Inleiding
Verander uw wachtwoord regelmatig, let erop waarop u klikt, en vooral: gebruik een virusscanner. Dat is in de basis wat internetters wordt aangeraden om onheil als virussen en phishing te voorkomen. Maar wat in 2012 nog meer dan in voorgaande jaren duidelijk is geworden: dat helpt slechts ten dele. Je kunt je wachtwoord nog zo vaak wijzigen, als een database met logingegevens wordt gestolen en ook nog eens slecht beveiligd blijkt te zijn, dan heb je niets aan je goede gedrag.
Of neem het niet klikken op verdachte links. De gedachte is dat je daarmee voorkomt dat malware zich via gaten in niet bijgewerkte of ongepatchte software op je systeem nestelt. Nog los van het feit dat je niet altijd kunt inschatten wat er achter een link schuilgaat, blijkt dat advies compleet nutteloos wanneer populaire websites of advertentienetwerken worden gehackt om malware te serveren.
Tweakers blikt terug op een jaar waarin vooral bedrijven, en niet internetgebruikers, de blaam treft. Een jaar waarin hackers het verkeer van klanten van een grote internetprovider hadden kunnen afluisteren, nieuwssites malware serveerden en overheden werden gehackt.

Binnen bij KPN
Op het gebied van beveiliging was 2012 geen leuk jaar voor KPN. Op een woensdagmiddag in februari, rond een uur of half vijf 's middags, plaatste het telecombedrijf een bericht online. KPN gaf aan dat een of meer hackers 'zichzelf toegang' hadden verschaft tot 'één serverdomein binnen het KPN it-netwerk'. Toen de hack op 20 januari werd ontdekt, had de hacker al enkele dagen toegang. Meteen werd geprobeerd het lek te dichten, maar dat lukte niet: een week later bleek de hacker nog steeds toegang te hebben.
Aanvankelijk was niet direct duidelijk hoe groot de omvang van het datalek precies was. Het bedrijf gaf wel direct toe dat de hacker of hackers bij privégegevens van klanten konden, zoals naw-gegevens, telefoonnummers en bankrekeningnummers. Het probleem bleek echter veel groter te zijn dan gedacht: de aanvaller bleek toegang te hebben tot honderden servers en was in staat om het verkeer van KPN-klanten te onderscheppen, zo meldde Tweakers, wat het kabinet later bevestigde.
De hackers die achter de aanval zouden zitten, claimden dat de hack op KPN 'kinderlijk eenvoudig' was doordat het bedrijf software niet had bijgewerkt. De provider zou bovendien bang zijn geweest dat de hackers 112 konden blokkeren bij klanten met een InternetPlusBellen-abonnement. De provider zou zelfs met de gedachte hebben gespeeld om de getroffen servers geheel uit te schakelen. Later gaf de isp toe dat het onderhoud aan zijn systemen 'niet optimaal' was.
Gelukkig voor KPN - maar, ongetwijfeld ook tot schaamte van het bedrijf - werd de aanval niet gepleegd door zware criminelen die gegevens van KPN-klanten wilden verkopen, maar door in ieder geval één 17-jarige jongen uit Barendrecht. Volgens het Openbaar Ministerie had hij op de honderden servers waar hij toegang toe had, root-rechten bemachtigd. Bovendien zou hij ook nog eens in gestolen creditcards hebben gehandeld en servers van buitenlandse universiteiten hebben aangevallen.
Baby Dump
In de chaos rond de hack van KPN zette iemand persoonsgegevens van honderden mensen online, die klant van KPN zouden zijn. Uit voorzorg haalde KPN zijn webmailsysteem offline, maar de gegevens bleken helemaal niet van de telecomprovider afkomstig: ze kwamen uit de database van het eerder al gehackte Baby Dump, een site die artikelen voor baby's verkoopt.
Dat wil niet zeggen dat de aanval op zijn servers het enige pijnlijke moment was voor KPN dit jaar. In augustus moest het bedrijf zijn MijnKPN-apps, waarmee klanten gegevens over hun verbruik kunnen inzien, offline halen. Het kon namelijk gebeuren dat een klant bij het openen van de app niet zijn eigen gegevens inzag, maar die van een andere gebruiker. Dezelfde week gebeurde hetzelfde met de MijnKPN-site. In september herhaalde de geschiedenis zich: toen moest de Mijn Hi-site van dochterprovider Hi offline worden gehaald vanwege hetzelfde probleem. Ook was de zakelijke webhostingdienst van KPN kwetsbaar voor een ernstig lek in php.
LinkedIn
Ook LinkedIn ondervond dit jaar een pijnlijke hack. Op een Russische website verschenen wachtwoorden van 6,5 miljoen LinkedIn-gebruikers, die afkomstig waren uit de database van de zakelijke sociale-netwerksite. De wachtwoorden waren bovendien niet voorzien van een salt: een waarde die aan een wachtwoord wordt toegevoegd om het minder gevoelig voor rainbow tables te maken. Inmiddels zijn de wachtwoorden van LinkedIn-gebruikers gesalt, beloofde het bedrijf kort na de hack.
De overheid onder vuur
Ook de overheid kwam 2012 niet ongeschonden door op het gebied van ict-beveiliging. In augustus kampten verschillende overheidsinstellingen met een mysterieus virus, dat de naam Dorifel meekreeg. Het virus trof onder meer de ministeries van Economische Zaken en dat van Onderwijs, evenals het KNMI, het RIVM, de Nederlandse Defensie Academie, twee provincies, de nodige gemeenten en universiteiten in Amsterdam, Utrecht en Rotterdam. Ook bedrijven zouden zijn besmet, maar welke dat zijn, is tot op de dag van vandaag niet duidelijk.
Het virus 'verminkte' onder meer Word- en Excel-documenten en veranderde de extensie van die bestanden naar '.scr', de Windows-extensie voor screensavers. Waarom het virus dat deed, is nog steeds onduidelijk. Wat 'functionaliteit' betreft vertoonde het virus kenmerken van ransomware: de computer van een gebruiker wordt dan 'gegijzeld' door een virus, waarbij de mededeling wordt getoond dat een gebruiker moet betalen om zijn computer weer bruikbaar te maken. In sommige gevallen worden dan ook documenten versleuteld. In het geval van Dorifel werd echter geen melding getoond dat betaald moest worden. Een later opgedoken versie deed dat echter wel; het is goed mogelijk dat de versie die de overheid infecteerde, per abuis geen mededeling toonde.
Eind december nog bleek uit onderzoek van Surfright en Digital Investigation dat het botnet dat Dorifel zou hebben verspreid, interne netwerkstructuren in kaart bracht, om vervolgaanvallen mogelijk te maken. Het botnet zou meer dan 264.000 'zombies', besmette pc's, in Nederland hebben geteld. Uit de analyse van de twee beveiligingsbedrijven blijkt dat de aanvallers over buitgemaakte logingegevens beschikten voor onder meer De Telegraaf, WeerOnline.nl en RTV West, zodat ze via die sites malware konden verspreiden - daarover later meer.
Over het algemeen wordt aangenomen dat het Dorifel-virus geen gerichte aanval op de overheid was, met doel om documenten buit te maken. Het virus maakte echter wel duidelijk dat in ieder geval een deel van de overheid onvoldoende was toegerust op digitale aanvallen. En dat terwijl buitenlandse overheden het zouden hebben gemunt op Nederland: de AIVD verdenkt China ervan een aantal Nederlandse overheidsorganisaties, die gezamenlijk aan een ongespecificeerd project werken, te hebben aangevallen met malware.
Buitenland
Niet alleen de Nederlandse overheid lag dit jaar onder vuur. Het 'losvaste' hackersverband Anonymous wist dit jaar in te breken bij het Amerikaanse ministerie van justitie en maakte daarbij onder meer e-mails en databasegegevens buit. De aanvallers verspreidden via bittorrent een dump van 1,7GB aan ontfutselde gegevens. Dat zou Anonymous gedaan hebben uit wraak, omdat de Amerikaanse overheid het internet zou censureren. Ook bij geheime systemen van het Britse ministerie van defensie kwamen hackers binnen.
I'm in your browser
Gebruikers wordt altijd aangeraden om niet op verdachte linkjes te klikken voor veilig gebruik van internet. Wie dat wel doet, loopt immers het risico om geïnfecteerd te worden met malware. Dit jaar werd duidelijk dat dat advies ongetwijfeld goedbedoeld is, maar helaas niet meer voldoet. Dit was immers het jaar waar meerdere grote websites hun bezoekers onbewust malware serveerden.
Want je kunt nog zo voorzichtig zijn met het aanklikken van links; als een van de grootste websites van Nederland malware verspreidt, heeft dat geen zin meer. Dat is precies wat in maart van dit jaar is gebeurd. Circa een uur lang serveerde NU.nl javascript-code waarmee werd geprobeerd om de bezoeker met een trojan te infecteren. Het ging om de Sinowal-malware, waarmee bankgegevens kunnen worden gestolen. De aanvallers kregen via het content management systeem toegang tot de server. Mogelijk zijn honderdduizend bezoekers geïnfecteerd.
NU.nl was niet de enige site die zijn bezoekers infecteerde: de Telegraaf deed in september hetzelfde. Ook de nieuwssite van NRC Handelsblad en zusterkrant nrc.next verspreidden malware. In november blokkeerden onder meer Firefox en Chrome de site van NRC urenlang, nadat via besmette banners werd verwezen naar exploit-kits. Ook hierbij zou het om een banking-trojan gaan, die werd geïnstalleerd via een lek in Java.

Plug-ins
Exploit-kits, zoals de code die zich verspreidde via besmette nieuwssites en advertentienetwerken, misbruiken kwetsbaarheden in software om virussen te installeren op pc's van gebruikers. Daarvoor misbruiken ze doorgaans geen kwetsbaarheden in browsers. Makkelijker te misbruiken zijn kwetsbaarheden in plug-ins, zoals Java, Acrobat Reader en Flash.
Vooral Java kwam dit jaar regelmatig in het nieuws met beveiligingsproblemen. Volgens Kaspersky is Java dan ook het populairste doelwit van malware-auteurs: in het afgelopen kwartaal zou 56 procent van de malware zich op Java hebben gericht. Ook Acrobat Reader was populair, met 25 procent.
Volgens Kaspersky kan de populariteit van Java onder malware-auteurs worden verklaard doordat zeer veel mensen de plug-in hebben geïnstalleerd - volgens Java-eigenaar is de plug-in aanwezig op 1,1 miljard pc's. Veel gebruikers updaten de software bovendien niet, en Java-bugs zijn volgens Kaspersky makkelijk te misbruiken. Bovendien komen kwetsbare Java-versies vaak voor.
In november zou 35 procent van de gebruikers kwetsbaar zijn geweest voor een aantal problemen in Java die in augustus werden ontdekt en die het mogelijk maken om op afstand eigen code uit te voeren. Een patch die die bugs oploste maar zelf nieuwe kwetsbaarheden introduceerde, is geïnstalleerd op 21,7 procent van de pc's.
Mac OS X en mobiele malware
OS X heeft net als Linux het imago dat het een veel veiliger besturingssysteem is dan Windows. Dat imago heeft dit jaar echter een flinke deuk opgelopen, door een stuk malware met de naam Flashback. De trojan, die misbruik maakte van een beveiligingsprobleem in Java, zou meer dan 600.000 Macs hebben besmet, het merendeel daarvan in de Verenigde Staten. Slechts 0,2 procent van de besmettingen zou in Nederland hebben plaatsgevonden.
De Flashback-malware maakte duidelijk dat ook OS X-gebruikers niet gevrijwaard zijn van beveiligingsproblemen. Het virus leidde ertoe dat de ceo van Kaspersky, Eugene Kaspersky, Apple er flinks van langs gaf. Niet alleen zou er weinig verschil zijn tussen Windows en OS X, omdat voor beide systemen malware is te ontwikkelen, ook zou Apple tien jaar achterlopen op Microsoft als het gaat om beveiliging.
Mobiele malware
Hoewel ook in 2012 een grote uitbraak van mobiele malware uitbleef - en die komt er voorlopig ook niet, denkt Trend Micro - zaten auteurs van malware voor mobiele besturingssystemen dit jaar niet stil. In december nog dook een Android-botnet op waarbij telefoons van geïnfecteerde gebruikers ongemerkt sms'jes verzonden. Vooralsnog zouden er echter weinig infecties zijn, en ook zouden die sporadische gevallen zich in de Verenigde Staten voordoen. Eerder zouden 500.000 Chinese telefoons zijn geïnfecteerd met malware die mobiele betalingen uitvoert.
Al langer staat Android bekend als onveilig platform. Om dat probleem tegen te gaan, kondigde Google in februari aan applicaties in de Play Store te scannen op malware; iets dat aanvankelijk niet gebeurde, in tegenstelling tot in de App Store van Apple. Vanaf Android 4.2 scant Google ook de applicaties die al op een toestel zijn geïnstalleerd, om zo malware te kunnen ontdekken en onschadelijk te kunnen maken. Uit onderzoek van een Amerikaanse universiteit blijkt echter dat slechts eenvijfde van de malware door die ingebouwde scanner wordt opgemerkt.
Een van de vele dingen die mobiele malware zo interessant maakt, is dat ze worden gebruikt voor internetbankieren. In december bleek uit onderzoek van Check Point dat een criminele groepering daardoor 36 miljoen euro zou hebben verdiend. De mobiele malware, die samenwerkte met malware die op de computer van een internetbankierder was geïnstalleerd, onderschepte de tan-codes. Internetbankierders verloren gemiddeld 1200 euro per persoon.
Overigens is er ook goed nieuws: dit jaar zijn veel minder kwetsbaarheden ontdekt in mobiele besturingssystemen, verwacht IBM, al kan dat ook betekenen dat de eenvoudiger te vinden bugs al zijn gevonden en dat de moeilijker op te sporen kwetsbaarheden overblijven. Ook zegt dat niets over het risico dat gebruikers lopen: het inmiddels twee jaar oude Android 2.3, vol met bekende beveiligingsproblemen, is nog steeds een van de populairste Android-versies.
Malware in de echte wereld
Dit jaar bracht de gerenommeerde Amerikaanse krant The New York Times naar buiten wat iedereen eigenlijk al dacht: de Amerikaanse regering zat achter het Stuxnet-virus. Dat virus richtte zich op Iraanse nucleaire installaties; de Verenigde Staten en Israël zouden met het virus willen voorkomen dat Iran zijn nucleaire programma kan voortzetten, uit vrees dat dat kan leiden tot kernwapens.
Door Siemens gefabriceerde centrifuges werden ontregeld en Iraniërs begonnen hun eigen apparatuur te wantrouwen. Het virus verscheen in 2010 echter per abuis in de openbaarheid. Door een programmeerfout, die volgens Amerikaanse bronnen door de Israëliërs was ingebracht, verspreidde het virus zich naar een laptop van een Iraanse technicus op de kerncentrale.
Volgens beveiligingsbedrijf Kaspersky is er een verband tussen Stuxnet en Flame, malware die in mei werd ontdekt. De malware, die geavanceerder zou zijn dan Stuxnet en diens afgeleide Duqu, zou zich vooral hebben gericht op computers in het Midden-Oosten. Volgens The Washington Post was Flame ook gericht op het Iraanse nucleaire programma. Flame zou onder andere microfoons en webcams kunnen activeren, als keylogger functioneren, screenshots kunnen nemen en via Bluetooth commando's krijgen.
De echte wereld
Stuxnet is een voorbeeld van malware die zich richt op de 'echte wereld', waar digitale aanvallen fysieke gevolgen kunnen hebben. Een ander voorbeeld vond in januari van dit jaar plaats. Een aanval op systemen van een Amerikaanse vervoerder zorgde ervoor dat een treindienst werd gemanipuleerd. Treinsignalen op een bepaald traject in het Noord-Westen van de Verenigde Staten werden twee dagen lang verstoord. Het leverde treinreizigers een vertraging van vijftien minuten op, maar maakt vooral duidelijk dat de gevolgen van digitale aanvallen niet enkel abstract zijn.
In mei waarschuwde het Amerikaanse ministerie van Homeland Security, dat na 11 september is opgericht om terrorisme te bestrijden, tegen digitale aanvallen op gastransportnetwerken. Dit jaar zou er een ware aanvalsgolf specifiek op de gassector zijn gericht. Er zou sprake zijn van een gerichte operatie, maar wie er achter zat, is niet duidelijk. Een hackaanval op een Saudi-Arabische oliegigant trof 30.000 systemen, maar daar ging het om 'gewone' desktop-pc's. Desalniettemin werd de dienstverlening van het bedrijf verstoord.
Ook in Nederland zijn zogenoemde scada-systemen kwetsbaar. Die maken het mogelijk om op afstand meters uit te lezen en systemen te bedienen. Uit een reportage van EenVandaag bleek dat het bij diverse Nederlandse gemeenten en waterschappen mogelijk was om de bediening van gemalen, pompen en bruggen over te nemen.
Naar aanleiding van een achtergrondverhaal dat Tweakers in januari publiceerde over de kwetsbaarheid van scada-systemen, stelde D66 Kamervragen. Die partij wilde weten hoe het zat met de beveiliging van dergelijke systemen. Volgens de minister zijn organisaties echter zelf verantwoordelijk voor de beveiliging van hun systemen. Bovendien zouden de scada-systemen van de Rijksoverheid veilig zijn.
Internetbankieren
Waar de fysieke gevolgen van aanvallen al langer voelbaar zijn, is de financiële wereld. De fraude met internetbankieren, bijvoorbeeld door malware, stijgt al jaren. De schade bedroeg in de eerste helft van 2012 maar liefst 27,3 miljoen euro. Opvallend is dat desondanks meer dan de helft van de Nederlandse bankensites kwetsbaar bleek te zijn voor aanvallen op de beveiligde verbinding. Ook bleek de mobiel bankieren-app van ING maandenlang het ssl-certificaat van de bank niet te controleren, waardoor man in the middle-aanvallen mogelijk waren.
Een interview dat Tweakers in oktober had met Mikko Hypponen, chief research officer bij F-Secure.
Overheid neemt maatregelen
De strijd tegen cybercrime is een ongelijke. Aanvallers hoeven immers maar één keer geluk te hebben om een systeem binnen te dringen, terwijl bedrijven, softwaremakers en overheden zich tegen alle mogelijke bedreigingen moeten verdedigen. Volgens de FBI zijn hackers zelfs aan de 'winnende hand'.
Dat zorgt ervoor dat soms besloten wordt tot onconventionele - en omstreden - maatregelen. Zo brak de Nederlandse recherche in het verleden meerdere malen in op buitenlandse computers, zonder eerst om toestemming te vragen bij die landen. Dat gebeurde onder meer bij een botnet en een aantal kinderpornozaken.
Minister Opstelten van Veiligheid en Justitie wil die praktijk in wetgeving gieten, zodat bij verdenking van 'ernstige cybercrime-misdrijven' op afstand een computer kan worden binnengedrongen - zelfs als de locatie van een systeem onbekend is en zich dus in het buitenland zou kunnen bevinden. Daarbij zouden computers doorzocht mogen worden, op zoek naar aanwijzingen. Ook zouden gegevens op afstand ontoegankelijk mogen worden gemaakt. Volgens Ronald Prins van beveiligingsbedrijf Fox-IT had de mogelijkheid om terug te hacken de Dorifel-uitbraak sneller onder controle kunnen brengen, maar burgerrechtenactivisten hebben veel kritiek op de plannen.
Minstens zo omstreden zijn de plannen voor een 'ontsleutelplicht'. Verdachten van terrorisme en kinderporno zouden dan gedwongen mogen worden om hun encryptiesleutels vrij te geven. Volgens hoogleraar Bert-Jaap Koops is dat niet per definitie in strijd met het beginsel dat verdachten niet hoeven mee te werken aan hun eigen veroordeling.
Geweld is niet uitgesloten
Ook geweld in reactie op een digitale aanval is niet uitgesloten - ten minste, als die aanval onderdeel uitmaakt van een gewapend conflict. In dat geval is een digitale aanval niet fundamenteel anders dan een fysieke, vindt het kabinet. Dan moet wel duidelijk zijn waar de aanval vandaan komt, en dat is moeilijk in het digitale domein, erkent het kabinet.
Overigens kan er bij de overheid ook het een en ander beter. Uit een onderzoeksrapport van de Onderzoeksraad van de Veiligheid naar het Diginotar-incident in 2011 blijkt dat Nederland onvoldoende was voorbereid op digitale dreigingen. Volgens de voorzitter van de Onderzoeksraad, Tjibbe Joustra, houden overheidsorganisaties er te weinig rekening mee dat het op beveiligingsgebied ook mis kan gaan. Een speciale taskforce moet de informatiebeveiliging bij de overheid gaan verbeteren.
De Amerikaanse National Security Agency gaat verder. De directeur van de veiligheidsdienst, Keith Alexander, zei op de Def Con-hackersconferentie in Las Vegas dat de NSA meer controle over het Amerikaanse internet zou moeten krijgen. Alleen dan zouden digitale aanvallen van buiten de Verenigde Staten opgespoord kunnen worden.
Boete
Bekend was al dat Nederland, net als andere lidstaten van de Europese Unie, een meldplicht voor datalekken zou krijgen. Bedrijven die gegevens van burgers slecht beveiligd hebben, kunnen bovendien een boete krijgen. Dit jaar bleek dat de maximale boete die staat op een slechte beveiliging in het definitieve versie van het wetsvoorstel is verhoogd van 200.000 euro naar 450.000 euro.