Zonder de NSA was er geen WannaCry

Ransomware-aanval

De grote ransomwareaanval toont gevaar van uitlekken spionagetools van onder meer NSA. Microsoft haalt hard uit naar de dienst.

De computers van Chinese universiteiten, het Franse autobedrijf Renault en spoorwegvervoerder Deutsche Bahn raakten besmet. In het Verenigd Koninkrijk werden computers van ambulancebedrijven, ziekenhuizen en huisartsenpraktijken gegijzeld. Operaties werden afgeblazen en artsen konden niet meer bij medische dossiers.

Het afgelopen weekend werden tal van grote bedrijven en organisaties getroffen door de malafide software WannaCry – een vorm van ransomware. Dat is software die de bestanden van computers versleutelt en gebruikers om losgeld – enkele honderden euro’s – vraagt om weer toegang tot de computer te krijgen. Ook bij parkeergarages van Q-Park in Rotterdam en Gouda konden mensen door de malware niet meer betalen.

Een Britse veiligheidsexpert wist het virus te beteugelen. In de code van de malware trof hij een lange naam aan van een denkbeeldige site. Deze domeinnaam officieel registreren bleek het virus af te remmen.

Gestolen van de NSA

Hoe lukte het de cybercriminelen om een dergelijke ‘succesvolle’ aanval uit te voeren? Criminelen gebruikten een kwetsbare plek in de software van Windows om de computers over te nemen. Deze ‘ingang’ komt volgens beveiligingsexperts rechtstreeks bij de NSA vandaan. Een hackercollectief genaamd ‘Shadow Brokers’ had het hackgereedschap van de Amerikaanse geheime dienst gestolen en vorige maand online gezet.

Dat roept een belangrijke vraag op: hoe gevaarlijk is het dat geheime diensten een arsenaal aan zwakke plekken in software gebruiken voor spionagedoeleinden? Privacyactivisten wijzen erop dat deze ellende was voorkomen als de NSA Microsoft eerder had gewaarschuwd over het lek. Microsoft dichtte het Windows-lek twee maanden geleden door een update uit te brengen, maar de getroffen organisaties hebben die niet op tijd uitgevoerd. Het bedrijf bracht maandagochtend een felle verklaring uit over inlichtingendiensten die zwakke plekken in software verzamelen. Microsoft-president Brad Smith liet weten: „Vergeleken met conventionele wapens zou dit hetzelfde zijn als wanneer het Amerikaanse leger een paar Tomahawk-raketten kwijt zou zijn.”

Voor geheime diensten zijn voor de fabrikant onbekende kwetsbare plekken in software – zogeheten zerodays – een belangrijke manier om doelwitten te bespioneren. Officieel horen deze geheime diensten een belangenafweging te maken als ze zo’n zeroday vinden: is het veilig te gebruiken of moet de fabrikant worden ingeseind? „Bij veelgebruikte systemen als Windows weegt het belang om het lek te laten dichten op tegen het belang om ermee te spioneren”, zegt Erik de Jong van beveiligingsbedrijf Fox-IT.

Wapenwedloop

Overheden zijn al jaren bezig met een soort wapenwedloop in cyberspace. Hoogleraar cyberveiligheid Jan van den Berg zegt dat deze begon na de aanslagen van 11 september 2001. „Alle beurzen werden opengetrokken voor geheime diensten. De steeds geavanceerdere tools die zijn gebouwd, worden vroeg of laat ontdekt door contraspionnen of criminelen.”

„We herkennen bij computercriminelen spionagetrucjes die zijn afgekeken van geheime diensten”, zegt De Jong. „Dat is niet vreemd: hoe goed je ook bent als aanvaller, er blijft een kans dat je spionagegereedschap wordt ontcijferd en hergebruikt.”

Dat werd voor het eerst duidelijk bij het virus Stuxnet in 2010. Vermoedelijk gebruikten de VS het om het Iraanse nucleaire programma te saboteren. Trucs van het cyberwapen werden hergebruikt door criminelen.

Door de Snowden-onthullingen weten we dat de NSA een afdeling heeft waar hacks worden gefabriceerd en zwakke plekken in software worden gezocht of gebouwd. Bekend is dat overheden en geheime diensten deze zerodays ook aanschaffen van commerciële bedrijven met hackers in dienst, en dat daar grof geld aan wordt verdiend. Een zeroday voor een veelgebruikt systeem kan vele honderdduizenden euro’s opleveren.

In Nederland mogen, als een nieuwe wet computercriminaliteit door de Eerste Kamer gaat, naast inlichtingendiensten ook politie en justitie verdachten hacken met deze zerodays. „Overheden stimuleren de markt voor zerodays, in plaats van gaten te dichten”, zegt Kees Verhoeven, Tweede Kamerlid van D66. „Uiteindelijk zorgt dit voor meer onveiligheid.”