cyberincidenten

FERM Port Cyber Café: cyberincidenten

- 23 May 2019

Op donderdagmiddag 23 mei kwamen we met de FERM-achterban weer samen voor een nieuwe editie van het Port Cyber Café. De bijeenkomst vond voor het eerst plaats bij Brasserie La Cocotte, gelegen op het bedrijventerrein De Gadering in Hoogvliet; na onder meer Theater Walhalla, de RDM-kantine en Courzand weer een mooie nieuwe locatie in het havengebied.

Bij gelegenheid van alweer de 11de editie van de bijeenkomst opende vaste moderator Chris van 't Hof de 'vergadering' door in vogelvlucht langs de eerste 10 edities te gaan, waarin naast alle locaties vooral ook de eerder besproken onderwerpen aan bod kwamen. Het overkoepelende thema van vandaag was cyberincidenten, en dan met name de centrale vraag: hoe kunnen we ons er met een effectieve aanpak zo goed mogelijk op voorbereiden? En belangrijker, hoe kunnen we ze voorkomen?

Cyberincidenten

Er zijn momenteel namelijk verschillende manieren om cybergerelateerde incidenten te melden. Een belangrijke voorwaarde om effectief te kunnen leren van die incidenten is dat kennis over de casus en de geleerde lessen daaruit breed moet kunnen worden gedeeld met andere partijen, maar dat blijkt in de praktijk een lastige opgave te zijn. 

Alvorens de microfoon werd doorgegeven aan de eerste gastspreker, vatte Chris het nieuws van de voorbije periode samen, zoals dat op de FERM-website te vinden is. Extra aandacht ging daarbij natuurlijk uit naar de recente kwetsbaarheden in Intel CPU's en Microsoft Remote Desktop Services, waar eerder deze week vanuit FERM een threat response over werd verstuurd.

Deel I: Het belang van het veiligstellen van digitale sporen

De eerste bijdrage aan het thema cyberincidenten werd geleverd door Maaike Hielkema van NFIR: Nederlandse Forensische Incident Response, dat werd geïntroduceerd als een spannend verhaal hoe enen en nullen kunnen bijdragen aan een sluitend bewijs of je juist kunnen vrijspreken.

NFIR is een digitaal forensisch onderzoeksbureau. Ze komen in actie bij cyberincidenten en verdachte situaties (afpersing, fraude, diefstal, misdrijf, datalek). Digitaal forensisch onderzoek is afhankelijk van het beschikbaar hebben van loggegevens. Onderzoeker Maaike Hielkema laat aan de hand van een aantal spraakmakende cases zien hoe forensisch onderzoek werkt en waarom het zo belangrijk is om voldoende loggegevens voorhanden te hebben. Is er een datalek of cybersecurity aanval? Dan komt NFIR in direct in actie met een incident response proces.

Forensisch onderzoek

Forensisch onderzoek begint met een intake, een in de basis technisch georiënteerd gesprek met als doel inzicht verkrijgen in de sporen van het incident en het maken van een onderzoeksvraag. De ideale aanpak die daaruit volgt is gebaseerd op proportioneel handelen, vertelt Maaike; ervoor zorgen dat de relevante onderdelen aan bod komen en zowel het onderzoek als de vervolgstappen in verhouding staan tot het initiële incident.

Belangrijke sporen zijn onder andere de logbestanden; firewall logs, event logs, mail logs, et cetera. Daarnaast is er aandacht voor (security) monitoring en eventueel computers die symptomen vertonen. Cruciaal daarbij is het veiligstellen van al die data: er moet zo snel mogelijk een 1-op-1 kopie gemaakt worden van de harde schijf met al het beschikbare materiaal, omdat onderdeel van veel aanvallen het corrumperen van die informatie is, of zelfs het compleet vernietigen van die sporen. Het is dus zaak snel te handelen! Vervolgens dienen de hashes geverifieerd te worden, om aan te tonen dat de kopie daadwerkelijk een duplicaat is van de harde schijf van het systeem. 

Een belangrijke (vervolg)vraag is uiteraard: is er sprake van een datalek? In hoeverre zijn er gegevens gelekt, en om welke gegevens gaat dat? Dat kan aanleiding geven om een voormelding bij de AP te adviseren.

Vanuit het forensisch onderzoek volgt een uitgebreide analyse, want "er zijn altijd meer sporen". De feiten worden gecontroleerd, op basis van bijvoorbeeld tijdzone en documentatie van logs - wat staat er en wat zegt die informatie? Voor die laatste vraag wordt regelmatig de ontwikkelaar van de software ingeschakeld. Daarnaast is er aandacht van bugs in de software en manipulatie van de gegevens, zoals het verwijderen van logs.

In de casus die Maaike als voorbeeld opvoert, komt naar voren dat er bij het betreffende bedrijf inderdaad sprake was van een brute force RDP (Remote Desktop Protocol), waarbij iemand op afstand toegang heeft verkregen en het systeem volledig heeft overgenomen. Dat is een interessante conclusie, omdat de beheerder van het systeem dat zelf (lees: zonder het onderzoek) niet heeft kunnen ontdekken. Daar weet Maaike diverse oorzaken voor, zoals oplossingsgericht denken door de beheerder versus scenariogericht door de onderzoeker. Ook kan onvoldoende kennis van de AVG een reden zijn, of het feit dat er andere belangen spelen (zoals een beheerder die zichzelf vrij wil pleiten).

Onafhankelijk onderzoek van NFIR kan op al die vlakken een rol spelen. De waarde lijkt door het verhaal van Maaike al bewezen te zijn: er werd voorafgaand én na afsluiting van de presentatie aan het publiek gevraagd wie er na een incident heil ziet in forensisch onderzoek, waarbij er in tweede instantie aanzienlijk meer handen de lucht in gingen. Kijk daarom ook eens op de website, https://www.nfir.nl/. Je vindt er bijvoorbeeld informatie over preventie. Het preventief testen van de eigen web- en software applicaties is een van de belangrijkste onderdelen van het online veilig houden van een organisatie. Vaak kunnen aanvallen bovendien relatief eenvoudig worden voorkomen.

Deel II: Wat gebeurt er op de digitale snelweg van onze haven?

In het tweede deel was het podium voor Martin van den Bosch van Politie Eenheid Rotterdam, die ons meenam in de mogelijkheden om ons op een redelijk eenvoudige manier nog beter beschermen tegen enkele veelvoorkomende kwetsbaarheden rondom webportals en zakelijk internetgebruik.

Martin is digitaal rechercheur en start zijn presentatie met vragen als 'wat is cybersecurity' en 'bestaat honderd procent veiligheid'? Dat eerste is een definitie die we wellicht allemaal kunnen dromen, opgehangen aan alle denkbare maatregelen die we kunnen en moeten nemen om risico's te verminderen en veiligheid zo goed mogelijk te waarborgen. Het antwoord op die tweede vraag is namelijk een resoluut 'nee', om de simpele reden dat geen enkele risico volledig is af te dichten.

Cybersecurity

Martin maakt een bruggetje naar het outsourcen van data, wat steeds gebruikelijker is geworden. Dat is bedrijfsmatig goed te verklaren, maar brengt ook nieuwe risico's met zich mee. Advies daarbij is daarom onder meer: maak goede afspraken wat wel of niet binnen het contract valt, zorg dat het contract wordt aangepast als de situatie verandert. Daarnaast is monitoring cruciaal: 'weten wat normaal is, is ook weten wat afwijkt'.

Een tweede vraag vanuit cybersecurity en het afdekken van risico's heeft betrekking op het beheer van de websites die we allen gebruiken om onze bedrijven in de kijker te zetten. Ook daarin zijn tal van risicoverminderende maatregelen te bedenken. Is het bijvoorbeeld mogelijk om IP-adressen aan te leveren van bezoekers van je website? Mag iedereen de website bezoeken, of zijn er IP-adressen uitgesloten? Wordt er gerapporteerd bij verstoringen, of kunnen hackers ongestoord hun gang gaan? Wie beheert je website en al die klantgegevens eigenlijk? En is de website wel voorzien van een geregistreerd certificaat?

Een beveiligde website heeft een Secure Sockets Layer of SSL-certificaat, wat betekent dat er een veilige verbinding is tussen de server en de bezoeker. De url van websites met een SSL-certificaat begint met HTTPS - in tegenstelling tot alleen HTTP - en heeft een klein symbooltje in de vorm van een slotje in de linkerbovenhoek van de browser (in de url-balk). Dat is in Chrome dus het kleine groene slotje. Dat wil overigens niet zeggen dat HTTP altijd onbetrouwbaar is, en dat alle HTTPS-omgevingen per definitie wèl veilig zijn. Het kan zijn dat een organisatie nog niet toegekomen is aan de overstap op HTTPS, al wordt die kans steeds kleiner. Daarnaast kunnen SSL-certificaten tegenwoordig op de zwarte markt worden gekocht. Met andere woorden, ook websites met HTTPS en een slot zijn niet honderd procent gegarandeerd veilig.

Awareness

Een ander bepalend onderdeel van informatieveiligheid is volgens Martin informatiebewustzijn, awareness. Denk aan voorlichting, het bespreken van incidenten, training, bewustwording en scherp houden van alle medewerkers. Dat heeft betrekking op alles van 'kleine' maatregelen (computer vergrendelen als je je werkplek verlaat, sterke wachtwoorden gebruiken en de risico's van het gebruik van eigen apparatuur op de werkvloer) tot eenduidig beleid waarin op alle denkbare gevaren wordt gewezen, dat ook organisatiebreed door alle medewerkers wordt gedragen.

Awareness heeft ook een rol in training en educatie over de gevaren van bijvoorbeeld social engineering en phishing, waar Martin enkele filmpjes van toont. Bedrijven delen bijvoorbeeld heel veel informatie online, inclusief contactgegevens (en foto) van de CEO, de financiële medewerkers en anderen met toegang tot veel vertrouwelijke, voor externen begeerlijke data. Voor criminelen is dat een goede bron om inzicht in het bedrijf te krijgen. Denk daarbij overigens ook aan CEO-fraude (red.). Dat is een fraudevorm waarbij de dader een medewerker van het bedrijf benadert alsof hij/zij een directeur of andere hooggeplaatste functionaris is. Het doelwit is vaak een manager of bijvoorbeeld een medewerker van de boekhouding of financiële afdeling. Hij of zij wordt vriendelijk maar met de nodige urgentie verzocht om een betaling uit te voeren, meestal naar het buitenland en naar een vooralsnog onbekende relatie.

CEO-fraude is lastig te voorkomen, omdat cybercriminelen veel moeite steken in hun voorbereiding. Organisaties die te maken krijgen met CEO-fraude, worden heel bewust uitgezocht. In tegenstelling tot bijvoorbeeld generieke phishing-campagnes of een grootschalige ransomware-actie worden er geen (honderd)duizenden personen en bedrijven tegelijkertijd benaderd in de hoop dat er een paar zullen bijten. Nee, fraudeurs doen hun huiswerk en steken vaak maanden in de voorbereiding. Wees daarom kritisch op wat je zomaar openbaar deelt, want het kan relatief eenvoudig tegen je gebruikt worden.

In het afsluitende gedeelte van de presentatie laat Martin voorbeelden zien hoe cybercrime de bedrijvigheid in de Havenwereld kan raken, waarbij ook hier een brute force attack voorbij komt, maar bijvoorbeeld ook een hack op een zeeschip en diverse actuele voorbeelden van phishing. Ook onze industrie is tenslotte verre van vrij van inventieve criminaliteit, zowel fysiek als via de vele moderne digitale mogelijkheden, terwijl een aanzienlijk deel van de risico's grotendeels is te beperken - door bewustwording en de juiste focus op cybersecurity, met aandacht voor de juiste maatregelen. 

Storage Spoofing

Onderdeel van de tweede helft van het programma tot slot was een presentie van Willem van Aken, HSSE Manager bij HES, waarbij een korte toelichting werd gegeven op ‘spoofing’ of 'Tank Storage Spoofing' en de vele nare gevolgen, waarbij niet-bestaande goederen via een nepwebsite worden verhandeld - met onder meer fysieke gevolgen aan de poort. 

Storage Spoofing is een verzamelterm voor verkoop van niet-bestaande opslagcapaciteiten en voorraden van grondstoffen en materialen in terminals in het Rotterdamse havengebied. De doelgroep zijn in de eerste plaats de (inter)nationale ondernemers en potentiële kopers die producten aangeboden worden die niet blijken te bestaan. Daarnaast zijn bedrijven die zelf opslagterminals in het havengebied hebben potentieel slachtoffer van deze vorm van fraude, omdat hun naam en netwerk door cybercriminelen misbruikt kan worden.

Storage spoofing is een hardnekkige, havenspecifieke vorm van cybercrime die onze industrie blijft teisteren. Je leest er meer over op ferm-rotterdam.nl/storage-spoofing, want we vestigen onze aandacht al wat langer op deze vorm van fraude.

Willem laat in zijn presentatie de gangbare werkwijze zien, maar vooral zijn aanpak. Valse websites, vaak een kopie of anderzijds namaak van gevestigde namen en domeinen, zijn vaak het startpunt. Het verhaal van Willem focust op wat je als bedrijf kunt doen om te proberen een dergelijke website offline te krijgen als jouw bedrijf of website ermee te maken krijgt - zoals voor een grote international als HES helaas vaak het geval is. Bijvoorbeeld via icann.org of (in geval van een .nl) via sidn.nl achterhalen wie het domein geregistreerd heeft en die onderneming actief benaderen met bewijsmateriaal en via de abuse- en legal-kanalen een notice en take down in te sturen. Na afloop heeft Willem zijn volledige presentatie met ons gedeeld, dus we komen er op korte termijn heel wat uitgebreider op terug.

Over de FERM Port Cyber Café's

FERM is onderdeel van het Port Cyber Resilience Programma. Doel van het programma is het stimuleren van samenwerking tussen bedrijven in de Rotterdamse haven en het bewustzijn bij bedrijven over cyberrisico’s te verhogen om zo de best digitaal beveiligde haven van de wereld te worden. De Port Cyber Cafés zijn bedoeld om met experts uit het vak samen in een informele setting dieper in een actueel onderwerp rond cybersecurity in het Rotterdamse Havengebied te duiken.

In maart 2017 organiseerden FERM de eerste bijeenkomst voor haar achterban, het 'Sta jij FERM?'-seminar in Spijkenisse. Sindsdien organiseren we periodiek de FERM Port Cyber Café's, waar we met diverse experts en onze vaste moderator Chris van 't Hof een actueel onderwerp uit de wereld van cybersecurity bespreken. Op ferm-rotterdam.nl/port-cyber vind je alle actuele informatie over recente en aanstaande edities. De volgende bijeenkomst vindt plaats op donderdag 12 september.

VIND FERM OOK OP TWITTER | LINKEDIN | FACEBOOK