Informatiebeveiliging en de menselijke factor Steeds meer medewerkers werken thuis en kunnen inloggen op het bedrijfsnetwerk. Ook worden gegevens zoals e-mail en bedrijfsdocumenten gesynchroniseerd met de mobiele telefoon of laptop. Hackers kunnen zich hierdoor richten op deze individuele medewerkers. Hierdoor lopen bedrijven extra risico. Ik wil onderzoeken in hoeverre de menselijke factor een rol speelt in de informatiebeveiliging en wat hier mogelijke oplossingen voor zijn. Hiernaast moet duidelijk worden hoe vaak dit voorkomt. Dit artikel is voor iedereen die meer wilt weten over informatiebeveiliging en de rol van de mens.
Informatiebeveiliging Informatiebeveiliging is een set van maatregelen om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te garanderen. Deze maatregelen zijn:
Technische maatregelen Procedurele maatregelen Organisatorische maatregelen
Onder technische maatregelen valt onder meer: encryptie USB-sticks en laptops, virusscanners, firewalls maar ook de fysieke beveiliging. Een voorbeeld van een procedurele maatregel is bijvoorbeeld als wij toegang willen krijgen tot een serverpark. Om binnen te komen moet er meestal een aantal stappen worden genomen. Hieronder de stappen om toegang te verkrijgen: 1. Bij binnenkomst moet een handtekening worden gezet. 2. Hierna moet er een pasje worden gebruikt om langs een poortje te komen. 3. Om de serverruimte te betreden is een sleutel nodig. Procedurele maatregelen zijn dus achtereenvolgende stappen die gezet moeten worden om iets gedaan te krijgen. Dit maakt het moeilijker om als hacker succesvol te zijn, omdat elke stap een extra beveiligingsmaatregel is. Onder organisatorische maatregelen valt onder andere:
Opzetten en hanteren van een beleidsdocument voor informatiebeveiliging. Toewijzen van bevoegdheden aan het personeel. Sancties bij het overtreden van het beleidsdocument. Omdat informatiebeveiliging vaak wordt gezien als verantwoordelijkheid voor de IT-afdeling wil ik met dit artikel toelichten waarom informatiebeveiliging breder is dan alleen software oplossingen. In de volgende paragrafen worden de meest gebruikte aanvallen beschreven die worden uitgevoerd door in te spelen op de mens.
Afbeelding 1: Informatiebeveiliging 1|pagina
Social engineering Social engineering is een manier van hacken, waarbij de aanvaller de mens gebruikt als middel, om informatie te verkrijgen. Deze informatie kan gebruikt worden voor een hackaanval. De hacker kan gebruik maken van psychologische trucs om vertrouwen te winnen, zodat dit later kan worden misbruikt. Een manier waarop social engineering uitgevoerd wordt, is door zich voor te doen als iemand anders (via de telefoon of email). De hacker kan hiermee bijvoorbeeld proberen een gebruikersnaam te achterhalen. Door steeds meer informatie te verzamelen wordt een hack eenvoudiger. Een van de bekendste social engineer hackers is Kevin Mitnick. Hij was lange tijd een black hat hacker. Een black hat hacker is een hacker dat aanvallen uitvoert voor eigen gewin. Hiernaast bestaat er ook de white hat hacker die beveiligingsproblemen opzoekt voor een werkgever om de beveiliging te verbeteren. Inmiddels werkt hij voor een beveiligingsbedrijf en geeft hij adviezen over beveiliging. Kevin Mitnick heeft twee boeken uitgebracht over social engineering namelijk: -
The Art of Intrusion The Art of Deception
Hij geeft in de boeken voorbeelden van social engineering. Ook wordt er uitgelegd hoe deze aanvallen hadden kunnen voorkomen. De aanval op Motorola is een van zijn bekendste aanvallen. Mitnick belde een medewerker van Motorola en overtuigde haar een code voor een MicroTAC telefoon te geven. Met deze code kon hij inlogen op het telefoonnetwerk van Motorola. Eenmaal toegang tot dit netwerk kon hij verder toegang verkrijgen tot alle servers. In een interview geeft Kevin Mitnick aan dat hij altijd de zwakste omgeving eerst aanvalt. “If I'm an attacker, I attack the weakest environment. Attack their home network first and compromise their home machine.” Verder verteld hij dat er tegenwoordig makkelijker gehackt kan worden doordat er meer tools beschikbaar zijn. Wel stelt hij dat de beveiligingsbewustzijn van mensen hoger is dan vroeger. “It would be easier today because the tools available are so much better. Back in my day we wrote our own scripts. On the other hand, back then there was less security awareness.”
Social Engineering aanvallen Uit het onderzoek van Checkpoint blijkt dat 43 procent van de IT-professionals ervaring heeft met social engineering aanvallen. Slechts 16 procent kon zeggen dat zij een dergelijke aanval niet hebben ondervonden. 32% van de onderzochte bedrijven zijn meer dan 25 keer aangevallen.
Afbeelding 2: social engineering attacks 2|pagina
Afbeelding 3: Frequentie social engineering Van de onderzochte bedrijven heeft 48% incidenten ondervonden waarbij de kosten meer dan $25.000 waren, omgerekend ruim €14.000. Bedrijven met meer dan 5.000 werknemers zijn vaker slachtoffer van aanvallen en ook de kosten van elk incident liggen hoger. De incidenten met de hoogste schade komen voor in de financiële industrie. Het onderwijs en non-profit organisaties hebben het minst last van social engineering. Weinig bedrijven geven training aan het personeel om bewust te worden van de gevaren van social engineering. Slechts 26 procent doet actieve training met het personeel. Wel heeft 40% van de bedrijven een beveiligingsbeleid waarin staat hoe om te gaan met social engineering.
Afbeelding 4: social engineering preventie Er kan veel informatie worden achterhaald door social engineering. Met deze informatie kan een hacker verder infiltreren in systemen. De populairste doelen waar social engineers zich op richten zijn: • • • •
Naam en gebruikersnaam Adres en telefoonnummer Sofinummer en wachtwoord Bankrekening
Social engineering bijeenkomsten Op de DefCon-beveiligingsbijeenkomst in 2011 is een social engineering competitie gehouden. Deelnemers moesten zoveel mogelijk data proberen te verzamelen. De deelnemers kregen twee 3|pagina
weken de tijd om zich voor te bereiden maar mochten geen contact leggen met de bedrijven. Elke deelnemer kreeg 25 minuten de tijd om een bedrijf te bellen en informatie te winnen. Het was niet toegestaan om gevoelige gegevens te achterhalen. Er waren veertien bedrijven waarbij de aanval succesvol was. Het is gelukt om de werknemers een website te laten in voeren en informatie te verkrijgen. In Nederland wordt een vergelijkbaar evenement georganiseerd door Sogeti. Sogeti heeft in 2013 een social engineering challenge georganiseerd bij de Hack-In-The-Box conferentie. Tijdens deze challenge moesten de kandidaten proberen gegevens te zien achterhalen van bedrijven. Ook moest er worden geprobeerd om de werknemers acties te laten uitvoeren zoals een website openen. Deze websites konden een flash of pdf bestand bevatten.
Afbeelding 5: Hack-In-The-Box De deelnemers hadden van te voren verzonnen wat zij als reden zouden opgeven waarom hij informatie nodig had. Voorbeelden hiervan zijn:
Een student die informatie nodig heeft voor onderzoek of scriptie. Een toekomstige medewerker.
De resultaten van deze uitdaging waren:
Bij meer dan de helft van de testen werd informatie vrijgegeven over gebruikte software en de versies daarvan. Bij meer dan 30% kon het intranetadres worden achterhaald. Slachtoffers openden in meer dan 20% van de gevallen een website. Ook werd er informatie gegeven over het Wifi-netwerk en over de dienstverleners van het bedrijf. Door de werknemers van de receptie werd de grootste weerstand geboden tegen de social engineering aanvallen. De recruiters gaven relatief weinig weerstand. Ook in 2014 wordt de Sogeti Social Engineering Challenge weer georganiseerd. Het evenement wordt op 28-30 mei gehouden in Amsterdam.
Afbeelding 6: Percentage dat weerstand bood 4|pagina
Phishing Phishing is een aanval waarbij het doelwit naar een valse website wordt geleid dat op een echte website lijkt. Een voorbeeld hiervan is een nepwebsite van de ING. Op deze website kunnen gebruikers inloggen. Door aan te melden op de nepwebsite krijgt de hacker de informatie van de gebruiker, vaak zonder dat het slachtoffer dit weet. Phishing wordt meestal gedaan in de vorm van emails, maar gebeurt ook vaak via de telefoon. Hiernaast een voorbeeld van een phishing email. De ING plaatst deze op hun website zodat mensen phishing mail kunnen herkennen. Veel mensen worden slachtoffer van phishing. In het jaar 2013 zijn in Nederland 22.000 meldingen gedaan van phishing. Hiervan zijn 420 mensen slachtoffer geworden.
Afbeelding 7: Voorbeeld ING phishing In totaal zijn er 28.000 meldingen gedaan van internetfraude, waarvan 80% phishingaanvallen. Volgens de fraudehelpdesk ligt het werkelijk aantal slachtoffers hoger omdat een groot deel zich door schaamte niet durft te melden. De meest voorkomende doelwitten zijn banken met 38.9%. Phishing aanvallen op social media websites zijn in 2013 sterk gegroeid. Wereldwijd groeit deze aanval nog steeds. Uit een onderzoek van Kaspersky blijkt dat phishing over heel 2012 is gestegen met 87%. De meeste aanvallen komen vanuit de USA, Engeland, Duitsland, Rusland en India. Ruim 50% van de aanvallen kwamen slechts uit tien landen. Veel werknemers van bedrijven klikken zomaar op links in de e-mail. Uit een recent onderzoek blijkt dat een kwart van de Nederlandse werknemers klikt op links in een phishing e-mail. Dit onderzoek is uitgevoerd door het bedrijf LBVD. Zij verstuurde 22.500 phishing berichten naar de werknemers van 26 deelnemende bedrijven. Naast het gebruik van phishing via de mail wordt ook gebruik gemaakt van telefoonscam. Deze hackers bellen mensen thuis op en vertellen dat hun computer is geïnfecteerd. De hacker probeert de gebruiker te overtuigen om een programma te installeren waarmee de computer weer veilig is. In werkelijkheid wordt er een achterdeur geïnstalleerd op de computer. Uit een onderzoek van Microsoft blijkt dat 15% van de gebruikers ie benaderd door dit soort aanvallen. Hiervan heeft 22% toegang gegeven aan de hacker. In bijna alle gevallen is er financiële verlies geleden door deze aanval.
Watering hole De watering hole is een door de RSA in 2012 geïdentificeerde aanval. Bij deze aanval wordt een bekende website geïnfiltreerd en hierop wordt malware geïnstalleerd. Mensen die deze website bezoeken met een kwetsbaar systeem kunnen worden geïnfecteerd.
5|pagina
De malware kan de gebruikers automatisch doorsturen naar een ander adres. Dit kan ook gebeuren zonder dat de gebruiker het door heeft. Een systeem is kwetsbaar wanneer de software niet is gepatcht zoals bijvoorbeeld Java en Flash. Ook het ontbreken van beveiligingssoftware maken de computers kwetsbaar. Door netwerkverkeer te scannen, wordt het duidelijk welk verkeer er over het netwerk gaat. Hiermee kan worden geïdentificeerd of er netwerkverkeer is dat hier niet thuis hoort.
Afbeelding 8: Watering hole techniek Cisco heeft onderzoek gedaan naar watering hole aanvallen. De websites die waren aanvallen werden met een iframe geïnjecteerd. Bij zes van de tien geïnfecteerde websites stond de malware gehost op dezelfde server. Uit het onderzoek bleek dat deze door hetzelfde webdesign bedrijf werden gehost. Dit is een indicatie dat dit bedrijf een lek had. Dit is een voorbeeld van een geïnfecteerde iframe. De aanvallen die Cisco onderzocht maakten gebruik van de volgende exploits*:
CVE-2012-1723: Oracle Java SE 7 update 4 CVE-2013-1347: Microsoft Internet Explorer 8 object handling CVE-2013-1690: Firefox / Thunderbird event handling
Volgens het hoofd van de internationale cyber security organisatie, zal de watering hole aanval de komende jaren meer voorkomen. *Een exploit is een kwetsbaarheid in een stuk software dat gebruikt kan worden om ongewenst gedrag te veroorzaken op een systeem.
Maatregelen Er zijn verschillende soorten maatregelen die genomen kunnen worden om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te garanderen. In deze paragraaf worden enkele maatregelen toegelicht. Een van deze maatregelen is het opstellen van een informatiebeveiligingsbeleid. In een dergelijk beleid worden de regels opgenomen met betrekking tot informatiebeveiliging. Hierin is onder andere het volgende in opgenomen: 6|pagina
Wie eindverantwoordelijk is voor de informatiebeveiliging. Hoe controle plaatsvindt dat informatiebeveiliging wordt gegarandeerd. De regels en verantwoordelijkheden Wie de uitvoerend informatiebeveiligingsfunctionaris is.
Dit beleid kan opgesteld worden door gebruik te maken van de NEN-normen, die betrekking hebben tot informatiebeveiliging. Deze normen zijn: de NEN27001 en de NEN-27002. Beide normen zijn generiek en gelden voor elke organisatie. Deze NEN-normen zijn afgeleid van de internationale ISO/IEC normen. De twee normen samen worden ook wel de ‘Code voor Informatiebeveiliging’ genoemd.
Afbeelding 9: ISO-IEC
Social engineering, phishing en watering hole aanvallen kunnen worden voorkomen door het trainen van het personeel. Door deze trainingen / workshops kan het beveiligingsbewustzijn worden verhoogd. Deze trainingen kunnen worden gegeven door bedrijven die hierin zijn gespecialiseerd. Tijdens een dergelijke workshop wordt uitleg gegeven over social engineering, phishing en de nieuwste technieken die hackers gebruiken. Watering hole aanvallen kunnen worden voorkomen door Flash en Java geüpdatet te houden. Ook kunnen deze applicaties worden uitgeschakeld als het internet wordt gebruikt. Naast beveiligingsbewustzijn en een informatiebeveiligingsbeleid kunnen gegevens ook technisch worden beveiligd. Het is belangrijk dat gegevens worden beveiligd als deze buiten het bedrijf worden gebruikt. Vaak nemen werknemers een laptop, telefoon of USB-stick mee naar huis met bedrijfsgegevens. Als het gaat om gevoelige gegevens, dan is het belangrijk dat dit wordt beveiligd. Een oplossing hiervoor is encryptie en het op afstand wissen van gegevens. Hierdoor komen gevoelige bedrijfsgegevens niet in de verkeerde handen. Android telefoons kunnen gebruik maken van Google Sync. iPhone gebruikers hebben de beschikking over iCloud. Hiermee kan de telefoon worden gewist op afstand, zodat niemand beschikt over deze gegevens. Android heeft standaard geen ondersteuning voor encryptie. Via de Playstore kunnen er Apps worden gedownload die deze functionaliteit wel bieden. Een voorbeeld is de App ‘Secret space Encryptor’. Deze applicatie ondersteunt onder andere AES, Serpent, Blowfish en Twofish encryptie. De iPhone heeft standaard ingebouwde encryptie door middel van AES. Encryptie is een relatief veilige manier om gegevens veilig en verborgen te houden. De gebruiker moet zich wel bewust zijn dat de encryptie is geactiveerd voordat hij bijvoorbeeld de USB-stick loskoppelt. Tijdens de bijeenkomsten waarbij white hat hackers bedrijven moesten aanvallen kon veel informatie worden gevonden via open bronnen. Social media en de website van het bedrijf, zijn waardevolle bronnen van informatie. Bedrijven kunnen een beleid opstellen zodat er geen informatie online komt dat schadelijk kan zijn. In een dergelijk beleid wordt bijvoorbeeld opgenomen wie er verantwoordelijk is voor het beheren van de websites. Ook wordt hierin vastgelegd welke informatie wel en niet online mag staan. Hackers kunnen hierdoor moeilijker aan informatie komen.
7|pagina
Conclusie De menselijke factor speelt een grote rol in de informatiebeveiliging. De meest voorkomende aanvallen waarbij de menselijke factor een rol speelt zijn phishing en social engineering. In Nederland zijn er in 2013 22.000 meldingen gedaan van phishing. Social engineering heeft bij 48% van de bedrijven een schade veroorzaakt van meer dan €14.000. Er kan worden gesteld dat alleen een informatiebeveiligingsbeleid of technische maatregelen niet genoeg is. Om de beveiliging van informatie te garanderen moet er beveiligingsbewustzijn worden gecreëerd. Dit kan door trainingen en workshops te geven zodat risico’s beter herkend kunnen worden. Hieronder een interessante video waar wordt uitgelegd hoe een phishing aanval werkt. Kevin Mitnick laat hier zien hoe simpel deze aanval is. Link: http://www.knowbe4.com/video-mitnick
Discussiepunten De menselijke factor is een belangrijke factor in de informatiebeveiliging maar niet de enige. Er moet rekening worden gehouden met technische factoren zoals de antivirussoftware maar ook fysieke beveiliging zoals een pasjessysteem. Informatiebeveiliging is een proces dat nooit stopt. Bedrijven moeten er rekening mee houden dat hackers steeds nieuwe technieken uitproberen om gegevens te stelen.
Bronnen Definitie informatiebeveiliging: http://nl.wikipedia.org/wiki/Informatiebeveiliging Informatiebeveiliging: http://www.pvib.nl Informatie informatiebeveiliging internationaal: http://www.issa.org Social engineering onderzoek: http://www.checkpoint.com/press/downloads/social-engineering-survey.pdf Symantic phishing rapport: http://www.phishingbox.com/blog/symantecinternetsecuritythreatreportphishingrelatedfacts.html Interview Kevin Mitnick: http://community.spiceworks.com/topic/248082-interview-with-kevin-mitnick-on-smb-security Phishing in Nederland: https://www.security.nl/posting/375985/530+Nederlanders+slachtoffer+phishing+en+419scams?channel=rss
8|pagina
Phishing doelwitten: https://www.security.nl/posting/383557/Ruim+80%25+Nederlandse+financi%C3%ABle+phishingaanvallen+misbruikt+naam+van+banken Watering hole informatie: http://krebsonsecurity.com/tag/watering-hole-attack Watering hole trendmicro: http://about-threats.trendmicro.com/RelatedThreats.aspx?language=au&name=Watering+Hole+101 Watering hole rapport Cisco: http://blogs.cisco.com/security/watering-hole-attacks-target-energy-sector Encryptie Android: https://play.google.com/store/apps/details?id=com.paranoiaworks.unicus.android.sse&hl=nl DefCon evenement: http://tweakers.net/nieuws/77755/grote-amerikaanse-bedrijven-vatbaar-voor-socialengineering.html Herziening NEN-normen: http://www.nen.nl/NEN-Shop/Vakgebieden/ICT/ICTnieuwsberichten/Nieuwe-versies-ISOIEC-27001en-27002-beschikbaar.htm Sogeti Hack-In-The-Box: https://www.sogeti.nl/sites/default/files/styles/update_block/public/media/hack-in-the-box-sogetisecurity.png?itok=I_8rSqhH Sogeti social engineering rapport: https://www.sogeti.nl/sites/default/files/Sogeti-Social-Engineering-Rap.pdf Kaspersky phishing: http://www.kaspersky.com/about/news/press/2013/Kaspersky_Lab_report_37_3_million_users_ex perienced_phishing_attacks_in_the_last_year Phishing in Nederland: http://www.nu.nl/internet/3772161/kwart-nederlandse-werknemers-klikt-phishinglink.html Telefoonscam: https://www.security.nl/posting/32523/Microsoft+waarschuwt+voor+telefoonscams Afbeeldingen: Afbeelding voorblad: http://www.dtig.net/social-engineering Afbeelding 1: http://www.cibit.nl/nl/ict-opleidingen/informatie-beveiliging Afbeelding 2 t/m 4 en 6: http://www.checkpoint.com/press/downloads/social-engineering-survey.pdf Afbeelding 5: http://www.hitb.org 9|pagina
Afbeelding 7: http://www.ing.nl/de-ing/veilig-bankieren/meest-voorkomende-bankfraude/wat-isphishing/voorbeelden-van-phishingmail/?first_visit=true Afbeelding 8: http://about-threats.trendmicro.com/dumpImages/132201375838.jpeg Afbeelding 9: http://www.cloudvps.nl/files/blog/iso-iec-27001-2005-logo-1.png
10 | p a g i n a