Nieuwsuur

Deskundigen over Nieuwsuur-uitzending DDoS-aanval

Aangepast
NOS

Maandag was Rian van Rijbroek te gast bij Nieuwsuur. Zij is samen met oud-staatssecretaris Willem Vermeend auteur van het boek 'De wereld van Cybersecurity en Cybercrime'. Na haar optreden kwam er kritiek van deskundigen, onder meer over uitspraken dat mobiel bankieren apps niet veilig zouden zijn, over de mogelijke rol van de blockchain bij cybercriminaliteit en de gevolgen van DDoS-aanvallen op Nederlandse banken en instanties.

Verschillende deskundigen noemden dat speculaties en waarschuwden voor verkeerde interpretaties. Nieuwsuur betreurt het dat er verwarring en onrust is ontstaan; dat had niet mogen gebeuren en dat trekken wij ons aan. Daarom hieronder de belangrijkste uitlatingen van Van Rijbroek en het commentaar van enkele deskundigen.

"Het is verstandig om mobiel bankieren-apps van je telefoon te verwijderen, want mobiele telefoons zijn heel makkelijk te hacken"

"Het is eigenlijk precies andersom", zegt beveiligingsonderzoeker Sijmen Ruwhof. "Mobiel bankieren-apps zijn over het algemeen veiliger dan internetbankieren op je computer."

Dat komt doordat bankieren-apps zelf de verbinding naar de bank controleren; in je webbrowser moet je zelf controleren of je wel op de goede website zit en of het groene slotje aanwezig is.

Bovendien ben je op je computer kwetsbaarder voor het trappen in phishingmails: websites kunnen zich voordoen als toegang voor internetbankieren. Ook kan er een virus op je computer zitten dat je inloggegevens voor internetbankieren of andere websites steelt.

Op mobieltjes is die kans veel kleiner, mede door het gesloten ecosysteem waardoor gebruikers zelf niet eenvoudig iets kunnen installeren. Eventuele virussen zijn daardoor afhankelijk van gaten in software. Zeker bij volledig up-to-date-versies van de besturingssystemen Android en iOS zijn die moeilijk te vinden.

Op de zwarte markt kost een beveiligingsprobleem in iOS al snel 'een miljoen tot anderhalf miljoen euro', zegt beveiligingsonderzoeker Victor Gevers. "Op Android is dat tegenwoordig ook flink aan de prijs. Maar zeker in iOS van Apple is het moeilijk om een virus te verspreiden. Blijf vooral gebruikmaken van je telefoon."

De conclusie: bankier gerust op je telefoon. "Er is geen enkele reden om de betrouwbaarheid van bankieren-apps in twijfel te trekken", zegt ook onderzoeker Rickey Gevers (geen familie). "Gemiddeld genomen is je mobieltje op dit moment veiliger."

Overigens is een probleem met Android wel dat veel telefoons verouderde software bevatten. "Maar dat maakt ze niet inherent onveiliger dan desktop-computers", zegt directeur Erik Remmelzwaal van beveiligingsbedrijf Dearbytes.

"De DDoS-aanval kan een vooraanval zijn van iets groots wat gaat komen: geldautomaten die geld gaan spuwen, waarna dat geld wordt verzameld door een geldezel"

Voor deze stelling is geen enkel bewijs, zeggen experts. "Een DDoS-aanval staat vaak op zichzelf", zegt onderzoeker Ruwhof. "Soms is het een afleidingsmanoeuvre, maar dat is vrij zeldzaam."

In de uitzending waarschuwde Van Rijbroek voor geldautomaten in de VS die vatbaar waren voor hacks en geld konden uitspuwen. "Maar dat zijn hele andere soorten geldautomaten dan hier", zegt Ruwhof.

Dat denkt ook onderzoeker Victor Gevers. "Sinds 2011 weten we dat dit soort aanvallen mogelijk zijn. Maar een DDoS-aanval heeft daar niets mee te maken", zegt hij. Aan de aanvallen op geldautomaten in de Verenigde Staten gingen bovendien geen DDoS-aanvallen vooraf, tekent Remmelzwaal aan.

In de Verenigde Staten bleek het kraken van geldautomaten dit weekend voor te komen, maar daarvoor moeten aanvallers wel fysiek toegang hebben tot een geldautomaat. In 2010 bleken sommige geldautomaten op afstand ook te kraken, maar er zijn vooralsnog geen aanwijzingen dat Nederlandse geldautomaten ook op afstand te kraken zijn.

"Je weet het nooit zeker, maar er wordt gedacht aan hackers uit Rusland, Iran of Noord-Korea. Er wordt gedacht aan hackersgroepen uit die drie landen, omdat er een code van hen is aangetroffen op banksystemen"

Volgens onderzoekers is de suggestie dat Rusland, Iran of Noord-Korea achter de aanval zou zitten speculatie. "We weten op dit moment niet wie achter de aanvallen zit. Voor zover bekend zijn de Nederlandse banken niet gehackt door de Russen, Iraniƫrs of Noord-Koreanen", zegt Ruwhof. "Bij een DDoS-aanval blokkeer je eigenlijk alleen maar de ingang van een website", zegt hij. "Dat wil niet zeggen dat de hackers binnen zijn geweest."

Dat denkt Victor Gevers ook. "Beveiligingsbedrijven doen onderzoek naar dit soort aanvallen en delen onderling informatie die ze op gehackte systemen aantreffen", zegt hij. "Maar zelfs als zij iets hebben gevonden bij de banken, wordt dat niet met de buitenwereld gedeeld. Dat is de afspraak."

Zelfs als er een code zou zijn aangetroffen, is dat geen bewijs, zegt Remmelzwaal. "Het wil niet zeggen dat het land waar die code uit komt, er daadwerkelijk achter zit", zegt hij. De code kan zelfs doelbewust zijn aangebracht om onderzoekers om de tuin te leiden.

"De oplossing voor beveiligingsproblemen is de smart blockchain"

De blockchain is de technologie achter cryptomunten als bitcoin. In plaats van alle informatie centraal op te slaan, bijvoorbeeld bij een bank, wordt die decentraal opgeslagen door iedereen die mee wil doen met het netwerk. Daardoor ben je niet meer afhankelijk van een centrale partij die uit de lucht kan worden gehaald - bijvoorbeeld door een DDoS-aanval.

"Maar daarmee is het nog geen oplossing voor alle beveiligingsproblemen die we hebben", zegt onderzoeker Ruwhof. Collega-onderzoeker Victor Gevers vraagt zich bovendien af wat een 'smart blockchain' is. "Dat klinkt als twee hypewoorden die aan elkaar zijn gekoppeld", zegt hij.

"Sinds eind 2013 worden aanvallen groter en geavanceerder, het lijkt er op dat iemand de beveiliging van de banken aan het testen is"

DDoS-aanvallen worden inderdaad steeds groter en complexer, bevestigt Victor Gevers. "Een DDoS-aanval kan bedoeld zijn om ander hackverkeer te maskeren. Maar banken zouden dat moeten kunnen zien. Daar werken hele slimme hackers."

Ook Ruwhof ziet nieuwe soorten en grotere aanvallen. "Maar als dit een beveiligingstest is, is hij niet geslaagd, want wat ze bereikten is enorme media-aandacht en dat vergelijkbare aanvallen in de toekomst makkelijker kunnen worden gepareerd." Inmiddels weten de banken namelijk hoe de aanvallers opereren.

"Het is beter om een bekabelde verbinding en een vpn-verbinding te gebruiken"

Bekabeld is in principe beter, vinden ook de experts: meekijken is dan moeilijker. Het advies om een zogenoemde vpn-verbinding te gebruiken, een 'virtual private network' is niet altijd goed.

"Zeker als je je eigen thuisnetwerk gebruikt, is dat misschien zelfs onverstandig, omdat je je dataverkeer nog eens via een ander bedrijf laat lopen", aldus onderzoeker Ruwhof. Het is bovendien onnodig, want banksites en -apps beveiligen zelf al de verbinding, tekent Ruwhof aan.

Directeur Remmelzwaal tekent bovendien aan: dit beveiligingsadvies heeft niets te maken met een DDoS-aanval.

Reactie Rian van Rijbroek

Nieuwsuur heeft Rian van Rijbroek de kritiek op haar uitspraken voorgelegd. In een reactie wijst zij op de website van Europol. Daarin waarschuwt de Europese politiedienst voor schadelijke software (malware) gericht op mobiele telefoons. Daar staat overigens niet dat mobiel bankieren onveilig is, zoals van Rijbroek in de uitzending stelde.

Van Rijbroek blijft haar uitspraak dat de DDos-aanval een voorbode kan zijn van een volgende grotere aanval.

Van Rijbroek zei in de uitzending dat je nooit met zekerheid kan zeggen wie achter zo'n aanval zit. Ze voegde eraan toe dat de 'code' deed denken aan hackersgroepen uit Noord-Korea, Iran en Rusland. Desgevraagd zegt van Rijbroek hierover: "Een cybersecuritybedrijf heeft deze code aangetroffen bij banken in Nederland; zoals de heren terecht stellen, kunnen we deze informatie niet delen."

Tenslotte noemde van Rijbroek zogenoemde 'smart blockchain' als een mogelijkheid om de veiligheid te vergroten. Aan die stellingname houdt ze vast.

Overigens is een eerder bericht in de media dat de betrokken uitzending digitaal verwijderd zou zijn onjuist, de uitzending is gewoon terug te kijken. Wel was een link niet meer beschikbaar van het artikel dat een opsomming geeft van de Nieuwsuur-onderwerpen van die avond. Dit artikel wordt iedere avond verwijderd om in de loop van de dag weer aangevuld te worden met de onderwerpen van de nieuwe dag. Dit is een standaard procedure.