Tampering

Tampering is het ongeautoriseerd wijzigen, manipuleren of vervalsen van data, software of systeemconfiguraties. Het is een aanval op de integriteit van informatie, een van de drie pijlers van informatiebeveiliging naast vertrouwelijkheid en beschikbaarheid. Tampering komt voor in het STRIDE-dreigingsmodel van Microsoft als de T, naast Spoofing, Repudiation, Information Disclosure, Denial of Service en Elevation of Privilege. De gevolgen van tampering kunnen ernstig zijn: van financiele fraude tot het ondermijnen van forensisch bewijs en het compromitteren van hele supply chains. Elke organisatie die afhankelijk is van de betrouwbaarheid van haar data is kwetsbaar voor deze aanvalsvorm.

Hoe werkt tampering?

Tampering manifesteert zich in diverse vormen, afhankelijk van het doelwit en de motivatie van de aanvaller. Data tampering omvat het wijzigen van records in databases, het aanpassen van transactiegegevens of het vervalsen van logbestanden. Een aanvaller die toegang krijgt tot een financieel systeem kan bijvoorbeeld bedragen wijzigen, fictieve transacties toevoegen of bewijsmateriaal van fraude verwijderen. In de gezondheidszorg kan data tampering leiden tot verkeerde diagnoses of behandelingen wanneer patientgegevens worden gemanipuleerd.

Software tampering richt zich op het wijzigen van programmacode, configuratiebestanden of updates. Een bekend voorbeeld is de supply chain-aanval waarbij een aanvaller malafide code injecteert in een legitieme software-update. Gebruikers installeren de update in goed vertrouwen en openen daarmee hun systemen voor de aanvaller. De SolarWinds-aanval in 2020 is een van de meest impactvolle voorbeelden van software tampering, waarbij achttienduizend organisaties werden getroffen via een gemanipuleerde update van een veelgebruikt netwerkmonitoringproduct.

Network tampering omvat het manipuleren van netwerkverkeer via technieken als man-in-the-middle-aanvallen, DNS-spoofing en ARP-poisoning. De aanvaller onderschept communicatie tussen twee partijen en wijzigt de inhoud zonder dat de partijen het doorhebben. Een man-in-the-middle aanvaller kan bijvoorbeeld het rekeningnummer in een factuur wijzigen zodat betalingen naar een door de aanvaller beheerde rekening gaan. Bij DNS tampering wordt het verkeer omgeleid naar een malafide server die zich voordoet als de legitieme bestemming.

Physical tampering richt zich op hardware: het plaatsen van skimmers op pinautomaten, het manipuleren van USB-apparaten met malware, of het fysiek wijzigen van netwerkapparatuur om verkeer af te tappen. Hoewel minder gangbaar in een puur digitale context, blijft physical tampering een reeel risico, vooral in industriele omgevingen, bij IoT-apparaten en in supply chains waar hardware wordt getransporteerd voordat het bij de eindgebruiker aankomt.

Hoe herken je tampering?

Tampering is per definitie lastig te detecteren omdat het doel juist is om wijzigingen onopgemerkt te laten. Effectieve detectie vereist meerdere complementaire mechanismen. File integrity monitoring (FIM) controleert of bestanden en configuraties zijn gewijzigd ten opzichte van een bekende goede staat. Elke ongeautoriseerde wijziging genereert een alert die onderzocht moet worden. FIM is een vereiste onder meerdere compliance-frameworks waaronder PCI DSS.

Digitale handtekeningen en checksums beschermen de integriteit van software en data. Als een bestand is ondertekend en de handtekening klopt niet meer na een wijziging, weet je dat er is gemanipuleerd. Code signing bij software-updates is een veelgebruikte toepassing hiervan die beschermt tegen supply chain-aanvallen.

Loganalyse en SIEM-systemen kunnen patronen detecteren die wijzen op tampering, zoals ongebruikelijke databasewijzigingen buiten kantooruren, wijzigingen in configuratiebestanden buiten onderhoudsvensters of aanpassingen aan auditlogs door gebruikers die daar geen rechten voor horen te hebben. Let specifiek op pogingen om logging zelf te manipuleren of te wissen, want dat is vaak het eerste wat een aanvaller doet om zijn sporen te verbergen.

Blockchain-technologie biedt een tamper-evident logboek waarbij elke wijziging onherroepelijk wordt vastgelegd. Hoewel niet geschikt voor alle toepassingen, wordt blockchain steeds vaker ingezet voor audit trails en supply chain-verificatie waar integriteit kritiek is.

Regelgeving stelt steeds strengere eisen aan de bescherming van data-integriteit. Onder de AVG moet je passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen tegen ongeautoriseerde wijziging. NIS2 vereist dat essientiele entiteiten de integriteit van hun systemen en data waarborgen als onderdeel van hun cybersecurityverplichtingen. In de financiele sector stellen MiFID II en de Wet op het financieel toezicht specifieke eisen aan de integriteit van transactiedata en audit trails. Organisaties in de gezondheidszorg moeten onder NEN 7510 de integriteit van patientgegevens garanderen, omdat gemanipuleerde medische data direct kan leiden tot verkeerde diagnoses en behandelingen.

Supply chain tampering is een groeiende dreiging die steeds meer aandacht krijgt van beveiligingsonderzoekers en toezichthouders wereldwijd. Aanvallers richten zich niet langer alleen op het eindproduct maar op de hele keten van leveranciers, componentfabrikanten en softwareontwikkelaars. Een gemanipuleerd component of library dat wordt opgenomen in duizenden producten kan een enorme impact hebben op alle gebruikers in de keten. Het verifiieren van de integriteit van elke component in je software supply chain via SBOM's en cryptografische verificatie is complex maar steeds noodzakelijker om je organisatie te beschermen tegen deze indirecte aanvalsvorm.

Hoe bescherm je je tegen tampering?

Bescherming tegen tampering draait om het waarborgen van integriteit op alle niveaus. Implementeer het principe van least privilege zodat alleen geautoriseerde gebruikers wijzigingen kunnen aanbrengen aan kritieke systemen en data. Gebruik encryptie en digitale handtekeningen om te detecteren wanneer data of software is gemanipuleerd, en zorg dat verificatie van handtekeningen een standaardonderdeel is van je deployment-processen.

Implementeer change management processen die elke wijziging in je omgeving documenteren, goedkeuren en traceerbaar maken. Gecombineerd met file integrity monitoring kun je onderscheid maken tussen geautoriseerde en ongeautoriseerde wijzigingen. Zorg dat auditlogs beschermd zijn tegen manipulatie door ze naar een apart, write-once systeem te sturen dat alleen door een beperkt aantal personen benaderd kan worden.

Neem tamperingrisico's mee in je threat modeling. Het STRIDE-framework biedt een gestructureerde aanpak om voor elke component in je systeem te beoordelen of tampering een risico vormt en welke mitigerende maatregelen nodig zijn. Voer regelmatig penetratietests uit om te valideren dat je integriteitscontroles effectief zijn en niet omzeild kunnen worden door een vastberaden aanvaller.

Voor software supply chain-beveiliging implementeer je Software Bill of Materials (SBOM) en verifieer je de integriteit van alle componenten die je in je software gebruikt. Onderteken je eigen software en updates met code signing-certificaten en verifieer signatures van derden voordat je updates installeert.

Veelgestelde vragen over tampering

Wat is het verschil tussen tampering en een datalek?

Bij een datalek wordt informatie ongeautoriseerd ingezien of gestolen, een aanval op vertrouwelijkheid. Bij tampering wordt informatie ongeautoriseerd gewijzigd, een aanval op integriteit. Beide kunnen gelijktijdig voorkomen bij een aanval wanneer een aanvaller data steelt en tegelijkertijd manipuleert.

Hoe beschermt code signing tegen software tampering?

Code signing voegt een digitale handtekening toe aan software met een cryptografisch certificaat. Als iemand de code wijzigt na ondertekening, klopt de handtekening niet meer en weigert het systeem de software te laden of te installeren. Dit beschermt tegen manipulatie van updates en installatiepakketten.

Kan tampering geautomatiseerd worden gedetecteerd?

Ja, met file integrity monitoring, digitale handtekeningen, checksums en loganalyse. Deze tools detecteren automatisch ongeautoriseerde wijzigingen en genereren alerts voor het securityteam. Combineer meerdere methoden voor effectieve bescherming tegen diverse vormen van tampering.

Wat is het STRIDE-model?

STRIDE is een door Microsoft ontwikkeld dreigingsmodel dat zes categorieeen dreigingen systematisch identificeert: Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service en Elevation of Privilege. Het helpt bij gestructureerde threat modeling van applicaties en systemen.

Hoe voorkom je tampering met logbestanden?

Stuur logs naar een centraal, beveiligd systeem waar ze niet door beheerders van bronsystemen gewijzigd kunnen worden. Gebruik write-once opslag zoals WORM-media, digitale handtekeningen op logentries en gescheiden toegangsrechten zodat logbeheer onafhankelijk is van systeembeheer.

Test de integriteit van je systemen. Vergelijk Pentesting aanbieders op IBgidsNL.