Op dinsdag 27 oktober jongstleden vond er op ons kantoor een DKTP-kwartaalbijeenkomst plaats. Tijdens deze bijeenkomsten komen alle consultants bijeen om elkaar weer te zien, bij te praten en een presentatie bij te wonen over onderwerpen die zijn verwant aan IT. Dit keer hield freelance consultant Jan van Capelleveen een praatje over ethical hacken en een praktijkcase die hij heeft uitgevoerd voor een klant. Lees hier ons verslag.

Voorbereiden als een detective

Van hackers wordt vaak gedacht dat ze met hun technisch vernuft vanaf een afstandje binnen proberen te komen in de ICT-systemen van een bedrijf. Dit is maar deels waar. De voorbereiding voor een hackactie behelst meer dan dat en heeft iets weg van de voorbereiding van een detective.

Google, een bron van gegevens

Als hacker wil je zoveel mogelijk van een bedrijf te weten komen, zoals naam, websites, adresgegevens, functionarissen, medewerkers et cetera. Om alle belangrijke gegevens te verzamelen, is internet een belangrijk hulpmiddel. Zo is onder andere Google het perfecte middel om aan allerlei (technische ) gegevens te komen.

Vacatureteksten

Bekijk bijvoorbeeld maar eens alle vacatures van een bedrijf. Vaak staan in deze teksten belangrijke technische specificaties, informatie over de infrastructuur en de software die wordt gebruikt. Door het uitpluizen van deze gegevens wordt er geprobeerd om een ICT-afdeling in kaart te brengen. Daarbij wordt veelvuldig gebruikgemaakt van Internet Archive. Hiermee kun je artikelen en teksten teruglezen die teruggaan tot 2003. Het is verbazend om te zien wat er op internet is opgeslagen de afgelopen jaren. Op deze wijze worden alle puzzelstukjes verzameld om uiteindelijk tot een groter geheel te komen.

LinkedIn is een goudmijntje

Ook LinkedIn is een ‘goudmijntje’ voor ethical hackers. Alle cv’s die op LinkedIn staan, zijn een onschatbare informatiebron. Het verzamelen van foto’s van personen die werkzaam zijn (geweest) bij het bedrijf en foto’s van het interieur en de binnenkant van een bedrijfspand horen bij de zoektocht naar puzzelstukjes.

Verschillende identiteiten

Als hacker moet je natuurlijk niet te veel opvallen als je op internet aan het rondsnuffelen bent. Daarom worden er verschillende identiteiten gebruikt door hackers. Ideaal zijn identiteiten uit landen waarbij de logfiles niet te lang worden bewaard. De beste landen hiervoor zijn Griekenland en Zuid-Korea, zij bewaren de logfiles maximaal 30 minuten. Perfect om snel je sporen te wissen.

Strategie bepalen

Hightech-hardware en tools zijn nodig om informatie te scannen en te downloaden als je eenmaal ‘binnen’ bent. De fysieke locatie van het bedrijf moet ook nog worden verkend. Vrij toegankelijke informatie als op Google Streetview kan een hacker al helpen om een beeld te krijgen van de geografische ligging en te zien of er mogelijkheden zijn om het bedrijf fysiek binnen te komen. Dat is namelijk verreweg de meest effectieve manier om toegang tot gevoelige informatie te krijgen.

Gegevens verzamelen binnen een bedrijf

Wanneer een hacker eenmaal fysiek bij een bedrijf is binnengekomen dan is het belangrijk om niet op te vallen. Daarvoor worden de meegebrachte hulpmiddelen ingezet, zoals een nagemaakte bedrijfspas. Creativiteit en een dosis geluk zijn nu belangrijke factoren. De mens blijkt vaak de zwakste schakel; een ethical hacker kan proberen iemand te overtuigen dat er een probleem met zijn pc is en de werkplek tijdelijk overnemen. De ‘social talk’-methode en het hebben van een gemeenschappelijk onderwerp doen wonderen. Als dit gelukt is dan is het met behulp van techniek en apparatuur vrij eenvoudig om gegevens te verzamelen.

Na het hacken…

Uiteindelijk kun je alle verkregen data vanaf je eigen locatie verder onderzoeken en analyseren. Zeer belangrijk is om alles nauwkeurig te loggen en als bewijs later te kunnen overleggen. Tot slot benadrukt Jan dat ethical hacken alleen is toegestaan als het bedrijf toestemming heeft verleend, anders is de ethical hacker in overtreding. Geen overbodig advies voor beginnende digitale Sherlocks! Verslag van DKTP’er Bert Koekkoek

Menu