Recent kopte de NOS met “Amerikaanse overheid kan bij e-mail van Nederlandse overheden en kritieke bedrijven”. Het is niet ondenkbaar dat voor velen de eerste reactie “Ja, dus?” is.

Maar het artikel stipt iets belangrijks aan: ja, nu zijn we nog kameraden met de USA en hoeft het absoluut geen probleem te zijn dat we massaal e-mailen via Amerika. Maar de Oekraïne oorlog toont aan dat de verhouding tussen landen zomaar om kan slaan. En dan? Wat gebeurt er dan met al ons mailverkeer dat via Amerikaanse servers verloopt? 

Het artikel van de NOS gaat dieper op deze vragen en de potentiele problemen die dit gegeven kan opleveren in. Zeker de moeite waard het te lezen! 

Dezelfde situatie, maar dan binnen huishoudens

Het artikel deed ons ook aan iets anders denken. Namelijk aan de Tuya Cloud. En voor u denkt “Ik heb geen idee wat de Tuya Cloud is, volgens mij heb ik er niets mee te maken. Ik klik dit artikel weg.”, meteen even iets om een beeld te vormen van hoe de Tuya Cloud zich in het dagelijks leven van enorm veel mensen heeft genesteld: 

Wakker worden bij natuurlijk daglicht dankzij gordijnen die automatisch open gaan om 7:00. Het huis afsluiten met sloten die via een app te besturen zijn. Vervolgens op het werk het thuisfront met beveiligingscamera’s in de gaten houden en via de deurbel kletsen met de postbode. Om aan het einde van de dag heerlijk warm thuis te komen bij een thermostaat die al op 19.5 graad staat. En als de avond voorbij is, dan schakelt één spraakcommando alle sfeerverlichting uit. 

Wereldwijd IoT platform

Of u nu volledig overgestapt bent op een Smart Home, of enkel gebruik maakt van slimme ledverlichting: het kan zomaar zo zijn dat er gadgets binnen uw huis gekoppeld zijn aan de Tuya Cloud. Tuya Smart is een wereldwijd IoT-platform dat veel productontwikkelaars gebruiken. 

Het is namelijk nogal duur zelf een app of platform te ontwikkelen. Velen kiezen er dus voor die van Tuya te koppelen aan hun slimme camera, slimme ledverlichting of andere slimme oplossingen. Vooral producten uit het goedkopere segment zijn vrijwel zeker gekoppeld aan de Tuya Cloud. Want ja: hoe goedkoper het product, hoe kleiner de kans dat ze budget hebben gehad om zelf een platform te ontwikkelen. 

Maar ook producten uit de midrange maken geregeld gebruik van de Tuya Cloud. Die overigens levenslange ondersteuning biedt. 

Tuya Cloud komt uit China

Als het om technologie gaat, komt er een hoop uit China. U raadt het vast al: Tuya Cloud ook. En eigenlijk wringt hierdoor de schoen al direct. Want er zijn al voldoende mensen die bewust geen Chinese Huawei telefoon kopen omdat ze bang zijn voor hun privacy. 

Of die angst nu (op dit moment) terecht is of niet: het komt er wel op neer dat de kans ook aanwezig is dat precies deze mensen die geen Huawei kopen, onbewust toch Tuya Cloud producten in huis hebben gehaald. Want waar er op de smartphone groot “Huawei” staat, is dat bij Tuya IoT producten niet het geval. 

En dan is er nog de groep mensen die zich niet bezig houden met privacy kwesties die natuurlijk ook Tuya Cloud producten in huis hebben. 

Het hoeft geen probleem te zijn. Toch?

Net als bij de Amerikaanse e-maildiensten hoeft het allemaal geen probleem te zijn. Want wij Europeanen worden gewoon beschermd met de wet AVG. Die wet is van toepassing op alle bedrijven die gegevens van Europese burgers verwerken. Dus ook Tuya Cloud heeft zich eraan te houden. 

Maar: het is wel goed om erbij stil te staan dat China nog altijd haar eigen wetgeving rondom privacy heeft. Het naleven van die wetgeving in combinatie met de Europese AVG kan in de praktijk ingewikkeld zijn. 

Kunnen we perfectie verwachten? Het antwoord: nee. Een goed voorbeeld is dat de wet van China gegevens op kan eisen van bedrijven wiens servers zich in China bevinden. Inclusief buitenlandse gegevens. Wat doet die mogelijkheid met de vertrouwelijkheid van de gegevens die via slimme apparaten worden verwerkt?

De relatie tussen China en Nederland

Dan is er nog de relatie tussen China en Nederland. We kennen China als Nederland’s belangrijkste handelspartner binnen Azië én als business hub van een groot aantal Nederlandse bedrijven. Zeker geen verkeerde relatie dus. Toch?

Nou, juist die handelsrelatie maakt dat de gemoederen zomaar om kunnen slaan. Nederland kreeg vorig jaar namelijk nog een waarschuwing van China. Toen waarschuwde de Chinese ambassadeur Tan Jian dat Nederland de goede relatie op het spel zet, als het Nederlandse kabinet de export van geavanceerde chipmachines naar China werkelijk zou gaan blokkeren.

Tot nu toe is de situatie nog allemaal rustig gebleven. Maar wat voor risico’s lopen gebruikers van de Tuya Cloud als de relatie tussen Nederland en China wél verslechtert? 

Risico op staatsgestuurde cyberaanvallen

China heeft al best een reputatie als het gaat om wereldwijde cyberaanvallen. Zowel staatsgestuurd als niet-staatsgestuurd. Als er kwaad bloed komt tussen Nederland en China, is het niet ondenkbaar dat het land Tuya onder druk zet voor gegevens van gebruikers. Om die weer in te zetten voor staatsontwrichtende cyberaanvallen:

1. Spionage en datadiefstal

Wie er even bij stilstaat, realiseert zich al snel dat de Tuya Cloud een bron aan informatie is. Denk aan locatiegegevens, gebruikersvoorkeuren en apparaatgebruikspatronen. Allemaal informatie die in te zetten is voor (economische) spionage. 

In het meest ongelukkige geval waarin (mensen van) de overheid de Tuya Cloud gebruikt, kan China zelfs daar data over verzamelen. En misschien invloed hebben op besluitvormingsprocessen, bijvoorbeeld door afpersing. 

Het blijkt dat een Tuya apparaat al sneller in huis gehaald is dan gedacht. Zo hoeft één puberdochter smartlights van de Action te kopen, en het is er al.

2. Netwerken doorlichten en malware installeren

Een ander mogelijk scenario is dat de Chinese overheid de Tuya Cloud exploiteert om toegang te krijgen tot slimme apparaten in huishoudens (en bedrijven). Via Tuya zijn ze al binnen, dus de stap om netwerken van binnenuit te scannen en door te lichten is snel gezet. Met deze rechten kunnen ze ook nog een malafide software installeren. 

3. DdoS met Tuya apparaten

Een DdoS overbelast een service als een website door er heel veel verkeer tegelijkertijd op af te sturen. Daarvoor zijn er een groot aantal apparaten die als dat verkeer kunnen dienen nodig. U voelt hem vast al aankomen: als China een DdoS aanval wil doen op overheidsdiensten van een land waarmee ze in conflict zijn, dan hebben ze via Tuya enorm veel apparaten om daarvoor in te zetten. 

Tuya Cloud: het hoeft geen gevaar te zijn

Maar het kan wel. In de oorlog tussen Oekraïne en Rusland zijn al cyberaanvallen ingezet. Het NCSC-NL heeft cyberaanvallen door conflict dan ook meegenomen als een legitiem scenario waar Nederland alert op moet zijn.  

Het Tuya verhaal toont aan dat we soms denken een simpel apparaat om lampen aan te sturen in huis hebben gehaald. Zonder erbij stil te staan dat het in de verkeerde handen veel meer kan. Zelfs als een app er betrouwbaar uitziet en het product afkomstig is van een bekend Duits merk, kan er Tuya achter zitten. 

Moeten we volledig wantrouwend worden? Dat valt niet te voorspellen. Maar het laat wel zien dat we voorzichtig moeten zijn met slimme apparaten en altijd moeten nadenken over onze privacy en veiligheid online.

Vorige maand was IP4Sure aanwezig op DEF CON in Las Vegas. DEF CON is één van de grootste hacker-conferenties ter wereld waar hackers, cyber security experts en hun kennis samenkomen. Ook tijdens afgelopen editie werden trends in het hackerlandschap gepresenteerd. In dit artikel geven we een kleine greep uit de opvallendste ontwikkelingen:

1.Hacktechniek: Web race conditions & de echte potentie ervan

Laten we meteen uitleggen wat web race conditions zijn. Een goed voorbeeld is namelijk een website die kortingscode actie heeft waarbij de code normaliter 1x bruikbaar is. Met de race conditions techniek is het mogelijk meermaals gebruik te maken van de code. 

Hoe? Door meerdere “verzoeken” (ook wel requests) om de kortingscode toe te passen als het ware in één verzoek te verpakken. Doordat alle requests exact tegelijk aan komen, denkt de website bij alle requests “Deze bezoeker heeft de code nog niet gebruikt, dus we mogen de korting toepassen!”

Maar ondanks dat race conditions – meerdere requests exact tegelijkertijd op een server afvuren – al lang bestaan, was het bovenstaande voorbeeld eerder nog niet mogelijk. Voorheen kwamen requests nooit exact tegelijk aan bij een website/applicatie. Dat komt doordat ze bij een webapplicatie altijd ver moeten reizen. Een paar ms tijdsverschil is al te lang voor race conditions.

De nieuwe aanvalstechniek laat zien dat 30 requests in elkaar te schuiven zijn voor webapplicaties. In een demonstratie op DEF CON was zichtbaar hoe die requests binnen 1ms aankwamen van Australie naar Europa. Daardoor werd het als tegelijk gezien en werd de race condition toegepast.

De demonstratie op DEF CON ging nog een stap verder dan coupons uitbuiten. Web race conditions zijn namelijk ook in te zetten om wachtwoorden te achterhalen via een passwordreset truc. Er zit een technisch verhaal achter. Maar het laat zien dat deze ontwikkeling nog een staartje gaat krijgen. 

2. Onderzoek: Nederlanders onthullen TETRA kwetsbaarheden op DEF CON

TETRA (Terrestrial Trunked Radio) is een digitale mobiele radiostandaard: u heeft vast ooit eens gehoord van het C2000-Netwerk dat hier onderdeel van is. C2000 is het communicatienetwerk van Nederlandse hulpdiensten. O.a. encryptie beveiligt dit netwerk. 

Nu hebben Nederlandse onderzoekers in totaal vijf kwetsbaarheden ontdekt hierin. (Een daarvan zou zelfs bewust gecreëerd zijn door de Nederlandse overheid!) De groep heeft al deze kwetsbaarheden uitgebreid aan het licht gebracht tijdens de DEF CON-conferentie in Las Vegas. We volgden de volledige technische uitleg hoe de kwetsbaarheden te exploiteren zijn en wat voor gevolgen daaraan vasthangen.

Natuurlijk is de kwetsbaarheid die Nederlandse overheid zelf zou zijn gemaakt en zelfs al 20 jaar bestaat de meest opvallende. Een selecte groep binnen de overheid wist hiervan. Het gaat hierbij om TEA1, een TETRA-algoritme dat o.a. inlichtingendiensten buiten Europa ook gebruiken. 

De backdoor maakt het mogelijk om communicatie af te luisteren, of te manipuleren. Deze kwetsbaarheid heeft te maken met verzwakte encryptie, waardoor het systeem in enkele minuten te kraken is met een gewone laptop. Dit kan de kritieke infrastructuur van verschillende landen in gevaar brengen.

De vraag is waarom deze backdoor erin zit en waar deze exact voor wordt gebruikt. Op DEF CON vermeldde de Nederlandse groep onderzoekers dat ze ook contact gehad met ETSI om ze te wijzen hierop. Maar ze ontkenden steeds. Delen van deze conversatie werden getoond tijdens de presentatie op DEF CON.

3. Hacktechniek: Thread Stack Spoofing 

Een andere techniek waar we op DEF CON mee in aanraking gekomen, is Thread Stack Spoofing. Het doel van Thread Stack Spoofing is simpel: malware ondetecteerbaar maken voor een EDR-solution. Omdat EDR nog een vrij nieuwe oplossing op de cyber security markt is, is het groot dat er nu een aanvalstechniek is die een bedreiging kan gaan zijn hiervoor. 

Tijdens DEF CON maakten we kennis met wel twee nieuwe methoden om EDR’s (Endpoint Detection & Response oplossingen) te ontwijken. Gelukkig volgde er ook advies. Er zijn manieren om deze technieken te detecteren. Dat geeft meteen aan hoe belangrijk het is op de hoogte te zijn van ontwikkelingen aan de kant van de hackers: het geeft cyber security professionals de kans daar weer op in te spelen.

Niet bekend met EDR? Lees hier wat Endpoint Detection & Reponse precies is.

Nog veel meer kennis op DEF CON

DEF CON duurt meerdere dagen en barst van informatie over trends en ontwikkelingen op het gebied van hacken. Buiten bovenstaande drie punten is er dus nog veel meer kennis opgedaan door onze experts die aanwezig waren op DEF CON. Wie goed weet wat de ontwikkelingen zijn aan de kant van de tegenstander kan ook de juiste maatregelen treffen. Op die manier verbeteren we continu onze offensieve en defensieve diensten. 

Het zoeken, vinden en misbruiken van kwetsbaarheden – ook wel vulnerabilities – is een belangrijk onderdeel van hacken. Tijdens een pentest komt het opsporen van vulnerabilities ruimschoots aan bod. Belangrijk, want nieuwe kwetsbaarheden ontstaan bijna dagelijks.

In dit artikel lichten we de vaakst misbruikte vulnerabilities van vorig jaar uit. Altijd handig om ze eens na te lopen.

Wat zijn vulnerabilities?

Het woord zegt het al: vulnerabilities zijn zwakke plekken. In dit geval in de digitale infrastructuur. Kwetsbaarheden zijn als het ware achterdeurtjes die hackers gebruiken om – soms heel eenvoudig – binnen te dringen. 

Kwetsbaarheden ontstaan doorgaans door o.a. updates. Ontwikkelaars van bijvoorbeeld software blijven nieuwe features toevoegen. Met elke verandering in de software is er een kans dat er een kwetsbaarheid ontstaat.

Security patches tegen kwetsbaarheden

Ontwikkelaars zijn hier meestal van op de hoogte en brengen securitypatches uit. Maar: soms komen deze patches pas laat uit. Of: ontwikkelaars merken ontstane kwetsbaarheden pas op als hackers ze al actief aan het misbruiken zijn.

Het komt geregeld voor dat kwetsbaarheden te lang aanwezig blijven in de digitale infrastructuur. Vaak doordat updates worden uitgesteld, overgeslagen of vergeten. Het ontbreekt dan aan een patchbeleid. Het eerste advies is dus: zit bovenop die patches!

Het tweede advies? Vulnerability Management: dat is een nog effectievere aanpak.

Wat is Vulnerability Management?

Vulnerability Management – in het Nederlands kwetsbaarheidsbeheer – richt zich op het actief monitoren van kwetsbaarheden in de digitale infrastructuur. Een VM-tool geeft daarmee een realtime overzicht van actuele kwetsbaarheden, hun risico en een advies om ze op te lossen. Soms is dat het uitvoeren van een patch, maar het kan ook zijn dat er een workaround nodig is.

In plaats van patchen en hopen dat er daardoor geen kwetsbaarheden meer zijn, toont een VM-tool – of een pentest – aan of er nog kwetsbaarheden zijn. Doorgaans valt dat tegen: zelfs de besten zitten met een VM-interface vol meldingen aan het begin. Maar wie al die meldingen stap voor stap rustig oppakt, is uiteindelijk bijgebeend.

En: kan met een stuk meer zekerheid zeggen dat de organisatie minder kwetsbaar is.

Vaakst misbruikte vulnerabilities van vorig jaar

Jaarlijks ontstaan er ontelbaar veel kwetsbaarheden. De ene is spraakmakender dan de ander. Vaak bepaalt de schaal van impact of heel de wereld het over een vulnerability heeft. Hieronder de vaakst misbruikte kwetsbaarheden van vorig jaar (in onwillekeurige volgorde):

1. Microsoft Office kwetsbaarheid uit 2017

We starten meteen met een oude. Een Microsoft Office bug (CVE-2017-11882) die in 2017 al ontdekt was, werd in 2022 nog steeds actief misbruikt. Gezien Microsoft bekend staat om het uitbrengen van security updates op hun “Patch Tuesday” is dit een opvallende. Dat in 2022 een kwetsbaarheid nog zo vaak geëxploiteerd is, geeft aan hoeveel organisaties een patchachterstand hebben.

Wat konden/kunnen hackers met deze kwetsbaarheid? De bug maakt het mogelijk op afstand arbitraire code uit te voeren op het apparaat. Dit biedt hackers de kans controle te krijgen over het apparaat, om vervolgens data te stelen of malware te installeren.

2. Spring4Shell

Deze kwetsbaarheid (CVE-2022-22965) is vorig jaar ontdekt én meteen uitgebreid misbruikt. Hij zit in het Java-gebaseerde Spring framework. Ook deze kwetsbaarheid maakt remote code execution mogelijk. Aanvallers deden dit via data binding. Inmiddels is er een patch uitgebracht tegen deze vulnerability. Het is te hopen dat iedereen die heeft uitgevoerd.

3. Zimbra Collaboration Suite

Wie Zimbra Collaboration Suite gebruikt als e-mail platform mag even opletten. In 2022 zijn de vulnerabilities met de codes CVE-2022-27925, CVE-2022-41352 ontdekt én flink misbruikt. Verrassing: in dit geval hebben we ook te maken met remote code execution. Aanvallers zijn met deze kwetsbaarheden daarnaast in staat malafide bestanden te uploaden naar het kwetsbare systeem. Met een Directory Traversal Attack als gevolg.

Ook deze aanval is inmiddels gepatcht.

4.  Google Chrome

Vorig jaar kreeg de veelgebruikte web browser Google Chrome te maken met een Zero Day kwetsbaarheid (CVE-2022-0609). Aanvallers hebben gretig gebruik gemaakt van deze vulnerability. De mogelijkheid tot remote code execution maakte de kwetsbaarheid aantrekkelijk. De hacker moest daarvoor overigens wel gebruikers zover krijgen naar een malafide website te gaan.

De kwetsbaarheid is gepatcht. Dus wie de laatste versie van Google Chrome gebruikt, loopt geen gevaar.

5.Log4Shell

Wie herinnert zich Log4Shell (CVE-2021-44228) niet? Deze Apache kwetsbaarheid is al ontdekt in 2021, maar was vorig jaar nog steeds actief misbruikt. Dat terwijl er inmiddels gewoon een patch voor is. Wat konden aanvallers met deze kwetsbaarheid? Wederom: remote code execution.

6. Zyxel

Er is een trend gaande in dit artikel: ook deze kwetsbaarheid (CVE-2022-30525) geeft aanvallers de kans controle te krijgen over een systeem dankzij remote code execution. Het stelen van data en het installeren van malware is daardoor allemaal mogelijk.

De vulnerability is ontdekt in 2022 en er is inmiddels ook al een patch voor beschikbaar. Gebruikers die deze patch hebben uitgevoerd, lopen dus geen risico meer.

7. F5 BIG-IP

Dit is een interessante, want F5 BIG-IP is een collectie aan hardware- en software die gericht is op toegankelijkheid, prestaties én beveiliging. Helaas had het te maken met een kwetsbaarheid (CVE-2022-1388) die – wederom – remote code execution mogelijk maakt. Dat geeft creatieve hackers een tal aan mogelijkheden.

Voor deze kwetsbaarheid is een patch beschikbaar gesteld.

8. Follina

Nog een remote code exection kwetsbaarheid: Follina (CVE-2022-30190). Deze kwetsbaarheid zit in het in de Microsoft Windows Support Diagnostic Tool. Hoe aanvallers de vulnerability exploiteren? Via een schadelijk Office-document. Alle besturingssystemen binnen Windows zijn kwetsbaar.

Er is een beveiligingspatch uitgebracht. Wie up-to-date is, loopt hierin dus geen risico meer.

Hackers zijn er snel bij

Aanvallers zijn altijd op zoek naar kwetsbaarheden waar nog geen patch voor is. Ze zitten er bovenop. Het meest veilige is om er zelf dus ook bovenop te zitten. Of dat nu is met Vulnerability Management, een regelmatige pentest, of nog beter: beiden.

Cyber security oplossingen die al een tijd meegaan: daar moeten we kritisch op zijn. Want passen ze nog wel bij het huidige threat-landschap? In dit artikel gaan we dieper in op Endpoint Protection.

Laten we meteen met de deur in huis vallen. Dat Endpoint Protection al een tijdje meegaat, wil in dit geval niet zeggen dat het toe is aan complete vervanging. Sterker nog: Endpoint Protection is belangrijker dan ooit!

Maar de traditionele Endpoint-oplossingen die uitgaan van virusdefinities? Die houden het huidige threatlandschap inderdaad niet meer bij. Ze zijn nog steeds een belangrijk onderdeel van moderne oplossingen: maar cyberaanvallen zijn tegenwoordig te veranderlijk om enkel op de traditionele antivirus te vertrouwen. Het is goed om ook eens te kijken naar moderne vormen van Endpoint Protection.

Allereerst: waarom is Endpoint Protection juist nu zo belangrijk?

1. De hoeveelheid Endpoints groeit

Vroeger was de hoeveelheid Endpoints vaak nog te overzien. Maar met de komst van werktelefoons en daar bovenop nog de thuiswerk-beweging, hebben we te maken met een record aantal Endpoints. Het probleem daarvan? Elk apparaat is een extra aanvalkans voor cybercriminelen.

Hoeveel Endpoints – en dus aanvalkansen – zijn er binnen uw organisatie? Tel het risico maar uit. Zolang een uitgebreid apparatenpark steeds meer de norm wordt, is Endpoint Protection belangrijker dan ooit.

2. Eenvoudig doelwit? Endpoints!

Als het gaat om cyber security krijgen netwerken vaak de meeste liefde, aandacht en actieve controle. Want is een netwerk kwetsbaar? Dan zijn de gevolgen catastrofaal. Endpoints zijn daardoor gevoelsmatig wat ondergeschikt. En juist dat maakt ze een eenvoudig doelwit én – heel ironisch – een potentiële doorgang naar het netwerk. Het gebrek aan Endpoint-controle maakt dat aanvallers vaak (te) laat opvallen.

3. Nog meer groei: stijging in Endpointaanvallen

Cyberaanvallers zijn de grootste innovators: elke keer weten ze weer met nieuwe (massa)aanvalmethodes te komen. Dat doen ze niet voor de lol. Ze doen het omdat het veel oplevert. Zolang cybercrime een lucratieve business blijft, zal het aantal aanvallen alleen maar blijven stijgen. Een jaarlijkse toename in cybercrime is een trend die daardoor niet zomaar verdwijnt. Met name massa-aanvallen zijn steeds vaker zichtbaar. Denk aan bulk malware, ransomware, e-mail phishing en andere veelvoorkomende exploits.

4. Nog eenvoudiger: Endpoints in de handen van mensen

Laat een mens alleen achter met een laptop, tablet of smartphone en risico is gegarandeerd. Niet omdat mensen incapabel zijn. Maar iedereen maakt zo nu een foutje, toch? Helaas is één foutje al genoeg om een datalek in werking te zetten. Een extra vorm van controle en beveiliging is dus extra belangrijk wanneer er een mens aan te pas komt.

Wat voor fouten we het over hebben? Klikken op phishinglinks, onbetrouwbare bestanden binnen halen en ook het installeren van software van derden of het bezoeken van niet-werkgerelateerde websites. Vaak worden die laatste twee ontmoedigd in een securitybeleid. Maar eerlijk? Er is altijd iemand die de grenzen van regels opzoekt.

5. Nieuwe functies, nieuwe gebreken

In deze snelle wereld krijgen apparaten met enige regelmaat updates met nieuwe functies. Van smartphones met verbeterde camerafuncties tot IoT appliances die nóg slimmer zijn gemaakt. Leuk voor de gebruiker, maar niet altijd even leuk voor de security. Dat soort aanpassingen zorgen er regelmatig voor dat er óók weer securityupdates nodig zijn. Meestal komen die wel. Maar wat als ze aan de late kant zijn? Of wat als de gebruiker die update niet op tijd doorvoert?

Let op: ook huidige versies kunnen kwetsbaarheden bevatten. Hoe erg – de meeste – software leveranciers ook hun best doen.

Moderne Endpoint Protection: een muur tegen (massa)aanvallen

De meest moderne Endpoint Protection gaan doorgaans net een stapje verder dan de traditionele antivirus. Die traditionele oplossingen gaan namelijk uit van een threatlijst met virusdefinities. Elke keer gaat de antivirus deze lijst af, op zoek naar iets soortgelijks in een Endpoint.

Het probleem is alleen dat threats zo snel veranderen en ontwikkelen, dat die lijsten nooit 100% actueel zijn. Threats die nog niet bekend zijn komen dus nog altijd door. Slimme Endpoint Protection oplossingen gaan daarom niet uit van zo’n lijst, maar van Artificial Intelligence.

Hoe Endpoint Protection beschermt tegen actuele threats

Endpoint oplossingen die uit gaan van AI kijken naar het “gedrag” van de potentiële bedreiging. Is dat gedrag verdacht of ongewoon? Dan krijgt u een melding. Bijvoorbeeld wanneer er bestanden in een korte tijd versleuteld worden. Dat betekent dat een gloednieuwe aanval die nog bij niemand bekend is, alsnog door de oplossing wordt opgemerkt en tegengehouden.

SentinelOne is Endpoint Protection die met AI werkt. Lees hier meer over hoe SentinelOne werkt en Endpoints beschermt tegen cyberthreats.

Beveilig breed

Toch is het niet verstandig enkel en alleen te vertrouwen op Endpoint Protection. Waar de meesten daar vroeger wel mee weg kwamen, is het threat-landschap daar nu te erg voor veranderd. Aanvallers zijn beter uitgerust dan ooit. De gevaarlijke cybercrime opmars vraagt ons breder te beveiligen. Endpoint Protection blijft een belangrijk onderdeel van die bredere strategie, maar aanvullingen zoals een SOC zijn steeds essentiëler.

Meer weten over Endpoint Protection?

We streven ernaar via onze blogs zoveel mogelijk informatie over cybersecurity te delen. Heeft u toch nog vragen over actuele threats, beveiligingsoplossingen of een van onze diensten? Neem dan vrijblijvend contact met ons op voor meer informatie.

De Militaire Inlichtingen en Veiligheidsdienst kwam recent met een opvallende waarschuwing: laat collega’s voortaan nooit meer hun smartphones meenemen tijdens een vergadering. Volgens de MIVD ligt er een spionagerisico op de loer.

Jan Swillens, diensthoofd van de MIVD, benadrukt dat zeker wanneer er bedrijfsgeheimen worden besproken, smartphones of tablets op tafel uit den boze zijn. Er zou een te groot risico zijn op cyberspionage. Een onderbouwing hiervoor? Die geeft de topman niet.

Omdat het een opvallende uitspraak is, gaan we voor u wat dieper in op de materie. Want hoe reëel is de kans dat een crimineel u afluistert via uw smartphone? En zetten aanvallers deze methode in om bedrijfsgeheimen van doelwitten te achterhalen? Wat zijn de mogelijkheden?
 

Er bestaat afluistersoftware voor smartphones

Allereerst: is afluisteren via een smartphone (in slaapmodus) mogelijk? Er gaan al een aantal jaar speculaties rond dat Facebook dit zou doen om relevantere advertenties te kunnen tonen aan gebruikers. Of dit echt zo is, is tot op heden niet bevestigd. Het kan tenslotte ook toeval zijn dat Facebook advertenties met merkschoenen laat zien, vlak nadat u een gesprek hebt gehad over versleten schoenzolen.

Wat we wel weten, is dat in 2017 bekend werd dat honderden gameapps de microfoons van gebruikers inschakelden om ze daadwerkelijk af te luisteren. Er werd hierbij gebruik gemaakt van software van Alphonso, een bedrijf uit Amerika. De games verzamelden audiofragmenten om door te verkopen aan adverteerders. Denk aan informatie over de TV-programma’s die gebruikers kijken. Een lucratief verdienmodel voor deze gratis games.

Dus of afluistersoftware bestaat? Jazeker.

De overheid mag afluisteren

Interessant om te weten: de overheid mag legaal smartphones afluisteren. Met speciale apparatuur verkrijgen ze via de providers toegang tot toestellen om zo telefoongesprekken af te tappen. Uiteraard doen ze dit niet zomaar: enkel wanneer er iets aangetoond moet worden in een rechtszaak.

Hoe eenvoudig komen aftap-apps op uw telefoon terecht?

Dat er software bestaat om geluidsfragmenten af te tappen, geeft al aan dat het technisch mogelijk is om via deze weg bedrijfsgeheimen te stelen. Of die software zomaar op uw toestel terecht kan komen? De smartphone-ontwikkelaars en reguliere appstores doen hun best gebruikers vanuit hun kant te beschermen met de volgende regels:
 

1. Een app moet toestemming vragen voor het gebruik van de microfoon

Om misbruik van apps te voorkomen, moeten gebruikers tegenwoordig bij de installatie van een app handmatig toestemming geven tot functionaliteiten van de telefoon. Een calculator die toegang wil tot uw microfoon zou al meteen een alarmbel af moeten laten gaan. Want waar heeft die app uw microfoon voor nodig?
 

2. Een app komt niet zomaar in de appstore

Om malafide apps uit de buurt van smartphones te houden, heeft zowel de Google Playstore als de iOS Appstore een controlebeleid. Een app moet eerst worden goedgekeurd voordat hij op de appstore komt. Het beleid van Apple is beduidend strenger dan die van Android, maar beiden zijn niet waterdicht.
 

Mooie maatregelen, maar de praktijk is anders

Ondanks het controlebeleid komen kwaadwillende apps alsnog regelmatig in de reguliere appstores terecht. Zo ontwikkelen aanvallers onschuldig uitziende toolapps zoals flashlights, die vervolgens malware op het systeem droppen. Deze apps worden ook wel “droppers” genoemd. En lukt het toch niet een malafide app in de appstore te krijgen? Dan heeft de ontwikkelaar gewoon nog een andere optie: hem aanbieden in een onofficiële appstore. Die hebben voldoende gebruikers.

Let op: aanvallers zijn in staat ook populaire en valide apps om te toveren tot een dropper. Dat gebeurde recent bij Camscanner, een app met meer dan 380 miljoen installaties.
 

Kwetsbaarheden in het OS

Daarnaast vormen kwetsbaarheden in het OS ook nog een potentiële kans voor aanvallers die willen spioneren. Waarom? Middels deze kwetsbaarheden kunnen ze de betrouwbare reguliere appstores op zijn kop zetten. Zo krijgen ze via populaire apps alsnog malware op uw toestel. Hoe dat werkt? Een bekend recent voorbeeld is bijvoorbeeld Strandhogg en Strandhogg v2.
 

Kwetsbare apps

Ook als u apps beperkte toegang tot functionaliteiten geeft, is er nog geen garantie dat u veilig bent. Zit er een kwetsbaarheid in een van uw apps? Nog niet zo heel lang geleden hebben hackers via een kwetsbaarheid in de Google Pixel camera app toegang weten te krijgen tot de camera’s van gebruikers. Ideaal voor spionageactiviteiten. Het is dus niet ondenkbaar dat hackers een kwetsbaarheid exploiteren om toegang te krijgen tot microfoons van smartphonegebruikers.

Kwetsbaarheden duiken geregeld op. Het is daarom belangrijk om uw OS en apps altijd up-to-date te houden. Vaak zijn ontwikkelaars er op tijd bij met beveiligingsupdates. Let er ook op dat u geen verouderd OS gebruikt: die krijgen die updates niet meer.
 

Hoeveel gevaar lopen bedrijven?

De waarschuwing van Swillens is zo urgent, dat het de indruk wekt dat een groot deel van de smartphones al geïnfecteerd is met spionagesoftware. Ja, audio aftappen van een smartphone is mogelijk. Maar makkelijk? Niet echt.

Het kost veel werk om een telefoon af te kunnen luisteren. Zeker wanneer één bedrijf doelwit is, is het nogal een klus om de software op de smartphone van de juiste persoon te krijgen.  Maar is er voor een crimineel (of concurrent) voldoende motivatie om een vergadering af te luisteren? Dan kan er een hoop.
 

Better safe than sorry

Voorzichtig zijn kan nooit kwaad. Zeker wanneer u belangrijke zaken gaat bespreken, is het een optie ervoor te kiezen de aanwezigen te verzoeken hun smartphone ergens anders op te bergen. Wat heeft u te verliezen? Een telefoon kan vaak wel gemist worden aan de vergadertafel.

Maar of u nu panisch iedereen moet verzoeken zijn of haar smartphone thuis te laten? Er zijn voor hackers voldoende andere manieren om achter gevoelige informatie te komen. Geef – bijvoorbeeld- het dichten van kwetsbaarheden liever liever uw prioriteit.