Volg Software Zaken

Hoe Microsoft’s DCU cybercrime bestrijdt

| Sieuwert van Otterloo | Security

In april 2015 hebben Softwarezaken en ICT Institute vier weken onderzoek gedaan naar malware en privacy in het Microsoft Cybercrime Center. Tijdens dit project hebben we veel geleerd over de nieuwe manieren waarop Microsoft klanten wil beschermen tegen cybercriminelen, gebruik makend van juristen en big data.

Voor 2010 waren er twee stereotypes over cybercriminelen. Enerzijds was er de zeer slimme maar introverte hacker. Deze aanvaller kon elk systeem binnenkomen maar had meestal niet de bedoeling schade aan te richten. Anderzijds waren er de normale criminelen die cybercrimes aan het uitproberen waren als een laag risico alternatief voor gewone georganiseerde misdaad. Deze twee stereotypes zijn in zekere zin geruststellend: er zijn zeer slimme aanvallers en aanvallers met kwade bedoelingen, maar niet tegelijkertijd. Helaas weten we sinds 2010 (de ontdekking van Stuxnet) dat er ook zeer geavanceerde gerichte aanvallen zijn: grootschalige aanvallen op een bedrijf als geheel met als doel zoveel mogelijk schade aan te richten. Dit soort aanvallen kan niet gestopt worden met een eenvoudige tegenmaatregel, zoals een virusscanner of firewall. Om de aanval te bestrijden, moeten er door meerdere partijen maatregelen genomen worden. Microsoft beseft dit ook en heeft daarom in 2010 een speciaal Cybercrime Center opgericht, inclusief een Digital Crimes Unit (DCU).

microsoft forensics labHet doel van de DCU is om de klanten en gebruikers van Microsoft te beschermen tegen criminele activteiten. Dit doet men op twee manieren: door het nemen van juridische stappen en door het gebruik van data science, bijvoorbeeld in het forensics labs waar men virussen en vervalsingen bestudeert.

Daarnaast speelt het centrum een grote rol in het beleid van Microsoft om meer bewustwording rond security te creëren: CIO’s van klanten, Microsoft-medewerkers en andere belangstellenden kunnen op verzoek een rondleiding krijgen door het center en een indruk krijgen van de producten waar men mee bezig is: een PhotoDNA-project om gestolen foto’s van personen terug te vinden, een anti-virus-laboratorium waar in beslag genomen software onderzocht wordt en voorbeelden van schadelijke namaak-software. Men werkt ook met partners zoals ICT Institute om meer te weten over bijvoorbeeld wetgeving in de Europese markt. De resultaten van dit partnerproject zijn helaas geheim, maar de DCU zelf is dat niet.

Wat we wel kunnen delen is een interessante ontdekking over zogeheten botnets, en praktisch advies over veiligheid. In de afgelopen jaren heeft Microsoft een heel aantal ‘command and control’ botnets kunnen ontmantelen. In dit soort netwerken is er 1 PC van cybercriminelen die opdrachten uitdeelt aan andere computers (het commando-centrum) en duizende besmette thuis-PC’s. De besmette PC’s nemen zonder dat de gebruiker het doorheeft contact op met het commandocentrum, en vragen om instructies. Deze instructies kunnen bijvoorbeeld zijn om gebruikersgegevens door te geven, of om gezamenlijk een website van bijvoorbeeld een bank aan te vallen (een DDOS-aanval).

Voor de politie is het oprollen van botnets lastig, omdat er voor veel acties wel een aanleiding en bewijs van schade nodig is van een slachtoffer. De eigenaren van besmette computers weten vaak niet dat zij besmet zijn en doen daarom geen aangifte. Microsoft kan hier gelukkig helpen, dankzij een bijzonder stuk insluipings-wetgeving (trespass). Microsoft is eigenaar van de windows-software, en als deze software zonder toestemming van microsoft door een botnet aangepast wordt, kan Microsoft als slachtoffer aangifte doen. Hiermee kan Microsoft de politie helpen met het in beslag nemen en de-activeren van de commando-centra van botnets.

Na het deactiveren van het commandocentrum worden alle signalen van de besmette computers afgevangen en lopen dood in een computer bij Microsoft. De DCU antwoordt niet, maar registreert wel waar signalen vandaan komen en hoe vaak. Wat men hierbij ontdekt heeft is dat malware vaak nog maanden en jaren actief contact blijft zoeken. Blijkbaar worden veel besmette computers nog wel gebruikt (ze staan in ieder geval aan) maar nooit ge-update of gecontroleerd op virussen. Het uitgeschakelde botnet kan geen kwaad meer, maar deze computers zijn blijkbaar slecht beveiligd en waarschijnlijk gevoelig voor nieuwe malware. Het advies van Microsoft is om elke windows-computer automatisch te laten updaten en een antivirus-product te gebruiken. Dit beschermt niet alleen de gebruiker zelf, maar stops criminelen ook bij het inzetten van deze computer bij aanvallen op bijvoorbeeld banken.

Author: Sieuwert van Otterloo
Dr. Sieuwert van Otterloo (CISA, CIPP/E) is IT-deskundige met kennis van software-kwaliteit, IT-strategie, projectmanagement, privacy, en verantwoord gebruik van AI. Hij geeft les aan de VU, doet onderzoek aan de HU en geeft advies en doet reviews bij organisaties door heel Nederland. Hij oprichter en directeur van ICT Institute.