00a42b65a89dfed2d9bc5d14351d3498.jpg

headphone, koptelefoon, afluisteren, spion

Smart-tv spionage is goed nieuws voor criminelen

Als er iets is wat we de laatste jaren hebben geleerd, is dat overheden de IT-infrastructuur saboteren waar ze zélf afhankelijk van zijn. De onthullingen van WikiLeaks deze week vallen in het niet bij de Snowden-openbaringen, maar illustreren de vertrouwensproblemen die dit wangedrag opleveren.

Als je naar de WikiLeaks-documenten kijkt over hoe de CIA inbreekt op consumentenapparatuur als smart-tv’s, is het duidelijk dat overheden al jaren de mogelijkheid hebben om content op te vangen vóór het versleuteld wordt. De gebruikte zerodays zijn oud, maar je kunt er gevoeglijk vanuit gaan dat er op dit moment moderne kwetsbaarheden worden stilgehouden om in te breken op apparaten.



Criminelen én overheden verzwakken security

De documenten geven een boeiend kijkje in de keuken van inlichtingendiensten, bijvoorbeeld met functies als de modus ‘Fake Off’, waarbij gebruikers alleen maar denken dat de televisie uitstaat, maar deze heimelijk alles opvangt via de microfoon zodat spionnen kunnen meeluisteren. Het is interessant, omdat dit technieken zijn van online criminelen en overheden kopiëren ze en passen ze aan voor hun eigen doeleinden – precies zoals criminelen dat doen met overheidsmalware.

Zo werden eerder delen van spionagemalware Flame weer aangetroffen in malware van criminelen en de vervalste certificaten waardoor Stuxnet ongedetecteerd op Windows-machines kon draaien werd vervolgens door gespuis weer gebruikt om consumenten met Windows te belagen. Dit onderstreept het punt dat zwakheden in beveiliging door iedereen wordt gebruikt en bijvoorbeeld encryptie absoluut moet zijn om een kans te maken mensen daadwerkelijk te beveiligen.

Praktijkvoorbeeld kat en muis

Een vroeger gebruikte truc om beveiligingsproducten te omzeilen was door een time-out te triggeren. Veel securityproducten hebben een ingestelde klok waarin code wordt geanalyseerd. Dat is logisch, want zonder vastgestelde maximale interval tussen analyse en uitvoer, veroorzaakt een beveiligingsproduct bij het vaststellen of iets veilig potentieel een grote vertraging. Een gebruiker zou gefrustreerd raken als hij of zij lang moest wachten voor de televisie bijvoorbeeld een applicatie start.

In de WikiLeaks-documenten staat beschreven hoe malware een sleep-call oproept bij het uitvoeren van het programma, zodat die tijdsklok meteen zijn maximum bereikt en het beveiligingsproduct zijn analyse afbreekt. Leveranciers van beveiligingssoftware zagen dat dit trucje werd toegepast en zorgen ervoor dat dergelijke sleep-calls niet meer kunnen worden opgeroepen in hun sandbox-omgeving.

CIA kopieert criminelen

Om dat weer te omzeilen, maken malware-auteurs een zinloze functie die een X-periode in beslag neemt om uitgevoerd te worden en in die tijd wordt geen verdachte code uitgevoerd. Daardoor zien beveiligingsproducten moeilijker wat de code precies gaat uitvoeren en wordt die time-out weer bereikt, waarna de malafide code ongezien zijn kans grijpt.

Aan de ene kant is het interessant dat inlichtingendiensten dit kat-en-muisspel bestuderen om dezelfde trucs toe te passen. De WikiLeaks-documenten zijn dan ook geen verrassing voor IT-beveiligers die meer dan bekend zijn met allerlei technieken om langs detectiemethoden te glippen. Softwaremakers verzinnen iets om malwaremakers te frustreren, waarna zij een omzeilingstruc verzinnen, waarna beveiligers omzeiling van de omzeiling verzinnen, waarna malwaremakers de omzeilde omzeiling omzeilen – enzovoorts.

Hierna: Een beetje paranoia blijkt wel weer eens op zijn plek te zijn.

Related Posts

Is ransomware echt te stoppen?

4 cruciale eigenschappen van security providers

Jongeren trappen eerder in internetscams dan ouderen

5 dev

Zerodays Linux

Achter elke domme gebruiker zit een nog dommere IT

Comments

Reply comment

Your email address will not be published. Required fields are marked *