Hackers maken organisaties en individuen het leven zuur. Ransomware, malware, spyware: ze hebben van alles in huis om apparaten en systemen te infecteren. Maar hoe doen ze dat? Wat is hacken nou echt?
Wat is hacken?
De vaakst voorkomende definitie van hacken is “Het ongeautoriseerd misbruiken van digitale apparaten”. In het Wetboek van Strafrecht hangen ze er de term computervredebreuk aan. Dat vangt de essentie eigenlijk wel. Vaak weten hackers op afstand toegang te krijgen tot deze digitale apparaten.
Het imago van hacken
De omschrijving in de blogintroductie is precies het beeld wat de meesten van hackers hebben. Rotzakken die met ransomware rondstrooien. Waar cybercriminelen om bekend staan is hacken om geld, om spionage, om data, om protest, om ontwrichting. Alles voor het eigen gewin.
Maar: wij hebben ook hackers in dienst. Die betalen we alleen niet om een schop tegen de maatschappij te geven. Ethisch hackers zetten het hacken in om cybercriminelen tegen te werken. Hoe? Met aanvalssimulaties brengen ze kwetsbaarheden in kaart voordat kwaadwillenden dat doen. Ze hacken in het belang van cyber security.
Redenen om te hacken
Er is dus een onderscheid tussen kwaadwillende hackers (black hats), ethisch hackers (white hats) en hackers die in het grijze gebied vallen (grey hats). Ook zijn er hacktivisten die vanuit activistische redenen hacken. De meest bekende groep hacktivisten is Anonymous. We gaan nog even in op de beweegredenen van black hats en white hats:
Kwaadwillende hackers/black hats
1. De meest bekende reden om te hacken is – we hebben hem al genoemd – het verdienen van geld. Op het Dark Web is er een enorme handel naar creditcardnummers, data zoals (admin)credentials, en zelfs ingangen tot systemen van bedrijven. Andere hackers verdienen juist hun geld door ransomware te ontwikkelen en die dan weer als een service te verkopen.
2. Bedrijfsspionage: het voelt als iets uit films, maar het komt in de werkelijkheid gewoon voor. Organisaties betalen dan een hacker om in de systemen van concurrenten binnen te dringen en daar gevoelige informatie te ontfutselen. In sommige gevallen gaan de hackers een stap verder: dan vallen ze aan om een bedrijf volledig plat te leggen.
3. We hebben gezien dat zowel Rusland als Oekraïne cyberaanvallen als oorlogswapen tegen elkaar inzetten. Er is natuurlijk voldoende discussie te voeren of deze aanvallen (per partij) kwaadwillend of te verantwoorden zijn. Omdat het gaat om ontwrichtende aanvallen, hebben we deze nu even onder kwaadwillend gezet.
4. Tot slot zetten kwaadwillende hackers ook hackacties op om hun eigen reputatie in de hackersgemeenschap te verbeteren. Er is een gebruik als hacker een eigen hackteken achter te laten op een veroverde website.
Ethisch hackers/white hats
1. Het doel van deze hackers is altijd het verkrijgen van inzicht in de cyber security van bedrijven, ten behoeven van de veiligheid. Die inzichten zijn de voedingsbodem voor verbeteringen in de digitale beveiliging.
2. Ze testen doorgaans webapplicaties, systemen of netwerken op kwetsbaarheden. Dit doen ze in de vorm van aanvalssimulaties: ze bewijzen in de praktijk dat er een beveiligingslek is door deze actief te hacken.
3. Ethisch hackers houden zich – soms – bezig met het schrijven van plugins of software programma’s waar andere white hats iets aan hebben. Het verbeteren van de best practices van de white hat community dus.
Wat doet een hacker om te hacken?
Nu het echte hoe en wat achter hacken: want hoe pakt een hacker een hack aan? Het onbevredigende antwoord is dat elke hackactie anders is. Dat heeft alles te maken met hoe IT-infrastructuren (en de kwetsbare plekken) per organisatie verschilt. Maar: over de algemene aanpak van een hacker valt veel te zeggen! Dat gaan we doen ook:
Net zo nieuwsgierig als een stalker
De grap “Hackers zijn mega stalkers” is meer dan eens gemaakt door hackers. Die vergelijking is zo gek nog niet. Want een hack staat of valt met de nieuwsgierigheid van de hacker. Is de hacker bereid flink veel informatie te verzamelen? Die informatie door te spitten? Én relaties te leggen binnen die informatie? Dan is de hack al sneller succesvol.
De stappen van hacken
Vaak doorlopen hackers een aantal stappen om een hack succesvol te laten zijn. Het start altijd met het “stalken”. Al heeft het op het gebied van hacken een andere naam: namelijk Reconnaissance.
We maken natuurlijk wel even de kanttekening dat elke hack er anders uit ziet. Elk doelwit heeft zijn eigen kwetsbaarheden: die verschillen altijd!
Reconnaissance
Wie wil hacken, moet eerst meer weten over het doelwit. Welke apparatuur gebruiken ze? Welke programma’s/software? Wie werken er? Wat doen die mensen binnen de organisatie? Welke mailservice gebruiken ze? Wat vinden ze interessant?
Al deze informatie maakt het makkelijker het zwaktepunt te vinden en erop in te spelen. Want: bij het ene doelwit is een phishingactie geschikt, en bij het andere doelwit kan juist een exploit genoeg zijn.
Passive Reconnaissance
Reconnaissance is onder te verdelen in Passive en Active. Bij Passive Reconnaissance verzamelt de hacker informatie zonder contact te maken met het doelwitsysteem. De hacker zoekt bijvoorbeeld op internet zoveel mogelijk informatie over het bedrijf en haar medewerkers op. Tot social media aan toe!
Active Reconnaissance
Active Reconnaissance staat voor het actief zoeken van informatie om te kunnen hacken. Met actief bedoelen ze in dit geval dat de hacker contact legt met het doelwitsysteem. Dit is risicovol: als het doelwit gebruik maakt van een SIEM kan het zijn dat ze de hacker detecteren. Voorzichtigheid is dus belangrijk.
De Reconnaissance tijdlijn
Oké, het doel van Reconnaissance is dus zoveel mogelijk informatie verzamelen. Dat betekent niet dat het ongestructureerd informatie bulken is. Om succesvol te hacken, is het doorgaans verstandig antwoord te hebben op de volgende 6 (technische) vragen:
1. Wat is de network range?
2. Welke active machines zijn er?
3. Wat zijn de open ports en access points?
4. Wat draait er op de open ports (en OS)?
5. Hoe ziet het netwerk eruit?
6. Welke informatie (van het web) komt nog meer van pas?
Concrete voorbeelden van hacken
Na de Reconnaissance fase is het tijd voor actie. Hacken dus! Voor een voorbeeld dat stap voor stap in gaat op het hacken van een doelwit is een losse blogpost nodig. Daarom hier twee kleine voorbeelden die aangeven hoe de methode per doelwit erg verschillend kan zijn.
Doelwit 1 – Exploit
De hacker trekt na de Reconnaissance fase de conclusie dat een exploit voldoende is om binnen te komen. Er is namelijk een service niet gepatcht terwijl er een kwetsbaarheid zit in de oude versie. De hacker haalt een voorgeleverde exploit van een exploitdatabase, hij typt de code in en… Hij heeft toegang!
Voor kwaadwillende hackers is het nu enkel nog een kwestie van data stelen en/of ransomware plaatsen. Ethisch hackers zetten deze vondst in een rapport.
Doelwit 2 – Websitefoutje
Bij het contactformulier van de website van het doelwit is het ook mogelijk bestanden mee te sturen. De website controleert alleen niet wat voor bestanden dat zijn. Niet alleen PDF’s en foto’s: ook PHP-pagina’s zijn mogelijk.
Wat doet de hacker? Die uploadt een eigen PHP-pagina, zodat die op de server van het doelwit komt te staan. In deze PHP-pagina heeft hij aan de achterkant een reverse shell gestopt. Hij voert de PHP-pagina uit en ja hoor: toegang!
Hacken start met stalken
Geen hack zonder goed stalkwerk. Als het om hackers gaat, is nieuwsgierigheid haast een belangrijkere eigenschap dan technisch inzicht. Heeft u naar aanleiding van deze blogpost vragen gekregen over – met name ethisch – hacken? Neem vrijblijvend contact met ons op.
