Beveiligingsexperts Floris Meester en Vincent Ossewaarde maakten voor FTM een lijst van de fouten die ze in Rian van Rijbroeks boek Unhacked ontdekten; hun overzicht beslaat een kleine 20 pagina’s. Meester verzuchtte: ‘Het verbaast me zeer dat hoge it-managers, die echt beter horen te weten, achter dit boek staan. Daaruit blijkt vooral dat ze ongeschikt zijn voor de functie die ze bekleden.’ Bij deze een bloemlezing uit hun lijst.

Batch files en bootvirussen

Een bestandsvirus infecteert uitvoerbare systeembestanden zoals bijvoorbeeld bestandsnamen met de extensie .bat of .exe. Een systeem/boot(opstarten)-sector virus infecteert de opstartsector van de schijf op het moment dat het besturingssysteem opstart. (Unhacked, p. 35)

Allereerst is een .bat file een zogenaamd batch script, de meeste virussen infecteren executables. Volgens mij is de laatste keer dat ik een malicious batch script heb gezien ergens in 1997. Daarnaast gaat het niet per se om systeembestanden: elke executable kan als target dienen. Dan het bootvirus: Het is niet noodzakelijk dat de infectie plaatsvindt tijdens het opstarten, dat kan al door een lekke browser en een ‘drive-by download’ gebeuren. Het virus overschrijft de bootsector omdat het dan resident in memory geladen kan worden tijdens het booten. Overigens zie je nauwelijks meer bootvirussen, dit was vooral een dingetje in de tijd van floppydisks. (Meester)

Google en het dark/deep web

Er is maar één internet waar netwerken met elkaar verbonden zijn. Wat wij daarvan zien, is wat mogelijk gemaakt wordt via Google, dat URL’s verbindt aan websites. [..] Van het internet zoals wij dat kennen, worden de URL’s voor ongeveer 35% in beslag genomen door Google. Google is een zoekmachine voor informatie op internet. Door Google kennen wij een derde deel van het internet. Dat betekent dat er naast Google nog 65% over is. Dat deel wordt gevuld door het dark web en het deep web. Daarvan zijn de variabelen minder bekend doordat er geen gebruik gemaakt wordt van internetbrowsers als Safari, Internet Explorer of Chrome. Het merendeel van de pagina’s op het deep web zijn gevuld met databases van overheden en bedrijven. Deze kun je alleen opvragen als je het adres weet, na authenticatie (toestemming) om een gebied te betreden. (Unhacked, pag. 51)

Google ‘verbindt’ helemaal niets. Google is een zogenaamde crawler, die middels het volgen van hyperlinks alles wat hij tegenkomt indexeert (en niet: ‘in beslag neemt’). Het deep web is slechts een verzamelnaam voor alles dat niet door standaard-crawlers zoals Google geïndexeerd kan worden; het dark web is daar een onderdeel van.

Je kunt met de genoemde browsers prima op het Darknet surfen. Je hebt niet per se de Tor browser nodig (in feite een dichtgetimmerde Mozilla Firefox met een socks5 proxy, die een connectie naar een Tor entry node maakt). Hier staat een mooi voorbeeld hoe Windows-gebruikers die proxy kunnen gebruiken om Hexchat te configureren om via Tor te babbelen. Er zijn ook VM’s en OS-distributies die al het verkeer door Tor heen routeren, dat is echt geen rocket science.

Dat het merendeel van het deep web gevuld is met databases van overheden en bedrijven is een weetje uit de (akelig beperkte) Nederlandse Wikipedia-pagina over het deep web. Als het goed is zijn die databases inderdaad niet geïndexeerd, maar dat komt omdat ze degelijk beveiligd achter firewalls staan. Dit tot het deep web rekenen is licht bizar. (Meester)

Virtual Private Networks

Virtual Private Network (VPN) is een netwerkverbinding via een VPN-server van een VPN-aanbieder waarmee je een beveiligde verbinding kunt maken met een website, terwijl de eigenaar van die website je IP-adres (locatie) niet kan zien. Criminelen gebruiken vaak de combinatie van VPN en Tor. De VPN wordt gebruikt als een extra beveiligingslaag. Je locatie (IP-adres) blijft verborgen zodat je anoniem kunt surfen op deze websites. (Unhacked, p. 53)

VPN-aanbieders zou ik, als gevaarlijke hacker, niet gebruiken om anoniem te blijven. Die aanbieders kunnen immers al het verkeer zien, aangezien dat door hun systemen heen wordt gerouteerd. VPN-aanbieders lenen zich juist uitstekend als een klassieke ‘man in the middle’: terwijl je ze passeert, word je ongemerkt afgeluisterd en van je gegevens beroofd. (Meester)

Whatsapp-hack

Beveiligingsbedrijf Checkpoint onthulde in maart 2017 een beveiligingslek waardoor hackers honderdduizenden WhatsApp- en Telegram-accounts konden overnemen.

Zo doen ze dat: kwaadaardige software wordt verborgen in een foto. Zodra een gebruiker van WhatsApp op de foto klikt om de afbeelding te openen, heeft de hacker toegang tot de lokale opslag waar de gebruikersgegevens worden opgeslagen. [..] Vervolgens stuurt de hacker namens de gebruiker de foto naar al zijn zakelijke contacten. Hierdoor wordt de deur geopend naar een wijdverspreide aanval op de WhatsApp- en Telegram-netwerken. (Unhacked, p. 83)

Bangmakerij. Check Point ontdekte deze kwetsbaarheid en waarschuwde daarop de makers van de software, die het lek meteen hebben gedicht. Voor zover men weet is er geen misbruik van deze kwetsbaarheid gemaakt, ergo: de security researchers waren de hackers voor. Overigens betrof het een lek in de desktopversie van WhatsApp en Telegram. Die wordt aanzienlijk minder gebruikt dan de mobiele apps. (Meester)

Hoe misleid je een bank?

De beveiligingsfunctionarissen en de medewerkers van de bank zien tijdens de aanval de opgeslagen data in plaats van de actuele data. Voor de bank lijkt dus alles in orde omdat de beveiligingssoftware zoals virusscanners en firewalls volledig worden misleid. (Unhacked, p. 88)

Dit is aperte onzin: juist banken investeren enorm in Security Operation Centers, waar al het verkeer realtime gevolgd kan worden. Dat gebeurt door continue monitoring van alle systemen en de inzet van Intrusion Detection Systems, die op basis van bijvoorbeeld fingerprints, protocol anomalies en vele andere technieken alles in de gaten houden. De auteur doet het voorkomen of de mensen die security doen bij een bank een soort slapende nachtwakers zijn. Dat doet ze bepaald onrecht. (Meester)

DDoS-aanvallen als verkenningsoperatie

DDoS-aanvallen kunnen zo geconfigureerd zijn dat de hackers zien hoe de algehele bescherming van het bedrijf of de bank georganiseerd is. Hoe meer aanvalsvectoren tegelijk gebruikt worden, hoe meer verschillende verdedigingen de andere partij moet opwerpen. De aangevallen partij moet alles gebruiken om zich teweer te stellen en wordt gedwongen zijn hele verdedigingscapaciteit aan te spreken en dus te tonen. Om binnen te komen, kan de dief misbruik maken van de op dat moment zichtbare kwetsbaarheden. (Unhacked, p. 122)

Wanneer een instelling of bedrijf een ddos voor de kiezen krijgt, zit de pijplijn vaak vol, dus kan de hacker zelf ook niets uithalen. Dit lijkt me derhalve een vrij zinloze manier om reconnaissance te doen. Het is bovendien zeer de vraag of er dan opeens kwetsbaarheden te zien zijn.

Van Rijbroek lijkt hier te herhalen wat ze in januari 2018 bij Nieuwsuur beweerde over de massale ddos-aanvallen die toen gaande waren. Volgens haar waren die de voorbode van een ophanden zijnde hack van ‘de banken en de Belastingdienst’, een uitspraak die aantoonbaar onjuist is gebleken.

De cloud

Met de hardware en de software creëer je dus een geheel, een wolk in de lucht. In de cloud kun je functies regelen met software. Zo kun je informatie en data beheren. De cloud wordt beveiligd door degene die hem beschikbaar stelt. Apple werkt met een cloud. Apple beveiligt zijn cloud. Apple geeft toegangen, autorisaties aan mensen die de iCloud willen gebruiken. Als je je data in de cloud van Apple opslaat, maak je gebruik van de beveiliging van Apple. (Unhacked, p. 151)

Dit is niet juist. Alle cloudleveranciers beperken zich tot het leveren van power, storage en PaaS. Alle applicaties zijn eigendom en de verantwoordelijkheid van de gebruiker. De security die de cloudleveranciers inbouwen, is onafhankelijk getoetst. AWS, de clouddienst van Amazon, is PCI DSS- en ISO27001-gecertificeerd, Microsofts Azure heeft zo’n beetje elke clearance die je kunt bedenken en Googles Cloud is PCI DSS- en 27001-gecertificeerd.

Dat zegt niet alles, maar de suggestie dat dit uitsluitend in de span-of-control van de cloudleverancier valt is pertinent onjuist. De keuze blijft immers bij de klant. Het lijkt alsof de auteur uitsluitend de end-consumerkant kent, te weten iCloud van Apple, en verder niet weet waar enterprises zaken mee doen. (Ossewaarde)

Encryptie

Encryptie, versleuteling, werkt bij Apple omdat hij er door Apple opgezet wordt. Encryptie die later is toegevoegd, werkt niet. Je loopt altijd het risico dat het systeem waar je mee werkt, gehecht is aan de instellingen die het apparaat oorspronkelijk heeft meegekregen. (Unhcked, p. 179)

Systemen met hechtingsproblemen ben ik nog niet tegengekomen, dat is eerder een menselijk probleem. Het is prima mogelijk om bijvoorbeeld achteraf GPG of andere crypto-tools te installeren op systemen en dat veilig te laten werken. (Meester)

WPA2 en internet of things

WPA2 kent geen individuele data-encryptie. De gegevens die tussen je apparaten en het wifipunt worden uitgewisseld, zijn dus niet versleuteld. Hackers hebben geen sleutel nodig om te zien wat ze onderschept hebben. De WPA2-technologie biedt geen beveiliging tegen het Internet of Things. (Unhacked, p. 190)

De gegevens zijn wel degelijk versleuteld bij WPA2. Bij WPA2 Personal ben je, als je de pre-shared key hebt, echter geautoriseerd op het netwerk; dan kun je meeluisteren, je kent immers de AES sleutel. WPA2 Enterprise kent dit euvel niet. Internet of things kent talloze beveiligingsproblemen, maar die hebben weinig te maken met WPA2 of WPA3. (Meester)

De smart blockchain

Blockchain-technologie is een veilig communicatiesysteem voor het uitwisselen en delen van gegevens tussen systemen en processen van organisaties. De gegevens zelf blijven binnen het betrokken systeem waardoor andere data en informatie van onderliggende bedrijfsactiviteiten van een onderneming niet zijn in te zien. Het communicatiesysteem kan gebruikmaken van bijvoorbeeld een hash-code, een gecodeerde lange willekeurige rij cijfers die werkt als een digitale vingerafdruk. Een hash-code is een combinatie van inhoud, sleuteldrager, verificatie van de sleutel en een tijdstempel.

Er wordt zo door hash-codes altijd een digitale vingerafdruk in een uitgevoerde transactie achtergelaten. Het verschil met de standaard-blockchain is dat niet de transacties over blokken verspreid worden maar alleen de hash. Het is een keten van hash-blokken. De gegevens zelf verlaten het bedrijf nooit. Alles wat gebeurt op het netwerk en in de machines en apparaten wordt op de blockchain geverifieerd, gevalideerd en gesynchroniseerd. Voor overeenstemming tussen die machines en apparaten zijn er met het oog op de veiligheid minimaal vier nodig.

Een machine die of apparaat dat op het netwerk aangesloten is, zoals een computer of laptop, is een op software gebaseerde node. Als iemand een node probeert te hacken die verbonden is met andere software nodes in het netwerk zal slimme blockchain-technologie vaststellen dat de digitale vingerprint die wordt aangeboden niet geaccepteerd mag of kan worden door de andere software nodes. (Unhacked, p. 379)

Daar hebben we de beroemde smart blockchain uit Nieuwsuur weer. Het klopt dat blockchain-technologie gebruikmaakt van hashes van datablokken of van transacties (afhankelijk van hoe de ledger is gebouwd), met daarin meegenomen de hash van het vorige block of transactie (de chain). Het is me onduidelijk wat Van Rijbroek bedoelt met ‘sleuteldrager’ en ‘verificatie van de sleutel’: de hashes worden ondertekend (gesigned) met de private key van degene die de transactie uitvoert, zodat we overtuigend en onweerlegbaar cryptografisch bewijs van de transactie hebben.

Maar dat garandeert op geen enkele wijze geheimhouding (confidentiality), zoals de auteur beweert: we gebruiken weliswaar gesigneerde hashes, maar anders dan zij beschrijft, vindt er geen encryptie van de data zelf plaats. (Meester)