Een brok VMware-broncode ligt op straat. Terwijl de leverancier sust, én aandringt op patchen, bevindt het zich in een illuster rijtje. 4 grote roofdiefstallen.


VMware lijkt het nieuwste slachtoffer van gestolen en online vrijgegeven broncode. Het is dat echter niet. Volgens de leverancier van virtualisatiesoftware zelf is de nu geopenbaarde broncode een deel van de buit die eind april was gestolen. Daarbij is volgens de hacker die toen de digitale diefstal claimde, in totaal 300 megabyte aan broncode buit gemaakt. Tot op heden is daarvan slechts een klein deel vrijgegeven, in twee 'releases' door anonieme hackers.

Antivirus en remote beheer

Iets dergelijks heeft beveiligingsbedrijf Symantec eerder doorgemaakt. Die leverancier van onder meer securitypakket Norton Antivirus, beheertool pcAnywhere en onderhoudssoftware Norton Utilities en SystemWorks moest begin dit jaar tot tweemaal toe bekennen dat er broncode was gestolen. De source van enkele van zijn producten werd toen in enkele stappen geopenbaard.

Aanvankelijk stelde Symantec dat er geen sprake was van inbraak op zijn eigen systemen, maar ergens bij een derde partij. Maar daar moest de beveiligingsleverancier later op teruggekomen. Hackers zijn wel degelijk binnengekomen bij Symantec zelf, al in 2006, biecht het bedrijf in 2012 op.

Remote beheer verus remote pwnage:



Maar het gaat om broncode van oudere producten, bezweert de leverancier, dus huidige versies zijn niet in gevaar. Toch heeft Symantec patches uitgebracht, klanten geadviseerd pcAnywhere tijdelijk niet te gebruiken, voordat het uiteindelijk de meest actuele versie als veilig bestempelde. Ook in het huidige geval van VMware zou de gestolen broncode nog dienst doen in nieuwe versies van de gecompromitteerde software.

De producten van VMware en Symantec zijn weliswaar veelgebruikt, maar niet alomtegenwoordig. Dat ligt heel anders voor de volgende data- en broncoderoven.

Wereldwijd gebruikte encryptie

Een andere grote naam op securitygebied is begin vorig jaar gevallen voor cyberinbraak. RSA, leverancier van encryptiesleutels, onthulde toen dat het slachtoffer was van een zeer complexe aanval die stilletjes en stelselmatig is uitgevoerd. "Onze security-systemen hebben onlangs een zeer geavanceerde cyberaanval gedetecteerd, die werd ondernomen tegen RSA", schrijft RSA-topman Art Coviello in een open excuusbrief aan klanten.

Die eigen detectie ging overigens deels mank. De aanvankelijke inbraak zelf, de vervolgens uitgevoerde verkenning en het dieper doordringen in de bedrijfsinfrastructuur werden wel gevolgd door de beveiligingsmensen van RSA, maar de tweede, vrijwel gelijktijdige aanval die daadwerkelijk de data moest stelen, ontsnapte aan de aandacht. Het getroffen bedrijf heeft gelijk toegegeven dat "bepaalde informatie is gestolen van RSA's systemen", zonder daarbij details te geven.

De leverancier gaf wel aan dat een deel van die buit specifiek betrekking heeft op de twee-factor authenticatieproducten SecurID. Die beveiliging voor logins gebruikt hardware-tokens om per gebruiker unieke authenticatiecodes te genereren. Dat gebeurt middels willekeurig aangemaakte codes die de bijbehorende RSA-serversoftware op exact hetzelfde tijdstip genereert voor de daadwerkelijke login. Het achterliggende algoritme voor de code-aanmaak is de cruciale sleutel.

Het doel van de RSA-inbraak was informatie over de hardware-tokens voor beveiligde log-in:



De tokens en het algoritme waren volgens RSA niet gecompromitteerd, maar na de RSA-inbraak werden diverse Amerikaanse Defensie-toeleveranciers aangevallen, waaronder Lockheed Martin. Daarbij werden ook nep RSA-tokens ingezet. Deze aanvallen waren volgens het betrokken bedrijf niet succesvol, maar het heeft RSA wel gedwongen tot de erkenning dat geheime informatie over SecureID inderdaad is buitgemaakt bij de inbraak eerder in 2011. Verontruste klanten mogen hun tokens inwisselen.

Wat zou de Heilige Graal zijn voor broncodedieven? Windows wellicht. Maar de broncode daarvan is veilig. Toch?

Het client-platform van de wereld

Lang geleden werd zelfs de broncode van Windows buitgemaakt, zij het ten dele. Jawel, van het meestgebruikte desktopplatform ter wereld, met een servervariant die wereldwijd op veel systemen draait. Alleen gaat het wel om een oude diefstal van code die toen al gedateerd was. Begin 2004 komt de diefstal aan het licht van brokken broncode van het antieke Windows NT 4 en het nieuwere Windows 2000.

Microsoft heeft latere versies van zijn marktdominante besturingssysteem flink aangepast, mede met het oog op verbeterde beveiliging. De daders van de codediefstal uit 2004 zijn weliswaar nooit geheel opgespoord, maar een mogelijke handlanger is begin 2006 wel veroordeeld tot 2 jaar cel. De opgepakte 29-jarige Amerikaan bood namelijk Windows-broncode te koop aan.

Voor wie bij diefstal van Windows-broncode denkt aan complexe cyberwar-tools als Stuxnet, Flame of aan de Chinese hackaanval op Google, ziet mogelijk te veel verbanden. Een overheid - Amerikaans én anderszins - hoeft niet eens Windows-code te stelen om die in te zien. Het kan gewoon om de source vragen bij Microsoft zelf en die vervolgens ook krijgen.

De Amerikaanse softwarefabrikant heeft namelijk al jaren een speciaal aanbod voor hechte partners. Zoals computerleveranciers en system integrators, maar ook overheden. Zij mogen de broncode van bijvoorbeeld Windows inzien, maar niet wijzigen. Onder deze meekijkers bevindt zich sinds 2003 ook de Chinese overheid, die de code volgens experts doorspeelt aan het eigen leger en aan ingehuurde hackers.

De ondergrond van internet

De Amerikaanse netwerkreus Cisco laat zich er graag op voorstaan dat het internet grotendeels draait op zijn apparatuur. Meer dan 70 procent, volgens het bedrijf zelf. In 2004, na de Windows-diefstal bij Microsoft, werd broncode van Cisco's besturingssysteem ontvreemd. Het gaat hierbij om IOS (niet te verwarren met Apple's iPhone-besturingssysteem iOS) dat Cisco's routers en switches aanstuurt.

Die kroonjuwelen van de marktdominante netwerkleverancier werden door onbekenden buitgemaakt. Een deel werd kortstondig geopenbaard via een ftp-server van de Universiteit van Utrecht, en daar werd dat ontdekt door een Russische beveiligingsexpert. Hij trok vervolgens aan de bel, waarna er een verdachte werd opgepakt. Maar een jaar later blijkt de inbraak groter te zijn geweest dan aanvankelijk gedacht. Ook logins en wachtwoorden zijn gestolen, waarmee weer andere organisaties zijn gehackt.

Er is door de jaren heen nog veel meer code gestolen.

Meer ijsberg onder water

De hierboven genoemde hacks waarbij broncode en kostbare bedrijfsdata zijn gestolen, vormen slechts het topje van de ijsberg. Naast deze bekende gevallen zijn er ook kleinere incidenten zoals bijvoorbeeld de diefstal van pc-game Half-Life 2 tijdens de ontwikkeling daarvan. Game-maker Valve heeft vanwege die geslaagde cyberinbraak de release van die miljoenenproductie moeten uitstellen.

Een veel groter geval is de diepgaande inbraak bij de Nederlandse certificatenverstrekker DigiNotar. Daardoor is die firma zelf ten onder gegaan, heeft de Nederlandse overheid het eigen certificatengebruik geheel op de schop moeten nemen, is het vertrouwen in het certificatensysteem wereldwijd geschaad, en zijn mogelijk dissidenten in Iran afgeluisterd.

Zijn dit uitzonderlijke gevallen? Waarschijnlijk niet. Security-onderzoekers van Symantec trokken onlangs nog schrikbarende conclusies over geheime beveiligingsgaten in software. Die zogeheten 0-days komen én veel vaker voor dan gedacht én doen jarenlang dienst voordat ze aan het licht komen. Dit stellen de beveiligingsexperts na 4 jaar onderzoek waarbij ze 11 miljoen eigen loksystemen monitorden en ook historisch hebben onderzocht. Dat laatste slaat op de analyse terug in de tijd op basis van later geopenbaarde kwetsbaarheden.