Digitaal gegijzeld: Cryptolocker

Geen horrorverhaal maar realiteit

Gepubliceerd: 12 februari 2014

afbeelding 18Stel je voor dat je op een ochtend je PC inschakelt en je krijgt de mededeling dat je bestanden geëncrypteerd zijn. Dus omgezet in niet te ontcijferen tekst. En inderdaad blijken al je databestanden te zijn veranderd in onleesbare troep. Ook alle foto’s, video’s en andere gegevens, die deels wellicht van grote emotionele waarde, zijn weg, tenzij je deze criminelen even € 300 betaalt. Doemscenario? Helaas is het harde werkelijkheid. Deze malware heeft geen beheersrechten nodig. Ze werkt alleen binnen jouw account en dat is genoeg om schade aan te richten, tenzij je een losgeld betaalt.

Dat losgeld moet ergens naar worden overgemaakt. Je kunt dus naar de politie stappen. Maar wat kunnen die uitrichten wanneer het een bankrekening van iemand in Rusland, Nigeria of in de Opper Patagonische laagvlakte is? En die gegevens zijn weg. Dus vrijwel iedereen bezwijkt dan en betaalt, de boete voor de te late BTW aangifte, waar je de administratie voor nodig hebt, is immers veel hoger? Wat zal de klant zeggen die volgende week de foto's nodig heeft op de beurs in Parijs?

Bovendien willen de 'gijzelnemers' waarschijnlijk uitbetaald worden in dat nieuwe 'gemakkelijke' digitale geld, in Bitcoins. Waarvan de bestemming dan niet is te achterhalen.

afbeelding 9

Wat doet malware als Cryptolocker?

Het programmaatje dat 'het werk' doet heeft geen beheersrechten nodig want het laat het besturingssysteem ongemoeid. Voor de techneuten onder ons, het schadelijke programma draait in je gebruikersaccount. Daar past het asymmetrische encryptie toe op alle databestanden. De publieke sleutel waarmee het versleuteld wordt komt met de malware mee. De geheime sleutel, nodig voor de ontcijfering, blijft in bezit van de criminelen. De geheime sleutel wordt per mail toegezonden na betaling van het geëiste bedrag.

Het ergste is dat het programmaatje ook nog door jezelf wordt geïnstalleerd. Door iets in een mailtje aan te klikken, door een programmaatje te installeren dat zo leuk op het internet stond of via een interessant linkje naar 'iets grappigs'. 

Als je nu denkt dat het wel meevalt omdat alleen schade binnen jouw account op je computer kan worden aangericht, zit je er helemaal naast, want veel systemen zijn zo ingericht dat heel veel locaties voor meerdere gebruikers toegankelijk zijn. En laat even goed tot je doordringen wat daarmee wordt bedoeld, want daaronder vallen ook locaties op andere machines in het netwerk. Een van je kinderen krijgt een mailtje van een klasgenootje: kijk eens wat een leuk spelletje Marietje mij heeft gezonden?  Ik hoef alleen maar hier te klikken om het te spelen…

Kennissen hielden hun schouders op toen ik het aan hen vertelde: “Dan moeten ze eerst maar eens weten aan wie ze dat kunnen sturen met als afzender de naam van een echt bestaand klasgenootje”. En dus liet ik ze nog eens zien welke persoonlijke informatie op Facebook te vinden is. Echt, vergeet alle argumenten als zou het allemaal wel meevallen. Als het systeem niet naar behoren is beveiligd, ben je vroeg of laat slachtoffer.

Advertentie

Het nieuwe richtprijzenboekje 2019 is uit!

Het richtprijzenboekje dient behalve voor prijsindicatie ook als richtlijn in gerechtelijke procedures bij toewijzing van honoraria en schadevergoedingen bij geschillen. De richtprijzen zijn gebaseerd op onderzoek naar het prijspeil voor publicatie en productie. Bij de prijsberekening worden behalve resultaten van binnenlands onderzoek ook de prijzen van (EU) beheersmaatschappijen zoals het Belgische Sofam meegenomen.

Klik hier voor meer informatie
of om het boekje te bestellen
.

view counter

Wat is er tegen te doen?

Om te beginnen, veiligheidsbewust zijn

Het is zaak ervan te zijn doordrongen, dat niet alles is wat het lijkt als we over internet surfen. Wees zo extreem mogelijk in je wantrouwen. De virtuele wereld van Internet is een anarchie waar regels en wetgeving van de beschaafde wereld slechts zeer beperkt zijn af te dwingen. Voel je daar nooit veilig!

Eigenlijk vertel ik nu iets wat we allemaal ongetwijfeld al weten en sommigen zullen, dit lezende, een zucht slaken: “daar heb je dat zelfde gebedje weer”. Maar het blijft een feit dat telkens weer enorme schade ontstaat doordat mensen onveilig werken. Het probleem met veiligheidsregels is, dat we ze even glimlachend aan de kant schuiven als ons dat op een bepaald moment beter uit komt. De regel is heel eenvoudig. Een bijlage bij een e-mail of een link in een e-mail zijn verdacht, tot het tegendeel is aangetoond. Komt het bericht van een bekende en werd dit verwacht? Dan is het meestal in orde, maar geloof met name nooit zomaar de mails van 'bekende instanties'. Zoals die van 'Visa' of uw huisbankier: 'Uw creditcard is geblokkeerd. Klik hier om...' Hieronder volgt een leerzaam voorbeeld.

Bericht van de autodealer

Een  waar gebeurd verhaal van iemand die op eigen verzoek regelmatig aanbiedingen en mededelingen van zijn autodealer ontvangt. Daar staat altijd wel een link naar hun site in. Op een dag klikte hij op die link en het gevolg was dat het antivirus programma, de elektronische engelbewaarder, begon te gillen dat de site was geblokkeerd omdat deze was gerapporteerd als malafide. Telefoontje naar de dealer met de vraag of ze nu helemaal… Het was bekend, hij was niet de eerste, nee met de site was echt niets mis. Die mail kwam helemaal niet van de dealer! Het was niet wat het leek! De site waar het slachtoffer naar werd gedirigeerd was niet die van de dealer.

Bij de dealer was ingebroken op het systeem en alle adressen waren gestolen. Dit inbreken gebeurt vaker dan men vermoed, de afgelopen tijd is tweemaal op de servers bij Reuters ingebroken en zelfs Adobe bleef er onlangs niet voor gespaard. Gelukkig vielen de gevolgen mee, maar er is ook duidelijk waarvoor die adressen gebruikt hadden kunnen worden.

Controleer de authenticiteit

Controleer élke link in een e-mail door de muis er alleen even boven te houden. Verschijnt onder in de statusbalk echt het webadres waar die link naartoe lijkt te wijzen? Is het waarschijnlijk dat de afzender je een mail stuurt? Kijk naar het e-mailadres van de afzender, is dat 'abn-amro@gmail.com' of 'belastingdienst@betaal.hkbld.cn' dan moge duidelijk zijn dat er iets niet helemaal klopt...

Essentieel: firewall en Antivirus

Gewone computergebruikers hebben geen software nodig die als server fungeert. Heb je dat wel nodig, dan neem ik aan dat je voldoende deskundig bent om precies te weten welke wijzigingen je moet aanbrengen in de configuratie van de firewall en dat je ook precies weet welke risico’s er zijn als je de buitenwereld toegang geeft tot een server.

De schrik slaat me om het hart als ik zie welke adviezen “deskundigen” en/of goedbedoelende hulpvaardige nit-wits aan mensen geven als ze een probleem met software-installatie hebben. “Heb je geprobeerd of het wel werkt als je even je virusscanner uit zet?" Of "Schakel eens even de firewall uit en kijk of het dan wel werkt”. En ook het omgekeerde komt regelmatig voor, de gebruiker meldt “Ik heb al geprobeerd of het wel werkt zonder firewall en zonder antivirus, maar daar ligt het niet aan”. Op het moment dat deze nuttige beveiligingen zijn uitgeschakeld is het doodordinair prijsschieten voor de boze jongens, je bent dan vogelvrij.

Goede software heeft bij installatie geen last van de firewall want alle verkeer naar buiten is toegestaan en inkomend verkeer is malafide en hoeft dus niet te werken. Als je virusscanner iets blokkeert, doet deze dat niet stiekem, maar geeft een melding. En die melding betekent dan dat je bezig was malafide programmatuur te installeren.

Uiteraard komt het wel voor dat een virusscanner een programma ten onrechte als malware detecteert. Het komt dan soms voor dat de leverancier van het 'handige programmaatje in een read.me bestand laat weten dat het een “false positive” is. Dirt geloven is vanuit veiligheidsoogpunt helemaal fout. Is die leverancier wel te vertrouwen? Zou het geen malwareleverancier kunnen zijn die een schadelijk programma door je beveiliging probeert te loodsen? Regel: Je moet een keihard bewijs hebben dat het safe is dit programma te installeren, dat de leverancier betrouwbaar is. Tot dan gaat het programma in quarantaine.

Geef elke gebruiker een eigen account

Een van de veel voorkomende situaties waar troep zoals Cryptolocker buitengewoon blij mee zal zijn, zijn mappen en zelfs hele partities waar iedereen toegang heeft, inclusief het netwerk en inclusief alle back-ups. Ik zal vertellen hoe ik daar zelf mee omga.

In principe zijn er rechten in te stellen op een netwerk. Hiermee worden de toegangsrechten van de verschillende soorten gebruikers gedefinieerd. Zoals het mogen lezen, mogen schrijven, de bevoegdheid hebben om programma's te installeren.

In mijn netwerk, maar dat zou ook op je bedrijfsnetwerk kunnen zijn, bevindt zich een gemeenschappelijke partitie op een harde schijf waar fotomateriaal van de familie staat. Dat kan in geval van onze lezers ook een fotoarchief zijn of de boekhouding. Iedereen die hier gebruik van maakt, ook ikzelf, heeft alleen leestoegang en mag er niet schrijven. Alleen de administratorgroep, dat wil zeggen de groep netwerkbeheerders, mag daar schrijven. Hetzelfde geldt voor locaties waar back-ups staan en locaties waar andere belangrijke gegevens worden gearchiveerd. Het betekent dat malware die door een gewone gebruiker zou worden geïnstalleerd of  via een gewoon gebruikersaccount  toegang krijgt niets meer kan dan wat deze gebruiker mag doen. Dus ook niet mag schrijven op de beveiligde partitie.

Zorg voor een echte dagelijkse back-up

Zorg voor een extra fysieke harde schijf voor back-ups, dus niet een partitie op een schijf die ook voor andere doeleinden wordt gebruikt. Een externe harde schijf met een aan-uitschakelaar is niet bruikbaar, want de back-up software is nog steeds niet in staat die schakelaar om te zetten. De schijf moet echt permanent aan staan, minimaal zo dat de software op het systeem ‘m kan starten. En alléén een of twee leden van de groep administrators mogen daar schrijfrechten hebben. Dat zijn de leden die verantwoordelijk zijn en de bevoegdheid hebben voor het maken van de back-up. Dat zijn ook de enigen die een automatische back-up in mogen stellen.

Ook een back-up in “the cloud” met een snelle internetverbinding is een optie. Maar je hebt dan wel een paar TB nodig. De cloud kent overigens ook zijn bezwaren en gevaren, maar dit valt buiten het bestek van dit artikel.

Back-up vereist ruimte! Het moet een echte back-up zijn dus niet alleen maar een kopie van je gegevens. Aan een dergelijke kopie, die de voorgaande kopie overschrijft, heb je buitengewoon weinig als door een foutje, door iets als Cryptolocker wordtt toegeslagen. Je hebt dan als back-up een kopie van je vernielde data! Een goed back-up programma schrijft een nieuwe back-up en laat de oude ongemoeid, zodat er meerdere generaties back-ups aanwezig. Er is een ruime keus in goede back-upsoftware en dus is hier geen kant en klaar recept voor iedereen te geven. Ik kan hier slechts als voorbeeld geven hoe ik het zelf oplos.

Praktijkvoorbeeld back-up procedure

Elke nacht om drie uur haalt de taakplanner, die onder een afgegrendeld beheersaccount draait, mijn werkstation uit de slaapstand en begint met mijn back-upprogramma een image te maken van alle partities. Dat is wekelijks een nieuw volledig image, de andere dagen maakt het een aanvulling (incremental image). En telkens als het weer tijd is om een volledig image te maken, wordt de oudere set naar het archief verplaatst.

Het back-up medium is bij mij een 2TB NAS op het netwerk. Wanneer deze schijf voor 75% vol is, wordt de oudste back-upset uit het archief gewist. Ik kan zo ongeveer 42 dagen (zes weken) terug gaan. De schijf accepteert netwerktoegang vanaf elk netwerkaccount en dus heb ik mijzelf alleen leesrechten en mijzelf alleen in mijn rol van systeembeheerder volledige rechten gegeven. De taak draait dus met het account van de systeembeheerder.

Een back-up is geen archief!

Er is heel veel kostbaar materiaal dat niet op één back-up schijf bewaard hoort te worden. Ook zonder een crimineel programma zoals Cryptolocker kan het lelijk mis gaan. Harde schijven hebben een beperkte levensduur en ook calamiteiten als brand of overstroming zijn nooit uit te sluiten. Het beeld van huilende mensen na een gasexplosie 50 meter bij ons vandaan, staat na jaren nog op mijn netvlies gebrand. Goed verzekerd, dat waren zij wel. Maar ach, dat levert alleen maar geld op. De foto’s van grootouders, tot en met kleinkinderen zijn echt voorgoed weg! En in geval van een fotograaf? Je bent direct out of business wanneer de administratie en het fotoarchief ineens zijn verdwenen, dus je ook levenswerk is geheel of gedeeltelijk weg.

Een goede aanbeveling is om alle back-ups ook in kopie op een geografisch andere, veilige plaats op te slaan. In geval van calamiteiten zijn alle gegevens dan nog steeds bereikbaar.

Log niet in met beheersrechten

Het is zo lekker gemakkelijk. Gewoon werken zoals we gewend waren onder Windows of  Mac OS, alhoewel dat ook daar fundamenteel fout was. In de standaardconfiguratie geven de besturingssystemen dan vrije toegang tot systeeminstellingen en voor overige zaken wordt in veel gevallen gevraagd om een simpele muisklik op de OK-button. Als je onder dat account gaat werken komt gegarandeerd die keer dat je haastig op OK klikte als dat nu net niet had gemoeten. Jawel, de meeste rampen worden pas achteraf als ramp onderkend.

Je kunt alles doen vanuit een normaal (beperkt account) en ik lig er totaal niet wakker van om dan even mijn wachtwoord te moeten typen wanneer er iets in de beheerderssfeer moet gebeuren. Ik raad aan dat account strenger te beveiligen als  beperkt account.

Een andere slechte gewoonte is het onnodig delen van bronnen. Vraag je bij elke partitie of map af of het echt noodzakelijk is dat anderen daar toegang hebben.

Vergezocht? In de Verenigde Staten komen veiligheidsrampen al regelmatig voor en ook in Europa zijn al veel gevallen bekend. In ieder geval, wanneer je het bovenstaande je boven de pet gaat, een beeldmaker is tenslotte geen ICT specialist, roep dan deskundige hulp in. Niet dat mannetje op de hoek dat 'er wel iets van af weet' maar een echte deskundige. Tenslotte loop je ook niet bij de eerste de beste vent met een boormachine naar binnen wanneer je naar de tandarts moet...