In films doen hackers altijd de meest fantastische dingen. In no time breken ze van buiten en gebouw door de firewalls heen die een bedrijf heeft. Nog een aantal toetsaanslagen later en ze hebben toegang tot de mainframe en nog even later hebben ze de informatie die ze nodig hebben, het geld overgeboekt of gegevens gewijzigd.
Toch blijkt dat soms niet zó vreselijk ongeloofwaardig. Netregard is een bedrijf dat je kunt inhuren om (o.a.) te laten controleren hoe goed de beveiliging binnen jouw bedrijf op dat gebied wel niet is. En het verhaal van een van hun cases kan zo in een film. Ze waren ingehuurd door een bedrijf. Dat bedrijf had vooraf een aantal spelregels opgesteld. Zo mochten ze geen gebruik maken van informatie die beschikbaar was via sociale netwerken, ze mochten geen gebruik maken van social-engineering en de telefoon (bijvoorbeeld: opbellen en je voordoen als iemand van de dienst IT die je even iets wil laten testen aan je computer of zo). Ook het gebruik van gewone USB-sticks werkt tegenwoordig niet zo goed meer. Er was een tijd dat een strategie was om gewoon een aantal USB-sticks naar een aantal mensen binnen het bedrijf te sturen. Op de stick stond dan ook code waarmee er toegang verleend werd tot dat systeem. Er was dan altijd wel iemand die de USB-stick in zijn computer op het werk stopte en dan waren ze binnen. Maar tegenwoordig voert Windows niet meer automatisch de autorun bestanden uit en is die manier van hacken een stuk moeilijker geworden.
Dus gingen ze op zoek naar een alternatief. Dat vonden ze in de vorm van een USB Logitech muis. Daar voegden ze een klein stukje elektronica aan toe dat onzichtbaar in de muis verwerkt was. Als de muis werd aangesloten, dan wachtte hij 30 seconden en dan zorgde de ingebouwde processor er voor dat alsnog een hack opgezet werd. Dat was er dan eentje die niet door de virusscanners opgemerkt werden.
Voor het overige werd een vergelijkbare strategie gevolgd als bij de USB-sticks. Ze kochten een adreslijst met medewerkers van het bedrijf, zorgden er voor dat de Logitech muis netjes in de verpakking zat alsof hij nieuw was en voorzien van de juiste vrachtpapieren. De muis werd verstuurd en drie dagen later maakte hij verbinding met de server van Netregard.
Schitterend. Maar ook wel een beetje eng. Er kan toch meer in het echt dan je zou denken.
Details over de hack kun je vinden op het weblog van Netregard. Met dank aan The Register voor de tip.
Dat wordt dus oppassen met relatiegeschenken :-s
Ik heb als bedankje na een presentatie wel eens een USB-hub/cardreader gekregen. Zou gemakkelijk zo’n kaartje in passen. Ik zal toegeven dat ik er geen moment bij nagedacht heb voordat ik hem aansloot op mijn computer.
Haha, tegenwoordig moet je overal mee oppassen, als het elektronisch is aangestuurd.