29 OKT, 2015 • Actueel
'Hacken is zó makkelijk'
Opnieuw relevant Ze zijn 19 en 21 jaar. En waken over internetveiligheid. Olivier Beg en Melvin Lammerts verdienen hun geld met hacken. ‘Waarom jouw bedrijf? Gewoon, omdat het kan.’
Cybercrime zit in de lift. Daarmee opende het NOS-journaal vorige week. Terwijl criminaliteit over de hele linie daalt, groeit cybercrime. Wie een beetje heeft opgelet, zal dat ook niet zijn ontgaan. Eind augustus nog werd Ziggo door ‘hackers’ aangevallen. Gevolg: duizenden Nederlanders hadden geen internet door die DDoS-aanvallen. De laatste weken kwam ransomware in het nieuws, waarbij bestanden of soms computers gegijzeld worden door criminelen in ruil voor losgeld. En het Cyber Security Beeld Nederland 2015, dat op 14 oktober gepresenteerd werd door staatssecretaris Klaas Dijkhoff, laat zien dat cybercrime alleen maar toeneemt. Houdt het ooit op?
Melvin Lammerts (21) uit Groningen en Olivier Beg (18, in hackerskringen ook wel bekend als Smiegles) uit Amsterdam zijn sinds hun middelbare schooltijd hackers. Heel goede in meerdere betekenissen van het woord. Ze breken digitaal in en melden de gevonden lekken bij de bedrijven die zij hebben gehackt. Met phishingmails en dergelijke oplichters trucjes houden ze zich niet bezig. Lammerts en Beg zijn techneuten die codes kraken. Ter illustratie: Olivier Beg stond vorig jaar aan de top als ontdekker van de meeste lekken bij Yahoo. Hij verdiende er duizenden euro’s bounty mee, tipgeld dus. Beg: ‘Yahoo heeft zijn boel nu wel op orde, maar ze waren gewoon met teveel dingen tegelijk bezig. Dat gaat ten koste van security, je gaat dat nu zien bij Google.’
Waar hackt Melvin Lammerts? Onder meer bij OSX (apple), Skype, Relatelq, Apache2 en Okcupid
White, grey en black hats
Lammerts en Beg behoren tot de ethische hackers, de white hats. Die werken vaak op uitnodiging en melden het netjes als ze een lek hebben gevonden. De black hats, de slechten dus, buiten het lek op criminele wijze uit. Lammerts: ‘Die jongens die Ziggo hebben gehackt en lamgelegd, die waren gewoon slecht bezig. Ik begrijp dat je even rondkijkt als je binnen komt, maar zij zijn drie dagen aan het werk geweest. Ze hebben gechanteerd en gedreigd. Dat is gewoon fout.’
En dan zijn er nog de grey hats: de jongens en meisjes die op eigen houtje sites hacken om te kijken of ze binnen kunnen komen. Ze doen geen kwaad, maar ze maken hun resultaten ook niet bekend aan het gehackte bedrijf. De hacker die twee weken geleden bekend maakte dat hij het mailaccount van CIA-chef John Brennan was binnengedrongen, was waarschijnlijk zo’n grey hatter. Hij vertelde zijn verhaal anoniem aan de New York Post. Het is volgens Beg en Lammerts een groep met onbenutte kennis. Ze vinden veel fouten, maar melden niets omdat ze bang zijn voor justitie. Beg: ‘Actief hacken is gewoon strafbaar. Als je het mogelijk maakt voor hackers om lekken te melden zonder dat ze vervolgd worden, spreek je een hele grote groep aan die nu makkelijk de verkeerde kant op kan gaan. Nu ben je óf white óf black.’
Waar hackt Olivier Beg? Onder meer bij Yahoo, Google, Facebook, Microsoft, Paypal, Ebay, Yandex, Prezi, Nokia, Atlassian, Adobe, Apple, Cloudflare en Uber
Is hacken altíjd strafbaar?
Er is wel een methode om op een afgesproken manier lekken te melden, responsible disclosure, maar daar wordt te weinig gebruik van gemaakt door bedrijven, zeggen Beg en Lammerts. ‘Het is juridisch ook niet waterdicht, dat zou wel moeten. Als je niet strafbaar bent, is hacken veel fijner om te doen.’
Beg: ‘De Nederlandse regering probeert responsible disclosure internationaal te promoten als een soort exportproduct. Er wordt gewerkt om daar beleid van te maken. Ik vind dat het in Nederland al best goed gaat. Alle banken werken met responsible disclosure, de overheid, Gamma. Maar in de VS zijn het alleen de it-bedrijven die er mee werken.’ Overigens is Klaas Dijkhoff, staatssecretaris van Veiligheid en Justitie, niet van plan om reponsible disclosure wettelijk te regelen. ‘De vraag blijft wie een ethische hacker is’, zegt Dijkhoff. ‘Ik snap de reflex wel hoor, de roep om het af te schaffen. Maar je verplaatst het probleem. We hebben op dit moment een leidraad waarin afspraken staan hoe een hacker bekend maakt wat hij gevonden heeft. Bij twijfels moet een rechter toch kijken en beoordelen of het deugt. En als je je aan de richtlijn houdt, begint het OM echt niet aan vervolging.’
Maar wat komen Melvin Lammerts en Olivier Beg nou eigenlijk tegen? Met een kop thee en een glas water bij de hand gaan de hackers langs de problemen van internetveiligheid:
Het is vaak zó makkelijk
Melvin: ‘Er zijn technische lekken in de software, en menselijke lekken. Ik kom veel domme configuratiefouten tegen, dan wordt een map met gevoelige informatie, zoals inlogcodes en wachtwoorden, opengesteld voor alle gebruikers. En er zijn logicafouten in de software. Daar komen heel veel datalekken uit voort. Het is gewoon zoeken naar zwakheden, naar patronen.’ Olivier: ‘admin admin als inlog en wachtwoord komt nog zoveel voor. Wachtwoorden worden vaak niet versleuteld. De troonrede is eens gelekt omdat het bestand dezelfde url had als die van het jaar ervoor. Hij stond gewoon onbeveiligd klaar in het systeem.’
Lekken blijven komen
Melvin: ‘Nieuwe technieken leveren nieuwe kwetsbaarheden op. Ontwikkelingen gaan zo snel tegenwoordig.’ Olivier: ‘Vaak wordt security overgeslagen. De software moet zo snel mogelijk online, goed testen wordt overgeslagen.’ Met een grijns: ‘In Windows 98 kon je een wachtwoord omzeilen door gewoon op de escape-knop te drukken.’ Melvin: ‘Programmeurs willen steeds zélf het wiel uitvinden. Neem een inlogscherm. Er is al lang een betrouwbare veilige versie, kopieer die gewoon. Maar ontwikkelaars denken: O ja, er moet nog een inlog komen en dan beginnen ze zelf van nul af aan en dan komen er fouten in de programmatuur. Eigenlijk heeft elk bedrijf maatwerk nodig, maar vaak krijgen ze aanpassingen van bestaande programma’s. Elke aanpassing levert een risico op.’
Vraag om kwaliteit
Olivier: ‘Bedrijven kijken voor programmatuur vaak naar de goedkoopste leverancier, maar je moet ook kijken welke kennis en nazorg die biedt. Hoe werkt het nieuwe programma met de bestaande software? Het gebeurt vaak dat je een lek creëert omdat programma’s niet goed met elkaar overweg kunnen.’ Melvin: ‘Ga met een leverancier in zee die kan laten zien dat ze bezig zijn met security. Ook na de inrichting. Veel lekken komen door de instellingen van de software.’
Het testen houdt nooit op
Melvin: ‘Je kunt een bedrijf inhuren om software of je website te hacken. Na bijvoorbeeld drie maanden weet je dan of je veilig bent. Dat is mooi, maar een maand later is er nieuwe software bij. Testen moet je blijven doen.’ Olivier: ‘Als een programma wordt gemaakt, wordt het getest. Na een update of een wijziging van instellingen niet meer. Je bent al op internet, je wordt sowieso gehackt, waarom zou je dat niet faciliteren in een veilige omgeving? Een heel goede manier is om dat te doen via een big bounty hackersplatform. Daar nodig je hackers uit om kwetsbaarheden te melden tegen een vergoeding. Zolang je uitnodiging op het platform staat, komen er hackers voorbij die een poging willen wagen. Voor 10.000 euro krijg je honderd hackers en je hoeft pas te betalen als een lek gevonden is.’
Programmeurs kennen de risico’s niet
Melvin: ‘Ik heb wel naast programmeurs gestaan en ze tips gegeven. Ken je dat programma? Ken je dit trucje om binnen te komen? Helemaal niks. Het werkt allemaal wel, maar onder de motorkap deugt er veel niet.’ Olivier: ‘Dat geldt voor alle ict. Het geeft ook aan hoe moeilijk het probleem is.’ Melvin: ‘Ik heb nog nooit software gezien die helemaal veilig is.’ Olivier, opgewekt grinnikend: ‘Zelfs mijn eigen software niet.’
Omdat we het kunnen
Olivier: ‘Als je groot bent, word je gehackt, ga daar maar van uit.’ Melvin: ‘Er zijn zoveel motieven: DDoS-aanvallen om een site plat te leggen, politieke of religieuze redenen, chantage. Er is altijd een groep die je interessant vindt. Mensen zeggen vaak: Waarom zouden ze mij in vredesnaam willen hacken, ik heb maar een klein bedrijf. Gewoon, omdat het kan. IP-adressen van computers zijn cijferreeksen. Hackers gaan gewoon het rijtje af en inventariseren waar ze met een trucje binnen kunnen komen. Ze googelen naar sites met bekende zwakke plekken in hun code. Ze hoeven jóu niet te hebben, maar als ze binnen zijn, kunnen ze klant- en betaalgegevens meenemen.’
Het is zó leuk om te doen
Melvin: ‘Ik ben sinds mijn 12de of zo geïnteresseerd in programmeren. Het begint bij spelletjes hacken. Dan denk je: Als het hier werkt, kan ik het ook bij grotere programma’s.’ Olivier: ‘Ik ben begonnen toen ik naar de middelbare school ging. Je realiseert je dat het heel makkelijk is en op veel plekken kun je dezelfde trucjes toepassen. Dat zijn het, allemaal trucjes.’ Melvin: ‘In het begin leer je van YouTube. Daar staan zoveel trucjes op.’ Olivier: ‘Vaak werkt het bij elk programma nét iets anders. Dat is het leuke.’ Melvin: ‘Het is een soort doolhof waar je uit probeert te komen, of eigenlijk in. Je weet dat het moet kunnen, maar hoe. Ik ga wel eens na het eten nog even iets proberen en als ik opkijk van het beeldscherm is het 3 uur ‘s nachts.’ Olivier: ‘Ik heb laatst nog een hele nacht zitten werken aan een website.’ Melvin: ‘Mijn familie snapt wel waarom ik het doe. Aan de technische dingen begin ik niet eens, maar de motivatie snappen ze. Weet je trouwens dat onze beide ouders allebei een achtergrond hebben in onderwijs en recht?’
Negen manier om cyberbestolen te worden
1. Slordige werknemers
Een jaar of tien geleden had het ministerie van Defensie een probleem. Medewerkers laadden gegevens op USB-sticks om elders verder te werken. In een paar jaar tijd raakten medewerkers zeker vijf USB-sticks met vertrouwelijk informatie kwijt. De frequentie was zo hoog dat de Tweede Kamer vragen stelde. Daaruit bleek ook dat er geen plicht was om gegevens te versleutelen. En denk niet dat het alleen om ‘voetvolk’ ging. Ook een medewerker van de militaire inlichtingendienst moest bekennen dat hij een stick kwijt was.
‘Het is niet erg hightech’, zegt Santiago Pontiroli, security researcher van Kaspersky, ‘maar de reply-to-all-knop is zeker een risico.’ En een andere is slordige mailadressering. Zo komt een mail waarvan je zeker weet dat hij is verstuurd bij de verkeerde terecht. En die gaat daar niet altijd discreet mee om te. ‘Werknemers moeten alleen toegang kunnen krijgen tot de gegevens die ze nodig hebben. Dat hoort in protocollen en workflows vast te liggen’.
2. Verkeerde zuinigheid
Beveiligen is duur. Goed beveiligen helemaal. Er is software voor nodig, maar ook menskracht die de ontwikkelingen in de gaten houdt. Bedrijven die erg afhankelijk zijn van ict, hebben steeds vaker een chief information officer. Die is ook verantwoordelijk voor het beveiligingssysteem.
Veel bedrijven vinden het moeilijk hun belang bij goede beveiliging te zien. Bij ons valt niets te halen, klinkt het dan. Waarom moeten we er dan zoveel tijd en geld in investeren? Maar hackers kunnen met de gegevens uit de ene server heel veel kwaad doen bij anderen. Denk aan namen, adressen, rekeningnummers en aankopen van klanten. Die gegevens kunnen worden gebuikt om onder een valse naam artikelen te bestellen (en die na aflevering niet te betalen) of voor allerlei bankzaken. Veel hacks zijn mogelijk dankzij slechte en verouderde software.
3. Chantage
Met zogenoemde DDoS-aanval kunnen criminelen het internetverkeer van en naar een website helemaal plat legen. Ze sturen zoveel verkeer naar de site, dat de toegang verstopt raakt. Soms is de aanval een afleidingsmanoeuvre om via een achterdeurtje naar binnen te glippen. Maar er zijn er ook die een DDoS-aanval gebruiken als dreigmiddel (chantage). In augustus werden Nederlandse banken getroffen door een grootschalige aanval, waarschijnlijk om ze te chanteren.
Schadelijk is ook het op slot zetten van een computer doordat de gebruiker van de pc op valse pagina’s of nep-advertenties klikt. Daarmee wordt dan een programma geladen dat de computer op slot zet. De criminelen gokken er op dat mensen makkelijk klikken op buttons, vooral als ze naar de site geleid zijn via een bevriende dienst of persoon (zie ook Grooming). Zodra een fiks bedrag is overgemaakt, beloven criminelen de blokkade op te heffen. Maar dat kan de geïnfecteerde wel op zijn buik schrijven. De politie heeft een speciale website met oplossingen voor deze blokkade. Oplossing: alt-F4 om pop-ups te sluiten, de pagina-terug-pijl om een website te verlaten.
4. Bring your own device
Lekker makkelijk, apparatuur van het werk gebruiken voor thuis en andersom. Vooral mobiele telefoons en tablets worden zowel voor werk als privé gebruikt, maar er wordt natuurlijk ook vaak werk verricht op de pc thuis. Werknemers vinden het makkelijk, werkgevers vaak ook. Daar zit wel een risico aan. Doorgaans heeft een bedrijf dan weinig controle over de beveiliging. Is er wel een goede beveiliging? Worden alle updates trouw geïnstalleerd?
Bij mobiele telefoons is er een ander probleem: de onbetrouwbaarheid van de software. Apps kunnen van alles bijhouden over de communicatie, vertrouwelijkheid is niet per se gegarandeerd. Daarnaast brengen veel mobiele software ontwikkelaars nog niet uitontwikkelde bèta-versies in de verkoop om zo snel mogelijk in te spelen op nieuwe trends. Daar zitten nog fouten en beveiligingslekken in. Onlangs ontdekten Amerikaanse onderzoekers dat duizenden apps voor Android-apparaten lek zijn, zoals apps van Facebook, LinkedIn en Amazon Web Services.
5. Het slechte kamermeisje
De methode van het slechte kamermeisje (evil maid) is gebaseerd op het principe dat kwaadwillenden meermalen bij een computer kunnen. Ze kunnen zo software laden om in te breken op een op zich goed beveiligde computer. Ook een versleutelde computer heeft een onbeveiligd deel dat nodig is om de pc op te starten. Het ‘kamermeisje’ plaatst via een hackprogramma op een USB-stick een programmaatje op de pc dat ervoor moet zorgen dat deze niet meer goed afsluit. De persoon die daarna de computer start, merkt daar niets van. De tweede keer komt het ‘kamermeisje’ dan via een open achterdeur in de pc en is het een koud kunstje om via die ingang in de server te komen. En dan is het een kwestie van kopiëren maar.
6. Grooming
‘Goedemorgen, er zijn wat problemen met het systeem. Volgens mij werkt je pc niet naar behoren. Daar willen we even naar kijken. Kun je je inlognaam en wachtwoord even reply-en? Groet, afdeling ict.’ Met amicale mailtjes proberen criminelen toegang te krijgen tot een systeem. Ze gaan er niet onterecht van uit dat mensen welwillend reageren op een vriendelijke mail van een collega. Ook opgewekte aansporingen om nieuwe foto’s te bekijken op Facebook zijn veel gebruikte manieren om aandacht te krijgen van mogelijke slachtoffers.
Vaak is het genoeg om naar het mailadres van de afzender te kijken. Negen van de tien keer is dat helemaal niet bekend. In geval van twijfel: niet reply-en. Wél even contact opnemen met de betreffende collega of afdeling. Overigens wil de ict-afdeling het ook vaak wel weten als het overduidelijk een valse mail is: ict is dan gewaarschuwd dat er is geprobeerd aan te vallen.
7. Laks omgaan met beveiliging
Beveiliging is iets waarvan iedereen weet dat het moet, maar waar vrijwel niemand zin in heeft. Wachtwoorden moeten om de paar maanden vervangen worden. Maar als je een lekker wachtwoord hebt, is het vervelend om weer een nieuwe te verzinnen en te onthouden. En ze moeten ook een beetje ingewikkeld zijn. De reeks Jan01, Jan02, Jan03 is door een beetje hacker wel te bedenken.
Een team hackers van techsite The Tech Herald wist in 2012 in vijf uur 81 duizend beveiligde wachtwoorden te decoderen na een cyberinbraak. Binnen een seconde waren accounts met logische wachtwoorden als 123456, 11111111 en 123qwe al gekraakt. Het team gebruikte een speciaal programma (The Tech Herald benadrukte dat het legaal verkrijgbaar is), standaardlijsten, waaronder digitale versies van woordenboeken, en een gewone pc. ‘Wel vet dat iemand die bij de Nationaal Coördinator Terrorismebestrijding werkt gewoon 0000 als wachtwoord gebruikt’, tweette technologie-goeroe Alexander Klöpping.
Beveiliging is ook voorzichtig omgaan met relatiegeschenken. USB-sticks zijn handig, maar er kan ook spionage software op zitten. Uit angst voor bedrijfsspionage verplicht een Duits bedrijf medewerkers die naar China gaan een digitaal schone laptop en telefoon mee te nemen. Thuis moeten ze de apparatuur weer helemaal opschonen. Een beetje cru misschien, maar wel zeker.
8. Sniffing
Stel, er is een technologiebedrijf dat het waard is om bespioneerd te worden. Door het mailverkeer af te luisteren (deze methode komt vaak voor in combinatie met andere hacks om toegang te krijgen tot het systeem), kunnen concurrenten afleiden waar het bedrijf mee bezig is. En misschien ook wel waar belangrijke ontwerpen en testresultaten zijn opgeborgen, wie er voor verantwoordelijk is (zie ook Grooming) en wat de toegangscodes zijn. In feite is het afluisteren van de NSA een vorm van sniffing.
9. (Spear)phishing
Phishing is het met mails uitlokken dat medewerkers wachtwoorden geven. Vaak wordt één mail aan veel mensen en meerdere bedrijven gestuurd. Criminelen gooien zo ‘een hengel’ uit en kijken welke vis bijt. Spear phishing (Speervissen) is het heel gericht proberen te hacken van een computersysteem van een specifiek bedrijf. Bijvoorbeeld voor spionagedoeleinden of om met de gegevens van het klantenbestand geld te verdienen. Cybercriminelen proberen dan alle methoden die ze kunnen bedenken. Staten die de eigen industrie een kontje willen geven, doen ook aan spear phishing. En behoorlijk kapitaalkrachtige cybercrimesyndicaten.
Een goede methode om het risico te verkleinen dat je gegevens verliest, is volgens Santiago Pontiroli (computerbeveiliger Kaspersky) duidelijk aangeven welke informatie door wie gebruikt mag worden en waar deze opgeslagen is. Dat gebeurt volgens hem veel te weinig. Vitale en geheime informatie die nauwelijks via de digitale weg te bereiken is, is het veiligst. Over opslaan in de ‘cloud’, is Pontiroli niet erg positief: ‘Het opslaan van informatie in de cloud wordt een zelf uitgevoerde hack als we niet oppassen. Een bedrijf moet een helder beleid hebben welke informatie wel bij derden opgeslagen mag worden en welke in eigen bezit moet blijven.’
Campagne Alert Online
De jaarlijkse campagne Alert Online vindt dit jaar plaats van 3 tot en met 14 oktober. Doel is Nederland bewuster te maken van de noodzaak van cybersecurity. De campagne is ontwikkeld door de Nationaal Coördinator Terrorismebestrijding en Veiligheid, een onderdeel van het ministerie van Veiligheid en Justitie, in nauwe samenwerking met onder andere VNO-NCW, de politie en de Cyber Security Raad. Overheid, bedrijfsleven en wetenschap organiseren eigen activiteiten. Thema van de campagne dit jaar is Cyber Skills.
Handig: de wekelijkse Forum-alert
Meld je aan voor de nieuwsbrief en ontvang de gratis updates.