Zeven vragen over zeroday aanvallen

WordPress moest een dezer dagen in alle haast een kritiek beveiligingslek dichten om te voorkomen dat aanvallers blogs volledig konden overnemen. Een zeroday of nuldagenaanval maakt webwinkels, servers of besturingsystemen extra kwetsbaar omdat er niet meteen een oplossing voorhanden is. Hoe kun je je organisatie tegen dergelijke aanvallen beschermen?

Wat is precies een zero day aanval?
Dat is een aanval op systemen waarin net een nieuw lek is ontdekt. Meestal zijn het goedwillende onderzoekers die een lek opsporen en de software-ontwikkelaar daarvan tijdig op de hoogte stellen, maar soms wordt zo’n lek ook meteen wereldkundig gemaakt, inclusief exploits, oftewel software die de zwakheden demonstreert of uitbuit. Cybercriminelen proberen op hun beurt ook zo snel mogelijk exploits te verspreiden in een poging zoveel mogelijk systemen te infecteren.

Worden die lekken meteen gedicht?
Helaas niet. Uit recent onderzoek van Symantec blijkt dat softwarebedrijven gemiddeld 59 dagen nodig hebben om patches te ontwikkelen. Dit is vier dagen meer dan in 2013. Aanvallers maken hiervan dankbaar gebruik en grepen in het geval van Heartbleed binnen vier uur hun kans. Maar ook wanneer er een patch beschikbaar is, wordt die niet altijd even snel door bedrijven geïmplementeerd.

Wat zijn de gevolgen?
Zero day-kwetsbaarheden kunnen op allerlei manieren worden benut. Recentelijk hebben Russische hackers via kwetsbaarheden in Adobe Flash en Windows ingebroken bij computersystemen van Amerikaanse ministeries. Het verspreiden van malware en virussen komt het meeste voor.

Welke software loopt gevaar?
De meeste aanvallen zijn gericht op Flash Player, Java, Internet Explorer en Adobe Reader/Acrobat. Om exploits te verspreiden worden bijvoorbeeld ‘drive-by downloads’ ingezet. De nietsvermoedende gebruiker wordt, al dan niet via een e-mail naar een besmette site gelokt of blootgesteld aan een besmette Flash-advertentie. Een aanvalscampagne die eind januari werd ingezet heeft meteen duizenden Flashgebruikers geïnfecteerd. Vaak zijn van de kant van de gebruikers niet eens speciale handelingen nodig. Met exploits kan trouwens ook goed geld worden verdiend. Ze worden door cybercriminelen verhandeld voor astronomische bedragen.

Hoe onverstandig is het om lekken meteen bekend te maken?
Over de ethiek daarvan bestaan verschillende opvattingen. Googles Project Zero hanteert bijvoorbeeld een keiharde termijn van negentig dagen. Het bedrijf waarschuwt software-ontwikkelaars altijd voor een lek, maar als de negentig dagen zijn verstreken wordt het lek gepubliceerd, inclusief exploits, met alle risico’s van dien. Het is natuurlijk wel een manier op druk op de ketel te zetten. Overigens heeft Google de teugels iets laten varen: bedrijven kunnen van Google 14 dagen uitstel krijgen. Ze moeten dan wel met een oplossing komen.

Welke beschermingen zijn er?
Een aantal zaken ligt voor de hand. Het tijdig updaten van applicaties (vooral browsers) of besturingssystemen bijvoorbeeld. Er is ookal  software tegen exploits, zoals die van Malwarebytes. Dit Windows programma belooft real-time bescherming voor lekken in Internet Explorer, Firefox, Google Chrome, Opera, Java, Adobe Reader, Foxit Reader, Microsoft Office, Windows Mediaspeler, VLC, Winamp of QuickTime. Ook bekende beveiligers McAfee (Intel), Trend Micro en Symantec leveren totaaloplossingen die zero day-aanvallen pareren. Een Intrusion Prevention System (IPS) helpt ook: die kan ongeautoriseerde toegang tot een informatiesysteem of netwerk detecteren. Op het moment dat een aanval wordt geconstateerd kan de IPS de aanval blokkeren en het normale verkeer laten doorgaan.

Moeten besturingssystemen niet beter beschermd worden?
Daar wordt aan gewerkt. Microsoft looft bijvoorbeeld 500 tot 15.000 dollar tipgeld uit aan hackers die lekken in de nieuwe browser Spartan weten te vinden. En het bedrijf introduceert in Windows 10 voor het eerst Device Guard. Deze staat alleen het gebruik van applicaties van specifieke leveranciers toe, de Windows Store of de eigen organisatie. Andere software werkt dan niet. Bedrijven kunnen zelf bepalen welke aanbieders Device Guard vertrouwt. Je kunt deze applicaties zelf  signeren. Bedrijven als Aer, Fujitsu, HP, Lenovo en Toshiba hebben ondersteuning toegezegd.

Microsoft lanceerde al eerder Microsoft EMET. EMET kan de zogenoemde Window of Vulnerability van veel kwaadaardige software beperken door te anticiperen op de meest gebruikte aanvalstechnieken, zoals buffer overflows. EMET staat voor Enhanced Mitigation Experience Toolkit. De EMET-tool past via een wizard desgewenst de instellingen van veelgebruikte software aan naar een veiliger niveau. Denk aan Internet Explorer, Java, Microsoft Office en Adobe Reader.