Overal een kans op een virus

Kijk uit welke websites je bezoekt en welke software je installeert, en open niet zomaar mailtjes van onbekenden. Het zijn de meest gehoorde adviezen om te voorkomen dat je computer met malware besmet raakt. Zo adviseert de Nederlandse overheid gebruikers om niet zomaar bijlages te openen of op links te klikken. Ook eist de Nederlandse Vereniging van Banken dat gebruikers van internetbankieren geen illegale software gebruiken. Doen ze dat wel, dan lopen ze het risico dat ze hun geld niet terugkrijgen als er wordt gefraudeerd met internetbankieren. Illegale software kan immers virussen bevatten, zo is de gedachte.

Het zijn goedbedoelde adviezen, die tot op zekere hoogte ook wel werken, maar nog allerminst een garantie vormen voor een schone computer. Immers, tegenwoordig kun je zelfs met malware worden besmet als je Nu.nl, Marktplaats, Lexa of een andere populaire website bezoekt. Het blijkt een hardnekkig probleem, want het blijft steeds opnieuw gebeuren.

Dat 35 procent van de Nederlanders wel eens op links in e-mail klikt, zoals uit onderzoek van Ziggo blijkt, zegt dan ook niet zoveel. Je hoeft helemaal niet op gekke linkjes te klikken om een virus te krijgen. Hoe groot is dit probleem en wat kunnen gebruikers en websites ertegen doen?

Hoewel Nu.nl in één geval zelf gehackt is om malware te verspreiden, worden daarvoor in de meeste gevallen banners gebruikt. Aanvallers kunnen advertentieservers hacken; onder meer de opensource-advertentieserver OpenX is meer dan eens gekraakt, waardoor aanvallers zonder te betalen advertenties met malware konden verspreiden.

Daarnaast kunnen aanvallers net als legitieme bedrijven advertentieruimte inkopen. Dat is makkelijker dan ooit, nu steeds meer websites hun advertentieruimte verkopen via partnerbedrijven en geautomatiseerde beurzen. Daardoor weten ze vaak niet wie er op hun website adverteert. Steeds meer websites stappen over op die geautomatiseerde bannerverkoop; ook Tweakers houdt er momenteel een proef mee.

Aanvankelijk plaatsen aanvallers legitiem ogende bannersHet is bovendien moeilijk om malafide advertenties op te merken voordat ze worden geplaatst, stelt beveiligingsbedrijf Symantec. Aanvankelijk plaatsen aanvallers namelijk legitiem ogende banners zonder malware. "Na een paar weken van ogenschijnlijk legitieme activiteit komen de geïnfecteerde banners", schrijft het beveiligingsbedrijf. Daarna kan het uren duren voordat wordt opgemerkt dat er malware wordt verspreid.

Volgens beveiligingsonderzoeker Yonathan Klijnsma van Fox-IT worden malafide advertenties vandaag de dag steeds vaker ingekocht. "Een paar jaar geleden waren lekke advertentieservers echt een probleem, maar inkopen is nu vele malen makkelijker", zegt hij.

Geen harde cijfers

Hoe vaak banners worden gebruikt om malware te verspreiden, is moeilijk te zeggen. "We kunnen niet zien of malware op een website is binnengekomen via een advertentienetwerk of doordat de site zelf is gehackt", aldus Mark Loman van het Nederlandse beveiligingsbedrijf Surfright, dat onder meer de Hitman Pro-beveiligingssoftware maakt. "Maar we hebben wel het gevoel dat grote websites vaker worden gebruikt om malware te verspreiden", aldus Loman.

Harde cijfers over de omvang van het probleem ontbreken. Volgens de Online Trust Alliance, een organisatie die de veiligheid op internet wil verbeteren en waarvan onder meer Twitter en Microsoft lid zijn, is minder dan 1 procent van de advertenties op internet malafide. Dat klinkt als weinig, maar dat betekent dat er alleen al in 2012 naar schatting meer dan 10 miljard keer een advertentie met malware is getoond.

"Het probleem is behoorlijk toegenomen", zegt Klijnsma van Fox-IT. "Het gebeurt echt heel vaak, maar meestal haalt het de media niet. Aanvallers richten zich vooral op de kleinere advertentienetwerken", stelt hij. "De grotere advertentienetwerken zijn druk bezig met wegfilteren." Klijnsma schat dat hij één keer per dag in aanraking komt met malware die via banners wordt verspreid.

Malafide advertenties gebruiken meestal beveiligingsproblemen in software om malware te installeren. Dat is veel effectiever dan het aanbieden van executables die gebruikers zelf moeten uitvoeren, hoewel dat ook wel wordt geprobeerd, onder meer bij Android-gebruikers. Aanvallers hoeven niet zelf op zoek te gaan naar beveiligingsproblemen in software; daarvoor bestaan kant-en-klare exploit kits. "Die kun je huren of aanschaffen", aldus beveiligingsonderzoeker Klijnsma.

De bekendste exploit kit is waarschijnlijk Blackhole, maar sinds de arrestatie van de auteur in oktober vorig jaar is die in populariteit afgenomen. "Tot zijn arrestatie was Blackhole de enige goed lopende exploit kit, maar inmiddels is er wat meer concurrentie ontstaan", zegt Klijnsma. Volgens zijn collega Erik Loman van Surfright zijn er nu een stuk of zeven exploit kits die vaak voorkomen.

De prijs van exploit kits varieert. Een licentie kan een paar tientjes per maand kosten, maar wie de broncode wil kopen, is al snel duizenden euro's kwijt. Ze zijn vaak makkelijk in gebruik; aanvallers uploaden malware via een webinterface en krijgen vervolgens een url toegewezen waarnaar moet worden verwezen om pc's te injecteren.

Het admin-paneel van de SweetOrange-exploit kit. Bron: WebRoot.

Geen zero days

De aanvallers misbruiken meestal geen gloednieuwe beveiligingsproblemen. Deze zogenoemde zero day-kwetsbaarheden, die nog niet zijn gedicht, zijn veel geld waard op de zwarte markt. "De bugs die aanvallers misbruiken zijn meestal in de afgelopen twee à drie jaar aan het licht gekomen", aldus Klijnsma. De aanvallers profiteren dus van het feit dat veel mensen hun software niet updaten.

Vaak vinden de makers van de exploit kits de bugs niet zelf, maar gebruiken ze kant-en-klare proof-of-concepts die op internet zijn te vinden. Beveiligingsonderzoekers delen hun bevindingen vaak, meestal als de bugs zijn gedicht. "Soms vinden we proof-of-concepts die een onderzoeker heeft geüpload letterlijk terug in exploit kits", zegt Klijnsma.

De meeste exploits maken geen misbruik van beveiligingsproblemen in de browser zelf, maar in plug-ins. "Die zijn ook veel makkelijker te misbruiken dan kwetsbaarheden in de browser", zegt Klijnsma. Java is het populairst onder aanvallers; volgens beveiligingsbedrijf Kaspersky richt maar liefst 90,5 procent van de aanvallen zich op die plug-in. Dat komt doordat er veel fouten in de code zitten, maar vooral ook omdat maar weinig mensen de moeite nemen om java te updaten.

Volgens Klijnsma zijn java-bugs makkelijker te exploiteren dan browserbugs. "In java hebben veel objecten meer permissies dan anderen. Er worden vaak logicafouten gevonden waarmee je die hogere permissies kunt krijgen", stelt de beveiligingsonderzoeker. In browsers is het moeilijker om logicafouten te misbruiken, omdat daarna het geheugen moet worden gecorrumpeerd. In java hoeft dat niet, omdat aanvallers ingebouwde java-functies kunnen gebruiken om externe objecten te downloaden en uit te voeren.

De exploit kit wordt gebruikt om beheerdersrechten op de pc van de gebruiker te verkrijgen, waarna malware wordt geïnstalleerd. "In Nederland proberen aanvallers vooral banking-trojans te installeren", aldus Erik Loman van Surfright. "Dat komt doordat hier heel veel mensen internetbankieren." Ook ransomware, waarbij bestanden van gebruikers worden versleuteld of de pc op slot wordt gezet, is populair.

Advertentienetwerken doen hun best om te voorkomen dat er malware wordt verspreid, althans, dat beweren ze zelf. Zo scant Google, met een geschat aandeel van dertig procent van de markt voor onlineadvertenties, naar eigen zeggen alle advertenties 'continu op malware'.

AppNexus, een groot advertentienetwerk dat eerder dit jaar malware verspreidde, zegt een team van onderzoekers te hebben samengesteld dat zijn best doet om malafide advertenties te blokkeren. 'Maar', tekent chief technology officer Geir Magnusson aan, 'als we één malafide adverteerder blokkeren, duikt er een nieuwe op'. De malwareaanval eerder dit jaar was volgens Magnusson zeer geavanceerd. Sindsdien zijn extra maatregelen genomen om vergelijkbare aanvallen tegen te gaan, maar Magnusson wil niet in details treden. "Dat zou aanvallers helpen om de maatregelen te omzeilen", stelt hij.

Ook Google, waarvan de zogeheten Dart for Publishers door veel websites wordt gebruikt om advertenties te serveren, scant op malware. Onder meer De Persgroep, de uitgever van Tweakers, de Volkskrant en Q-Music, gebruikt het systeem. "De meeste advertenties komen sowieso van vertrouwde partijen, waar we langer mee samenwerken. Waar het gevaarlijk wordt, is de geautomatiseerde verkoop van banners", zegt Jeroen Swiers, manager ad-operations digital bij De Persgroep Advertising.

Het is redelijk waterdicht, maar er kan wel eens wat doorheen glippen"Ook die advertenties worden gescand en we moeten adverteerders op een whitelist zetten voordat ze iets kunnen plaatsen", aldus Swiers. "Als adverteerders hun boekje te buiten gaan, worden ze geblokkeerd. Ik denk dat het redelijk waterdicht is, maar er kan wel eens wat doorheen glippen." Voor zover bekend is dat bij De Persgroep nog niet gebeurd.

Sanoma, dat onder meer Nu.nl uitgeeft, heeft sinds het begin deze maand malware verspreidde extra maatregelen genomen, zegt Serge van Steensel, senior business it-manager digital content van de uitgever. "Onze advertenties worden gescand door externe specialisten. Na de aanval zijn de scans geoptimaliseerd", aldus Van Steensel. Zo worden advertenties die geautomatiseerd worden verkocht vaker op malware gescand. Van Steensel wijst daarnaast op de verantwoordelijkheid van de advertentienetwerken zelf om te voorkomen dat ze malware verspreiden. "We eisen van de bedrijven waar we mee samenwerken dat ze aandacht hebben voor beveiliging", zegt hij.

De Ster, de organisatie die onder meer verantwoordelijk is voor de advertenties op sites van de publieke omroep, is ook al begonnen met het scannen van alle advertenties, zegt Jeroen Bohm, salesdeveloper online van de organisatie. "Dat doen we elke ochtend", zegt hij. "Als adverteerders direct bij ons advertentieruimte inkopen, worden de advertenties al gescand", aldus Bohm, die er aan toevoegt dat het scannen ook gebeurt bij het programmatic deel van de Google DoubleClick Ad Exchange.

Klijnsma van Fox-IT tekent echter aan dat het moeilijk is om advertenties effectief te scannen. "Je kunt nooit alles pakken", zegt hij. Een advertentie kan immers bij sommige requests wel malware serveren en bij andere niet."Je zou dan elke request naar een advertentieserver moeten onderscheppen en scannen." Als advertenties elke keer worden opgehaald om te worden gescand, kan het echter lijken alsof via de website klikfraude wordt gepleegd, stelt Klijnsma.

Gebruikers

Gebruikers kunnen zich onder meer beschermen tegen malware in advertenties door hun software up-to-date te houden, omdat de aanvallers zich vooral richten op oude, al opgeloste beveiligingsproblemen. "Dat scheelt al een hoop", zegt onderzoeker Klijnsma. Antivirussoftware helpt ook, maar alleen voor aanvallen waarvoor samples voorhanden zijn; de bescherming is nooit honderd procent.

Adblockers helpen ook. "Maar ik weet niet of we moeten zeggen dat mensen adblockers moeten gaan draaien", zegt Klijnsma. Websites leunen immers op advertenties om geld te verdienen. Minder vergaand is het blokkeren van javascript. "Als je javascript uitschakelt, gebeurt er vrij weinig", zegt Klijnsma. Ook het blokkeren van java voorkomt veel. "Veel mensen gebruiken java toch niet."