WannaCry: een kind kan de was doen

Lek WIndows 10 misbruikt door losgeldworm

Als je je Windows 10 steeds netjes hebt bijgewerkt zou je niks kunnen gebeuren met WannaCry(pt), stelt Microsoft (afb: the Intercept)

Midden april bleek uit gestolen informatie welke middelen de beruchte Amerikaanse veiligheidsdienst NSA gebruikt om mensen te bespioneren. Nog geen maand later vindt er een vloedgolf aan digitale inbraken en gijzelingen plaats over de hele wereld. Er zouden tienduizenden computers zijn gegijzeld. Je kunt je gegijzelde computer ’terugkrijgen’ als je losgeld betaalt. Bij de aanval is gebruik gemaakt van kwetsbaarheden in het besturingssysteem Windows 10.

De computerworm die daarbij gebruikt is wordt WannaCry of Wanna Decryptor genoemd. Die verspreidt zich van computer naar computer, we zijn uiteindelijk toch altijd verbonden?, en het wordt pas duidelijk dat de worm je computer heeft besmet als die ‘op slot’ gaat. De gegijzelde computer wordt pas weer bevrijd als je een bedragje in bitcoins betaalt. De prijs stijgt na een aantal dagen en als er ook dan niet betaald wordt dan wordt de computer ‘voorgoed’ onbruikbaar gemaakt. De gijzelnemers hebben een handige klok meegestuurd die aangeeft hoeveel tijd je nog hebt.
Die losgeldtruc is niet nieuw. Wat nieuw is is de massale omvang. Ziekenhuizen, communicatieinfrastructuur, logistiek en overheidsorgansiaties werden door de aanval getroffen. In Duitsland zouden de borden op de perrons het ‘slachtoffer’ zijn geworden, maar zouden de treindiensten zelf niet zijn getroffen. In Engeland werden minstens 21 ziekenhuizen getroffen en werd zelfs aangeraden om alleen in noodgevallen een beroep op ze te doen. Ook röntgenapparaten, telefoonsystemen en de patiëntenadministraties zouden zijn platgelegd. In het Noord-Franse Douai kon er in een fabriek van Renault maandag niet gewerkt worden. Zelfs Rusland bleef niet buiten schot. Het Russische ministerie van binnenlandse zaken kreeg een aanval te verduren. In het totaal zou het om meer dan 57 000 computers gaan in meer dan 70 landen. Het Britse blad New Scientist spreekt over 200 000 computers in 150 landen.

Ergst in zijn soort

Volgens deskundigen zou deze aanval de ergste in zijn soort zijn. Een webbeveiligingsdeskundige die twittert en blogt als MalwareTech zei tegen the Intercept: “Ik heb dit nog niet eerder gezien met losgeldprogjes. De laatste worm die ik me herinner in deze klasse is Conficker.” Conficker was een Windows-worm die in 2008 werd gesignaleerd en meer dan 9 miljoen rekentuigen besmette over de hele wereld.
Het grote verschil met eerdere aanvallen is dat de oorsprong van de gebruikte programmatuur zou zijn terug te voeren op de vorige maand geopenbaarde NSA-programmatuur, codenaam EeuwigBlauw (EternalBlue). Daarmee zou de NSA in miljoenen computers hebben kunnen inbreken, gebruikmakend van een lek in Windows 10. Het zou gaan om het netwerkprotocol dat gebruikt wordt om bestanden te delen en af te drukken.

Microsoft

Microsoft repareerde de kwetsbaarheid in maart, maar het lijkt er op dat er toch nog steeds mensen en organisaties zijn die hun systeem niet bijhouden. Het lijkt me vreemd, want Microsoft dwingt je in Windows 10 bijna je systeem steeds weer bij te werken (al gaat dat niet langer meer automatisch). Voorheen was zo’n kwetsbaarheid, wat badinerend gezegd, niet zo’n punt, omdat alleen goed uitgeruste spionageorganisaties als de NSA die inbraakmiddelen hadden, maar sinds het gereedschap van de NSA op straat ligt, kan iedere malloot geld proberen te verdienen op het wereldwijde web met NSA-gereedschap. Veiligheidsonderzoeker Matthew Hickey zegt verbaasd te zijn dat dit al niet eerder gebeurd is.
Spionage- en andere opsporingsdiensten roepen steeds om achterdeurtjes in beveiligingssystemen die het ze mogelijk maken misdadigers in de gaten te houden die zich achter versleutelingssystemen proberen te verschuilen. Het tegenargument van privacystrijders en ook techbedrijven is dat die opzettelijke kwetsbaarheden ook door anderen misbruikt kunnen worden. “De aanval was mogelijk door de NSA”, zegt Christopher Parsons, onderzoeker aan de universiteit van Toronto. “Die zou in positieve zin moeten kunnen leiden tot een verbetering van de digitale beveiliging van apparatuur.”

Zelfs als de NSA zijn kennis over kwetsbaarheden zou willen delen in plaats van uit te buiten, dan zou er nog steeds het probleem zijn dat veel mensen hun programmatuur niet bijhouden. Parsons: “Onverlaten misbruiken al jaren kwetsbaarheden. Er is geen aanleiding te denken dat een agressievere bekendmaking van die kwetsbaarheden daar iets aan zal veranderen.” Er zijn toch altijd wel mensen en organisaties die zich graag kwetsbaar opstellen of gewoon niet door hebben wat het betekent om altijd verbonden te zijn. Verbondenheid maakt kwetsbaar.

Microsoft stelt dat iedereen die een antivirusprog van het bedrijf heeft of die zijn systeem bij de tijd houdt is beschermd tegen een WannaCrypt-aanval.

Geluwd

Volgens diverse bronnen schijnt de aanval over zijn hoogtepunt heen te zijn. Waarschijnlijk doordat veiligheidsonderzoeker in de code per ongeluk een ‘noodrem’ in werking heeft gezet. MalwareTech meldde op Twitter dat hij op een ongeregistreerd internetadres vond vanwaar de WannaCry-worm werd verspreid. Hij, het bleek om de 22-jarige Brit Marcus Hutchins te gaan, heeft het bijbehorende domein aangemeld. Daardoor zou er een digitale schakelaar zijn omgezet waardoor automatisch de verspreiding werd stopgezet. Er zouden, en dat speelde zich zaterdag af, daarna geen nieuwe gevallen hebben voorgedaan. Het is te vroeg om hoera te roepen. Het is eigenlijk altijd te vroeg op hoera te roepen, want de wapenwedloop op het wereldwijde web zal voortduren. Hoe verbondener, hoe kwetsbaarder. Dat zouden al die plannenmakers en politici zich eens in het hoofd moeten prenten…

Bronnen: the Intercept, der Spiegel

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.