Tag: HA30

U bent waarschijnlijk wel zo verstandig om een usb-stick van onbekende herkomst niet zomaar in uw computer te stoppen. Wie weet wat voor schadelijke software daarop staat. Maar bent u ook zo voorzichtig met een usb-kabeltje? Dat zou wel moeten.

Kevin Mitnick geeft me een oplaadkabel voor de iPhone. Als een volleerd goochelaar vraagt hij me eerst om er goed naar te kijken. Niets verdachts aan te zien. Hij stopt hem in de usb-poort van een laptop. Dan pakt hij een andere computer en ineens kan hij daarmee die laptop bedienen, inclusief de webcam. Anders dan een goochelaar laat hij ook zien hoe hij dat geflikt heeft. De usb-stekker van het kabeltje bevat een piepklein stukje extra hardware. Via bluetooth kan hij daarmee toetsaanslagen maken op de ‘gekaapte’ computer, waarop hij malware van internet heeft gedownload en geïnstalleerd.

White hat

Mitnick (56) noemt zichzelf ‘de beroemdste hacker ter wereld’. Toen hij na een twee jaar durende onlineklopjacht in februari 1995 werd opgepakt door de FBI, noemde die hem ’s werelds ‘meest gezochte hacker’. Het leverde hem een fikse gevangenisstraf op (niet zijn eerste), maar tegenwoordig is hij een zogenaamde white hat: een hacker die zich aan de wet houdt. Na vijf jaar in de cel heeft hij die witte hoed opgezet en adviseert hij nu bedrijven – en ons – over onze onlineveiligheid.

Tijdens ons etentje in het Trump International Hotel vertelt Mitnick over zijn beslissing om na zijn vrijlating in 2000 zijn expertise in te zetten om ‘mensen en bedrijven te helpen zich beter te beschermen’. Twee maanden na zijn vrijlating werd hij door een Senaatscommissie gevraagd om te komen vertellen over computerveiligheid. Hij had toestemming van de reclassering nodig om naar Washington te gaan. Hij zegt dat hij de wetgevers aanspoorde om ‘prioriteit te geven aan bewustwording van de gevaren bij burgers en overheden’. Hij haalt zijn schouders op: ‘Ik heb ze toen proberen te waarschuwen, negentien jaar geleden, maar ze hebben er niks mee gedaan.’

Tegenwoordig is computercriminaliteit, en de angst daarvoor, voortdurend in het nieuws. ‘De hackers hebben een voorsprong en de beveiligingsmensen hollen erachteraan,’ zegt Mitnick. Een week na ons etentje in juli maakt Capital One Financial Corporation bekend dat een cybercrimineel toegang heeft gehad tot de privégegevens van 106 miljoen mensen die bij de bank een creditcard hebben aangevraagd. In een telefoongesprek noemt Mitnick dat datalek ‘een les voor grote bedrijven, en ook voor kleine, dat je goed moet kijken naar de gevaren die er zijn’.

Een ander incident dat dit voorjaar veel publiciteit kreeg, was een computeraanval die de systemen van de gemeente Baltimore wekenlang lamlegde. Dit jaar zijn al 22 gemeentes door zulke ransomwareaanvallen getroffen, zegt de Amerikaanse vereniging van gemeenten, die in juli een resolutie heeft aangenomen om in zulke gevallen nooit losgeld te betalen. Mitnick vindt dat dom. ‘Die burgemeesters denken alleen maar in de trant van “dat kun je niet maken, dan financier je criminaliteit” of “misdaad mag nooit lonen”. Maar wat kan het mij als ondernemer nou schelen of de misdaad loont of niet. Ik wil gewoon mijn data terug, zodat mijn onderneming weer kan draaien.’

Volgens hem kunnen slachtoffers zich beter afvragen: ‘Is de “vergoeding” die ze eisen veel lager dan wat het me anders zou kosten om mijn data terug te krijgen?’ In Baltimore was het antwoord ja: het gevraagde losgeld bedroeg 13 bitcoins, zo’n 76.000 dollar. De hack schijnt de gemeente minstens 18 miljoen dollar te hebben gekost aan verloren inkomsten en herstelkosten.

En hoe zit het met het hacken van verkiezingen? ‘Alles valt te hacken als je tegenstander beschikt over een oneindige hoeveelheid tijd, geld, middelen en geduld,’ zegt Mitnick. En landen beschikken over alle vier. Hij heeft als onderaannemer geholpen de Ecuadoraanse presidentsverkiezingen van 2013 te beschermen tegen hackers die via internet probeerden in te breken bij het tellen van de stemmen. ‘Er zijn absoluut aanvallen gepleegd,’ zegt hij, ‘maar ze kwamen er niet in.’

Hij sluit niet uit dat hackers met stemmachines kunnen rommelen, al is dat volgens hem technisch heel lastig. Je moet jezelf dan bijvoorbeeld in de buurt van het gehackte apparaat bevinden, wat de pakkans enorm vergroot. De makkelijkste manier om verkiezingen te beïnvloeden is volgens hem de simpelste, zoals de truc die de Russen in 2016 zouden hebben gebruikt bij Hillary Clintons campagneleider John Podesta: een phishing mailtje met de mededeling dat hij zijn Google-wachtwoord moest veranderen. Zo konden de hackers in zijn Gmail inbreken en mails publiceren die het campagneteam in verlegenheid brachten.

Mitnicks eigen weg naar een plekje op de federale ‘Wanted’-posters begon heel onschuldig. Hij is geboren en getogen in Los Angeles. ‘Als kind was ik al gefascineerd door goochelaars,’ zegt hij. Goocheltrucs groeiden al snel uit tot practical jokes. Toen hij eenmaal wist hoe je radiosignalen kunt verzenden, gebruikte hij die kennis om via de intercom van een McDrive-restaurant puberale dingen naar de klanten te roepen. Lachend vertelt hij dat hij vooral graag paniekerig ‘Verstop de cocaïne!’ riep als er toevallig een politieauto stopte.

Op de middelbare school werden zijn vergrijpen serieuzer. ‘Dan hackte ik het telefoonbedrijf om grappen uit te halen met vrienden en familie,’ zegt hij. Phreaking werd dat toen genoemd. Een geliefde truc was een hack waardoor de telefoon van vrienden ging functioneren als een betaaltelefoon. Als ze dan iemand probeerden te bellen, hoorden ze een stem die zei dat er eerst een kwartje in het apparaat moest.

In 1981 belandde Mitnick voor het eerst in de cel nadat hij in een gebouw van Pacific Telephone geprobeerd had handleidingen voor hun systemen achterover te drukken. Hij was zeventien en kreeg drie maanden jeugddetentie. Maar hij kon het hacken niet laten, zegt hij: ‘Het was een obsessie, een verslaving.’In 1989 werd hij door de federale rechter veroordeeld voor het hacken van Digital Equipment Corporation met de bedoeling de broncode van een besturingssysteem te stelen. Hij moest bijna een jaar zitten.

Daarna begon hij telefoonbedrijven te hacken om erachter te komen hoe de nieuwste mobiele telefoons werkten – Motorola, Nokia en NEC behoorden tot zijn slachtoffers. Hij trok de aandacht van de FBI en dat wist hij, want hij hield stiekem ook hun telefoonactiviteit in de gaten. Hij sloeg op de vlucht. Nadat hij 26 maanden had geleefd onder verschillende schuilnamen, waaronder Eric Weiss, de echte naam van Harry Houdini, werd hij op een nacht van zijn bed gelicht in Raleigh, in North Carolina. Met hand- en voetboeien en een ketting om zijn middel werd hij afgevoerd. Hij bekende schuld aan een hele reeks gevallen van telefoon- en computerfraude.

Criminelen bieden tegenwoordig ‘ransomware als dienst’ aan

Inmiddels heeft hij zijn eigen adviesbureau. Organisaties betalen hem nu om in hun systeem in te breken en kwetsbaarheden aan te wijzen die criminelen kunnen uitbuiten. Hij zegt dat hij nog nooit een systeem is tegengekomen waar hij niet binnen kon komen. Hij houdt jaarlijks ook tientallen lezingen op conferenties over computerbeveiliging en is Chief Hacking Officer – ja, dat is echt zijn officiële functie – van KnowBe4, een beveiligingsbedrijf dat zichzelf omschrijft als een ‘team van vrijdenkende techneuten’.

De misdaad heeft hij twintig jaar geleden afgezworen, maar hij ziet bovendien een verschil tussen zijn eigen misdrijven en die van de hackers van tegenwoordig. Voor hem was hacken ‘het oplossen van een puzzel’, zegt hij. Hij kwam daarmee wel in het bezit van creditcardgegevens en waardevolle broncodes, maar ‘het geld interesseerde me geen bal. Het ging mij om het avontuur en de jacht op kennis.’ De wederrechtelijk verkregen bedrijfsgeheimen noemt hij bij herhaling een ‘trofee’.

Hij is nostalgisch naar de tijd van de ‘oldskool hackers’ die zich hielden aan het ‘ethische voorschrift’ dat ‘je niet hackt om schade aan te richten of geld te verdienen’. Het is allemaal veranderd toen bedrijven op internet zaken begonnen te doen, zegt hij. ‘Ik denk dat het eerder zo is dat criminelen zich het hacken eigen hebben gemaakt om beter te kunnen stelen en frauderen. Ik denk niet dat hackers criminelen zijn geworden.’

En computercriminaliteit is ook makkelijker geworden. Je ‘hoeft er geen technisch expert voor te zijn’, zegt Mitnick. Criminelen bieden tegenwoordig ‘ransomware als dienst’ aan: een soort franchisemodel voor digitale afpersing. Schadelijke programma’s worden op het darkweb te koop of te huur aangeboden. De afnemer stuurt phishingmailtjes om slachtoffers te verleiden tot het aanklikken van een link waarmee software wordt geïnstalleerd die hun computer lamlegt. Dan wordt er losgeld geëist, en de opbrengst daarvan wordt door de uitbater van de malware gedeeld met de leverancier. Volgens Coveware, een cyberbeveiligingsbureau dat bedrijven helpt zich hiertegen te beschermen, was het gemiddelde bedrag dat in het eerste kwartaal van 2019 aan losgeld werd geëist bijna 13.000 dollar.

De daders kunnen dit vaak straffeloos doen, omdat ze vanuit een ander land opereren. Daarom zegt Mitnick ook: ‘Elk bedrijf moet de situatie in eigen hand nemen, de risico’s analyseren en mensen, processen en technologie inzetten om de kans op een infectie te verkleinen.’ En er moet een ‘incidentenplan klaarliggen om de data zo snel mogelijk te kunnen herstellen’ als een aanval toch succes heeft. Dat houdt onder meer in: ‘goede backups, op een locatie die niet verbonden is met het netwerk’.

Voor een goede preventie is training cruciaal. Als werknemers een paar voorbeelden van phishingmails hebben gezien ‘wordt hun blik een stuk kritischer’, zegt Mitnick. Maar ‘training alleen is niet genoeg’: alleen oefening baart weerbaarheid. Hij raadt bedrijven aan om hun werknemers zelf met phishingmails op de proef te stellen. Dat zoiets het moreel ondermijnt, wuift hij weg: de managers moeten vooraf goed uitleggen dat het bedoeld is om ‘de kracht van de “menselijke firewall” te verbeteren’. Elke medewerker die erin trapt, krijgt een trainingsfilmpje voorgeschoteld.

Social engineering

Volgens Mitnick zijn vooral het midden- en kleinbedrijf kwetsbaar voor aanvallen met ransomware: ‘Die hebben geen beveiligingsafdeling. Ze hebben alleen een ICT-mannetje dat ze op afroep bellen, en als ze die bellen is het meestal al te laat.’ Maar ook bedrijven met onbeperkte middelen voor de beveiliging van hun systemen blijven afhankelijk van de zwakste schakel: ‘het menselijke element’. Werknemers zijn kwetsbaar voor wat hackers ‘social engineering’ noemen: ‘Al heb je de beste technologie ter wereld,’ zegt Mitnick, ‘zolang ik iemand in je bedrijf kan bellen, mailen of op een andere manier kan benaderen, kan ik die technologie meestal omzeilen door die persoon te manipuleren.’ Hij spreekt uit ervaring.

In zijn jonge jaren was hij er heel bedreven in om bedrijven te bellen en argeloze ‘collega’s’ zover te krijgen dat ze hem allerlei wachtwoorden en andere bedrijfsgeheimen gaven waarmee hij in hun systemen kon inbreken.

Tegenwoordig lukt hem dat zelfs zonder op iemand in te praten. Ter demonstratie vraagt hij om mijn e-mailadres en dat van een aantal mensen die ik ken. Met enkele toetsaanslagen weet hij op zijn laptop een van mijn wachtwoorden te achterhalen. Ik schrik me rot. Hij wijst naar het wachtwoord van iemand anders, dat is ‘lawyer1’. Het is waarschijnlijk een oud wachtwoord, zegt hij, maar ook dat kan nuttig zijn. ‘Als ik zou proberen in te breken, zou ik nu eerst lawyer2, lawyer3, lawyer4, lawyer5 uitproberen.’ Je moet altijd een website totaal willekeurige lange wachtwoorden laten genereren, en die moet je opslaan in een passwordmanager die niet beveiligd is met een wachtwoord maar met een wachtwoordzin, die nooit geraden kan worden.

Ik ben zo onder de indruk van zijn kunsten dat ik de verleiding niet kan weerstaan om hem nog iets te vragen: zou hij in de computers van mijn oude rechtenfaculteit kunnen inbreken om mijn zeventje voor het vak bejaardenrecht te veranderen in de negen die ik eigenlijk verdiende? Hij moet lachen: ‘Dat soort vragen krijg ik altijd.’