De Morris Computer Worm of "Dezelfde procedure als elk jaar"
Zoals aan het begin van elk jaar zijn er ook in 2023 weer talloze voorspellingen beschikbaar over de richting waarin het cybercriminaliteitslandschap zich zal ontwikkelen. In een kristallen bol kijken - ook al zijn er veel aanwijzingen beschikbaar - is echter altijd slechts een gok op de toekomst. Het is daarom interessanter om te kijken naar de oorzaken van cyberaanvallen door de geschiedenis heen. En hier wordt al snel duidelijk dat we in principe al enkele decennia lang steeds weer over dezelfde drie tijgerkoppen struikelen.
Onze historische referentie gaat terug tot 2 november 1988, de dag waarop een dramatische internetworm zijn intrede deed. De malware, genoemd naar computerwetenschapper Robert T. Morris, verspreidde zich meer dan 30 jaar geleden in een alarmerend tempo en wordt beschouwd als de eerste grote malware-aanval. De Morris-worm had drie primaire zelfreplicatiemechanismen, gebaseerd op drie veelvoorkomende programmeer- en systeembeheerfouten:
- Verkeerd geheugenbeheer:
Morris maakte gebruik van een bufferoverloopkwetsbaarheid in een destijds populaire systeemnetwerkservice en bereikte RCE (remote code execution). - Slechte wachtwoorden raden:
Morris gebruikte een zogenaamde woordenboekaanval om waarschijnlijke inlogwachtwoorden te raden. Hij hoefde niet elk wachtwoord te raden - het was voldoende om er slechts één te kraken. - Niet-gepatchte systemen:
Morris zocht naar e-mailservers die onveilig waren ingesteld, maar later nooit werden bijgewerkt om het gevaarlijke remote code execution-gat dat hij misbruikte te repareren.
Klinkt dat bekend? Dat zou moeten, want als je het collectief bekijkt, bleven we vorig jaar last houden van dezelfde soort cyberbeveiligingsproblemen en zullen we ook in 2023 te maken krijgen met deze "tijgervellen". Dus eigenlijk is het dit jaar weer "dezelfde procedure als elk jaar" - we hebben geen stapels nieuwe cyberbeveiligingsvoorspellingen nodig om een echt goed idee te hebben van waar we moeten beginnen.
Met andere woorden: We mogen bij het creëren van cyberbeveiligingsconcepten de basis niet uit het oog verliezen en moeten vermijden dat we alleen specifieke en momenteel in de krantenkoppen springende beveiligingsproblemen oplossen. Alleen door grip te krijgen op de cyberbeveiligingszonden uit het verleden kunnen we moderne cyberdreigingen effectief aanpakken.
Dus wat moet er gebeuren? Het goede nieuws is dat leveranciers op het gebied van programmering steeds beter omgaan met veel van deze ouderwetse problemen. Sophos leert bijvoorbeeld om veiligere programmeerpraktijken en veiligere programmeertalen te gebruiken, en om uw draaiende code in te bedden in sandboxes met betere gedragsblokkering om het moeilijker te maken om bufferoverflows te exploiteren.
We worden allemaal beter in het leren gebruiken van wachtwoordmanagers, hoewel die hun eigen fascinerende problemen met zich meebrengen. We worden steeds meer geoefend in het gebruik van alternatieve technologieën voor identiteitsverificatie of in het niet vertrouwen op eenvoudige wachtwoorden waarvan we hopen dat niemand ze kan voorspellen of raden. Maar multifactorauthenticatie is nog beter, en we zouden het overal moeten gebruiken waar we kunnen.
En niet alleen krijgen we sneller patches van leveranciers (althans de verantwoordelijke - de grap dat de S in IoT staat voor veiligheid lijkt helaas nog steeds erg actueel), maar we tonen steeds meer bereidheid om patches en updates sneller toe te passen in zowel particuliere als zakelijke omgevingen.
Sophos is, net als anderen in de branche, ook een groot voorstander van moderne CaaS-technologieën zoals XDR en MDR, wat betekent dat je accepteert dat de aanpak van cyberaanvallen niet alleen bestaat uit het vinden van malware en het zo nodig verwijderen ervan. Tegenwoordig besteden leveranciers, veel meer dan een paar jaar geleden, niet alleen tijd aan het zoeken naar bekend slecht spul dat moet worden gerepareerd, maar ook aan het zorgen dat het goede spul dat er zou moeten zijn, er ook echt is en daadwerkelijk iets nuttigs doet.
Sophos neemt ook meer tijd om proactief te zoeken naar potentieel schadelijke zaken, in plaats van te wachten tot de spreekwoordelijke waarschuwingen automatisch verschijnen in cyberbeveiligingsdashboards. En dat zijn de beste voorwaarden om cybercriminelen in 2023 op hun plaats te zetten - en elegant over de kop van de tijger te huppelen.