Hoe hackers hacken

Terroristen, activisten, criminelen, nieuwsgierige jongeren, soldaten, digitale huurlingen en idealisten; hackers zijn er in alle soorten en maten. Maar wat drijft hen en hoe werken ze? Is er zoiets als ‘onhackbaar’? Wij spraken met hackers, beveiligingsbedrijven en analyseerden verschillende hacks én nemen een kijkje in de wereld van valse beschuldigingen, hoge idealen en hightech oorlogsvoering.

In dit artikel gaan we ervan uit dat een hacker iemand is die voor zijn gewin illegaal inbreekt op computer- of communicatiesystemen of die op een andere illegale manier een digitale  beveiligingsmaatregel omzeilt. Deze digitale inbrekers worden black hats genoemd. White hats zijn beveiligingsexperts die met hun hacks geen schade willen toebrengen, maar aantonen dat een bepaald systeem onveilig is. Omdat er niet echt wordt ingebroken is er in onze context geen sprake van een echte hack. Tenslotte zijn er de grey hats, die geen geld verdienen aan hun illegale activiteiten.

Hacktivist

Sinds de sterke groei van het publieke internet midden jaren 90 is de term hacktivist populair geworden. De meeste grey hats zijn hacktivisten. Zo’n hacktivist breekt illegaal in op systemen – meestal publieke websites – om deze offl ine te dwingen, of om een boodschap te planten. Zo werd de website van Geert Wilders op 23 september door de Turkse hacker SEPTEMB0X gehackt en aangepast, waarna de site onder andere een Korantekst vertoonde. Het op die manier aanpassen van een website wordt ‘defacen’ genoemd. Omdat de hacker geen geld verdiende aan zijn actie, maar slechts zijn morele ongenoegen toonde over de uitspraken van Wilders, is er sprake van hacktivisme. Veel andere hacktivisten zijn voor vrijheid van meningsuiting en hacken organisaties en overheden die naar hun mening de vrijheid inperken.

Skillz

Doordat de privacy van miljoenen mensen op het spel staat en online bankieren enorm populair is geworden, zijn er steeds meer professionals die werken om de digitale veiligheid te garanderen. Zodra er een lek in een programma, besturingssysteem, communicatie-protocol of apparaat wordt gevonden gaan de pro’s direct op zoek naar een ‘patch’ om te voorkomen dat hackers dit lek kunnen uitbuiten. Zolang een lek niet bekend is bij de fabrikant of leverancier heet het een zero day exploit. De term ‘exploit’ geeft al aan dat hackers het lek al exploiteren om te kunnen inbreken. Het zelf vinden van een zero day exploit is een van de vaardigheden (in het Engels: skills) van een hacker. Andere vaardigheden, zoals het succesvol uitbuiten van zwakheden in systemen, het achterhalen van wachtwoorden en het bespelen van gebruikers vormen samen de ‘skillz’ waarop de hackers trots zijn.

Onhackbaar?

Is er een systeem dat niet te hacken is? Nee. Zelfs al zou de technologie 100 procent onkraakbaar zijn, dan is er altijd nog de gebruiker als zwakke plek. Het veiligst zijn zogenaamde standalone-systemen, die geen enkele verbinding met internet of een ander netwerk hebben. Maar die – zeldzame – systemen zijn vaak juist zeer interessant als doelwit, waardoor er heuse spionnen met usb-sticks en speciale cd-roms op af komen om fysiek de machine aan te vallen of een gebruiker om te kopen. Het MKB is steeds vaker slachtoffer. Zo kan een gehackte telefooncentrale een bedrijf meer dan tienduizend euro kosten.

Frappant is dat zelfs ‘air gaps’ (fysiek volledig op zichzelf staande netwerken) de zwaarbewaakte Predator drone-basis niet konden beschermen. De topgeheime machines waarmee op afstand onbemande vliegtuigjes kunnen worden bestuurd, en waarmee ook raketten kunnen worden afgeschoten blijken besmet met een ‘weerbarstig’ virus. Eerder hadden Iraakse en Afghaanse militanten al de – onversleutelde! – videobeelden die de drones verzonden met gemak afgeluisterd. Het leger van de VS wist al dat de vijand dit kon sinds 1999, maar het versleutelen van de speciale verbindingen is ‘duur’. Het Pentagon zelf is al drie jaar zonder succes bezig om de evoluerende worm Agent.btz van zijn computers af te krijgen.

Opvallend is dat de VS momenteel geld uitlooft voor de bedenker van een systeem dat kan controleren of microchips (waaronder computerprocessors en onderdelen van routers en moederborden) niet stiekem geprogrammeerd zijn met malware of kill-switches door China. De oorlogsmachine van de VS is zeer afhankelijk van microchips en aangezien die bijna allemaal in China worden gemaakt is men kennelijk bang voor sabotage van de cruciale hardware.

Scripted?

In eerste instantie zal de hacker een reeks commando’s naar een systeem rs hacken of programma zenden, ondertussen peilend of zijn acties succes hebben. Als de hack gelukt is, heeft de hacker een reeks commando’s tot zijn beschikking die hij verzamelt in een tekstbestand, een zogenoemd script. Bij een volgende aanval kan hij het script in één keer afdraaien en zonder moeite vanzelf een kwetsbaar systeem verschalken. Iemand zonder hack-ervaring kan zo’n script ook gebruiken, aangezien het praktisch automatisch werkt. Een onkundig persoon die zo’n script gebruikt wordt met enig dedain een script kiddie genoemd. Meestal gaat het namelijk om tieners, die uiteindelijk vaak opgepakt worden. Een deur openen met een loper is tenslotte één ding, na afl oop wegkomen zonder bewijsmateriaal achter te laten een ander. Soms is hacken wel erg makkelijk. Zo maakt het programma ERD Commander – van Microsoft – het mogelijk om met een paar muisklikken de wachtwoorden op elke Windows-pc te veranderen.

Tor

Een groot probleem voor hackers is het voorkomen van opsporing door de autoriteiten. The Second-Generation Onion Router oftewel Tor is een initiatief dat hackers flink helpt op vrije voeten te blijven. Het internet bestaat in de basis uit computers die – via via – contact met elkaar kunnen opnemen. Elk apparaat heeft een uniek ip-adres, waarmee uw internet service provider activiteiten aan uw identiteit kan linken. Tijdens het browsen laat u het adres overal achter, want zo werkt internet; alle datapakketjes van en naar uw pc bevatten uw ip-adres en worden door spionerende partijen opgeslagen in logbestanden. Bovendien is wereldwijd bekend welke provider de beschikking heeft over elk ipadres, zodat meteen duidelijk is dat u uit Nederland komt en bij welke provider u klant bent. Het ip-adres vormt ook nog eens een goede basis voor allerlei digitale aanvallen, bijvoorbeeld om een stiekeme keylogger op uw systeem te planten.

Hoe Tor dit oplost? Door een virtueel, gedistribueerd, anoniem netwerk boven op bestaande internetverbindingen te bouwen. Niet alleen is het met Tor mogelijk om anoniem te surfen, te chatten of te e-mailen, zelfs diensten aanbieden (websites, chatservers, bestanden) is geen probleem. Het Tor-netwerk verstuurt datapakketjes met een drievoudige, sterke versleuteling. En elke zender/ontvanger krijgt een willekeurig Onion-adres dat in de plaats komt van het ip-adres. Pakketjes worden willekeurig van het ene naar het andere Tor-knooppunt gestuurd totdat ze de ontvanger hebben bereikt. Door het Onionadres te gebruiken bij het doorsturen van de pakketjes blijven de onderliggende ip-adressen geheim voor iedereen behalve de toevallig gekozen laatste in de keten van doorzendende computers. Omdat elk pakketje volstrekt willekeurig van de ene naar de andere ‘Onion’ gaat zal zelfs een spion die álle 3000 knooppunten in het Tor-netwerk constant volgt specifi eke communicatie niet kunnen afl uisteren. Onversleuteld gebruik van Tor kan trouwens wél tot ontdekking leiden.

Voordat Tor bestond konden hackers een groot aantal gehackte pc’s gebruiken als willekeurige doorgeefluiken om hun verblijfplaats zoveel mogelijk te beschermen, maar Tor is beter doordat het een legitieme dienst is. De hackers staan anoniem tussen 450.000 overheidsdiensten, soldaten, terroristen, argeloze thuisgebruikers en journalisten. Het staat buiten kijf dat de beste hackers praktisch onvindbaar zijn. Ruziënde hackers proberen elkaars identiteit vaak openbaar te maken, het zogenoemde doxen.

Nieuwe baan

We vroegen beveiligingsexperts van F-Secure en Kaspersky of zij misschien ex-Hackers in dienst hebben. F-Secure: “Wij hebben geen hackers in dienst. Onze mensen hebben hun vaardigheden op school en intern bij ons geleerd. Een hacker is een aanvaller, wij zijn verdedigers. Natuurlijk kunnen ex-hackers wel een bijdrage leveren aan de veiligheid van systemen, maar dat doen ze in de rol van penetratietester. Pen-testers hacken een systeem in opdracht van de eigenaar en rapporteren dan wat er allemaal mis is.” Kaspersky: “Wij nemen graag ervaren krachten aan. Maar geen black hats, want er zijn genoeg mensen met talent en een goede ethiek. We zijn van mening dat geldt: eens een black hat, altijd een black hat”.

Anatomie van een hack

In maart werd beveiligingsreus RSA gehackt. RSA houdt zich bezig met het versleutelen van informatie en geavanceerde gebruikersauthenticatie. Elke hack begint met een vector, een succesvolle aanval op een zwakke plek in de beveiliging. Steeds vaker is dit geen systeem, maar een gebruiker. In dit geval stuurden de hackers vier medewerkers een e-mailtje met een Excelbestand. Het mailtje leek van een bekend adres te komen, maar door het vervalsen van de afzender werd verhuld dat het eigenlijk van de hackers afkomstig was. Tenminste één argeloze ontvanger opende het Excel bestand, waarin zich een Flash-component bevond. De Flash-component startte zelf een script dat de Poison Ivy-backdoor downloadde. Dit onzichtbare programmaatje nam vervolgens contact op met een door de hackers opgezette machine, waarna de hackers commando’s naar de besmette pc konden sturen.

Poison Ivy had onopgemerkt de deur wijd open gezet voor de hackers, vandaar de term backdoor. Met deze vrij beperkte voet tussen de deur is het tijd om te zorgen voor toegang tot relevante systemen als de beheerder. Want de gebruiker die de e-mail opent heeft normaliter maar zeer beperkt rechten om diensten, systemen en programma’s te starten of te beïnvloedden. Een systeembeheerder kan in principe wél alles. Het toe-eigenen van hogere rechten wordt elevation genoemd en kan door misbruik te maken van een bug, of – in dit geval – door het stelen van accountinformatie worden gerealiseerd. Als de hackers eenmaal kunnen inloggen als systeem- of netwerkbeheerders zijn ze oppermachtig en kunnen ze interessante informatie uit databases, e-mailsystemen en bestanden gaan verzamelen. De laatste stap is het verzenden van die informatie naar een machine buiten het gehackte bedrijfsnetwerk. In het geval van RSA verpakten de hackers de informatie in versleutelde rararchiefbestanden en verzonden deze naar een gehackte machine van een internetprovider.

De volledige interviews zijn hier te downloaden.

Dit artikel komt uit Computer Idee nummer 26, jaargang 2011.