Hoe we ons kunnen wapenen tegen ransom ware

Gijzelingsdrama op WUR verijdeld

Marc Verstraaten

In het systeem is menselijke slordigheid vaak de zwakste schakel. En op WUR werkt ook nog eens een speciaal soort mensen

Bij WUR werken we met gevoelige data, van financiële en persoonsgegevens tot belangrijke onderzoeksdata. Cybercriminelen leggen daar graag de hand op, bijvoorbeeld met gijzelsoftware. Het is dus belangrijk om te zorgen dat deze data goed beveiligd zijn. In Wageningen ging dat onlangs mis.

IT’er in hart en nieren, zo omschrijft Marc Verstraaten (29) zichzelf. Zo iemand die al op jonge leeftijd sleutelde aan computers. Die het gaaf vond om iPhones te jailbreaken - zodanig te kraken dat je er software op kunt installeren die eigenlijk niet goedgekeurd zijn door de fabrikant. Een kwajongensstreek in vergelijking met de acties van hackers waar hij tegenwoordig als network engineer en cloud solution architect bij WUR tegenstand aan moet bieden.

Daarvoor volgde hij ook een opleiding waarbij ethical hacking een groot onderdeel van de studie was. Hier leerde hij in een laboratoriumomgeving hoe je systemen moet kraken. Want als je inbrekers wilt buitenhouden, zul je ook moeten leren hoe ze te werk gaan en de zwakheden van de systemen leren kennen. In het systeem is menselijke slordigheid vaak de zwakste schakel. En op WUR werkt ook nog eens een speciaal soort mensen.

Een onderzoekende, innovatieve soort, zeer zelfstandig, op het eigenwijze af. Kom bij hen niet aan met regels, protocollen, of een helpdesk waar je terecht kunt als je problemen hebt bij het installeren van een programma. Dat kunnen ze zelf wel. Plug and play staat er toch op die software? Een kind kan de was doen, en de wetenschapper helemaal.

Foto: Anne Reinke

Gevoelige data

Meestal gaat dat goed. Maar soms ook heel erg fout. En dan kan het zomaar zijn dat de poort naar een systeem vol gevoelige data maandenlang wagenwijd openstaat. En dat is precies wat er dit jaar gebeurde bij een virtueel computersysteem-in-opbouw. Verstraaten: “Ze wilden een applicatie bouwen op basis van een Microsoft platform in de cloud. Om het in IT-termen te zeggen: ze hadden een vm’etje (virtual machine red.) opgespind. Je maakt dan gebruik van een grotere computer die elders staat, bij Microsoft dus. Uiteraard maakt die virtual machine gebruik van het internet en aangezien jij gebruik maakt van het internet, kan het internet gebruik maken van jou.”

Voor de niet-IT’ers onder de lezers: eigenlijk is wat de hackers doen niet zo heel veel anders dan de oude inbrekerstruc met de ouderwetse, genummerde sleutels. Als een hacker je deur gevonden heeft en hij ziet zo'n slot, dan weet hij dat hij naar binnen kan komen. In het specifieke geval van de VM-kraak gebruikten de hackers een database met verschillende gebruikersaccounts en wachtwoorden. Een van die credentials bleek toegang te geven tot de virtual machine.

Foto: Anne Reinke

De inbreker deed wat de meeste hackers doen: eenmaal binnen maakte hij zichzelf administrator en kon daardoor alles doen wat hij wilde. Ook zocht hij naar andere bruikbare credentials. In veel gevallen leidt dat tot een gijzeling van het systeem met ransomware, waardoor de data voor de eigenaar onbereikbaar worden. Pas na betaling van losgeld (meestal in bitcoins) wordt de computer weer vrijgegeven. Bij de ransomware-aanval op de Universiteit van Maastricht, vorig jaar december, werd uiteindelijk zo’n 200.000 euro losgeld betaald.

Het ‘gijzelingsdrama’ werd ontdekt toen de onderzoeker niet meer bij de vm kon omdat deze encrypted was. Geluk bij een ongeluk was dat er in dit specifieke geval nog geen data op stonden, waardoor de gijzelingsactie zinloos was. Voor Verstraaten is het desalniettemin een goed voorbeeld om lessen uit te trekken. “Denk voordat je aan een platform begint na over het fundament. Zorg ervoor dat niet iedereen toegang heeft, want het is niet automatisch stevig beveiligd. Het risico van de huidige mogelijkheden op dit gebied is dat elke onderzoeker zo’n platform met zijn eigen creditcard kan aanschaffen, het in elkaar zetten super eenvoudig is, maar dat de leverancier de verantwoordelijkheid voor de beveiliging bij de afnemer legt.”

Onderzoeker Bert Klandermans experimenteert op de playground

Cloud is supermakkelijk, maar daar schuilt het gevaar

Foto: Shutterstock

De moraal van dit verhaal? Nee, geen moraal, want Verstraaten houdt niet zo van een opgeheven vingertje. “We willen researchers ook de vrijheid geven om een stuk zelf te bouwen, want zij weten exact wat ze nodig hebben. Maar het is wel heel goed als IT er van meet af aan bij betrokken is. De IT-organisatie zit al jaren in dit gebied, de onderzoekers niet. Die zien vooral de mogelijkheden en niet de gevaren. Als IT’er wil ik graag een begeleidende factor zijn en aangeven: jongens, jullie kunnen deze technologie gebruiken, maar let wel hierop.”

Door de pandemie is de behoefte aan cloudplatforms in stroomversnelling geraakt, ziet Verstraaten. “Je kunt immers niet zomaar even naar het datacenter van de universiteit lopen. Om de onderzoekers te helpen zelf een veilige omgeving in te richten, hebben we nu een playground gemaakt. Hier kunnen gebruikers zelf bepalen wie er toegang krijgt en wie verantwoordelijk is voor de beveiliging. Er is als het ware een beschermende laag gemaakt, maar nog steeds is er veel vrijheid om keuzes te maken. In de playground worden onderzoekers gestimuleerd om te innoveren, maar behoed voor het maken van fouten. Ik ben ervan overtuigd dat dit innovatie een enorme boost kan geven.”

Wil je meer weten over de mogelijkheden van veilig werken in de cloud?

Het Cloud Center of Expertise (CCoE) is opgezet om WUR-medewerkers te helpen met het gebruik van cloudtechnologie. Als je hier vragen over hebt of hulp/advies kan gebruiken, neem dan contact op met Marc Verstraaten of Floris-Jan Zwaan. Ook een ticket aanmaken voor de Servicedesk IT met als richtgroep het CCoE is mogelijk. Dan nemen zij contact met je op via het ticket. Je kunt meer info vinden over het CCoE op deze intranetpagina.