Achtergrond

Zo breekt een hacker in op jouw computer

Zodra je systeem niet up-to-date is, of je niet de juiste beveiligingsmaatregelen treft, is het wel erg eenvoudig voor een hacker om je hele systeem over te nemen. We volgden een demonstratie.

 
“Kali Linux is een op Debian gebaseerde Linux-distributie met alvast enkele hackingtools ingebouwd”, steekt Dirk-Jan Mollema van wal. Hij is Security Expert Audits bij beveiligingsbedrijf Fox-IT, en geeft in het hoofdkwartier in Delft samen met collega en Forensisch IT-expert Rolf Govers een demonstratie van een realistische hack. Govers en Mollema spreken uit ervaring: Fox-IT staat als ‘cutting-edge’ beveiligingsbedrijf aan het front van de cyberoorlog, en gaat in die hoedanigheid de strijd aan met de grootste en belangrijkste hackersgroeperingen van het moment. Voor deze demo focussen we echter niet op de hacking-experts, maar kijken we naar een huis-tuin-en-keukenhack die in principe iedereen met een pc kan uitvoeren.
 
Mollema speelt de rol van hacker. Op zijn scherm zien we een uitgewerkt besturingssysteem, dat gratis beschikbaar is voor iedereen die wil. Net als andere Linux-variaties zoals Ubuntu of Fedora hoef je Kali zelfs niet op een pc te installeren om het te gebruiken: het OS draait vanop een usb-stickje of in een virtuele machine. Veel heeft een hacker dus niet nodig om tot de aanval over te gaan. Het OS profileert zich als legitiem door zich voor te stellen als een besturingssysteem voor penetratietests.
 

Snel kwetsbaar

Mollema zal met de hulp van Kali inbreken op een matig beveiligde Windows 7-computer. Op dat systeem staat Internet Explorer nog ingesteld als standaardbrowser en de nieuwste beveiligingsupdates zijn nog niet uitgevoerd. Dat zou als een artificieel scenario moeten klinken, maar dat is het helaas niet. In heel veel bedrijfsomgevingen worden updates uitgesteld omwille van eventuele problemen die ze kunnen opleveren. Kijk maar naar de recente WannaCry– en Petya-aanvallen. Een dergelijke afweging maakt een systeem echter kwetsbaar voor iedereen met een laptop en een beetje slechte wil.
 
[related_article id=”171945″]  
Het scenario gaat van start met een phishingmail. Het exemplaar in kwestie ziet er erg goed uit. De mail lijkt afkomstig te zijn van LinkedIn, en maakt een fictief doelwit, Jennifer, attent op een nieuw connectieverzoek. Govers neemt de rol van Jennifer op zich. Ook zijn computerscherm is constant in beeld. Niets aan de mail ziet er verdacht uit. “Met een beetje voorafgaand werk kunnen hackers het verzoek personaliseren met bijvoorbeeld de gegevens van iemand die het doelwit recent echt heeft ontmoet”, aldus Mollema. Wanneer Jennifer het connectieverzoek accepteert, wordt ze via een url omgeleid naar de server van onze hacker.
 

Grafisch hacken

Die heeft intussen Armitage opgestart: dat is een mooie grafische interface voor een tool die Metasploit heet. Concreet krijg je een verrassend gebruiksvriendelijk stuk software te zien waarin heel wat zogenaamde ‘exploits’ gebundeld zitten. De hacker start met enkele muisklikken een server op en plaatst daar malware die via een lek in flash een Windows-pc kan infecteren. Wanneer Jennifer op een link in de phishingmail klinkt, opent Internet Explorer een nieuw tabblad. Deze verouderde browser is nog in staat flash-code automatisch uit te voeren en doet dat ook. Jennifer krijgt de melding dat de pagina die ze probeert te bezoeken niet gevonden is, terwijl de hacker op de achtergrond een succesvolle verbinding met Jennifers computer ziet verschijnen.
 
De exploits die Metasploit aan boord heeft, zijn afkomstig van verschillende bronnen. “Voor deze demonstratie gebruiken we onder andere tools van Hacking Team”, vertelt Govers. “Dat is een Italiaanse groepering die software ontwikkelde die overheden konden gebruiken om binnen te breken op systemen. Nadat ze zelf gehackt werden, kwamen hun tools op straat te liggen.” Een hacker hoeft dus vaak zelf geen kennis te hebben van een bepaald lek, net zoals een fotograaf niet hoeft te weten hoe de code achter Photoshop werkt.
 

Armitage is een grafische interface waarmee je zonder hulp van ingewikkelde terminal-commando’s iemands pc kan hacken.

 
Als Jennifer nu de netwerkkabel uit haar pc trekt en het IT-departement verwittigt, onderneemt ze volgens Mollema de enige echt juiste actie. Onze hacker heeft momenteel dezelfde rechten als Jennifer op de pc en kan op de achtergrond doen wat hij wil. Hij kiest er voor om een nieuw Windowslek uit te buiten en zijn aanwezigheid ‘persistent’ te maken. Wanneer Jennifer haar pc nu reboot, zal die automatisch terug verbinding maken met de hacker. Op het scherm van Jennifer zien we dat er niets op de voorgrond gebeurt.
 

Escalatie

Idealiter heeft Jennifer geen administratorrechten op haar werkcomputer. In theorie is de schade die de hacker kan aanrichten dus beperkt. In de praktijk gaat het hier zoals gezegd om een niet up-to-date versie van Windows. De hacker klikt in zijn Linux-omgeving droogjes op de knop ‘Escalate privileges’. Enkele seconden later heeft een nieuw stuk malware zijn werk gedaan: de administrator-privileges zijn binnen.
 
Momenteel heeft Mollema geen code in één of andere terminal getypt. Gewapend met kennis om een mail te vervalsen en om Kali te gebruiken, was hij in staat om vlotjes binnen te breken op een Windows-systeem. Hij draagt zelfs geen donkere kap. Het ziet er naar uit dat we ons beeld van een hacker lichtjes moeten bijstellen.
 
In een volgende fase wordt het pas echt schrikwekkend. Met een druk op een nieuwe knop krijgt de computer van Mollema toegang tot versleutelde wachtwoordhashes. Een hash is een veilige manier om een wachtwoord op te slaan. In de plaats van het eigenlijke wachtwoord te onthouden, voert je pc er een berekening op uit die resulteert in een hash.
 

John the Ripper

In theorie is het onmogelijk om te vertrekken van die hash en achterstevoren uit te rekenen wat het originele wachtwoord was. In de praktijk heeft Armitage opnieuw de nodige tools aan boord. De ‘John The Ripper’-software heeft de wachtwoorden die achter de hashes schuilen in tien seconden gekraakt. De software maakt gebruik van brute kracht in combinatie met woordenboeken en andere data over hoe gebruikers doorgaans hun wachtwoord opbouwen.
 
“Daarom is een goed wachtwoord zo belangrijk”, benadrukt Mollema. ‘Password123’ is zo in enkele seconden gekraakt, maar een lang en goed wachtwoord kan de hacker hier voor problemen brengen. De wachtwoorden in kwestie zijn niet alleen aan Jennifers account gekoppeld, maar ook aan andere gebruikers. Als de systeemadministrator op dit systeem een account met een zwak wachtwoord gebruikt, kan de hacker zich vlotjes een weg banen doorheen heel het bedrijfsnetwerk waarvan Jennifers computer deel uitmaakt.
 
[related_article id=”170620″]  
Nog steeds vanuit Armitage bladert de hacker door de bestanden op de getroffen pc. Een bestandje downloaden is peulenschil, één uploaden ook. Dat laatste komt van pas wanneer de hacker andere geavanceerdere malware wil draaien op de computer van het slachtoffer. Met een persistente verbinding en complete bevoegdheden kan de hacker nu het bedrijfsnetwerk scannen en op zoek gaan naar andere kwetsbare systemen of waardevolle gegevens. Alles gebeurt op de achtergrond. Het kan al snel vele maanden duren alvorens de aanwezigheid van onze Kali Linux-expert gedetecteerd wordt. “Gemiddeld duurt het 306 dagen alvorens een bedrijf een inbraak detecteert”, weet Govers.
 

Voorkomen en genezen

Bovenstaande hack was te voorkomen. De nodige updates van Windows en goede beveiligingssoftware zouden de hacker gestopt hebben. Het is dus niet zo dat jouw pc nu kwetsbaar is voor bovenstaande, zolang je tenminste niet bang bent voor tijdige updates.
 
De demonstratie toont aan hoe één kwetsbare computer een hacker geprivilegieerde toegang kan geven tot een heel bedrijfsnetwerk. Bovendien kroop Mollema in de huid van een ‘script kiddie’, iemand met een (on)gezonde interesse in hacking maar geen bergen kennis. De interface van Armitage is niet minder gebruiksvriendelijk dan die van software die je op Windows gewoon bent. Als een puber met een internetverbinding in staat is tot het bovenstaande, krijgen we een donkerbruin vermoeden dat een echte professional heel wat moeilijker te stoppen is, zelfs wanneer je wél een up-to-date systeem hebt.
 
Geen netwerk is écht waterdicht. Detectie en respons zijn een even essentieel onderdeel van een goede beveiliging als preventie. De hack uit de demo is echter perfect te voorkomen met preventiemaatregelen. Helaas blijft het zowel voor bedrijven als voor consumenten moeilijk om verstandig om te springen met updates en beveiligingssoftware, waardoor Kali en Armitage bijzonder krachtige tools zijn waarmee iemand met relatief weinig know-how heel wat schade kan aanrichten.
 
//www.smartbiz.be/achtergrond/172084/mafiaboy-een-gesprek-met-de-vader-van-de-ddos-aanval/

beveiligingbusinessfox ithacklinuxWindows

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken