zoals HTML, XML, JPEGs et cetera, die overal op iedere smartphone willen draaien.

De digitale portefeuille

Smartphones zijn de gedoodverfde nieuwe digitale portemonnees, en je mag er gerust vanuit gaan dat cybercriminelen zich handenwrijvend op die ontwikkeling zitten te verheugen. "We maken ons veel zorgen over de aanstaande introductie van near-field communication betalingstechnieken via smartphones," zegt Marc Maiffret, CTO bij eEye Digital Security. In Europa en Azië zijn we daar al tamelijk ver mee, maar ook Amerika wil nu die kant op. Volgens Maiffret is het heel simpel: zodra digitaal betalen via de smartphone een geaccepteerd verschijnsel wordt, zullen de hackers snel volgen.

Carhacking

Tijdens de Black Hat en Defcon conferenties die begin augustus werden gehouden, schotelde een aantal onderzoekers verontrustende scenario's voor. Het blijkt bijvoorbeeld (niet in theorie, maar in de praktijk) nu al mogelijk sommige auto's te hacken. De onderzoekers konden het alarm uitschakelen, de deuren openen en de auto zelfs op afstand starten via tekstberichten die via een telefoonverbinding naar de draadloze apparatuur in de auto werden verzonden. Andere apparatuur die in principe op afstand te besturen is: airbags, radio's, elektrische stoelen en ramen, het blokkeersysteem, de stabiliteitscontrole, de cruise control en de communicatiesystemen. Het bleek ook mogelijk op grote afstand de RFID-tags uit te lezen die gebruikt worden om de bandenspanning door te geven aan de systemen in de auto, waarmee de auto dus gewoon altijd getraceerd kan worden.

"Naarmate de digitale techniek in auto's meer en meer functies krijgt, neemt ook het gevaar toe dat die technieken worden misbruikt," zegt Stuart McClure, senior vice president en general manager bij McAfee. "Er zijn vele voorbeelden van hacks die door onderzoekers zijn uitgevoerd, die aantonen dat de consument blootstaat aan forse potentiële gevaren. Dat je email of je laptop wordt gehakt is tot daar aan toe, maar als ze je auto hacken komen heel letterlijk je lijf en leden in gevaar."

Housejacking

Niet alleen in auto's, maar ook in de huishouding treffen we steeds vaker systemen aan die opvallend eenvoudig gehackt kunnen worden. Het aantal apparaten met een IP-adres zal de komende vijf tot tien jaar stijgen van, ruw geschat, 50 miljard tot een biljoen, menen bedrijven als IBM, Ericsson en Cisco. Denk daarbij vooral niet alleen aan domotica-systemen als de slimme ijskast, of aan puberhackertjes die op afstand de gordijnen openen en je tv herprogrammeren. Nu al blijken slimme energiemeters eenvoudig toegankelijk voor buitenstaanders met enige technische kennis, die je daarmee flink op kosten kunnen jagen. En het kan nog veel kwalijker, als je bedenkt dat ook steeds meer alarmsystemen in principe toegankelijk zijn. En de systemen van de luchtverkeersleiding. En die van onze nutsbedrijven. Stuxnet heeft aangetoond dat zelfs de offline systemen van moderne kerncentrales niet immuun zijn. Je pacemaker? Je moet er niet aan denken...