Ethisch hacker Tom Van de Wiele: ‘Antwerpen was helemaal niet op een cyberaanval voorbereid’
Antwerpen is de eerste grote stad in Vlaanderen die aangevallen werd door hackers. Het zal niet de laatste zijn, en straks is zelfs uw auto een doelwit.
Tom Van de Wiele is een ethische hacker, zoals dat geruststellend heet. Vanuit Kopenhagen werkt hij voor WithSecure, een bedrijf dat betaald wordt om andere bedrijven te proberen hacken en hen daarmee te wijzen op hun zwakke plekken in hun softwaresystemen. Van de Wiele zit al twintig jaar in deze business en volgde de hack van de stad Antwerpen van een afstandje, maar met grote interesse.
Tom Van de Wiele: Wij hebben als bedrijf de inbraak in Argentinië opgevolgd, die net als de Antwerpse hack door Play is uitgevoerd. Ze werken althans onder dezelfde naam, want dat betekent niet noodzakelijk dat het ook hetzelfde collectief is. Wat daarover wordt verteld is eigenlijk speculatie. Ik hoor weleens dat bedrijven of overheden moeten ‘terughacken’ als ze worden aangevallen, maar we hebben meestal geen flauw idee wie we dan precies moeten hacken. Het kan zijn dat criminelen via een Russische ziekenhuis opereren. Zulke misdaadorganisaties zijn vaak echte bedrijfjes die worden geleid door managers, met daaronder criminelen die de hele dag niets anders doen dan hacken. Play moet heel wat mensen in dienst hebben om zulke aanvallen uit te voeren, en vervolgens ook de onderhandelingen te voeren.
Was Antwerpen hier goed op voorbereid? De stad is nog altijd niet helemaal hersteld.
Van de Wiele: Sommige stadsdiensten waren weken uit de lucht, en ik lees dat de hinder meer dan een maand kan duren. Dat betekent dat Antwerpen hier helemaal niet op voorbereid was, maar dat geldt voor zoveel bedrijven en organisaties. Eigenlijk moet hiervoor geoefend worden zoals voor een brand, of plannen gemaakt zoals voor een overstroming waarvan we weten dat ze ooit zal plaatsvinden. Het gaat er niet over ‘of’ een bedrijf ooit gehackt wordt, het gaat erom ‘wanneer’.
Het gaat er niet over ‘of’ een bedrijf ooit gehackt wordt, het gaat erom ‘wanneer’.
Helaas kiezen soms zelfs grote privébedrijven ervoor om dat risico te accepteren zonder veel voorbereidingen te treffen. Wat kunnen we dan verwachten van een lokale politiedienst, een ziekenhuis of een bibliotheek? Het gaat er dus in de eerste plaats niet echt over of zo’n aanval te vermijden valt. Daar bestaat ook geen magische oplossing voor zoals een softwarepakket of een opleiding van drie dagen. Het gaat erover hoe snel organisaties na zo’n aanval weer overeind krabbelen. Hopelijk lukt dat de stad Antwerpen de volgende keer – want die komt er zonder twijfel – veel sneller.
In Vlaanderen was deze aanval misschien wel de grootste tot nu toe. Hoe vaak komen zulke misdaden voor?
Van de Wiele: Het is de grootste waarover u in de krant hebt gelezen. Elke week krijgen honderden bedrijven te maken met infecties van hun systemen. Wij doen heel wat forensisch onderzoek voor bedrijven waarvan u de namen nooit in de kranten zult zien staan. Niemand wil dat aan de grote klok hangen.
De schade voor die organisaties was dan wel onmerkbaar voor buitenstaanders.
Van de Wiele: Ja. Of er waren in ieder geval geen persoonsgegevens gestolen. De Europese privacywetgeving GDPR beboet bedrijven die zo’n diefstal van klantgegevens niet melden.
Tijdens een persconferentie minimaliseerde de stad de data die Play in handen heeft, terwijl de criminelen zelf de indruk gaven dat er ook echte persoonsgegevens gestolen zijn. Wie heeft er waarschijnlijk gelijk?
Van de Wiele: Het is het woord van de stad tegen het woord van Play. Ik hoop voor de inwoners van Antwerpen dat hun gegevens niet gestolen zijn, maar ze zullen vanaf nu allemaal voorzichtig moeten zijn. Ik durf te wedden dat hier misbruik van zal worden gemaakt, misschien wel door andere criminelen. Straks krijgen Antwerpenaren een mailtje met een link waarmee ze kunnen checken of zij slachtoffer waren van het datalek. Dat is natuurlijk ook gewoon phishing, misschien wel de meest gebruikte manier van criminelen om een computersysteem binnen te raken. Klik op die mail en u bent gehackt.
Straks krijgen Antwerpenaren een mailtje met een link waarmee ze kunnen checken of zij slachtoffer waren van het datalek. Dat is natuurlijk ook gewoon phishing.
Wij sturen geregeld dat soort mailtjes als test naar alle medewerkers van de bedrijven waar we voor werken, want vaak zijn zulke vervolgaanvallen gevaarlijker dan de originele. Maar het is voorlopig nog altijd onduidelijk wat er in Antwerpen precies is gebeurd, en waarom de stad zaterdag van de slachtofferlijst is gehaald door Play.
Het lijkt alsof de aanval voorbij is. Is dat wel zo?
Van de Wiele: We weten het niet. Waarom zou Play een nieuwe trofee online uitstallen, waarvan het vervolgens geen data blijkt te hebben? Vroeger dreigden criminelen ermee de data die ze stalen te vernietigen als er niet werd betaald. Vandaag is het dreigement dat de data openbaar worden gemaakt. Maar misschien probeert Play alles wat het heeft straks te verkopen op het dark web. Het kan zijn dat het nog maanden of jaren duurt vooraleer we daar echt zicht op hebben.
De stad beweert dat er betaald noch onderhandeld werd. Kent u een bedrijf dat van Play af is geraakt zonder te betalen?
Van de Wiele: Niet dat ik weet, nee.
Raadt u bedrijven aan om wel of niet te onderhandelen?
Van de Wiele: Er zijn bedrijven die zeggen dat ze niet willen onderhandelen. Dat is gevaarlijk. Ik ken een redelijk groot bedrijf dat zelfs ontkende dat er data gestolen waren. Toen de criminelen een voorproefje toonden van wat ze hadden, bleven ze ontkennen. Uiteindelijk zijn al hun data openbaar gemaakt en konden ze hun business wel vergeten.
Er zijn tegenwoordig mensen die zich laten inhuren om zulke onderhandelingen te leiden. Zij zullen wel hun best doen daarvoor, maar het is volstrekt onduidelijk over welke competenties zij precies beschikken. U kunt zich ook zo’n onderhandelaar noemen en daar geld voor vragen, terwijl dat niet per se indruk zal maken op de criminelen.
Had u Antwerpen aangeraden om te betalen?
Van de Wiele: Het hangt er helemaal vanaf over welke informatie het gaat. Amerikaanse politiediensten hebben al betaald omdat er bewijsmateriaal over lopende onderzoeken gestolen was. Als er onderzoeksmateriaal gestolen is uit een zaak die loopt naar drugshandel in de Antwerpse haven kan ik me voorstellen dat er betaald wordt om dat niet publiek te maken.
Als er onderzoeksmateriaal gestolen is uit een zaak die loopt naar drugshandel in de Antwerpse haven kan ik me voorstellen dat er betaald wordt om dat niet publiek te maken.
Even hypothetisch: valt het te verantwoorden om te liegen over wat er precies afgesproken wordt met criminelen?
Van de Wiele: Je kunt alleen bluffen als je het spel waarin je zit heel goed begrijpt. Ik hoop wel dat er op de lange termijn duidelijkheid komt over wat er precies is gebeurd, en wat de stad heeft gedaan om de aanval af te wenden. Het zou mooi zijn als daar een rapport over verschijnt waarin de stad transparant is. Hopelijk leren we dan ook welke investeringen er zijn gebeurd om de volgende keer sneller te reageren. Stadsdiensten die één dag uitvallen is geen probleem, maar wekenlang krantenkoppen over één hack wil niemand nog eens meemaken.
Hoe raakt Play binnen bij zijn slachtoffers?
Van de Wiele: Play gebruikt ook phishing, want er is altijd wel iemand die op een onbewaakt moment een fout maakt. Phishing gebeurt op de meest onvoorstelbare manieren, daar kunnen wij als ethische hackers ook over meepraten. Ik ben al naar een bank geweest om daar zogezegd de rekening van mijn lieve moeder op mijn naam te laten overzetten. Er is bij sommige banken maar één formulier nodig om accountgegevens voor zoiets te krijgen, en daar hebben wij al genoeg aan om binnen te raken bij die bank. Maar één bankbediende hoeft zo’n verhaal te geloven. We werden ooit gevraagd om een andere bank binnen te hacken, en een van de medewerkers was een grote fan van een bepaalde kunstenaar. We maakten een site na voor een tentoonstelling, en stuurden hem een speciaal ontworpen uitnodiging voor de opening. Hij hoefde alleen maar even een QR-code te scannen om zich voor die gelegenheid aan te melden. Nog voor hij op de site kon aanvinken dat hij aanwezig zou zijn, waren wij al binnen.
Mensen beseffen nog altijd niet genoeg hoe belangrijk een goed gekozen wachtwoord is.
Zijn er nog andere strategieën die criminelen volgen?
Van de Wiele: Er zijn altijd kwetsbaarheden in het systeem die ze kunnen exploiteren. Soms hebben ze aan één wachtwoord genoeg, dus het volstaat als één iemand telkens hetzelfde wachtwoord gebruikt of zijn wachtwoorden op een voorspelbare manier aanpast, zoals telkens een opeenvolgend cijfer gebruiken. Mensen beseffen nog altijd niet genoeg hoe belangrijk een goed gekozen wachtwoord is.
Net als de criminele bendes weten wij welke bestanden met wachtwoorden er op het dark web verhandeld worden, dus weten wij wel welke risico’s onze klanten hierin lopen. De criminelen volgen natuurlijk ook welke veiligheidsmaatregelen er worden getroffen tegen hen. Zij hangen rond op de fora waar zulke zaken besproken worden, en wij proberen hen daar ook in de gaten te houden.
Wat raadt u bedrijven aan om klaar te zijn voor een aanval?
Van de Wiele: Zorg dat u minstens twee back-ups hebt op verschillende locaties. Zorg dat u weet wie er aan uw data kan, en waar de gevoeligheden zitten. Zorg dat er een plan klaarligt, want het heropbouwen van zo’n intern netwerk kan soms veel op archeologie lijken. Vaak is dat software boven op software boven op software, een stapel van twintig jaar waar niemand nog aan uit kan. Dat is wat bedrijven met ons willen testen: zijn wij hier klaar voor, en wat hebben we nodig om onze data en die van ons personeel te beschermen? Gelukkig zijn er daarnaast ook al nieuwe technologieën zoals de cloud. Bedrijven hebben geen lokaal netwerk meer, en stockeren alles bij Amazon. Dat is al veel veiliger, hoewel het bedrijf zich ook hier bewust moet zijn van de risico’s.
Worden zulke aanvallen erger in de toekomst, of zullen we ons mettertijd goed kunnen beveiligen?
Van de Wiele: Ze werken met ransomware, waarmee ze bestanden versleutelen tot ze losgeld krijgen. In tegenstelling tot wat iedereen lijkt te denken, bestaat dat al heel lang. In de jaren tachtig werd een aidsconferentie al aangevallen. Mensen werden geïnfecteerd via floppydisks en ze moesten geld betalen via Western Union. Met cryptomunten en andere innovaties zien we vandaag veel meer aanvallen, maar het probleem bestaat al meer dan dertig jaar.
Het probleem van ransomware bestaat al meer dan dertig jaar.
Ik vrees wel dat de geest nu uit de fles is. We hebben ons helemaal afhankelijk gemaakt van computers – met goede redenen – en dat zal ons altijd kwetsbaar maken. De volgende doelwitten zullen alle smart devices zijn die we vandaag gebruiken, zelfs auto’s. Hopelijk bereiden autofabrikanten zich daar goed op voor. Anders zal uw smart car nog wel rijden als hij gehackt wordt, maar enkel naar de bank om u het geld te laten overschrijven naar de criminelen.
Fout opgemerkt of meer nieuws? Meld het hier