Je weet pas de beste bewapening, als je meer over je tegenstander weet

Christian Doerr onderzoekt cyber threat intelligence (cyberdreiging) en bedenkt ook manieren om nieuwe aanvallen te voorkomen.

U onderzoekt de digitale veiligheid en gaat met uw team na hoe criminelen online te werk gaan. Waarom is dit nodig?

“In onze samenleving speelt ICT een grote rol. Het zorgt er onder meer voor dat we drinkwater hebben, er eten in de supermarkt ligt en dat er elektriciteit uit je stopcontact komt. Dit verloopt vlekkeloos omdat bijna alles is gedigitaliseerd. Maar we zijn zo afhankelijk van ICT geworden dat het ons ook kwetsbaar maakt. Stel dat iemand kwaad wil doen en een elektriciteitscentrale aanvalt of onze watervoorziening? Dan hebben we een groot probleem.”

Waarom zijn deze ICT-systemen zo kwetsbaar?

“Omdat veel innovaties die we nu gebruiken, voor ander gebruik ontworpen waren. Het beste voorbeeld hiervan is het internet. Dat werd bedacht als netwerk tussen computers die elkaar konden vertrouwen. Beveiliging zat dus niet ingebouwd tijdens het ontwerp. Niemand voorzag dat we het nu zouden gebruiken om zoveel computers met elkaar te verbinden, waarbij niet iedere gebruiker te vertrouwen is. En achteraf is het altijd veel lastiger om beveiliging in te bouwen. Daarom zou er al veel eerder in het ontwerpproces aandacht voor moeten zijn. Dat is helaas nog lang niet altijd het geval.”

Hoe is het mogelijk om je te wapenen tegen digitale aanvallen?

“Eerst moet je weten wat een aanvaller doet. Stel iemand breekt in bij je buren. Dan wil je niet dat het ook bij jou gebeurt. Grote kans dat je naar een doe-het-zelf-winkel gaat en een extra slot koopt. Maar dan doe je de aanname dat de inbrekers via de voordeur komen. Misschien gooien ze wel een steen door het raam of heeft de crimineel een loper waarmee hij alle sloten opent. Je weet pas de beste bewapening, als je meer over je tegenstander weet. Want als bij je buurman een steen door de ruit is gegaan, kan je misschien beter tralies kopen voor de ramen beneden.”

Werkt het ook zo bij uw vakgebied cyberdreiging?

“Begrijpen hoe criminelen te werk gaan, maakt een belangrijk onderdeel uit van mijn werk. Welke vaardigheden hebben ze en hoe passen ze die toe? Ben jij aangevallen door een crimineel die lukraak mailtjes stuurt in de hoop dat iemand op een frauduleuze link klikt? Dan ben je een toevallig slachtoffer. Maar als jij thuis een schilderij van Picasso aan de muur hebt hangen en een inbreker probeert die te stelen, dan heb je met een andere aanpak te maken. Diegene zal er dan alles aan doen om binnen te komen en daar moet je de bescherming op afstemmen. Dan heb jij dus een ander dreigingsprofiel. Daar draait het ook om bij cyberbedreiging, bijvoorbeeld als een onderneming belangrijke bedrijfsgeheimen heeft.”

“Wij onderzoeken daarom hoe aanvallers te werk gaan en hoe je daar bescherming tegen biedt. Stel dat je ontdekt dat iemand altijd met een koevoet inbreekt, maar nooit een steen door het raam gooit dan houd je daar in de bescherming rekening mee. Zo is dat ook bij ons werk.”

Christian Doerr studied Computer Science and Cognitive Science in Boulder (Colorado). While most of his work focuses on technology, he also integrates the socio-technical aspects of cyber security into his research.

Since 2008, he has been assistant professor in the Cyber Threat Intelligence Lab in the Intelligent Systems department of TU Delft's Faculty of Electrical Engineering, Mathematics and Computer Science.

Wat leren jullie van de analyses van criminelen?

“We werken momenteel aan een project samen met een grote telecom-provider. Het internet bestaat uit allemaal netwerken die met elkaar verbonden zijn. Providers zorgen ervoor dat die verbindingen er komen en een belangrijk onderdeel daarvan maakt het zogeheten BGP uit. Dit Border Gateway Protocol zorgt ervoor dat verschillende netwerken met elkaar verbonden worden, doordat informatie over de bereikbaarheid wordt uitgewisseld. Het is zeg maar de lijm die alle netwerken bij elkaar houdt. Criminelen kunnen een aanval zo uitvoeren op de BGP, dat het internetverkeer naar hen wordt doorgeleid. Op dit moment wordt daarom al wel gemonitord of er iets vreemds gebeurt, maar wat er dan precies aan de hand is weten we daarmee nog niet.”

Dat wil je natuurlijk wel graag weten. Hoe pak je dat in de praktijk aan?

“Wij werken nu aan een tool, die niet alleen monitort of er wat aan de hand is, maar ook inschat hoe ernstig het is. Bijvoorbeeld dat ons algoritme opmerkt dat er een aanval op een bank is, die al eerder op drie andere banken is toegepast. En dat daarbij rekeningen in West-Europa het doelwit zijn.”

U deed recent onderzoek naar hoe hackers te werk gaan door naar aanvallen op de TU Delft te kijken. Wat heeft u gevonden?

“We ontdekten onder meer een aanval van 27.000 computers die gezamenlijk de TU Delft bestoken. Die computers komen uit meer dan honderd landen. Ze sturen op verschillende momenten informatie. Soms zit er een paar uur tussen, dan weer een paar dagen. Het ziet er daarom uit als ruis, maar als je het samenvoegt is het een gecoördineerde aanval. Door dit op te merken kunnen wij ons beter verdedigen. Je kunt het niet stoppen, maar het is mogelijk om het te blokkeren.”

In de toekomst wil je zo’n aanval natuurlijk ook stoppen. Hoe doe je dat?

“Een student van mij onderzoekt dat nu. Het draait erom of we kunnen voorspellen wat een aanvaller doet. Morrelt hij eerst aan deze deur om te kijken of hij zo binnen kan komen, dan weten we dat diegene daarna naar een volgende deur gaat. Daar stel je de firewall op in. Nog mooier is als we op die plek een zogeheten honeypot plaatsen, waarmee we de aanvaller in een door ons gecontroleerde omgeving vangen. Dan is het niet schadelijk voor ons systeem en zien wij wat diegene doet in de honeypot. Het probleem is dat geavanceerde aanvallers, waar we ons het meest zorgen over moeten maken, technieken hebben om te weten dat ze in zo’n honeypot zitten. En die informatie delen ze met anderen. We testen nu in een studie hoe ze dit ontdekken. Het is interessant om te zien dat aanvallers vaak beter zijn in het delen van informatie dan wij als verdedigers.”

Waarom is het zo belangrijk dat bedrijven onderling informatie delen?

“Dan kunnen ze elkaar waarschuwen. Misschien richten aanvallers zich wel specifiek op meerdere banken of de transportsector. Uit onderzoek blijkt dat criminelen vaak veel bedrijven van een bepaalde sector tegelijk aanvallen. Ook komt het regelmatig voor dat ze het eerst in Duitsland en Frankrijk proberen en dan later naar kleinere landen als Nederland en België gaan. Als Duitse bedrijven dan al eerder informatie over de phishingmail of hack delen met Nederlandse bedrijven, dan is de kans veel kleiner dat je erin trapt.”

Willen bedrijven wel informatie met elkaar delen?

“Vaak zijn ondernemers bang dat concurrenten zien met wie ze zakendoen of wat de toekomstplannen zijn. Dat weerhoudt ze ervan om andere bedrijven in dezelfde sector te laten zien welke soort e-mails ze krijgen van hackers, bijvoorbeeld als die zich voordoen als klanten of opdrachtgevers. Daar is een oplossing voor. Er zijn al manieren om e-mail te beveiligen en toch met anderen te delen dat het mogelijk om een hackpoging gaat.”

Hoe zorg je binnen een bedrijf voor een cultuur waarin werknemers informatie delen?

“Door ze extra training aan te bieden en ze bewust te maken van dreiging en veiligheid. Een medewerker die een phishingmail meldt, moet je belonen. De IT-helpdesk stuurt dan een mail rond waarin die medewerker wordt geprezen wordt en de andere waarschuwt. Zorg dan ook voor gratis taart voor iedereen in de kantine. Zo wordt het een gespreksonderwerp en beloon je goed gedrag. Mensen zijn altijd de zwakste schakel. Maar we moeten ze niet de schuld geven, maar ze  inzetten om ons te helpen.”

Waarom bent u zo gefascineerd door uw vakgebied?

“Als kleine jongen was ik al gek op computers. Ik vond het prachtig om te zien hoe je van een computer informatie verstuurt en het via een kabeltje ergens anders plots verschijnt. Dat is haast magie! Toen ik ging studeren raakte ik meer geïnteresseerd in beveiliging en hoe aanvallers te werk gaan. Hoe verzend je veilig gegevens? Omdat we nu zo afhankelijk zijn geworden van computers, is dit werkveld, dat nog in de kinderschoenen staat, alleen maar belangrijker geworden. Ik hoop dat ik hiermee een steentje bijdraag aan de bestrijding van cyberdreiging.”

Tekst: Robert Visscher