Datalekken, botnets en encryptie

Op het gebied van beveiliging en privacy was 2016 een bewogen jaar. Internet kreeg te maken met ongekend grote datalekken en ddos-aanvallen van een omvang die eerdere records ver achter zich laten. Op het gebied van encryptie claimen opsporingsdiensten grote last te ondervinden van de versleuteling in populaire communicatiediensten, waardoor zij geen inzicht meer hebben in de inhoud van berichten. Daardoor is een Europees debat ontstaan over de noodzaak van maatregelen. Deze thema’s domineerden het beveiligingsnieuws. In verschillende achtergronden hebben wij aandacht besteed aan deze onderwerpen, bijvoorbeeld in de serie 'personal privacy' over encryptietools en manieren om versleuteld te communiceren. Het thema datalekken kwam terug in een achtergrond over verschillende wachtwoordmanagers en de voor- en nadelen daarvan.

'System security breach', Jeff Keyzer, CC BY-SA 2.0

De onderwerpen roepen ook vragen op. Zo is het bijvoorbeeld de vraag of botnets die bestaan uit internet-of-things-apparaten de dienst gaan uitmaken of dat wetgevers voldoende wakker zijn geschud om actie te ondernemen en fabrikanten regels op te leggen. Of is het helemaal niet de verantwoordelijkheid van de markt om te zorgen dat apparaten veilig zijn? De grote datalekken lijken elkaar in steeds kortere tijd op te volgen, wat de vraag doet rijzen of de groei en frequentie van deze incidenten alleen maar zal toenemen. Onder andere het Nederlandse OM klaagt over de versleuteling van berichten, maar net als veel andere partijen heeft de organisatie geen oplossing voor het probleem. De vraag is of die er wel is en zo ja, of die wenselijk is. In deze achtergrond komen deze en andere vragen aan bod en kijken wij terug op de opvallendste gebeurtenissen binnen de drie onderwerpen.

Dat encryptie van communicatiediensten in 2016 een belangrijk thema zou worden, was een jaar geleden misschien al te merken aan het nieuws dat WhatsApp de Android-versie van zijn app had voorzien van ondersteuning voor end-to-end-encryptie. Toch duurde het nog tot april van dit jaar totdat de dienst met meer dan 1 miljard gebruikers de melding naar buiten bracht dat het end-to-end-encryptie daadwerkelijk had ingeschakeld op alle platformen. Deze stap werd door veel privacyorganisaties als een positieve ontwikkeling gezien, mede omdat de Facebook-dochter voor de encryptie gebruikmaakt van het opensource Signal-protocol en niet van een eigen variant met gesloten broncode. De actie van WhatsApp bleef niet zonder gevolgen voor andere bedrijven. Zo kwam de in Aziatische landen populaire dienst Line in juli ook met versleuteling, op de voet gevolgd door Facebook Messenger. De beslissing van WhatsApp is bijzonder, omdat het bedrijf in één klap al zijn gebruikers voorzag van end-to-end-encryptie die altijd aan is en die niet door de gebruikers zelf ingeschakeld hoeft te worden. Dat is bijvoorbeeld wel het geval bij Allo van Google en bij Telegram, waarbij dit door middel van aparte chats gebeurt.

Andere gevolgen van de beslissing konden niet uitblijven. Zo claimden opsporingsdiensten in de VS en in Europa al snel dat door de encryptie berichten van criminelen en terroristen niet meer leesbaar zijn en refereerden daaraan als ‘going dark’. Voorbijgaand aan de vraag of dit een legitiem argument is met het zicht op de verzameling van metadata en andere gegevens, lijkt het erop dat dit een probleem is dat niet vanzelf zal verdwijnen. Regeringen, waaronder de Nederlandse, reageren op deze technologische ontwikkelingen door wetgeving te introduceren of goed te keuren. Zo stemde de Tweede Kamer onlangs voor het ‘hackvoorstel’, oftewel het wetsvoorstel Computercriminaliteit III. De wet, die nu bij de Eerste Kamer ligt, introduceert onder andere de bevoegdheid voor de politie om apparaten van verdachten te hacken. Als er eenmaal toegang is tot een apparaat kunnen ook berichten met end-to-end-encryptie gelezen worden, zolang zij niet ook nog lokaal versleuteld zijn.

Toetsenbord van een geheimschrijfmachine, 'Crypto Keys', Andy Armstrong, CC BY-SA 2.0

Apple vs. FBI

Soms is toegang tot een apparaat moeilijk, ook al is het fysiek in het bezit van opsporingsdiensten. De zaak die dit demonstreerde en die vanaf februari het technieuws domineerde, was de Apple-zaak. Daarin wilde de FBI toegang tot de versleutelde iPhone 5c van de San Bernardino-schutter en wilde de dienst dat Apple software ontwikkelde om dat mogelijk te maken. Het bedrijf weigerde dit en zei dat dit in feite neerkwam op het creëren van een achterdeur waardoor al zijn gebruikers risico zouden lopen. Dit had een polariserend effect, waarbij veel andere grote techbedrijven zich aan de kant van Apple schaarden. Het leek erop dat het op een beslissende uitspraak van een Californische rechter zou uitlopen, die bepalend zou zijn voor de toekomst van encryptie. Kort voordat de zitting zou plaatsvinden, maakte de FBI echter bekend dat er een partij was gevonden die toegang tot de iPhone 5c kon verschaffen. Hoewel er veel geruchten gingen, is tot nu toe nog niet duidelijk geworden welke partij de FBI heeft ingeschakeld. Ook de techniek die werd toegepast, werd niet door Apple opgevraagd. De mogelijkheid bestaat dat het ging om nand mirroring, wat door verschillende experts werd geopperd.

Kijken wij naar de situatie in Nederland, speelt ook daar de behoefte tot toegang tot communicatie. Het Nederlandse OM zei in augustus dat het Europese regels wil die communicatiediensten kunnen dwingen om berichten te ontsleutelen. Het zei dat de inhoud van berichten in bepaalde gevallen te raadplegen moet zijn na toetsing door een rechter. Er werd echter niet gezegd op welke manier dit dan zou moeten, gezien het feit dat bij een juiste implementatie van end-to-end-encryptie ook de dienst zelf geen mogelijkheid heeft tot decryptie.

Toegang tot versleutelde communicatie

Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit Nijmegen, zegt daarover tegen Tweakers: “Er zijn wel degelijk technische manieren om in bepaalde gevallen toegang te verlenen tot de inhoud van berichten, de centrale vraag daarbij is echter of dit dingen gaat oplossen.” Zo noemt hij de theoretische mogelijkheid dat telefoons de helft van de sessiesleutel van een chat met WhatsApp delen. De politie kan die helft in specifieke gevallen met waarborgen opvragen en de ontbrekende helft vervolgens met brute force achterhalen. Dat kost rekenkracht, waardoor er een barrière zou ontstaan tegen het massaal inzetten van deze mogelijkheid. Jacobs stelt dat er naast deze mogelijkheid nog allerlei andere manieren te bedenken zijn.

“Je moet echter wel goed nadenken over de wenselijkheid hiervan”, zegt Jacobs. “Uiteindelijk is de oplossing van de sessiesleutel namelijk ook geen oplossing. Criminelen of terroristen weten al lang dat communiceren via smartphones onveilig is. Als WhatsApp bijvoorbeeld zijn beleid zou wijzigen en de politie beperkte toegang zou bieden, gaan die groepen over naar een andere dienst. Bovendien kan hier elke student zelf een app voor versleutelde communicatie in elkaar zetten, dus er zijn alternatieven genoeg.” Daar komt bij dat verplichte achterdeurtjes in communicatie-apps de digitale infrastructuur ondermijnen, wat in de ogen van Jacobs ook niet wenselijk is. “De discussie rond versleutelde berichten komt na elke terroristische aanslag weer naar voren, wat in feite misbruik maakt van de situatie.”

Ook al zijn er oplossingen, blijft het dus de vraag of dit daadwerkelijk een vooruitgang is. Het is in principe mogelijk dat aanbieders van communicatiediensten via Europese wetgeving verplicht worden om toegang tot berichten te geven. Sommige landen willen deze kant op, waaronder Duitsland en Frankrijk. Nederland is voor het behoud van sterke encryptie. Het lijkt er niet op dat er op de korte termijn wetgeving op dit gebied zal komen, omdat de EU onlangs opmerkte vooralsnog geen plannen voor wetgeving te hebben. Dit neemt niet weg dat de discussie rond encryptie nog niet ten einde is, waardoor de ‘crypto wars’ ook het komende jaar nog zullen voortduren.

Dat er in het afgelopen jaar aandacht besteed zou worden aan datalekken, was tot op zekere hoogte te verwachten doordat in Nederland de meldplicht datalekken in werking trad. Deze leverde de Autoriteit Persoonsgegevens in de eerste week van dit jaar twintig meldingen op, eind december was de teller al opgelopen tot bijna 5500. Eind december maakte de AP nog bekend dat de meeste meldingen van lekken afkomstig zijn van de gezondheidssector, maar over de daadwerkelijke omvang van de Nederlandse lekken is verder geen specifieke informatie bekend. Dat was anders bij een reeks aan grote datalekken, waarvan het zakelijke netwerk LinkedIn in mei de spits mocht afbijten. Het was al bekend dat er in 2012 een hack op het bedrijf had plaatsgevonden, waarbij de hashes van 6,5 miljoen wachtwoorden waren buitgemaakt. Dat dit aantal niet helemaal met de werkelijkheid overeenkwam, bleek toen een hacker met de naam ‘Peace’ of 'peace of mind' de wachtwoorden en gebruikersnamen van 117 miljoen LinkedIn-gebruikers te koop aanbood via een online marktplaats. Dit was opmerkelijk, omdat het betekende dat LinkedIn niet op de hoogte was van de omvang van het lek of ervoor gekozen had om de daadwerkelijke aantallen niet te communiceren. Daarnaast bleek dat de gegevens blijkbaar in handen waren van partijen die ze verkochten.

Meer grote lekken

De hacker Peace bleek nog andere databases in zijn bezit te hebben, zo bood hij later de inloggegevens van 65 miljoen Tumblr-gebruikers aan voor iets minder dan tweehonderd euro. Kort daarop vroegen mensen zich af in welk jaar zij ook alweer leefden, toen MySpace bevestigde dat er voor 2013 een hack had plaatsgevonden waarbij de gegevens van 360 miljoen gebruikers waren buitgemaakt. Andere bedrijven hadden ook de discutabele eer in dit rijtje thuis te horen, bijvoorbeeld Dropbox, Adultfriendfinder, VK en last but not least Yahoo. Deze laatste hack spant tot nu toe de kroon met een miljard buitgemaakte gebruikersgegevens. De recent bekendgemaakte hack stond weer los van een ander Yahoo-incident, waarbij 500 miljoen gegevens uitlekten.

Het beveiligingsbedrijf InfoArmor kwam na de hacks met een eigen analyse naar buiten, waarin het dieper inging op de gebeurtenissen rond de hacks en de verkoop van de gegevens. Zo claimde het bedrijf dat de Yahoo-database van een miljard gegevens in totaal drie keer was verkocht voor een prijs van ongeveer 300.000 dollar. Twee van de kopers zouden spamorganisaties zijn geweest; bij de derde koper zou het om een inlichtingendienst gaan.

Los van het feit dat het bij al die hacks om miljoenen accounts gaat, zijn er nog andere overeenkomsten. In veel gevallen bleken de gegevens namelijk uit 2012 of 2013 te stammen en waren zij vaak ondeugdelijk beveiligd. Nu is dat laatste misschien niet het opvallendste detail, maar roept het tijdstip van de hacks toch enkele vragen op.

'Data is de nieuwe olie'

Zo kan men zich afvragen of er een trend is ingezet waarbij er komend jaar grote datalekken uit 2014 bekend zullen worden. Ronald Prins, oprichter van het Nederlandse beveiligingsbedrijf Fox-IT, liet aan Tweakers weten dat hij verwacht dat deze trend inderdaad wordt doorgezet: “Het is zeer waarschijnlijk dat dit soort lekken doorgaan, omdat hackers in een hoger tempo beter worden dan de verdedigende kant.” Mikko Hyppönen, chief research officer van beveiligingsbedrijf F-Secure, verpakte zijn antwoord aan Tweakers in een vergelijking: “Data is de nieuwe olie. En net als olie ons welvaart en problemen bezorgde, zal dat bij data hetzelfde zijn. Als data de nieuwe olie is, moeten wij oppassen voor lekkages.”

Over de verandering van de waarde van gegevens zegt Prins: “Ik zie niet zozeer de link tussen datalekken en identiteitsdiefstal die vaak wordt gelegd. Er zijn verschillende redenen waarom hackers achter gegevens aangaan, bijvoorbeeld om een partij af te persen door te dreigen met publicatie, of gewoon omdat het kan.“ Een oplossing is volgens Prins nog niet in zicht: “Er is inmiddels wel awareness gecreëerd rond beveiliging, maar bedrijven weten vaak niet precies wat zij moeten doen. Een meldplicht datalekken helpt de verdedigende kant bijvoorbeeld in het beter worden, maar alleen met bewustzijn kom je er ook niet. Daar is ook een rol voor de overheid weggelegd, die verdergaat dan het wijzen op pentesting en soortgelijke maatregelen.”

Een ander opvallend aspect bij de lekken van het afgelopen jaar is dat het gaat om grote verzamelingen wachtwoorden en gebruikersnamen. Deze zijn om bovengenoemde redenen interessant, maar e-mailadressen hebben bijvoorbeeld ook waarde voor het versturen van spam. Het lijkt er niet op dat er binnen korte tijd verandering zal komen in de manier waarop wij accounts gebruiken op het internet. Bij vrijwel alle sites gebeurt dit aan de hand van een e-mailadres, gebruikersnaam en een wachtwoord. Er zijn echter bewegingen richting alternatieven waar te nemen. Zo werkt Google al langer aan het geleidelijk laten verdwijnen van wachtwoorden. Tot het zover is, hebben de datalekken er wellicht voor gezorgd dat gebruikers bewuster omgaan met wachtwoorden, door een uniek en sterk wachtwoord per website te gebruiken.

Het thema botnets had enige tijd nodig om op stoom te komen. Dat gebeurde in september, toen onderzoeksjournalist Brian Krebs schreef dat zijn site met een ddos-aanval was platgelegd. Hij had kort daarvoor over een ddos-dienst geschreven en het leek erop dat het om een vergeldingsactie ging. Normaal gesproken is een ddos-aanval niet bijzonder interessant, in dit geval waren er echter twee aspecten die de aandacht trokken. Zo leek de aanval te zijn uitgevoerd met een netwerk van gehackte internet-of-things-apparaten en behaalde deze een dataverkeer van 620Gbit/s. Dat was twee keer zo groot als wat hoster Akamai tot dat tijdstip aan ddos-aanvallen te verwerken had gekregen. Het bedrijf besloot dan ook zijn gratis hosting voor Krebs op te zeggen, die uiteindelijk bij Google een nieuw thuis vond.

Kort daarop werd ook het Franse hostingbedrijf OVH doelwit van een ddos-aanval. Het claimde dat de gecombineerde aanvallen boven de 1Tbit/s waren uitgekomen, wat een nieuw record zou zijn. Ook hier leek de aanval te zijn uitgevoerd door een botnet dat bestaat uit 145.000 ip-camera's en digitale videorecorders. Deze aanval werd enkele dagen later opnieuw opgevolgd door opmerkelijk nieuws: een persoon, alleen bekend onder de naam 'Anna-senpai', zette de broncode van het iot-botnet online via de site Hack Forums.

Opkomst van Mirai

Deze persoon claimde dat het botnet oorspronkelijk bestond uit 380.000 apparaten en de naam 'Mirai' droeg. In het Japans betekent dit 'toekomst'. Deze naam zou later veelvuldig terugkomen in nieuwsberichten. De publicatie van de broncode was een reden voor de beveiligingscommunity om zich schrap te zetten voor nieuwe aanvallen. Iedereen met de nodige kennis en die er de tijd voor nam, zou namelijk een nieuwe aanval kunnen uitvoeren. Deze gebeurtenis bleef dan ook niet lang uit. De aanvallers, die volgens een beveiligingsbedrijf van Hack Forums afkomstig waren, kozen een opvallend doelwit: de dns-provider Dyn. Door de aanval waren verschillende grote diensten onbereikbaar, waaronder Twitter, Reddit en GitHub. Het zou gaan om een aanval met honderdduizend apparaten, wat ongeveer een derde van het totale botnet was.

Ook na de aanval waren er ongewone verschijnselen. Zo ontwikkelde een onderzoeker een 'goedaardige' worm om het Mirai-botnet te bestrijden. Dit leverde hem kritiek uit de beveiligingswereld op, omdat hij daarmee eigenlijk dezelfde actie neemt als de personen achter Mirai. Hij trok zijn onderzoek dan ook terug. Daarnaast hield de Chinese fabrikant van ip-camera's die deel uitmaakten van het botnet een terugroepactie. Zonder dat het van tevoren meteen duidelijk was, bleek dat het uitvallen van 900.000 Duitse Telekom-routers eveneens het gevolg van Mirai was. Het botnet probeerde de apparaten te infecteren, maar slaagde daar niet in. Het enige gevolg was dat de routers moeilijk of geen verbinding met het Telekom-netwerk konden maken. In Nederland zorgde dit nieuws ervoor dat de partij D66 aankondigde een initiatiefnota in te dienen voor strengere beveiliging van iot-apparaten.

Waar ligt het probleem?

Mirai was opmerkelijk, omdat dit het eerste grote botnet was dat bestaat uit iot-apparaten. Aan de andere kant was het ook een kwestie van tijd voordat een dergelijk fenomeen de kop op zou steken. Het is al langer bekend dat fabrikanten van 'slimme' apparaten het niet zo nauw nemen met de beveiliging van hun producten. In een interview dat Tweakers in maart met Mikko Hyppönen hield, zei hij dat dit komt doordat zij alleen kennis hebben van productveiligheid, bijvoorbeeld het voorkomen dat een gebruiker een stroomstoot krijgt. Van beveiliging zouden zij vanuit hun activiteiten geen besef hebben. Zijn stelling was destijds dat er een 'catastrofale gebeurtenis' nodig is om voor goed beveiligde iot-apparaten te zorgen. Dit zou bijvoorbeeld een Linux-worm kunnen zijn, die de apparaten onbruikbaar maakt door ze te infecteren met ransomware.

Op de vraag van Tweakers of de ddos-aanvallen door het nieuwe botnet een dergelijke gebeurtenis kunnen vormen, antwoordt hij nu: "Het botnet was een enorme gebeurtenis voor iot-beveiliging, maar het was niet de wake-up call die wij nodig hebben. Dat komt doordat de eigenaren van de apparaten niet eens wisten dat deze gehackt waren. En ook al stellen wij ze ervan op de hoogte, dan ondernemen zij alsnog geen actie." Ronald Prins deelt de zienswijze van Hyppönen op dit vlak: "Er is nog veel meer nodig om het iot van degelijke beveiliging te voorzien. De reactie die nu vaak terugkomt is 'hoe erg is het dan eigenlijk', bijvoorbeeld als iemand even niet op Twitter kan door een ddos-aanval." Kijkend naar de toekomst zegt Prins dat de iot-botnets tot nu toe gelukkig alleen worden ingezet voor ddos-aanvallen: "Het internet of things is verschrikkelijk kwetsbaar en er zijn nog veel meer scenario's de bedenken. Op dit moment kun je denken aan bijvoorbeeld het infecteren van thermostaten, maar daar komen in de toekomst nog veel meer apparaten bij."

Beveiligingsexpert Bruce Schneier zei in november dat overheden minimumbeveiligingseisen moeten invoeren voor apparaten die op internet zijn aangesloten. Hij kwam tot deze conclusie, omdat hij niet ziet dat de markt het probleem zelf gaat oplossen. Daarvoor zouden er niet voldoende aanleidingen zijn. Prins zegt daarover: "Ik ben heel lang tegen een zorgplicht geweest, maar ik merk dat ik er steeds meer voor word. Als wij eisen introduceren, moeten wij er wel voor oppassen dat Nederland niet op een achterstand geraakt doordat bedrijven aan te strenge regels moeten voldoen." Volgens Prins is de beveiliging van het iot niet in afzienbare tijd op orde. "Het probleem is dat wij er als eigenaren van de apparaten geen last van hebben; er is dus geen incentive om er iets aan te doen." Op dit punt komt zijn zienswijze overeen met die van Schneier. Hij is van mening dat zowel verkopers als kopers van kwetsbare apparaten niet om de lekken in de producten geven.

Hoewel de drie besproken thema's niet de enige belangrijke gebeurtenissen waren, zo zou je bijvoorbeeld ransomware en uitgelekte NSA-hacktools hieronder kunnen scharen, zijn het onderwerpen die de komende tijd nog aandacht zullen blijven vragen. Alle drie riepen zij soortgelijke reacties op: botnets en datalekken leidden tot oproepen tot regulering omdat bedrijven zelf niet genoeg maatregelen nemen. Maar ook als bedrijven dat juist wel doen en bijvoorbeeld standaard sterke encryptie voor een miljard gebruikers introduceren, leidt dit tot een overeenkomstige reactie. Ook hier zijn er landen die pleiten voor regulering, omdat opsporingsdiensten 'in het duister tasten'.

Het is onduidelijk hoe het verloop van de drie onderwerpen eruit zal zien. Momenteel lijkt er geen wetgeving over encryptie op handen te zijn, maar er kan een hoop veranderen in een jaar tijd. Wellicht komt er wel helemaal geen wetgeving, omdat opsporingsdiensten in Nederland binnenkort apparaten mogen hacken. Maar ook die wetgeving is nog niet gegarandeerd, omdat het er in de Eerste Kamer om zal spannen of het voorstel aangenomen wordt.

Datalekken zullen volgens experts aan de orde van de dag blijven, omdat de waarde van gegevens alleen maar toeneemt. Een meldplicht zorgt ervoor dat er meer bewustzijn ontstaat, maar is nog geen oplossing van het probleem. Wij hebben ook nog niet de laatste ddos-aanvallen door iot-botnets gezien. Op dat gebied is het wachten op een gebeurtenis die genoeg impact heeft om een beweging voor daadwerkelijke verbetering van de beveiliging voort te brengen. Volgens beveiligingsexperts gebeurt dit alleen als consumenten direct de impact voelen, bijvoorbeeld doordat hun iot-apparaten niet meer werken.