Tienduizenden computersystemen kwetsbaar voor inbraak
Vele tienduizenden computersystemen wereldwijd, en duizenden in Nederland, zijn kwetsbaar voor cybercriminelen en inlichtingendiensten. Dat blijkt uit een inventarisatie van de NOS. Het gaat hierbij om computersystemen waarvan bekend is dat ze onveilig zijn, maar die niet worden voorzien van een oplossing.
"Er is te veel apparatuur online die kwetsbaar is, terwijl er allang een oplossing is", zegt Frank Breedijk van beveiligingscollectief Dutch Institute for Vulnerability Disclosure.
Het kan gaan om apparatuur die bedrijfsnetwerken beschermt, maar ook om servers die websites en e-mail hosten. In sommige gevallen gaat het ook om consumenten die bijvoorbeeld een opslagsysteem aan internet hebben gekoppeld.
Die beveiligingsproblemen kunnen worden misbruikt door criminelen om bijvoorbeeld ransomware te installeren, maar ook door inlichtingendiensten. Dat laatste werd afgelopen week duidelijk met een bericht van de MIVD; de geheime dienst meldde dat de Chinese inlichtingendienst in Nederland een systeem van Defensie wist binnen te dringen. Dat systeem was niet bijgewerkt naar de laatste softwareversie.
Actief misbruikt
Dat staat dus niet op zichzelf. Zo is een lek in Microsoft-systemen voor het delen van bestanden - dat al in 2020 is opgelost - wereldwijd nog bij ruim 200.000 systemen aanwezig, blijkt uit cijfers van Shodan, dat op internet aangesloten systemen in kaart brengt.
In Nederland gaat het om ruim 3000 systemen, terwijl dit lek volgens de Amerikaanse overheid actief wordt gebruikt bij ransomware-aanvallen waarbij via het lek kan worden ingebroken, en een systeem kan worden gekaapt.
Een in ernst vergelijkbaar lek in populaire serversoftware voor het verzenden van e-mail, dat in 2018 werd opgelost en sinds 2021 actief wordt misbruikt, is op 45.000 systemen wereldwijd aanwezig. In Nederland zijn dat er ruim 3000.
Verkeer van aanvallers
Het zogenoemde BlueKeep-lek, dat in 2019 computerbeveiligers maanden bezighield, is nog steeds aanwezig op ruim 55.000 servers wereldwijd en op ruim 350 in Nederland. Ook zijn er zeven voorbeelden van lekken in de populaire mailsoftware Microsoft Exchange.
De cijfers geven een inschatting, maar zijn niet 100 procent betrouwbaar: zo kan een systeem wel zijn gepatcht (jargon voor 'beveiligd tegen een specifiek probleem'), maar is dat op afstand niet uit te lezen. Ook zijn er ethische hackers die bewust doen alsof ze een kwetsbaar computersysteem hebben, zodat ze het verkeer van aanvallers kunnen analyseren.
Er kan altijd een kwetsbaar systeem bij een bedrijf staan waarin de persoonsgegevens van veel Nederlanders staan, zowel in Nederland als daarbuiten.
Dit soort lekken is prijsschieten voor criminelen, die zich relatief makkelijk een systeem binnen kunnen wurmen. "Op underground-forums worden lijsten uitgewisseld met computersystemen die hiervoor kwetsbaar zijn, soms tegen betaling", zegt ethisch hacker Matthijs Koot. Andere criminelen kunnen daar weer gebruik van maken.
Tegelijkertijd gaat het in Nederland relatief goed, benadrukt Koot. "In veel landen is dit echt nog een puinhoop, ook bij overheden." In Nederland coördineert een speciale overheidsinstelling, het Nationaal Cyber Security Centrum, de digitale beveiliging van overheden en de kritieke infrastructuur.
Dat betekent niet dat het probleem daarmee voor Nederlanders is opgelost. "Er kan altijd een kwetsbaar systeem bij een bedrijf staan waarin de persoonsgegevens van veel Nederlanders staan, zowel in Nederland als daarbuiten." Die persoonsgegevens worden door ransomware-criminelen vaak gepubliceerd, om zo gehackte bedrijven onder druk te zetten om te betalen.
Afspeuren
Een groep Nederlandse hackers sloeg ruim vier jaar geleden de handen ineen en besloot om georganiseerd het internet af te speuren naar onveilige apparaten: dat werd het Dutch Institute for Vulnerability Disclosure, DIVD.
Het internet afspeuren naar onveilige systemen is nu een van de vaste activiteiten van DIVD. De stichting probeert de eigenaren van computersystemen te waarschuwen voor zwakke plekken in hun systemen, zodat ze die problemen kunnen aanpakken.
Dat blijft nodig, zegt Frank Breedijk van DIVD. "Er is geen significante trend de goede kant op, dat bedrijven en organisaties sneller hun updates installeren." Soms worden problemen snel opgelost, maar daar staan vaak ook slechte voorbeelden tegenover, stelt hij.
Kwetsbare routers
Makkelijk op te lossen is het ook niet. "Het is in grote organisaties soms niet eens bekend dat er ergens op een bepaalde plek een computersysteem staat." Als niemand er dan verantwoordelijk voor is, wordt zo'n systeem makkelijk over het hoofd gezien.
Er is ook een rol voor internetgebruikers, zegt ethisch hacker Koot. "Als jouw slimme apparaten worden gehackt kun je daar zelf het slachtoffer van worden, maar criminelen kunnen jouw internetverbinding vervolgens ook misbruiken voor andere aanvallen." Dat gebeurde bijvoorbeeld nog in 2022 met kwetsbare routers. "Hang dus niet zomaar van alles aan het internet."
