Kevin Mitnick, een van de meest beruchte hackers van het de afgelopen twee decennia, was afgelopen vrijdag in ons land. Op het E-recruitment congress in Gent toonde de voormalige crimineel en huidig ethisch hacker zijn hackingkunsten. Daarmee wilde hij bedrijven wijzen op de vele gevaren van criminele hackers.
De Amerikaan Kevin Mitnick (56) was twintig jaar geleden een van de bekendste cybercriminelen ter wereld. Hij omzeilde de beveiliging van de computernetwerken van meer dan 40 bedrijven, waaronder Dell, Compaq en Digital. Hij werd door de Amerikaanse inlichtingendienst, de FBI, gezien als een groot gevaar en werd een paar keer veroordeeld tot een gevangenisstraf. Sinds 2003 is hij vrij en werkt hij als adviseur in de beveiligingsector.
De intussen wereldberoemde hacker heeft zich sindsdien toegelegd op het zogenaamde ‘ethisch hacken’: hij verdient zijn brood door te verhinderen dat cybercriminelen inbreken in de netwerken van bedrijven. Dat doet hij door dezelfde technieken te gebruiken als criminele hackers. Op die manier wijst hij de betrokken bedrijven ook op de zwakke punten en schakels in hun systeem.
In België werd het afgelopen jaar bijna 15 procent van de bedrijven getroffen door vijf of meer cyberaanvallen. Dat kost die bedrijven vandaag drie keer meer dan drie jaar geleden. Dat komt voornamelijk door de opmars van ransomware, een virus waarmee je gevoelige data of volledige computers kunt gijzelen in ruil voor losgeld. In België is ethisch hacken nog steeds illegaal. Volgens Mitnick is dat absurd: “De elektronische deuren van de Belgische bedrijven staan wagenwijd open. Dat maakt jullie land een stuk kwetsbaarder dan landen als Amerika, Canada of Nederland.”
Doen we het sociaal, fysiek of elektronisch?
De beroemde hacker heeft een arsenaal aan technieken om in landen waar ethisch hacken wel toegestaan is, te testen of de informatie van bedrijven voldoende beschermd is. Hij onderscheidt daarin drie verschillende soorten hacken: sociaal hacken, fysiek hacken en elektronisch hacken. Sociaal hackers manipuleren hun slachtoffers om informatie zoals wachtwoorden op eigen initiatief door te geven. Dat kan bijvoorbeeld door middel van zogenaamd 'phising', een vorm van internetfraude waarbij mensen naar een valse (bank)website worden gelokt, die een kopie is van de echte website, om ze dan nietsvermoedend hun paswoord of kredietkaartgegevens te laten invoeren. Mitnick toont aan dat het nog eenvoudiger kan: door het huidige wachtwoord te raden op basis van een eerder gekozen wachtwoord. De techniek is gemakkelijker dan je zou denken, zegt Mitnick.”Op vrij toegankelijke sites kan je oude wachtwoorden terugvinden. Op de site van de KBC-bank, bijvoorbeeld, zie je de oude wachtwoorden van de werknemers. Mensen vallen snel in een patroon als ze zelf een wachtwoord kiezen. Met deze gegevens kan je al snel een variant op het wachtwoord raden.”
Black Mirror
Fysiek hacken doet dan weer denken aan een aflevering van de sci-fi serie Black Mirror. Mitnick laat zien hoe een kaartsleutel die bedrijven gebruiken, in een paar seconden nagemaakt kan worden. Dat doet hij door de kaart heel kort tegen een laptoptas te houden. In de tas zit zijn eigen kaartlezer verstopt, die draadloos verbonden is met zijn computer. “Zo heb ik bij een klant van ons kunnen inbreken”, verduidelijkt hij. “Ik dupliceerde met het verstopte apparaat de kaart van een werknemer.”
Maar het kan nog makkelijker. Mitnick laat een groter apparaat zien dat sleutelkaarten tot op een meter afstand kan kopiëren. Die kunnen in muren ingebouwd worden en zijn onzichtbaar voor voorbijgangers. “Bedrijven moeten nadenken over welke toegangssystemen ze gebruiken. Vaak gebruiken ze nog technologie die 15 tot 20 jaar oud is. Daarmee is het een eitje om in te breken.” Een andere techniek die hackers gebruiken is de alledaags USB-kabel vervangen door een model dat geïnfecteerd is met een virus. Dat kunnen ze ter plaatste doen, eens ze toegang tot het gebouw hebben. Of ze kunnen werknemers buiten de werkvloer viseren.
Wat kan je er aan doen?
Het lijkt moeilijk om te vermijden dat mensen met slechte intenties inbreken in bedrijfsnetwerken. Toch ook wij ons met kleine inspanningen beter beschermen, zegt Mitnick. “Veel begint bij een goed wachtwoord. Gebruik een wachtwoordenkluis die al je inloggegevens opslaat en kies een zin als hoofdwachtwoord. Een zin is veel moeilijker te kraken door software of sociale hacking. De tweestapsverificatie is ook een bekende manier om je inloggegevens beter te beschermen. Maar ook hier moet je volgens Mitnick opletten: de tweestapsverificatie is gemakkelijke te omzeilen door middel van phising. Beter is om gebruik te maken van een fysieke sleutel: een beveiligde USB-stick die je tweede inlogcode vormt.”