WhatsApp: veilig genoeg voor vertrouwelijke communicatie?
30 november 2018 -
Een in de zomer ontdekt beveiligingsprobleem in de populaire chatdienst WhatsApp maakt het mogelijk berichten in een groeps- of privégesprek te onderscheppen en manipuleren.
Ook kunnen aanvallers zelf nieuwe berichten plaatsen in een WhatsApp-groep zonder lid te hoeven zijn van deze groep. Is WhatsApp wel veilig genoeg voor vertrouwelijke communicatie binnen de overheid of het bedrijfsleven? Bastiaan Bakker security-expert bij Motiv deelt zijn visie en enkele adviezen.
Fake news
Bakker ligt toe: "Een kwetsbaarheid die het aanpassen van berichten mogelijk maakt, geeft cybercriminelen een enorme macht. Zo kunnen zij fake news verspreiden dat in een later stadium als 'bewijs' dient om ander fake news te onderbouwen en geloofwaardigheid te geven."
Dat het verspreiden van dergelijk nepnieuws gruwelijke gevolgen kan hebben, blijkt uit een recent incident in India. Eerder dit jaar werd via WhatsApp fake news verspreid over een vermeende groep kinderontvoerders die actief zou zijn. In een reactie hierop werden begin juli vijf onschuldigen aangezien voor kinderontvoerders, waarna zij door een boze menigte werden mishandeld en vermoord.
Niet gegarandeerd veilig
Bakker: "Dergelijke incidenten tonen aan dat WhatsApp – net als iedere andere software – niet gegarandeerd veilig is. Een écht veilig alternatief is echter niet eenvoudig te vinden. Zo is Telegram, dat onder andere in de security-industrie veel wordt gebruikt, ook niet 100 procent waterdicht. In februari 2018 werd een zwakke plek gevonden in de beveiliging van Telegram die het mogelijk maakte via de berichtendienst virussen te verspreiden.
WhatsApp simpelweg niet gebruiken, biedt bovendien geen uitkomst. U voorkomt hiermee immers niet dat kwaadwillenden uit uw naam WhatsApp-berichten verspreiden. Stelt u zich eens voor dat een gemanipuleerd bericht wordt verspreid waarin de Nederlandse overheid uit naam van minister-president Mark Rutte het vertrouwen in de Amerikaanse president Donald Trump opzegt? Indien dit bericht voor de waarheid wordt aangezien en niet als fake news wordt herkend, kan dit enorme politieke en diplomatieke gevolgen hebben. Ook in het bedrijfsleven kan dit grote schade opleveren, waaronder imagoschade."
Boycot van Qatar
Dat dergelijke manipulatie reëel is, blijkt uit een ander incident. Saudi-Arabië, de Verenigde Arabische Emiraten (VAE), Bahrein en Egypte kondigden in mei een boycot tegen Qatar aan. Deze boycot werd afgekondigd nadat op de website van het Qatarees persagentschap een citaat van de Sheikh Tamim bin Hamad al-Thani verscheen waarin de Qatarese emir openlijk kritiek uitte op de anti-Iran-retoriek in de Golfstaten.
Het persagentschap meldde korte tijd later gehackt te zijn en verwijderde het bericht. Voor de buurlanden van Qatar was dit echter aanleiding desondanks een boycot af te kondigen tegen het land. Bronnen binnen de Amerikaanse inlichtingendiensten meldden later aan de Washington Post dat dit fake news zou zijn verspreid in opdracht van de overheid van de VAE, met als doel een diplomatieke crisis te veroorzaken. De VAE ontkent alle betrokkenheid.
Adviezen
Hoe kan een manager of overheidsfunctionaris zich wapenen tegen dergelijke manipulatie? Enkele adviezen die Bakker hierbij geef aan security experts zijn:
- Blijf alert en volg het nieuws. Analyseer hierbij opensource intelligence (OSINT), maar ook informatie uit commerciële bronnen. Verschillende diensten kunnen u helpen deze informatie te verzamelen, waarbij u ook inzicht krijgt in informatie afkomstig van het dark en deep web.
- Zorg voor continue monitoring, zodat u nieuwe cyberaanvallen en beveiligingsproblemen tijdig opmerkt en direct kunt ingrijpen.
- Handel snel en grijp direct in. Snelheid is namelijk van groot belang bij het voorkomen van cyberaanvallen. Hoe langer u nodig heeft om bijvoorbeeld een patch of update te installeren, hoe meer tijd u een eventuele aanvaller geeft om misbruik te maken van een beveiligingsprobleem. Automatiseer dit proces indien mogelijk om dit proces zoveel mogelijk te versnellen.
- Speur naar afwijkend gedrag. Dit is mogelijk met 'anomaly detection', een techniek die steeds vaker als onderdeel van IT-security wordt ingezet. Bij anomaly detection wordt actief gezocht naar afwijkend gedrag van software en gebruikers dat kan wijzen op malafide intenties. Denk hierbij aan software die midden in de nacht onverwachts actief wordt en grote hoeveelheden data probeert te versturen naar een externe server, maar ook aan een gebruiker die vanaf een ongebruikelijk IP-adres inlogt op zijn account.
Adviezen voor bedrijven
Ook voor bedrijven zijn er enkele adviezen die helpen de veiligheid te vergroten:
- Weet welke software u gebruikt. Dan weet u ook welke beveiligingsproblemen een impact kunnen hebben op uw bedrijf.
- Installeer patches en updates zo snel mogelijk. Hoe sneller u uw software weer up-to-date heeft, hoe minder kans u kwaadwillenden geeft beveiligingsproblemen te misbruiken. Is er nog geen patch beschikbaar om een kwetsbaarheid te verhelpen? Overweeg dan het gebruik van een dienst tijdelijk te staken.
- Blijf kritisch nadenken over uw werkwijzen. Is de werkwijze die u hanteert de slimste werkwijze? Van welke applicaties wordt binnen uw organisatie gebruikgemaakt en zijn deze allemaal noodzakelijk? Zijn er veiligere alternatieven voor deze oplossingen beschikbaar? Door continu dit soort vragen te stellen, zorgt u dat u de meest veilige werkwijze hanteert en beveiligingsrisico's zoveel mogelijk worden geminimaliseerd.