De grootste campagne van afgelopen week makes me WannaCry

In mijn ogen is de beste campagne de campagne met de meeste impact. Afgelopen weekend was het hoogtepunt van een campagne die miljoenen mensen heeft beïnvloed. Ik heb het niet over het kampioenschap van Feyenoord, maar over de WannaCry-ransomware, die zich met een ongekende omvang en snelheid verspreidde.

De belangrijkste les van afgelopen weekend? Iedereen, zowel politiek als de samenleving, draagt verantwoordelijkheid en heeft liggen slapen. We moeten met z’n allen wakker worden en een goede cybersecurity beschouwen als een vereiste voor een veilige samenleving.

Op vrijdag 12 mei verschenen de eerste berichten, en daarna ging het snel. Op zondagmiddag waren er al ruim 200.000 systemen gegijzeld door de WannaCry-ransomware (1). Gebruikers konden daardoor niet meer bij hun bestanden komen, tenzij ze losgeld betaalden ($300 in bitcoin) of een back-up terug konden zetten. De effecten waren groot: Renault heeft fabrieken moeten stilleggen, Telefonica kwam de systemen niet meer in, het nationale zorgstelsel (NHS) in Groot-Brittannië lag plat, en in Nederland kon Q-park geen parkeergelden meer innen.

De WannaCry-ransomware-campagne is om twee redenen uniek te noemen. Ten eerste valt de ongekende snelheid op. Dit komt doordat een (niet geüpdatet) systeem dat aan internet hangt al voldoende is om besmet te worden. Je hoeft geen bijlage van een onbekende afzender te openen, je hoeft geen rare website te bezoeken. De WannaCry-‘worm’ verspreidt zichzelf. Het ging zelfs zo snel dat de NOS er een pushbericht aan wijdde.

wana_decrypt0r_screenshot

Het tweede en belangrijkste unieke punt van deze campagne is dat de WannaCry-ransomware alleen kan bestaan dankzij de Amerikaanse National Security Agency (NSA). Zij hebben al sinds 2011 weet van de zero-day (2) in Windows waar deze ransomware nu gebruik van maakt. De NSA gebruikt dit voor hun eigen hacktools, voor hun eigen doelstellingen. Dankzij een hack van de Shadowbrokers, een onbekende groepering, liggen deze en andere hacktools van de NSA echter op straat.

En nu kan iedereen er gebruik van maken. Er staan zelfs handleidingen online. En dat kan potentieel rampzalige gevolgen hebben, want wat als het niet de Q-park betreft maar een energiecentrale die niet meer werkt (of in overdrive gaat)? Of als er patiënten in Groot-Brittannië sterven omdat artsen opeens met pen en papier moeten werken, zoals afgelopen weekend?

De belangrijkste les van deze ransomware-campagne is dat zowel de politiek als de samenleving heeft liggen slapen. De NSA weet al sinds 2011 (!) van deze kwetsbaarheid, maar heeft ervoor gekozen om deze kennis niet te delen met Microsoft. Waarom niet? Omdat dat hun eigen hackmogelijkheden in gevaar brengt. Ze hoeven bovendien helemaal geen kwetsbaarheden bekend te maken, want daar geldt in de Verenigde Staten geen verplichting voor (3). Microsoft is daar dan ook (terecht) boos over. Ook ik neem dit de Amerikaanse politiek kwalijk. Microsoft had immers in 2011 al een patch uit kunnen brengen, als ze het hadden geweten.

Tegelijkertijd draagt iedereen die besmet is zelf ook verantwoordelijkheid. Microsoft heeft twee maanden geleden al een update uitgebracht voor alle kwetsbare systemen, zelfs voor Windows XP dat al vijftien jaar oud is en eigenlijk al drie jaar niet meer wordt ondersteund. Als je nu nog besmet bent, is het wat mij betreft je eigen schuld. De les is simpel: INSTALLEER. UPDATES!

Zolang inlichtingendiensten kwetsbaarheden niet met producenten hoeven te delen, en gebruikers (en systeembeheerders) oude software blijven gebruiken, zullen dit soort aanvallen blijven voorkomen. We kunnen daar als samenleving voor kiezen, dan wordt dit een fact of life. Maar mijn boodschap is dat we ons hier met z’n allen zorgen over moeten maken.

Dit moet op de politieke agenda komen. Ben je politiek actief? Agendeer dit eens bij een vergadering. Mail naar het meest ICT-minded Tweede Kamerlid van jouw politieke partij. Maak eens een praatje met de systeembeheerder op je werk. En oh ja. INSTALLEER UPDATES!

(1) Ook wel bekend als WannaCrypt, WanaCrypt0r 2.0 en Wanna Decryptor.
(2) Een nog niet bekende kwetsbaarheid.
(3) In Nederland geldt pas sinds 2014 de verplichting voor de AIVD en MIVD om gevonden kwetsbaarheden te melden, maar mogen politici nog steeds zelf bepalen of ze de kennis met de producent delen of niet.

Foto’s: Byseyhanla / Wikimedia Commons en Wikimedia Commons.