Een inkijkje in de wereld van hacken | Unica

Een inkijkje in de wereld van hacken

Een inkijkje in de wereld van hacken

Je hoort het regelmatig in het nieuws: organisaties die getroffen worden door cyberaanvallen, datalekken of gijzelsoftware. Maar hoe gaat zo'n aanval eigenlijk in zijn werk? En wat kun je ertegen doen? Als organisatie houden we onze medewerkers voortdurend op de hoogte van de laatste ontwikkelingen op ICT-gebied. Maandelijks organiseren we kennissessies waar collega's worden bijgeschoold en specialisten hun expertise delen. In deze blog neem ik je mee in een bijzondere kennissessie waarin we samen met collega's in de huid van een hacker kropen.

Een ongemakkelijke rol

"Vandaag zijn jullie de aanvallers." Met deze woorden begon onze kennissessie over cybersecurity. Als security consultants voelde dit enigszins tegenstrijdig. Dagelijks besteden we immers veel tijd aan het beschermen van netwerken en het afslaan van aanvallen in ons Security Operations Center (SOC). Elke dag zien we meldingen voorbijkomen van allerlei soorten cyberaanvallen en nemen we maatregelen om ze tegen te gaan.

Maar deze keer mochten we zelf de aanvallers zijn. We kregen de kans om in een gecontroleerde omgeving onze eigen testsystemen aan te vallen. De spanning was voelbaar in de ruimte - voor even bevonden we ons aan de andere kant van het scherm.

Let op: Het is belangrijk om te benadrukken dat hacken zonder toestemming strafbaar is. Wat wij in deze sessie deden, was ethisch hacken in een gecontroleerde omgeving met toestemming. In feite is ongeoorloofd hacken een vorm van digitaal inbreken, met alle juridische consequenties van dien. 

De verschillende gezichten van hackers

Voordat we aan de slag gingen, bespraken we de verschillende soorten hackers die we in het digitale landschap tegenkomen. Want niet alle hackers zijn hetzelfde - ze verschillen vooral in hun motivatie:

  • De hacktivist is te vergelijken met een digitale activist. Deze hacker handelt vanuit een bepaalde overtuiging of ideologie, zoals een milieuactivist dat ook doet, maar dan in de digitale wereld.

  • De cybercrimineel heeft één duidelijk doel: geld verdienen. Het maakt niet uit wat of wie het doelwit is, zolang er maar financieel gewin te behalen valt.

  • Een voorbeeld van een cyberterroristische groep is 'Lockbit', een beruchte ransomware-organisatie die toevallig net vóór onze sessie zelf slachtoffer werd van een hack via een kwetsbaarheid op hun eigen website.

De aanval begint: Phishing als startpunt

De meeste cyberaanvallen beginnen nog steeds met een ogenschijnlijk onschuldige e-mail. Phishing is nog altijd een van de meest effectieve methoden voor hackers - het is eenvoudig, goedkoop en kan op grote schaal worden uitgevoerd. In onze demonstratie lieten we zien hoe aanvallers met één phishing-mail toegang kunnen krijgen tot gebruikersnamen en wachtwoorden.

"Maar we hebben toch multifactor-authenticatie (MFA)?" vroeg een van de deelnemers. Inderdaad, vele organisaties hebben deze extra beveiligingslaag inmiddels geïmplementeerd. Bij het inloggen ontvang je dan een melding op bijvoorbeeld je smartphone met de vraag "Ben jij dit zelf?", waarna je kunt bevestigen of, nog beter, een specifieke code moet invoeren die op je scherm wordt weergegeven.

Echter, tijdens onze sessie demonstreerden we hoe zelfs deze extra beveiligingsmaatregel kan worden omzeild. We lieten zien hoe een aanvaller een nepinlogpagina kan maken die identiek lijkt aan de echte. Wanneer een onwetend slachtoffer hierop inlogt, worden de inloggegevens doorgestuurd naar de aanvaller, die ze direct kan gebruiken om in te loggen op het echte systeem.

De verbazing op de gezichten van onze collega's was veelzeggend toen we demonstreerden hoe snel dit proces verloopt. Normaal gesproken zou ons SOC direct actie ondernemen bij zo'n verdachte inlogpoging, maar voor deze demonstratie negeerden we bewust het alarm om te laten zien hoe gemakkelijk een aanvaller toegang kan krijgen tot het bedrijfsnetwerk door één simpele klik op 'akkoord'.

De anatomie van een hackaanval

Een succesvolle hack verloopt volgens een gestructureerd proces. We lieten zien hoe een doorgewinterde hacker te werk gaat:

1. Verkenning: Informatie is macht

"Weet je wat het meest tijdrovende onderdeel van een hack is?" vroeg ik aan de groep. "Het daadwerkelijk binnendringen in het systeem?" opperde iemand. "Nee," antwoordde ik, "het verzamelen van informatie."

Ongeveer 70% van de tijd die een hacker besteedt aan een aanval gaat op aan het verzamelen van informatie over de doelorganisatie. Sociale media zoals LinkedIn en Facebook zijn hierbij goudmijnen. Hier vinden aanvallers informatie over:

  • Wie de sleutelfiguren zijn binnen een organisatie
  • Welke personen bevoegd zijn om betalingen te doen
  • Welke systemen de organisatie gebruikt (vaak te herleiden uit vacatureteksten)
  • Technische informatie zoals IP-adressen die mogelijk toegang bieden tot het bedrijfsnetwerk

Tijdens onze sessie demonstreerden we hoe we met behulp van Shodan (een zoekmachine voor internetverbonden apparaten) en andere tools binnen enkele minuten veel informatie over een fictieve organisatie konden verzamelen.

2. Scannen: Op zoek naar zwakke plekken

Na de verkenningsfase volgt het scannen van systemen. We voerden scans uit vanaf zowel een extern als een intern systeem om kwetsbaarheden in kaart te brengen.

Op het externe systeem bootsten we een bekende aanvalsmethode na op een systeem waar de beveiliging bewust niet op orde was. Het was schokkend om te zien dat het slechts 3,5 minuten duurde om duizend verschillende wachtwoorden te proberen. Met een dergelijke 'brute force'-aanval kan een zwak wachtwoord razendsnel worden gekraakt.

Bij de interne scan ontdekten we dat het doelsysteem een webserver was met een verborgen directory waar we een kwaadaardig script konden uploaden en uitvoeren. Omdat het systeem al enkele weken niet was bijgewerkt, kregen we direct toegang. Dit benadrukte het belang van het regelmatig updaten van systemen - een les die de aanwezigen direct ter harte namen.

3. De toegangsdeur kraken

Vervolgens kwamen we bij een toegangsdeur met een code die bestond uit cijfers (0-9) en letters (A-F). Omdat hier nauwelijks woorden van gemaakt konden worden, gebruikten we geen woordenlijstaanval maar een 'brute force'-aanval.

"Hoeveel mogelijke combinaties zijn er eigenlijk met cijfers 0-9 en letters A-F bij een code van 4 tekens?" vroeg een deelnemer. "Dat zijn er 16^4, oftewel 65.536 combinaties," antwoordde ik. "Maar voor onze demonstratie gebruiken we een kortere code van slechts 4096 mogelijkheden."

Met behulp van speciale tools genereerden we alle mogelijke combinaties en probeerden deze systematisch uit. Omdat er op dit systeem geen alarm was geactiveerd dat het aantal mislukte pogingen limiteerde, duurde het slechts enkele minuten voordat we de juiste code hadden gevonden.

4. Toegang behouden: De achterdeur openzetten

Een hack is pas succesvol als de aanvaller langere tijd toegang houdt tot het systeem. Als het gecompromitteerde account wordt uitgeschakeld, het MFA-token verloopt of als het wachtwoord wordt gewijzigd, verliest de aanvaller de toegang.

Daarom demonstreerden we hoe een aanvaller een 'achterdeur' kan creëren. We installeerden een 'reverse shell' waarbij vanuit het gecompromitteerde systeem een proces wordt opgestart dat verbinding maakt met de computer van de aanvaller. Omdat het verkeer hierbij van binnen naar buiten gaat, wordt dit veel minder snel opgemerkt door beveiligingssystemen.

"Stel je voor dat dit in een echte omgeving gebeurt," legde ik uit. "De aanvaller heeft nu een permanente toegang tot het systeem, zelfs als het oorspronkelijke lek wordt gedicht. Vanuit deze positie kan hij verdere systemen verkennen, meer toegangsrechten verkrijgen, of data stelen."

5. Sporen wissen: Geen bewijs achterlaten

Als laatste stap in het hackproces toonden we hoe een aanvaller zijn sporen kan wissen. We bekeken de logbestanden van het systeem, waarin duidelijk te zien was waar de hack had plaatsgevonden, welke gebruiker was gecompromitteerd en hoe de aanvaller het wachtwoord had gevonden.

Een professionele aanvaller zou deze logbestanden manipuleren of verwijderen om zijn aanwezigheid te verhullen. Dit maakt het voor beveiligingsanalisten veel moeilijker om een hack te detecteren en te onderzoeken.

De WiFi-kwetsbaarheid

Om de sessie af te sluiten, demonstreerden we hoe eenvoudig het is om verschillende wifi-netwerken te hacken. We toonden aan dat verschillende wifi-encrypties verschillende niveaus van bescherming bieden, maar dat uiteindelijk elk wachtwoord kan worden geraden - het is slechts een kwestie van tijd.

Vooral bij verouderde WEP-encryptie werd dit pijnlijk duidelijk. Binnen enkele minuten hadden we toegang tot een netwerk dat met deze technologie was beveiligd. De moderne WPA3-standaard biedt aanzienlijk betere bescherming, maar is nog niet overal geïmplementeerd.

Een belangrijke best practice die we deelden: koppel wifi-toegang aan individuele gebruikersaccounts. Hiermee kan de toegang voor medewerkers die uit dienst gaan direct worden stopgezet door het account te deactiveren, zonder dat het algemene wifi-wachtwoord hoeft te worden gewijzigd.
 

Digitale Weerbaarheidsscan


Conclusie: Bewustwording is de eerste stap naar betere beveiliging

Na afloop van de sessie was iedereen onder de indruk van hoe relatief eenvoudig het kan zijn om systemen te compromitteren. Maar het gaf ook een hoopvol gevoel - met de juiste kennis en aanpak kunnen we veel van deze aanvallen tegenhouden.

De belangrijkste lessen die we meenamen:

  1. Updaten, updaten, updaten: Houd alle systemen en software up-to-date om bekende kwetsbaarheden te dichten.
  2. Sterke authenticatie: Implementeer robuuste MFA en train medewerkers om phishing-pogingen te herkennen.
  3. Monitoring: Zorg voor 24/7 monitoring van je netwerk om verdachte activiteiten snel te detecteren.
  4. Beperking van rechten: Geef medewerkers alleen toegang tot de systemen die ze nodig hebben voor hun werk.
  5. Bewustwording: Regelmatige training en bewustwordingscampagnes zijn essentieel om medewerkers alert te houden.
Grijp in met de juiste beveiligingsmaatregelen

Grijp in met de juiste beveiligingsmaatregelen

Als jouw organisatie ook wil zorgen dat medewerkers op veilige wijze kunnen e-mailen, je netwerk optimaal beveiligd blijft en je ICT-omgeving 24/7 met Managed Detection & Response (MDR) wordt gemonitord op dreigingen, neem dan contact op met onze securityspecialisten. Want in de wereld van cybersecurity is stilstand achteruitgang. De hackers zitten niet stil, en wij dus ook niet.

ontdek meer over security governance
Ontdek meer over MDR
Ontdek meer over netwerkbeveiliging
Ontdek meer over veilig mailen

Stel je vraag, vertel je verzoek of leg je uitdaging voor aan onze specialisten

Denk je na het lezen van deze blog ‘Help!, heb ik mijn beveiliging wel op orde?’ en ‘Zijn mijn medewerkers wel goed getraind in het signaleren van hackpogingen!?’. Of wil je meer weten over security in de breedste zin van het thema, liever toegespitst om een bepaald onderdeel van jouw organisatie op het gebied van beveiliging uit te lichten of ben je nieuwsgierig naar ons Security Operations Center?

Wat je vraag, uitdaging of verzoek ook is, laat ons jou meenemen in de wereld van digitale mogelijkheden. Onze securityspecialisten staan voor je klaar.