211service.com
Antivirusbedrijven zouden meer open moeten zijn over hun ontdekkingen van malware door de overheid
Vorige week hoorden we over een opvallend stukje malware genaamd Regine die sinds 2008 wereldwijd computernetwerken infecteert. Het is geavanceerder dan alle bekende criminele malware, en iedereen gelooft dat er een overheid achter zit. Geen enkel land heeft de eer opgeëist voor Regin, maar er is Substantieel bewijs dat het werd gebouwd en geëxploiteerd door de Verenigde Staten.
Dit is niet de eerste malware die door de overheid wordt ontdekt. GhostNet wordt verondersteld Chinees te zijn. rode oktober en De toren worden verondersteld Russisch te zijn. Het masker is waarschijnlijk Spaans. Stuxnet en Vlam zijn waarschijnlijk afkomstig uit de VS. Al deze zijn ontdekt in de afgelopen vijf jaar en genoemd door onderzoekers die hun makers afleiden uit aanwijzingen zoals op wie de malware gericht was.
Ik houd niet van de cyberoorlogmetafoor voor spionage en hacking, maar er is een soort oorlog gaande in cyberspace. Landen gebruiken deze wapens tegen elkaar. Dit raakt ons allemaal, niet alleen omdat we misschien burgers van een van deze landen zijn, maar ook omdat we allemaal potentieel nevenschade zijn. De meeste van de hierboven genoemde soorten malware zijn gebruikt tegen niet-gouvernementele doelen, zoals nationale infrastructuur, bedrijven en NGO's . Soms zijn deze aanvallen toevallig , maar vaak zijn ze opzettelijk .
Voor hun verdediging moeten civiele netwerken vertrouwen op commerciële beveiligingsproducten en -diensten. We vertrouwen grotendeels op antivirusproducten van bedrijven zoals Symantec, Kaspersky en F-Secure. Deze producten scannen onze computers continu, zoeken naar malware, verwijderen deze en waarschuwen ons wanneer ze deze vinden. We verwachten dat deze bedrijven in ons belang handelen en ons nooit opzettelijk nalaten ons te beschermen tegen een bekende dreiging.
Daarom is de recente onthulling van Regin zo verontrustend. De eerste publieke aankondiging van Regin was van: Symantec , op 23 november. Het bedrijf zei dat zijn onderzoekers het ongeveer een jaar hadden bestudeerd, en kondigde het bestaan ervan aan omdat ze wisten van een andere bron die het zou aankondigen. Die bron was een nieuwssite, de Intercept, die... beschreven Regin en zijn Amerikaanse connecties de volgende dag. Beide Kaspersky en F-Secure publiceerden al snel hun eigen bevindingen. Beiden verklaarden dat ze Regin al jaren volgden. Alle drie de antivirusbedrijven konden er sinds 2008 of 2009 voorbeelden van vinden in hun bestanden.
Dus waarom hielden deze bedrijven Regin allemaal zo lang geheim? En waarom lieten ze ons al die tijd kwetsbaar?
Om een antwoord te krijgen, moeten we twee dingen ontwarren. Voor zover we kunnen zien, hadden alle bedrijven lang voor vorige maand handtekeningen voor Regin toegevoegd aan hun detectiedatabase. De VirusTotal-website heeft een handtekening voor Regin vanaf 2011 . Beide Microsoft-beveiliging en F-Secure begon het dat jaar ook te detecteren en te verwijderen. Symantec heeft zijn gebruikers sindsdien beschermd tegen Regin 2013 , hoewel het in 2011 zeker de VirusTotal-handtekening heeft toegevoegd.
Geheel afzonderlijk en schijnbaar onafhankelijk, besloten al deze bedrijven om het bestaan van Regin pas publiekelijk te bespreken nadat Symantec en de Intercept dit hadden gedaan. De opgegeven redenen variëren. Mikko Hyponnen van F-Secure zei dat: specifiek klanten vroeg hem niet te praten over de malware die op hun netwerken was gevonden. Fox IT, dat werd ingehuurd om Regin van de website van het Belgische telefoonbedrijf Belgacom te verwijderen, zei niets over wat het ontdekte omdat het wilde zich niet bemoeien met NSA/GCHQ-operaties .
Ik vermoed dat geen van de bedrijven naar de beurs wilde gaan met een onvolledig beeld. In tegenstelling tot criminele malware, kan malware van overheidskwaliteit moeilijk te achterhalen zijn. Het is veel ongrijpbaarder en ingewikkelder. Het wordt voortdurend bijgewerkt. Regin bestaat uit meerdere modules: Fox IT noemde het een volledig raamwerk van veel soorten malware, waardoor het nog moeilijker wordt om erachter te komen wat er aan de hand is. Regin is ook spaarzaam gebruikt, tegen slechts een select aantal doelen, waardoor het moeilijk is om monsters te krijgen. Wanneer u een persplons maakt door een stukje malware te identificeren, wilt u het hele verhaal hebben. Blijkbaar had niemand het gevoel dat ze dat met Regin hadden.
Dat is echter geen goed genoeg excuus. Naarmate malware voor nationale staten vaker voorkomt, ontbreekt het ons vaak aan het hele verhaal. En zolang landen het in cyberspace uitvechten, zullen sommigen van ons het doelwit zijn en de rest van ons zou de pech kunnen hebben om in de straal van de explosie te zitten. Malware van militaire kwaliteit zal ongrijpbaar blijven.
Op dit moment zitten antivirusbedrijven waarschijnlijk op onvolledige verhalen over een tiental andere soorten malware van overheidskwaliteit. Maar dat zouden ze niet moeten doen. We willen en hebben onze antivirusbedrijven nodig om ons alles te vertellen over deze bedreigingen zodra ze ze kennen, en niet te wachten tot de publicatie van een politiek verhaal het hen onmogelijk maakt om te zwijgen.
Bruce Schneier is een beveiligingstechnoloog. Zijn nieuwste boek is Leugenaars en uitbijters: zorgen dat de vertrouwensmaatschappij kan gedijen .