woensdag 19 april 2017

Waarom je niet bang moet zijn voor de gelekte Windows-hacktools van de NSA

Net voor het paasweekend dropte hackerscollectief Shadow Brokers een digitaal bommetje: een verzameling hackingtools afkomstig van de NSA die lekken in verschillende versies van Windows uitbuiten. Als kers op de taart plaatsten de hackers bewijsmateriaal online waaruit op te maken valt dat de NSA zich een weg kon forceren binnen internationaal banksysteem SWIFT. De data lijken te bewijzen dat de Amerikaanse inlichtingendienst binnenbrak in het systeem van Eastnets, een Belgische SWIFT-provider.

Windows-achterpoortjes

Dramatischer dan de inmenging van de NSA in SWIFT was echter de timing van de datadump, in combinatie met de nodige tools om Windows-kwetsbaarheden uit te buiten. Met menig beveiligingsonderzoeker op vakantie voor het paasweekend, en in theorie een heleboel scriptkids thuis voor de feestdagen, leken Windows-gebruikers een vogel voor de kat. Nicholas Weaver, beveiligingsonderzoeker aan de universiteit van Berkeley in de VS, liet zich zelfs ontvallen dat het geen slecht idee zou zijn om je Windows-computer enkele dagen offline te houden.
Op het eerste zicht was het probleem gigantisch: een hele berg functionele tools om Windows 0-day-lekken uit te buiten, stond plots voor iedereen te grabbel. Tot Microsofts MSRC-team kwam aandraven met een geruststellende blogpost: alle lekken in de datadump waren Microsoft intussen gekend. De Windows-bouwer dichtte de laatste achterpoortjes met de beveiligingsupdate van maart. Iedereen die een ondersteunde versie van Windows gebruikt, mag zich dus veilig voelen.
Dat woordje ‘ondersteunde’ is belangrijk. Windows-versies ouder dan Windows 7 worden niet meer ondersteund door Microsoft. Daaronder vallen onder andere Windows XP en sinds kort ook Windows Vista. Wie nog op de beveiliging van die verouderde besturingssystemen vertrouwt, heeft nu meer dan ooit reden om zich zorgen te maken. De sleutels voor de voordeur van die besturingssystemen liggen meer dan ooit online, waardoor we een overstap naar een modernere versie van Windows nog maar eens willen aanraden.

Uitgestelde update

Belangrijker dan het acute gevaar van het lek, zijn de implicaties. De datadump van Shadow Brokers illustreert nog maar eens hoe de Amerikaanse inlichtingendienst enkel haar eigen belangen behartigt. De NSA zoekt actief naar 0-day-lekken in belangrijke software en houdt het bestaan ervan vervolgens voor zich in een poging ze uit te buiten. Er is weinig reden om te denken dat dergelijke praktijken vandaag niet meer mogelijk zijn.
In principe hanteert de NSA het NOBUS-principe. NOBUS staat voor ‘Nobody But Us’, wat inhoudt dat de inlichtingendienst informatie over 0-day-lekken voor zich houdt tenzij er een indicatie is dat andere partijen ook weet hebben van een dergelijk lek. Hoogstwaarschijnlijk tipte de NSA Microsoft over de lekken in de aanloop van het uitbrengen van de februari-patches. Het lijkt opnieuw net iets te toevallig om er van uit te gaan dat Microsoft net dan zelf de 0-days in kwestie heeft ontdekt. De Shadow Brokers dropten in begin van dit jaar al hints over de informatie die ze vrijdag hebben vrijgegeven. Vermoedelijk heeft dat de NSA er toe aangezet om Microsoft te tippen, denkt Weaver.

Altijd actueel

Zoals altijd is de beste verdediging een goede en vooral up-to-date beveiliging. Een actuele versie van Windows in combinatie met een firewall moest ook voor de bekendmaking van de lekken volstaan om de NSA buiten te houden.
Wie de Shadow Brokers precies zijn, weten we niet. Vermoedelijk gaat het om een Russisch hackerscollectief. Met de datadump van vrijdag was het team in ieder geval niet aan haar proefstuk toe. De voorbije maanden plaatste Shadow Brokers nog andere belangrijke lekken online.

Geen opmerkingen:

Een reactie posten