Zo gaan hackers te werk op het bedrijfsnetwerk

 
De leuze van securitybedrijf F-Secure liegt er niet om: “Er zijn twee soorten bedrijven. Zij die gehackt zijn en zij die het nog niet weten.” Bovendien is dat maar de helft van het slechte nieuws. Doorgaans duurt het 200 dagen eer een bedrijf ontdekt dat het gehackt werd (en dan vaak nog enkel omdat de hackers losgeld vragen om hun cryptovirus te deblokkeren); meer dan tijd genoeg om alle belangrijke gegevens prijs te geven en de hacker te laten ontsnappen.
 
Dergelijke aanvallen beginnen steevast onschuldig. Meer dan een simpele phishing- of social engineering-aanval komt er niet bij kijken. Een eenvoudige e-mail met een onschuldig uitziende bijlage is voldoende om een heel bedrijfsnetwerk bloot te stellen aan de klauwen van een hacker. Vaak is gaat het dan om een Word- of Excel-document dat er vreemd uitziet. Office zal je dan zeggen dat je de volledige inhoud zal kunnen bekijken als je op het knopje ‘Enable Content’ klikt.

Macro’s

Het resultaat is dan dat je inderdaad de inhoud te zien krijgt, maar tevens heb je een macro de toegang gegeven tot je computer, zodat de hacker vanop afstand – zonder enige tegenwerking – zichzelf rechten kan toe-eigenen, programma’s kan installeren en in de instellingen van het bewuste toestel kan gaan rommelen.
 
De goede raad van beveiligingsgoeroe Mikko Hypponen is dan ook eenvoudig: “klik nooit, nooit, nooit op ‘Enable Content’”, het gaat immers altijd om malware. Let wel: een klik op ‘Enable Editing’ kan geen kwaad.

Sensitief en sensoren

Tijdens ons bezoek aan F-Secure werden we om de oren geslagen met de ene na de andere statistiek, de ene verontrustender dan de andere. 200 dagen om een aanval op te merken, een wachtwoord moet minstens tien tekens lang zijn en elke 12 maanden gewijzigd worden,… En ongeveer 60 procent van de werknemers zijn zo nieuwsgierig dat ze eender welke gevonden usb-stick in hun computer zullen steken.

Met e-mails, telefoontjes, fysieke aanvallen en valstrikken met usb-sticks zijn er kansen genoeg om als bedrijf in de klauwen van kwaadwilligen te vallen. F-Secure zou ons natuurlijk niet hebben uitgenodigd als ze daar geen oplossing voor hadden bedacht.
 
Het systeem dat inbraakdetectie moet verlagen van 200 dagen naar slechts een half uur heet Rapid Detection Service (RDS). Het idee is simpel: het bedrijfsnetwerk wordt uitgerust met een resem sensoren op kritieke plaatsen (zowel hardware- als softwarematig), zodat F-Secure aan de slag kan met de data die het daarvan ontvangt. Ontdekken algoritmes iets vreemd, dan wordt dat voorgelegd aan een menselijke securityspecialist die aan de alarmbel kan trekken.

Hacken en gehackt worden

De expertise voor zijn systeem haalt F-Secure bij de vele werknemers die – als ethische hackers – de taak krijgen om penetratietests uit te voeren. Dit team van werknemers kent momenteel een 100 procent succesgraad. Huurt een bedrijf F-Secure in om zijn veiligheid na te gaan, dan kan je er vanop aan dat je gehackt zal worden. Ze gaven ons dan ook graag een demo hoe ze (en echte hackers) hierbij te werk gaan, en hoe RDS soelaas kan bieden.

De testopstelling betreft twee workstations op basis van Windows 7 en een controller die het netwerk beheert. De hacktool van dienst heet ‘Cobalt Strike’; een tool die hacken haast even simpel maakt als het beheer van een netwerk. De test gaat ervan uit dat een werknemer toch eens op de enable contentknop heeft gedrukt. Van daaruit krijgt de hacker met simpele commandolijntjes toegang tot de volledige computer en het aansluitende netwerk.
 
Eens binnen houdt niets hem tegen: wachtwoorden worden opgevraagd met een simpel tooltje, documenten worden doorzocht, de firewall gaat uit, en wanneer de hacker klaar is, springt hij moeiteloos over naar de volgende pc. De handelingen zien er allemaal erg simpel uit; steeds gaat het om enkele toetsaanslagen en een muisklik, en het proces voltrekt zich automatisch.
 
Het goede nieuws is dat het er enkel simpel uitziet. Onder de motorkap vragen alle uitgevoerde commando’s erg complexe berekeningen van je computer, en die laten sporen na. Van zodra een programma als Cobalt Strike in actie treedt, krijg je via RDS – alweer een programma dat er erg simpel uitziet – en de sensoren te zien dat er iets aan het gebeuren is. Balkjes springen op uit de bodemlijn, aangevend hoeveel verdachte bewerkingen er zich afspelen per minuut.

Grondig doorgronden

De informatie wordt vervolgens geanalyseerd door cloudtoepassingen van F-Secure. Wordt een bewerking daadwerkelijk als ‘onrustwekkend’ bestempeld, dan wordt het voorgelegd aan een menselijke medewerkers. Wie RDS gebruikt, moet zich doorgaans nog geen zorgen maken: de hackers zijn wellicht nog bezig met het onderzoeken van de zogenaamde ‘honingpotten’, afleidingen die er interessant uitzien en hen bezighouden terwijl RDS in actie komt.
 
Vervolgens wordt elk aspect van de aanval onderzocht: hoe zijn ze binnengeraakt? Welke toestellen zijn besmet? Hoe gaan ze verder te werk? Waar mogelijk wordt de aanval in een sandboxomgeving gerepliceerd, ter bevordering van de algemene kennis.

Hoe vermijden?

De grote moeilijkheid met hackers is dat het gevaar er steeds zo banaal uitziet. Je kan tegen mensen zeggen dat ze nooit ofte nimmer op Enable Content mogen klikken, maar zo eenvoudig is zelfs dat niet. “Wat als je baas gehackt werd, zonder dat hij of jij dat weet, en je krijgt een mail van hem? De inhoud is onleesbaar, maar de boodschap ziet er belangrijk uit. Wat doe je?” vraagt Hypponen aan een aandachtig publiek.
 
“Het echte gevaar is onwetendheid,” zo weet Risto Siilasmaa, voorzitter van de raad van bestuur van F-Secure. “Bedrijven vragen ons om een penetratietest uit te voeren en wij zullen altijd slagen. Niet omdat ze niet beschermd zijn, maar omdat ze niet weten wat ze moeten beschermen. Ze vragen om ‘meer bescherming’, maar als ik hen vraag: ‘wat zijn de vijf meest prioritaire gebieden of onderwerpen die we moeten beveiligen?’, dan weten ze nooit wat te zeggen.” De eerste stap moet daarom altijd reflectie zijn, en het inhuren van ethische hackers.