Laat je hacken (maar dan legaal)

DDoS-aanvallen op banken en geslaagde hacks van overheidssites maken duidelijk dat zelfs de IT van belangrijke organisaties kwetsbaar is. Dat is ook de ervaring van een senior security consultant van Hoffmann. Als legale hacker voert hij alleen penetratietests uit in opdracht van de eigenaar van het computersysteem. Daarbij houdt hij zich altijd precies aan de scope van het onderzoek en begint pas als de eigenaar een vrijwaring heeft getekend. Zijn hacks hebben bijna altijd succes. Urenadministraties, facturen, creditcardgegevens, kortingscodes, R&D-gegevens: ze kunnen vaak op eenvoudige wijze worden gestolen, gewist, veranderd of misbruikt.

Sterke wachtwoorden

Mensen moeten sterke gebruikersnamen en wachtwoorden aanmaken. 'We maken het mee dat we heel eenvoudig de webmail kunnen binnendringen van de helft van de medewerkers van een bedrijf. Die mensen hebben de webmail nooit gebruikt dus het wachtwoord is nog steeds de default: welkom of welkom01. De gebruikersnamen zijn eenvoudig te achterhalen via sociale media zoals LinkedIn of andere open bronnen. Hackers kunnen dan zo naar binnen. Daar is geen techniek of beveiligingsmaatregel tegen opgewassen.'

Bring your own device

Hip en handig: bring your own device. Maar ook dat brengt natuurlijk risico's met zich mee. Het is maar helemaal de vraag of elke gebruiker de veiligheid kan garanderen en er ook buiten kantoortijd verantwoord mee omgaat. Op veel van die devices staan bijvoorbeeld spelletjes. Gratis spelletjes. 'Maar niets is natuurlijk echt gratis. Iemand heeft er voordeel van. Je moet aanvinken dat het spelletje steeds je locatie kan detecteren. Of er wordt toestemming gevraagd tot resources op je device, zoals je adresboek. Dat kan het begin zijn van criminele activiteiten. Je kunt als bedrijf veiligheid daarin afdwingen, maar dat moet dan ook daadwerkelijk worden geïmplementeerd en gehandhaafd.'

Interessante doelwitten

De meeste bedrijven zijn in potentie een interessant doelwit voor hackers. Bijvoorbeeld omdat ze zich in de ogen van hacktivisten bezighouden met controversiële zaken. Of omdat ze over creditcardgegevens, bankgegevens of adresgegevens beschikken. Omdat ze werken met vouchercodes waarmee klanten korting krijgen bij bestellingen. Of met pincodes werken waarmee chauffeurs zich identificeren bij het ophalen van lading. Maar het kan voor kwaadwillenden ook interessant zijn om urenstaten aan te passen. Om facturen om te zetten van 'niet betaald' naar 'betaald' of facturen helemaal te laten verdwijnen. Of om afleveradressen te veranderen. Dat kan vaak alleen als interne controlesystemen niet goed werken. Maar het kan. Zeker als er hulp is van binnenuit.

Onbeveiligde servers

De meeste websites zijn goed beveiligd. Maar vaak hebben bedrijven een hele reeks van IP-adressen betrokken. ‘De range IP-adressen van een bedrijf kan iedereen gewoon opvragen bij het RIPE Network Coordination Centre. Met een eenvoudige tool kun je zo’n hele IP-range scannen op allerlei soorten servers die met internet zijn verbonden: nieuwe servers waarvan het wachtwoord nog op default staat, of oude servers die vergeten zijn en niet of slecht zijn beveiligd. Daar zitten dan bijvoorbeeld ssh-servers bij, waarmee je systemen op afstand kunt besturen. Of ftp-servers, die bedoeld zijn om grote hoeveelheden informatie over het net te versturen en dus erg gewild zijn bij hackers.’

Inlooptest

'Hoffmann doet vaak al inlooptests: kijken of we voorbij de receptie of de beveiliging komen. Als we de ICT-security moeten controleren, geven we zo'n inloper tegenwoordig een USB-stick mee met door onszelf gemaakte malware. Eenmaal binnen vraagt hij vriendelijk of hij even zijn mail mag checken. Hij stopt de USB-stick in de computer, start de malware en we zitten in het netwerk, voorbij alle firewalls en andere beveiligingsmaatregelen. Dat lukt dus gewoon. Vaker dan je zou denken.'

Ransomware

Bedrijven moeten ook beducht zijn voor ransomware: binnengesmokkelde malware die informatie in het systeem zo versleutelt dat niemand er meer bij kan. Het bedrijf krijgt pas de sleutel na het betalen van losgeld. Het bekende Dorifel-virus heeft kenmerken van ransomware. 'De eerste versie liet ook nog een onversleutelde kopie achter van de data. Vermoedelijk was dat een testversie, of was dat een bug.' Afgelopen najaar bestookte een nieuwe versie van het virus ook particulieren. Geïnfecteerde computers toonden alleen nog een scherm dat de gebruiker 100 euro moesten betalen om de computer te laten ontsluiten. Een recente versie van Dorifel wordt onder andere verspreid via Facebook en zou in staat zijn om bankgegevens te stelen.

Verouderde software

'Als kwetsbare software niet tijdig wordt geupdate, en die software staat ook nog eens op systemen die aan het internet hangen, dan is de kans dat je wordt gecompromitteerd 99 procent.' Exploits voor verouderde software zijn gewoon te googelen, er zijn zelfs complete databases van zoals www.exploit-db.com. Kwetsbare systemen duiken vaak al op in de resultaten als een hacker in Google daar naar zoekt. Het is daarom belangrijk veiligheidspatches van software zo snel mogelijk te installeren. 'Computers worden voortdurend gescand. Dat zie ik ook in mijn eigen serverlogfiles. Elke dag wordt mijn computer wel een paar keer gescand op kwetsbaarheden. Dat scannen, exploiteren en hacken is in feite geautomatiseerd. Hackers draaien een script, zien vanzelf wanneer ze beet hebben en kunnen dan bij je bestanden, of je computer deel maken van een botnet.'

Spear Phishing

Een bedrijfsnetwerk binnenkomen is meestal eenvoudig. Vaak wordt daarbij gebruik gemaakt van spear phishing. Bij spear phishing wordt geprobeerd om individuele gebruikers te verleiden tot het uitvoeren van een handeling. 'Anders dan bij phishing wordt dit op de man gespeeld. Via sociale media en de bedrijfssite is voldoende informatie te achterhalen waarmee je een medewerker een persoonlijk aandoende mail kan sturen. Dat doen we zelf ook en zo'n actie slaagt bijna altijd. We sturen dan bijvoorbeeld een Excel-bestand mee met een stukje malware erin. Klikken ze daarop, dan heb je controle over het systeem.' Een scriptje kan alle netwerkshares nalopen en registreren welke bestanden daar staan. De hacker selecteert de gewenste bestanden en kan ze via een ander eenvoudig script naar buiten laten shippen.

Compartimentering

Bij veel bedrijven is er geen enkele compartimentering in het computersysteem. 'We waren ingeschakeld door een bedrijf met veel dependances. Die waren amper fysiek beveiligd: dat was dus de eerste zwakke schakel. In elke dependance stond een netwerkstation. Gebruikersnaam en wachtwoord lagen er steevast naast: de tweede zwakke schakel. We konden niet alleen inloggen op de server, maar meteen ook bij alle managementinformatie: het complete SAP-systeem hing aan die server. Zo'n situatie introduceert kwetsbaarheden binnen een netwerk, en dat is nergens voor nodig. Je moet een netwerk goed compartimenteren en goed nadenken wie je waarvoor autoriseert.'

DDoS- en DoS-aanvallen

ING, iDeal, de Belastingdienst, DigiD, Rijksoverheid.nl: allemaal waren ze recent slachtoffer van DDoS-aanvallen. Het is voor een hacker steeds makkelijker om in korte tijd zo veel internetverkeer te genereren. Zelf een botnet opbouwen hoeft namelijk niet meer. 'Botnets zijn tegenwoordig gewoon te huur.' Over het algemeen heeft een gebruiker er weinig last van als zijn computer deel uitmaakt van een botnet. 'Tenzij ze jouw computer als stepping stone gebruiken om bijvoorbeeld dreigbrieven te sturen, of (illegale) data gaan hosten op je hard disk. Bovendien is elk bot in principe in staat om bestanden te downloaden of andere acties uit te voeren, en in potentie dus een groot risico.' Wie kwaad wil aanrichten hoeft overigens niet altijd een DDoS-aanval uit te voeren, een Distributed Denial of Service. 'Met een DoS-aanval, dus alleen vanaf de eigen computer, kan een hacker met een paar slimme requests ook een kwetsbare server platleggen.'

Advanced Persistent Threats

Vooral China wordt ervan beschuldigd, maar het is heel waarschijnlijk dat veel meer landen zich er schuldig aan maken: Advanced Persistent Threats (APT's). Aanhoudende cyberaanvallen van overheden op bedrijven die beschikken over waardevolle bedrijfsgeheimen. Vaak gaat het om high-techbedrijven. Doel is niet systemen plat te leggen, maar juist heimelijk binnen te komen en ook binnen te blijven. Ook Nederlandse bedrijven zijn slachtoffer. 'Bedrijven lopen daar niet mee te koop, dus het is weinig bekend.' Het Nationaal Cyber Security Center van het ministerie van Veiligheid en Justitie heeft recent een fact sheet over APT-aanvallen gepubliceerd met de veelzeggende titel ‘De aanhouder wint’.

Logbestanden controleren

De meeste bedrijfsnetwerken zijn inmiddels voorzien van firewalls. 'Maar meestal niet om de weg naar buiten te blokkeren voor ongewenst dataverkeer.' Ook een goed ingestelde firewall is overigens niet zaligmakend. 'Als een hacker moeilijk informatie naar buiten kan sluizen, gebruikt hij DNS-tunneling. Zo kan hij elke hoeveelheid informatie naar buiten shippen, in lange datastrings, of desnoods bitje voor bitje.' Dat wordt gesignaleerd. 'Een hacker genereert altijd grote datastromen, maakt netwerkdumps en laat vastleggen wat wordt opgepikt uit het sniffen van het netwerkverkeer. Dat zie je in logfiles en andere files. Maar bedrijven controleren die amper. Ze installeren weliswaar een Intrusion Detection System, maar negeren vervolgens de meldingen die het genereert. Daar komen wij dan ook vaak gewoon langs. Onze zelfgebouwde malware wordt meestal niet herkend omdat vriusscanners, IDS-programma's en firewalls toch vaak zijn ingesteld op het herkennen van bekende patronen.'

De cloud en VPN

Werken in de cloud is een risico. 'Nadeel is dat je voor de veiligheid en de procedures op een ander moet vertrouwen. Het is maar de vraag of zo'n clouddienst net zo gemotiveerd is als je zelf bent als het gaat om het beschermen van je data.' Ook Het Nieuwe Werken brengt risico's met zich mee. 'Iedereen moet tegenwoordig vanaf elke plek kunnen werken en dus kunnen inloggen op het bedrijfsnetwerk. Lastig: dat vraagt om gebruiksvriendelijkheid en dat is altijd strijdig met IT-security.' De meeste bedrijven zijn wel zo slim om het inloggen te laten verlopen via een (veilige, versleutelde) VPN-verbinding. 'Maar als een hacker via een backdoor zo'n computer in komt, kan hij gewoon op zo'n VPN-verbinding meeliften en kan hij overal bij waar de medewerker zelf ook bij kan.'