{"id":26190,"date":"2020-10-07T09:02:57","date_gmt":"2020-10-07T07:02:57","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=26190"},"modified":"2020-10-06T15:49:43","modified_gmt":"2020-10-06T13:49:43","slug":"pied-piper-hamelin","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/pied-piper-hamelin\/26190\/","title":{"rendered":"De rattenvanger van Hamelen en cyberwapens"},"content":{"rendered":"<p>In tegenstelling tot wat velen denken, werden sprookjes en volkslegendes niet verzonnen als entertainment, maar juist om kinderen (en volwassenen) belangrijke lessen in eenvoudig te begrijpen vorm te leren. Al sinds mensenheugenis verweven verhaalvertellers cybersecurity-tips in hun sprookjes, in de hoop dat ze het internet (waarvan ze het bestaan al voorspelden) zo tot een veiligere plek kunnen maken. Zo is het verhaal van <a href=\"https:\/\/www.kaspersky.nl\/blog\/fairy-tales-red-hood\/24241\/\" target=\"_blank\" rel=\"noopener\">Roodkapje<\/a> bijvoorbeeld een waarschuwing voor MitM-aanvallen, en <a href=\"https:\/\/www.kaspersky.nl\/blog\/snow-white-cryptominers\/24782\/\" target=\"_blank\" rel=\"noopener\">Sneeuwwitje<\/a> is een voorbode van door de regering gesponsorde APT-campagnes. De lijst <a href=\"https:\/\/www.kaspersky.nl\/blog\/?s=sprookjes\" target=\"_blank\" rel=\"noopener\">gaat door<\/a>.<\/p>\n<p>Helaas blijft de mensheid dezelfde fouten met bijna manische volharding herhalen, en negeert men de duidelijke lessen van deze sprookjes. Een ander goed voorbeeld hiervan is de legende van de rattenvanger van Hamelen.<\/p>\n<h2>De rattenvanger van Hamelen<\/h2>\n<p>Zoals vaak het geval is met zeer oude verhalen, hebben we verschillende versies overgeleverd gekregen, allemaal varianten op hetzelfde basisthema. De belangrijkste verhaallijn gaat ongeveer zo: het Duitse stadje Hamelen heeft last van een rattenplaag, die al het voedsel opeten, mensen en huisdieren aanvallen en gewoon erg veel overlast veroorzaken.<\/p>\n<p>De plaatselijke autoriteiten die niet meer weten wat ze ermee aan moeten, huren de diensten van een specialist in: een prachtig geklede rattenvanger die een magische fluit gebruikt om de ratten uit de stad naar een nabije rivier te leiden, waar ze verdrinken.<\/p>\n<p>Na afloop weigert de gierige burgemeester om zijn kant van de afspraak na te komen, en biedt hij de rattenvanger een veel lagere vergoeding aan dan in het contract was overeengekomen. De rattenvanger zegt niets. In plaats daarvan neemt hij wraak door met zijn magische fluit dit keer de kinderen van Hamelen weg te lokken, net zoals met de ratten gebeurde.<\/p>\n<p>Het einde van het verhaal hangt af van waar de verteller woonde en hoe optimistisch die was (vaak niet heel erg optimistisch). De kinderen verdrinken ofwel in de rivier de Wezer, net als de ratten, of ze worden diep de heuvels van de Koppenberg mee ingenomen, of (in de meest recente en minst sombere versie) ze gaan door de heuvels heen naar een afgelegen land waar ze een stad vinden.<\/p>\n<h2>De betekenis achter de allegorie<\/h2>\n<p>Het incident heeft opmerkelijk genoeg een precieze datum gekregen: 26 juni 1284. De legende werd voor het eerst vermeld in de stadskronieken in 1375, waarna hij meerdere keren werd herschreven en opnieuw verteld en op die manier extra details en verfraaiingen kreeg. De meeste details hebben overduidelijke politieke of religieuze motivaties. Sommige versies focussen op de hebzucht van de inwoners van Hamelen; anderen demoniseren openlijk het personage van de rattenvanger. We slaan de middeleeuwse vooroordelen even over en focussen op de belangrijkste feiten.<\/p>\n<h3>Aanvallen op Hamelen<\/h3>\n<p>Wij interpreteren dit verhaal als een situatie waarin de infrastructuur van Hamelen aangevallen worden door onbekende schadelijke partijen. Ze verslinden letterlijke materi\u00eble activa (graan) en informatie (juridische documenten), en bedreigen de gezondheid van de plaatselijke inwoners.<\/p>\n<p>Er bestaat geen gedetailleerde beschrijving van de aanval, maar het is waarschijnlijk dat de aanvallers \u201cratten\u201d werden genoemd omdat ze gebruikmaakten van een Remote Access Tool (of Remote Acces Trojan), beide afgekort tot RAT. Over het algemeen kunnen zulke tools\/trojans voor allerlei vuile werkjes worden gebruikt, want ze geven aanvallers volledige toegang tot het systeem van hun slachtoffer.<\/p>\n<h3>Ingehuurde specialist<\/h3>\n<p>Allereerst proberen de inwoners van het stadje een op katten gebaseerde oplossing om hun <em>endpoints<\/em> te beschermen, maar als die methode niet effectief blijkt te zijn, besluiten ze de hulp van een derde partij in te schakelen die meer weet over een kwetsbaarheid in de RAT van de aanvallers. Hij richt zich op deze kwetsbaarheid en stelt een krachtig cyberwapen samen om op afstand controle over de computers van de RAT-operators te krijgen, en hierdoor verandert hij ze in een soort <em>botnet<\/em>. Nadat ze allemaal gepenetreerd zijn, is de rattenvanger in staat de dreiging te neutraliseren.<\/p>\n<h3>Burgers als doelwit<\/h3>\n<p>Nadat de RAT-aanval is afgeslagen, nemen de autoriteiten de onverstandige beslissing om hun contract met de specialist niet na te komen. De meeste versies van de legende spreken over financi\u00eble onenigheid, maar dat is natuurlijk onmogelijk te verifi\u00ebren. Hoe dan ook, uiteindelijk blijkt dat de apparaten die de kinderen in de stad gebruiken precies dezelfde kwetsbaarheid bevatten.<\/p>\n<p>Helaas geeft het verhaal geen technische details om uit te leggen waarom dezelfde dreiging werkt bij zowel RAT-operators en gewone burgers. Laten we ervan uitgaan dat het een kwetsbaarheid was in iets alom aanwezigs (bijvoorbeeld een populair <a href=\"https:\/\/nl.wikipedia.org\/wiki\/Server_Message_Block\" target=\"_blank\" rel=\"noopener nofollow\">application-level netwerkprotocol<\/a> dat wordt gebruikt voor toegang op afstand tot netwerkmiddelen).<\/p>\n<p>Noch is het duidelijk waarom de zogenaamde volwassenen in het sprookje niet getroffen worden door deze kwetsbaarheid. Misschien refereert het verhaal met de \u201ckinderen\u201d niet aan minderjarige gebruikers, maar aan een nieuwe generatie apparaten met een recenter besturingssysteem dat een kwetsbaarheid heeft ontwikkeld na een mislukte update van het zojuist genoemde protocol.<\/p>\n<p>Hoe dan ook, het einde is tragisch: De rattenvanger voert dezelfde botnet-truc uit, maar dit keer niet op RAT-operators, maar op de jongeren in het stadje.<\/p>\n<h2>De rattenvanger van Hamelen vandaag de dag<\/h2>\n<p>Het voorgaande verhaal doet erg denken aan dat van de hackersgroep de Shadow Brokers en het exploit-lek EternalBlue, wat leidde tot de <a href=\"https:\/\/www.kaspersky.com\/blog\/five-most-notorious-cyberattacks\/24506\/\" target=\"_blank\" rel=\"noopener nofollow\">WannaCry-uitbraak<\/a> plus nog tal van andere ransomware-epidemie\u00ebn. Als ik het verhaal van de rattenvanger van Hamelen pas na het EternalBlue-lek had gelezen, had ik het ongetwijfeld ge\u00efnterpreteerd als een (allegorisch) rapport over precies dat incident. De verhaallijn is inderdaad identiek: een overheidsinstantie geeft opdracht tot de ontwikkeling van een krachtig cyberwapen dat vervolgens geheel onverwachts tegen de inwoners van datzelfde land wordt gebruikt.<\/p>\n<p>We kunnen dit ongelofelijke toeval toeschrijven aan de gewoonte van de geschiedenis om zich te herhalen. Zestiende-eeuwse Duitse infosec-experts waren zich natuurlijk al bewust van het probleem en probeerden hun nakomelingen (ons) te waarschuwen van de gevaren van door de overheid gesponsorde programma\u2019s voor cyberwapens, die op een dag t\u00e9gen burgers gebruikt zouden kunnen worden en dan zeer vervelende gevolgen zouden hebben.<\/p>\n<p><strong><input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\"><\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>De legende van de rattenvanger van Hamelen is al eerder gebruikt als allegorie van echte, tragische gebeurtenissen. Dit is onze visie.<\/p>\n","protected":false},"author":700,"featured_media":26191,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[108,252,253],"tags":[666,906,469,563,479],"class_list":{"0":"post-26190","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-botnets","11":"tag-cyberwapens","12":"tag-rat","13":"tag-sprookjes","14":"tag-waarheid"},"hreflang":[{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/pied-piper-hamelin\/26190\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/pied-piper-hamelin\/21970\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/pied-piper-hamelin\/17448\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/pied-piper-hamelin\/23414\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/pied-piper-hamelin\/21602\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/pied-piper-hamelin\/20244\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/pied-piper-hamelin\/24032\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/pied-piper-hamelin\/23023\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/pied-piper-hamelin\/29208\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/pied-piper-hamelin\/8896\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/pied-piper-hamelin\/37240\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/pied-piper-hamelin\/15775\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/pied-piper-hamelin\/16229\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/pied-piper-hamelin\/25368\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/pied-piper-hamelin\/12081\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/pied-piper-hamelin\/29337\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/pied-piper-hamelin\/22966\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/pied-piper-hamelin\/28255\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/pied-piper-hamelin\/28090\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.nl\/blog\/tag\/sprookjes\/","name":"sprookjes"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/26190","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/comments?post=26190"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/26190\/revisions"}],"predecessor-version":[{"id":26193,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/26190\/revisions\/26193"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/media\/26191"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/media?parent=26190"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/categories?post=26190"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/tags?post=26190"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}