'Hacking is big business'

Internet Security Systems ziet computeronderwereld zakelijker worden

Hacken. De lol van het bekladden van een website is eraf, het gaat nu om geld. "Bestel een dos-aanval met duizend zombie pc's voor tweehonderd dollar en betaal per Paypal". Het is niet moeilijk, stelt Chris Rouland, technisch directeur van Internet Security Systems (ISS). Het bedrijf predikt de oplossing met proactieve bescherming van zijn hard- en software, zijn wereldwijde centra waar ze duizenden netwerken in de gaten houden en het X-Force onderzoeksteam. "Dit zijn geen grappen meer, dit is 'big business'".

Het Global threat operations center (Gtoc) in het hoofdkwartier van ISS in Atlanta.

Dat is natuurlijk het ideaal: bescherming van bedrijfsnetwerken tegen hack- en virusaanvallen ruim voordat ze daadwerkelijk plaatsvinden. Anti-virussoftware loopt altijd achter de feiten aan: eerst is er het virus, pas daarna de bescherming tegen het virus. Volgens ISS moet de bescherming er zijn voordat van een lek gebruikt wordt gemaakt. Proactief optreden noemt het bedrijf dat, en het wil dat bereiken met zijn onderzoek- en ontwikkelingsteam X-Force.
De honderd techneuten van X-Force zoeken dagelijks naar lekken in veel gebruikte software. Het team schrijft ook patches voor de zelf ontdekte lekken en lekken die bekend worden via andere bronnen. Die patches, ISS noemt ze x-press update (xpu), worden vervolgens verspreid onder alle klanten. Eigenlijk zijn xpu's vergelijkbaar met patches van bijvoorbeeld Microsoft, hoewel ze daar bij ISS heel anders over denken. "Iemand die bijvoorbeeld een hardware oplossing van ISS heeft, hoeft geen Microsoft patches te installeren als ze maar wel de ISS-patches installeren", doceert Rouland. Voordeel volgens hem is dat er geen reboots nodig zijn en er is ook geen risico dat bepaalde applicaties niet meer werken.
Beveiliging is 'booming business' en dat blijft ook nog enige tijd zo. Volgens directeur en medeoprichter Tom Noonan blijft het probleem van beveiliging bestaan, zolang alleen de it-afdeling daar mee bezig is. "Alleen als beleidsmakers en het management bewust zijn van het gevaar, zal het probleem kunnen worden opgelost." Tot die tijd legt het ISS geen windeieren. Het bedrijf heeft twaalfhonderd werknemers, kantoren in tweeëntwintig landen, biedt elfduizend klanten beveiligingsproducten en -diensten aan, heeft geen schulden en tweehonderdvijftig miljoen dollar in kas.

Spijkerbroek

In het Global Threat Operations Center (Gtoc) in het hoofdkwartier van ISS in Atlanta, houdt een tiental mensen met elk twee monitoren netwerkverkeer in de gaten van 5000 ISS-apparaten en 1200 Managed Security Services klanten. Wereldwijd zijn er vijf Security Operations Centers (SOC's) waarin het netwerkverkeer van klanten in de gaten kan worden gehouden. In het Gtoc komt onder andere alle verkeer uit de SOC'S samen.
De ruimte is alleen te betreden nadat je met een pasje en vingerafdruk een deur weet te openen. Voor bezoekers is een blik door een ruit vanuit een vergaderkamer het hoogst haalbare. Jonge mannen - spijkerbroek, T-shirt - hangen onderuitgezakt in de stoelen. Ze negeren de blikken van de bezoekers en blijven staren naar het beeldscherm.
Per dag komen er bijna 30 miljoen berichten binnen die duiden op een virus, een hack-poging of ander verdacht netwerkverkeer. Dat is zelfs voor de professionele nerd niet bij te houden, vandaar dat een ISS een programma gebruikt dat een slimme selectie maakt. Bekende aanvallen zoals de SQL Slammer-worm komen niet eens meer in beeld bij de digitale waakhonden. Nee, hier zoeken ze naar gebeurtenissen die nog niet op CNN zijn te zien: hack-pogingen, phishing-aanvallen (misleiding van surfers om bankgegevens te stelen), virusaanvallen, noem maar op. Zodra ze iets verdachts zien, wordt meteen het X-Force team ingelicht en achterhaald wat er precies aan de hand is.

Grof geld

Dit jaar was het zover: met hacking werd grof geld verdiend. Technisch directeur Tom Rouland ziet steeds meer dreigingen die voortkomen uit een financiële drijfveer. "Dit zijn geen grappen meer, dit is 'big business'". Wat hem de laatste tijd opvalt, is dat de computeronderwereld zich verenigt. Vooral de Russische maffia investeert er flink in. "De maffia doet dit om 'zeroday exploits' te krijgen. In combinatie met een phishing aanval gaan ze zo op jacht naar bankrekeningen en creditcardnummers" En dat lukt wonderbaarlijk goed. "Op een Filipijnse server vonden we een keer gegevens van achthonderd duizend bankaccounts".
Rouland vertelt dat hij via een van zijn bronnen hoorde dat er een prijzenslag gaande is tussen verschillende hackers-groepen. "De prijs van een dos-aanval daalt de laatste tijd flink. Je kunt hele massavernietigingsnetwerken, die uit honderd tot duizend zombie pc's bestaan, huren voor tweehonderd dollar per uur. Afrekenen kan per creditcard of via Paypal."
ISS houdt de computeronderwereld goed in de gaten. Rouland: "We monitoren bepaalde chat-kanalen, als er wat gebeurt. We zijn op de jaarlijkse hackers-conferentie Defcon en bezoeken Blackhat sessies." Soms open en bloot als ISS-werknemers, maar ook anoniem om te weten wat er speelt, geeft Rouland toe.
De interesse in de onderwereld gaat ver. Zo onderzoekt ISS alle dataverkeer dat tijdens de Defcon Capture The Flag hack-competitie over het netwerk is gegaan. "Dat pompen we door een afgesloten deel van ons netwerk, the segment of death. We kijken wat er allemaal langs komt en passen eventueel onze producten aan."
ISS flirt niet alleen met de computeronderwereld. Dagelijks heeft het bedrijf in het hoofdkwartier in Atlanta overleg met de FBI waarin de laatste trends, aanvallen en lekken worden besproken. Logisch volgens Rouland: "Dankzij onze wijdverspreide ids en ips-systemen hebben we een van de grootste internettelescopen in de wereld."< BR>