Bescherm jezelf tegen hacking-gadgets, herken een hacking aanval

Veel hacking-gadgets beheersen complexe IT-aanvallen, waar anders veel moeite en kennis van zaken voor nodig zijn. In dit artikel bespreken we enkele bedreigingen en leggen we uit hoe je jezelf tegen een hacking aanval kunt bewapenen – voor zover mogelijk.

Bij een USB-HID-aanval doet de hacking-gadget zich als toetsenbord voor om vliegensvlug een reeks commando’s in te typen. Een apparaatje als bijvoorbeeld USB Rubber Ducky, Bash Bunny, USB Armory of Digispark USB-Board mag daarbij alles doen wat de aangemelde gebruiker mag. En dat is voldoende om bijvoorbeeld een permanente backdoor in het systeem te plaatsen of vertrouwelijke documenten en opgeslagen wachtwoorden te kapen. Daarvoor roept de hacking-gadget bijvoorbeeld het dialoogvenster ‘Uitvoeren’ van Windows op, start de Opdrachtprompt met administratorrechten, bevestigt het daarop volgende UAC-venster met Alt+J en typt daarna een Powershell-script in, dat de wachtwoord-dumptool mimikatz van internet downloadt en uitvoert.

Op internet is een grote hoeveelheid aan proof-of-concept scripts te vinden die de gevaren van dit type aanval laten zien. Sommige zoals het bovengenoemde voorbeeld zijn gevaarlijk; andere zijn onschadelijk en veranderen bijvoorbeeld alleen de achtergrond van je bureaublad – om te laten zien dat je als gebruiker geen controle meer hebt over je systeem. Het aangevallen systeem ziet alleen een nieuw usb-toetsenbord en behoorlijk veel, behoorlijk snel ingetypte commando’s. Welk besturingssysteem op het systeem draait is onbelangrijk. Het aanvalsscript hoeft er alleen op afgestemd te zijn. Met een USB-OTG-adapter zijn zelfs Android-apparaten niet veilig. Bijvoorbeeld om automatisch alle mogelijke pin-combinaties uit te proberen.

Je kunt je hiertegen beveiligen door je computer te vergrendelen als je afwezig bent en een gezond wantrouwen te hebben voor vreemde usb-sticks. Sluit nooit een usb-stick op je computer aan die je gevonden hebt. En al helemaal niet, als het om een Windows-systeem gaat. De meeste aanvallen richten zich zoals bekend op het besturingssysteem van Microsoft omdat dat het meest wordt gebruikt. En als het niet anders kan, moet je een systeem gebruiken, dat niet aan het bedrijfsnetwerk hangt en waar bovendien niets te halen valt. Verder bestaat er onder Windows de mogelijkheid om het installeren van nieuwe toetsenborden te verhinderen. De makkelijkste manier is de gratis tool ‘USB Keyboard Guard‘ van G Data. Deze vraagt eerst toestemming aan de gebruiker voordat hij een nieuw toetsenbord accepteert. Maar je kunt nieuwe usb-invoerapparatuur ook met Windows’ eigen middelen verhinderen via een groepsbeleid.

Met GData’s tool USB Keyboard Guard moet je voor het gebruik van een nieuw toetsenbord eerst toestemming geven.

Netwerkverkeer is voor hackers een waardevol doelwit. Tenslotte valt hier het nodige te halen. Nog steeds worden toegangsgegevens voor het inloggen op e-mailaccounts, ftp-servers etc. vaak in leesbare tekst doorgestuurd. Ook als de gebruikers ondertussen eigenlijk beter zouden moeten weten. Daarnaast gaan de zogenaamde NTLM-hashes (NT LAN Manager) over het netwerk. Deze zijn synoniem met het wachtwoord van het Windows-gebruikersaccount. Een hacker kan zich daarmee voor zijn slachtoffer uitgeven tegenover diensten in het lokale netwerk. De simpelste manier om het verkeer van de bekabelde netwerkverbinding passief mee te lezen is LAN Tap Pro. Deze tool hang je gewoon tussen de computer en het netwerk in. Ook met het vrij te configureren accesspoint WiFi Pineapple kun je het netwerkverkeer onderscheppen.

Bash Bunny gebruikt een nogal vindingrijke manier om het netwerkverkeer af te luisteren. Het apparaat heeft geen RJ45-aansluiting en geen wifi, maar gebruikt usb om het verkeer af te tappen. Het meldt zich bij de computer aan als usb-netwerkadapter en voorziet hem via DHCP van een speciale netwerkconfiguratie. Daarmee brengt hij het systeem ertoe om de nieuwe interface prioriteit te geven boven de al aanwezige netwerkpoorten. De computer probeert dus voortaan via Bash Bunny met het netwerk te communiceren. Daarlangs krijgt hij op zijn requests echter geen antwoord van de legitieme communicatie-partners, maar van de pentesting tool Responder. Deze is gespecialiseerd in het onderscheppen van toegangsgegevens in leesbare tekst en van hashes. Hij ligt op de loer voor als de computer een authenticatiepoging start. Het maakt niet uit of het om SMB, HTTP(S), LDAP, FTP, POP3, IMAP of SMTP gaat, de Responder geeft antwoord en neemt de buit maar al te graag in ontvangst.

Dit type aanval is bijzonder gevaarlijk, omdat het ook werkt als de computer vergrendeld is. Het draaiende systeem onderneemt ook in deze toestand namelijk loginpogingen, bijvoorbeeld om op nieuwe e-mails te checken. Je kunt je tegen dit soort aanvallen nauwelijks beschermen. Zelfs als de usb-poorten uitgeschakeld en met een lijmpistool dichtgekit zijn, is er meestal ook nog de netwerkaansluiting. Als je in elk geval aanvallen via usb-netwerkadapters wilt voorkomen, kun je bijvoorbeeld onder Windows met het groepsbeleid verhinderen dat nieuwe usb-netwerkadapters zich bij het systeem kunnen aanmelden.

RFID en NFC-techniek is overal. In een passieve vorm zit het in toegangskaarten, ov-chipkaarten, pinpassen of autosleutels. De werking is steeds hetzelfde: binnenin zit een spoel die met een microchip is verbonden. Het leesapparaat genereert een magneetveld, waarmee een spanning in de spoel wordt opgewekt. Daarmee wordt de chip van energie voorzien. De chip gebruikt de spoel als antenne om informatie naar het leesapparaat te sturen, bijvoorbeeld een identificatiecode. Het bereik is maar een paar centimeter. Vervang je het leesapparaat door de Proxmark3, dan kun je niet alleen het bereik vergroten, maar ook allerlei aanvallen met de RFID-techniek uitvoeren. Sommige smartcards en RFID-tags gebruiken al gekraakte of helemaal geen veiligheidsconcepten. Daardoor krijgen aanvallers de gelegenheid ze uit te lezen, te manipuleren of te klonen.

Vooral de wijdverbreide smartcards van het type MIFARE Classic hebben daaronder te lijden. Ze bevatten 1 of 4 kB aan EEPROM-geheugen, dat in blokken onderverdeeld is en alleen met kennis van de betreffende sleutel gelezen en beschreven kan worden. Door een kwetsbaarheid in de chip heb je echter genoeg aan de kennis van een enkele sleutel om achter de andere te komen (nested attack). Ongebruikte blokken gebruiken vaak standaard sleutels. Deze zijn al bekend en kunnen snel uitgeprobeerd worden. Zo konden we binnen enkele minuten een kantinekaart uitlezen en naar een tweede kaart kopiëren. Staat het tegoed lokaal op de kaart opgeslagen, dan is het geen probleem om de dump van een opgeladen kaart steeds weer erop te zetten en zo gratis maaltijden te bemachtigen. Bij speciale smartcards uit China is ook het normaal onveranderlijke serienummer (UID) te vervangen. Daarmee is de gekloonde kaart technisch niet van het origineel te onderscheiden.

Dit probleem speelt ook met veel toegangskaarten. In een onbewaakt moment zou een hacker een kaart kunnen pikken, klonen en ongemerkt weer kunnen terugleggen. In theorie heb je genoeg aan een overvolle trein om dicht genoeg bij een NFC-kaart te komen. Nieuwere typen kaarten, zoals de MIFARE DESFire EV1 en EV2, gelden daarentegen vanwege hun betere versleutelings-procedé tot nu toe als veilig.

De mobiele communicatiestandaard GSM geldt niet meer als veilig. Al langere tijd gebruiken overheidsdiensten en cybercriminelen zogenaamde IMSI-catchers. Hiermee kun je niet alleen deelnemer-ID’s (IMSI) en serienummers van mobieltjes (IMEI) lokaal onderscheppen, maar ook afluisteren. De apparaten kunnen een man-in-the-middle aanval uitvoeren, om zich in de gsm-verbinding van een doelpersoon te nestelen.

Daartoe zetten de IMSI-catchers een radiocel op. Als het signaal sterk genoeg is, maakt de mobiele telefoon van het slachtoffer hiermee automatisch verbinding. De radiocel dwingt de mobiele telefoon om alle data onversleuteld (A5/0) door te sturen. Hierdoor is de verbinding makkelijk af te luisteren. De IMSI-catcher geeft de gegevens netjes door aan de legitieme radiocel zodat de verbinding tot stand gebracht kan worden.

Veel gevaarlijker, want niet traceerbaar, zijn passieve afluisteracties. In 2009 berekende veiligheidsonderzoeker Karsten Nohl twee terabyte aan rainbow tables, waarmee de bij gsm gebruikte A5/1-versleuteling binnen enkele minuten offline te kraken is. Deze zogenaamde A5/1-tables zijn online beschikbaar. Volgens gsmmap.org gebruikte in 2017 in Nederland nog steeds meer dan 40 procent van de radiocellen het A5/1- en niet het veiligere A5/3-protocol, dat potentieel te hacken is. Het rapport voor 2019 ziet er al iets beter uit, maar de beveiliging is zeker nog niet waterdicht.

Daardoor hoeven hackers met een Software Defined Radio (SDR) zoals -HackRF One alleen maar de juiste frequenties af te luisteren om vervolgens met de tool Kraken sms of spraak-streams te decoderen. En het kan nog goedkoper. DVB-T-sticks met RTL2832U-chip zijn met de bijbehorende drivers eveneens als SDR-ontvangers te gebruiken (RTL-SDR). Ze zijn wel niet zo nauwkeurig als HackRF, maar kosten met prijzen van circa 20 euro maar een fractie. De sticks dekken de gsm 900-band af, maar niet gsm 1800.

Omdat sinds UMTS het mobieltje zich niet alleen bij het basisstation, maar ook het basisstation zich bij het mobieltje moet authenticeren, zijn man-in-the-middle aanvallen daar niet zomaar meer mogelijk. Bovendien is de gebruikte versleuteling sterker dan bij gsm. Voor je veiligheid moet je daarom zoveel mogelijk van gsm (2G) afzien en UMTS (3G) of LTE (4G) gebruiken. Je kunt hiervoor overigens niet altijd kiezen, omdat de dekking van de afzonderlijke providers hiervoor niet altijd voldoende is. Bovendien hebben niet alle smartphones in hun instellingen een optie om alleen 2G uit te zetten. Daarom is het vaak een kwestie van afwachten totdat de rest van de basisstations naar het A5/3-protocol is overgezet of gsm helemaal buiten gebruik wordt gesteld.

Secure Shell (SSH) is de standaardmanier om op afstand een Unix-systeem te benaderen. Om te zorgen dat een systeem via ssh vanuit internet bereikbaar is, moet je een port-forwarding opzetten. Deze zorgt ervoor dat de router aanvragen van buiten die op een bepaalde poort binnenkomen doorstuurt naar een systeem in het lokale netwerk. Dat is een probleem voor een hacker die een apparaat zoals de LAN Turtle in het lokale netwerk plaatst, als het hem niet lukt de configuratie van de router of de firewall aan te passen. Zodra hij de plaats van handeling verlaat, kan hij niet meer bij de hacking hardware. Maar er is een eenvoudige truc om op afstand toch toegang te krijgen. Hij gaat er niet vanuit dat zijn apparaat van buitenaf toegankelijk is, maar gebruikt uitgaande verbindingen die normaal gesproken helemaal niet of nauwelijks tegengehouden worden.

De LAN Turtle kan met de tool Auto-SSH een zogenaamde reverse ssh-tunnel opbouwen. Daarbij bouwt het apparaat een uitgaande ssh-verbinding met een server op internet op. De aanvaller maakt eveneens contact met die server en kan hierlangs voortaan willekeurige commando’s naar zijn apparaat in andermans netwerk sturen. Systeembeheerders kunnen dit maar moeilijk voorkomen omdat de hacker zijn ssh-verbinding bijvoorbeeld via de toegestane poort 80 voor http kan opbouwen. Om zulke achterwaarts gerichte verbindingen tegen te gaan, heb je een zogenaamde Deep Packet Inspection (DPI) nodig. Daarbij let bijvoorbeeld de firewall erop, dat via poort 80 ook daadwerkelijk http gesproken wordt – en niet het geheel anders opgebouwde ssh. Maar dat is in de praktijk makkelijker gezegd dan gedaan.

Aanvallen op wifinetwerken komen heel veel voor. Het kraken van een wifi met een verouderde versleuteling, gaten in wps of berekenbare standaardwachtwoorden zijn geen hogere kunst meer. Ga voor veiliger wachtwoorden bijvoorbeeld uit van deze richtlijnen. In plaats van in vreemde netwerken in te breken, kunnen hackers hun doelen ook simpelweg naar zich toe lokken. Met geschikte hardware zoals de WiFi Pine-apple kun je heel eenvoudig wifi-hotspots opzetten en daarmee man-in-the-middle aanvallen uitvoeren. Het meest voor de hand liggende scenario is om de Pineapple via usb, ethernet of een ander wifinetwerk met internet te verbinden en een eigen wifi met een sprekende naam zoals ‘KPN’ of ‘Albert Heijn’ op te zetten. Als de client op een eerder tijdstip met een gelijknamig netwerk was verbonden, zal hij de verbinding zelfs automatisch herstellen. Nog geraffineerder is de KARMA-aanval. Daarbij luistert de Pineapple naar de zogenaamde probe requests van de omliggende wificlients. Daarmee zoeken de clients naar netwerken waarmee  ze al eerder verbonden waren. Ontvangt een accesspoint binnen het bereik zo’n request, dan antwoordt hij met een ‘Hallo, hier ben ik!’ Tenminste als hij zich door de gezochte netwerknaam aangesproken voelt.

Ook de Pineapple antwoordt op probe requests – maar dan op allemaal. Vraagt een client naar het netwerk ‘FnL_gasten’, dan beweert de Pineapple dat hij daarbij hoort en de client bouwt een verbinding met de oplichter op. Zo krijgt iedere client zijn eigen wifi voorgespiegeld, waarvan hij denkt dat het bekend is. Een hacker kan vervolgens het verkeer van de client onderscheppen, omleiden of manipuleren. Phishing-sites zijn in deze positie eveneens makkelijk op te zetten. En dankzij ip-forwards met dnsspoof worden die door wifigebruikers ook gegarandeerd bezocht, ongeacht welke URL’s eigenlijk aangestuurd werden. De aanvaller kan zijn slachtoffers bovendien naar websites vol exploits lokken. Omdat alle clients zich in zijn eigen lokale netwerk bevinden, kan de aanvaller ze bovendien met de tool metasploit ongestoord op zwakke plekken aftasten.

Wanneer de clients zich niet vrijwillig met het valse netwerk laten verbinden, omdat ze al met een ander wifinetwerk verbonden zijn, dan kan de aanvaller ze daar ook met nadruk toe aanzetten. De wifistandaard voorziet in zogenaamde deauthentication-pakketten. Hiermee kan een accesspoint aan de met hem verbonden clients een signaal geven  dat de verbinding verbroken moet worden. De meeste clients breken de verbinding vervolgens af. Deze speciale pakketten zijn niet versleuteld en kunnen makkelijk vervalst worden. Wanneer de aanvaller enkele deauthentication-pakketten met het mac-adres van een legitiem accesspoint verstuurt, dan kappen diens clients de verbinding. De gadget WiFi Deauther kan op deze manier willekeurige netwerken aanvallen, zelfs met een druk op de knop, en maakt ze onbruikbaar. Daarop gaan de clients op zoek naar een ander netwerk en vinden de kwaadaardige oplichter van de aanvaller.

Met gratis wifihotspots moet je dus voorzichtig zijn, omdat ze niet te vertrouwen zijn. Gebruik liever een mobiel netwerk (3g of 4g) of bescherm jezelf op een openbaar wifi tenminste met een versleutelde vpn-tunnel.

(Ronald Eikenberg/David Wischnjak, c’t magazine)