Independent. Dynamic. Involved.
nlen

Vuur met vuur bestrijden: surveillance schakelt security uit

door Bram van Pelt en Diederik Perk.

Overheden krijgen steeds meer grip op het internet, waarmee ze het digitale landschap blijvend veranderen door middel van internet filtering. De Syrische regering heeft een Bluecoat PacketShaper- een apparaat dat doorgaand verkeer inspecteert- ingezet. De inspectie kan worden geconfigureerd om versleuteld verkeer te vinden, zoals verkeer via SSL of dedicated VPN’s tunnels en deze vervolgens te blokkeren, of te melden aan de operator. Met duizenden klanten van zulke beveiligings- en filteringssoftware wereldwijd kunnen beveiligde kanalen eindeloos worden omgeleid of afgeketst en uiteindelijk zal de business met zo’n performance- en rendementsverlies zichzelf gedwongen zien deels onveilige communicatiemiddelen aan te houden.

Technisch gezien is een dergelijk filter een op SSL-gerichte man-in-the-middle aanval. Zo’n man-in-the-middle aanval is precies het middel dat gebruikt wordt door cybercriminelen om online bankieren sessies te kapen. Deze manier van filtering kan de veiligheid van bedrijfscommunicatie ongedaan maken. Gebruikers kunnen niet meer zien of hun beveiligde verbinding is aangetast, omdat de BlueCoat machine de SSL verbing opnieuw opbouwt, waardoor de doelstelling van HTTPS, het veilig en ongemodificeerd kunnen communiceren, ongedaan gemaakt wordt. In feite betekent dat, dat de overheid cyber-criminelen faciliteert in aanvallen op eindgebruikers. Dit is een treffende illustratie van de ene veiligheidsmaatregel die een ander ongedaan maakt.

Toegang afsluiten

Regeringen in Turkije en andere landen lijken niet op de hoogte van dit probleem. Zo gaven ze eerder dit jaar verregaande bevoegdheden aan BTK, de telecommunicatie autoriteit die prompt toegang tot Twitter en Youtube afsloot bij een politiek schandaal. Deze instantie, kan bijvoorbeeld sinds dit jaar websites blokkeren zonder bevel van de rechterlijke macht.[1] Dat de schaal waarop gecensureerd wordt enorm toegenomen is kan gezien worden aan cijfers die Google publiceerde over online transparantie. Google rapporteert dat de verwijderverzoeken uit Turkije explosief zijn toegenomen met 966%.[2] Google heeft lang niet alle verzoeken gehonoreerd, maar het leert ons dat er een trend ingezet is door overheden wereldwijd om meer invloed op te eisen op het internet met een breed scala aan middelen.

En dat is nog niet alles. Denk mee met het volgende scenario: Veel grote organisaties zoals multinationals reserveren hun eigen kabel zodat ze verzekerd zijn van voldoende bandbreedte. De turkse regering beveelt ISP’s en 3G mobiele netwerk providers internet toegang te filteren. Een medewerker die werkt bij een van deze bedrijven komt erachter dat hij bij geblokkeerde websites kan komen via de grensoverscheidende LAN van de bedrijfsserver waar hij werkt.

Dit is op zich al een veiligheidsrisico, maar ook een performance issue. Als de proxy connectie verder wordt doorgegeven kunnen hele hordes mensen proberen een verbinding te maken met de illegale proxy server. Als genoeg mensen dit proberen gaat de server plat zoals gebeurd met een DoS aanval. Het verliezen van een enkele server is misschien niet zo’n urgent issue, maar stel je voor wat er gebeurd als een techneut de bedrijfswebsite of een databasecluster in een proxy verandert. Het resultaat kan vernietigend zijn voor zo’n organisatieonderdeel. En ook de juridische gevolgen hebben zijn vaak niet gedekt.

Hacktivist zoekt proxy

Information security professionals moeten op de hoogte zijn dat in soortgelijke situaties het bedrijf niet het doel van een aanval is, maar een middel om een doorgang te kunnen realiseren. Hacktivisten (en cyber-criminelen) zoeken naar proxies om afstand te creëren tussen zichzelf en het doel, zakelijke netwerken bieden zowel de sluiproete en bandbreedte om dat met succes te doen. Het is altijd belangrijk geweest om scherp te zijn op wat er zich afspeelt op de servers, wat er over bedrijfsnetwerken verstuurd wordt en de beveiliging van de telecommunicatielijnen kunnen garanderen en dat het liefst in real-time.

Echter, het is hoog tijd om verder te kijken om ongewenste situaties te voorkomen en niet midden in het kruisvuur terecht te komen tussen slecht gedefinieerde digitale grens patrouilles en de geglobaliseerde werkelijkheid van het online tijdperk. Daarmee wordt het verzamelen van informatie over de lokale politiek is deel van zaken doen. Online censuur heeft het potentieel schadelijke gevolgen te genereren. Het ontstaan er van moet een trigger zijn voor het verhogen van de interne organisatie’s bewustwording. Het peil van politiek activisme op de werkvloer is daarmee een indicatie van hoe alert het team informatiebeveiliging zou moeten zijn.