reportage

‘Mensen zijn altijd de zwakste schakel'

©Filip Ysenbaert

Nu cybercriminaliteit zo welig tiert, wilden we wel eens weten hoe het met onze eigen digitale defensie is gesteld. Zes hackers namen de proef op de som. ‘Het paswoord van uw collega is KLOTEJOB.’

‘Ha, Ben Serrure. Jij bent die technofan, hè? En hoe heet jij? Andries Fluit? Wacht even. Ah ja, hier. Wie is Jacques?’ We staan oog in oog met zes twintigers die ons vanachter een computerscherm toegrijnzen, zichtbaar genietend van onze verbazing. We hebben hen nog nooit ontmoet. Maar ze kennen ons beter dan zou mogen.

Jacques, zo blijkt, is de naam van de eerste kat die Andries, chef multimedia bij De Tijd, als tiener in huis mocht halen, een half-Siamese tijger. Een vrouwtje ook, zo stelde een dierenarts pas vast nadat het beest al een naam had gekregen. De naam van een geliefd huisdier, ideale inspiratie voor het moment waarop je een paswoord moet kiezen voor je eerste mailaccount. Ikzelf had geen huisdieren, maar was rond mijn dertiende licht geobsedeerd door de muziekstroming techno. Mijn eerste paswoord was dan ook ‘ilovetechno’, naar het Gentse evenement waar ik alle compilatie-cd’tjes van kocht.

Zoals bij wel meer mensen gingen die eerste paswoorden jaren mee. En deden ze na verloop van tijd dienst voor een wirwar aan accounts. Tot één - of meerdere - van die diensten gehackt werd. En onze paswoorden, samen met die van miljoenen andere mensen, op het web werden gedumpt. Om uiteindelijk terecht te komen bij zes grijnzende twintigers.

De heren zijn studenten van de opleiding computer & cyber crime professional aan hogeschool Howest in Brugge. Ze werden door lector Kurt Callewaert, die de opleiding tot ethische hacker uit de grond stampte, geselecteerd om - met toestemming van onze uitgever Mediafin - de cybersecurity van ons eigen bedrijf eens onder de loep te nemen.

De Tijd hackt... zichzelf

De reden waarom we zelf de proef op de som willen nemen, ligt voor de hand. Net als de maatschappij digitaliseert ook de criminaliteit in sneltempo. Overheidsorganisaties en bedrijven van elke grootteorde kregen de jongste tijd te maken met cyberaanvallen die hun systemen platlegden of ‘gijzelden’ om de betaling van losgeld te bekomen.

Deze zomer legden hackers met de ransomware WanaCry en Petya wereldwijd cruciale schakels in de economie plat, twee aanvallen die samen voor meer dan 1 miljard dollar schade aanrichtten. Sindsdien was er elke week wel een verhaal over gestolen gegevens of gegijzelde computers. Pas nog infecteerden hackers 2 miljoen computers met kwaadwillige software, nadat ze waren binnengeraakt bij het beveiligingsbedrijf Avast.

Een recente bevraging van de consultant KPMG leert dat 42 procent van de Belgische bedrijven al eens te maken heeft gehad met cyberaanvallen. Maar de kans is reëel dat het echte cijfer veel hoger ligt, zegt Callewaert, behalve lesgever ook beveiligingsexpert bij het consultancykantoor Vandelanotte. ‘Bedrijven die door hackers worden getroffen, hangen dat liever niet aan de grote klok. Zo blijft veel onder de radar hangen.’

Bij grote organisaties is de veiligheid doorgaans goed. Bij kmo’s is het een ander paar mouwen.
Kurt Callewaert
Lector ethische hacking

Ondanks de hoge frequentie liggen veel bedrijven niet echt wakker van hun cyberveiligheid. Callewaert: ‘Bij grote organisaties is de veiligheid doorgaans goed. Maar bij kmo’s is het een ander paar mouwen. Zij zien IT nog te vaak als nuttig, maar niet cruciaal. Ze zetten goede IT-infrastructuur op, maar beveiligen die vervolgens niet goed. Dat is problematisch. Wist je dat een cyberincident een kmo gemiddeld 78.700 euro kost? Dat is veel geld voor een klein bedrijf.’

Juridische afspraken

Callewaert is snel gewonnen voor het idee om te testen hoe cyberveilig een bedrijf als Mediafin is, zodat de urgentie van de zaak in de aandacht komt. Tijdens voorbereidende vergaderingen worden strikte afspraken gemaakt, die juristen in een contract gieten. In een notendop komt het erop neer dat we ons twee doelen mogen stellen. Enerzijds testen we of er kwetsbaarheden zijn in de ‘buitenkant’ van de organisatie, de publieke websites van Mediafin, zeg maar. Anderzijds proberen we zo dicht mogelijk bij cruciale interne bedrijfsinformatie te geraken, zonder de privacy van medewerkers te schenden. En mochten er problemen worden aangetroffen, verschijnt er geen letter voor alles eerst is opgelost.

Zo belanden we dus op een bloedhete zomeravond in een lokaaltje in Brugge met zes ethische hackers en één ventilator. Klaar om digitaal te proberen inbreken in ons eigen bedrijf. We hebben één nacht tijd voor ‘Operatie B2.11’, zoals Howest de beveiligingsaudit heeft gedoopt, naar het lokaal waarin we die avond liters zweet zullen verliezen.

Voor de gelegenheid hebben de zes studenten - Preben Ver Eecke, Kieran Claessens, Wolker Lemahieu, Jarne Geirnaert, Mathieu Huysman en Tim De Wachter – hun bureaus tegen elkaar geschoven, om de communicatie te vergemakkelijken. Die verloopt voor de helft via Slack, een online tool om berichten en documenten mee uit te wisselen, en voor de helft mondeling. Uit geen van de twee communicatiemethoden valt als leek veel op te maken, daarvoor is het hackersjargon te ondoorgrondelijk. Gelukkig is het team geduldig genoeg om ons bij te praten over de gang van zaken.

Snel verzameld

De helft van het team stort zich op opdracht één: het testen van de websites. De andere helft probeert binnen te geraken in de infrastructuur. Het is die helft die ons daarstraks onze veelgebruikte paswoorden voor de voeten wierp. Zij hebben de dagen voordien al voorbereidend werk verricht, iets wat de studenten ‘reconnaissance’ noemen, naar het militaire jargon om het bespieden van je tegenstander te omschrijven.

De eenvoudigste manier om ergens binnen te breken is kunnen inloggen met de juiste gegevens. Met enig geluk liggen die gegevens open en bloot voor het grijpen op het web. Nu en dan worden veelgebruikte diensten gehackt, waarbij massaal inloggegevens en paswoorden worden gestolen. Zo werden in het verleden bedrijven als LinkedIn, Dropbox en Yahoo gecompromitteerd en bestolen. Die miljoenen logingegevens zijn in principe versleuteld en dus onleesbaar. Met krachtige algoritmes die miljoenen letter- en cijfercombinaties per minuut kunnen proberen, vallen die codes al bij al eenvoudig te kraken. Die gekraakte gegevens worden vervolgens vaak ‘gedumpt’ op hackersfora.

In die databases zijn onze ethische hackers gaan grasduinen naar logingegevens die eindigen op @tijd.be of @mediafin.be. De buit is hallucinant. Niet alleen ‘Jacques’ en ‘ilovetechno’ drijven boven. We krijgen inzicht in de paswoorden die tientallen collega’s en excollega’s ooit gebruikten of nog steeds gebruiken om in te loggen op ooit gehackte diensten. Favoriete bands, namen van kinderen, straatnamen, enkele mensen die gewoon hun naam als paswoord gebruiken, het passeert allemaal de revue. Gierend van het lachen informeren de studenten naar een ex-collega - we noemen geen namen - van wie het paswoord ‘KLOTEJOB’ vindbaar is.

©Filip Ysenbaert

De waslijst aan inloggegevens verzamelen is het gemakkelijke deel. Wat volgt, vergt meer tijd en frustratie: al die combinaties testen om te zien of er nog één actueel is. Met enkele rondzwevende gegevens blijkt het snel mogelijk als abonnee in te loggen. Maar verder dan de kwaliteitsjournalistiek van De Tijd en zusterkrant L’Echo gratis lezen kom je daar niet mee. Daarna volgen enkele uren van zuchten en vloeken. Waarmee is bewezen dat alvast een van de afweergordels van Mediafin behoorlijk werkt. Sinds enige tijd moeten alle werknemers zeer regelmatig van paswoord veranderen. Voor het eerst begrijpen we ten volle het nut van een maatregel die we anders veeleer hersenloos opvolgen.

Terwijl team 2 zucht en zweet, schiet team 1 wel enigszins op. De websites van Mediafin steken aardig in elkaar. Maar in de code van zowat elke webpagina of subdomein zit wel ergens een zwak puntje. Een kleine vergetelheid of een ontwikkelaar die ergens een bochtje afsnijdt, het kan volstaan voor wie slechte bedoelingen heeft. Zo vinden onze hackers twee kleine kwetsbaarheden, waarmee mensen met slechte bedoelingen in principe aan de slag kunnen.

De uitleg is gecompliceerd, maar het komt erop neer dat op twee obscure plaatsen van onze websites een eigen domein kon worden verstopt achter een link. Zo zou je, in theorie, lezers die erop klikken kunnen ‘afleiden’ naar een eigen phishingpagina, waar gehengeld kan worden naar persoonlijke gegevens. Dat is voor alle duidelijkheid nooit gebeurd.

Pizza en phishing

Terug naar team 2, dat intussen klaar is om het over een andere boeg te gooien. Terwijl pizza’s worden besteld - sommige hackerclichés houden we graag mee in stand - wordt luidop nagedacht over een plan B, met meer kans op slagen.

Tips voor een veiliger bedrijf

Goede infrastructuur kiezen: Alles begint bij de juiste technische infrastructuur. Een firewall en een virusscan zijn onontbeerlijk. Volg updates nauwgezet op.

Paswoorden veranderen: Laat werknemers regelmatig van paswoord veranderen en zorg ervoor dat ze gecompliceerd genoeg zijn. Een tweede vorm van authenticatie is aan te raden.

Back-ups maken: Steeds meer bedrijven schakelen voor de opslag van data over op de cloud. Maar voor bedrijfskritische gegevens blijft een back-up op een harde schijf een aanrader.

Personeel sensibiliseren: Hoe goed de technische beveiliging ook is, één onvoorzichtige werknemer kan volstaan om gehackt te worden.

En dan nog dit: De tijd dat cybersecurity de verantwoordelijkheid van het IT-departement was, is voorbij. Pas als het topmanagement iets als prioritair behandelt, is het een prioriteit.

Het nieuwe plan is simpel. Als de technische infrastructuur goed beveiligd is, gaan we rechtstreeks naar de zwakste schakel in de meeste organisaties: de mensen. ‘Dat lukt bijna altijd’, glimlacht Huysman. ‘Bij 95 procent van de cyberincidenten ligt menselijke onvoorzichtigheid aan de basis.’ De Wachter knikt. ‘Mensen gaan er al te vaak van uit dat iedereen goede bedoelingen heeft.’

Ook aan deze ‘binnenweg’ is enig voorbereidend werk voorafgegaan. De studenten weten dat Mediafin voor zijn IT deels terugvalt op een van zijn aandeelhouders, De Persgroep. Daarom registreerden ze een gelijkaardige domeinnaam: pesrgroep.net. Op dat domein wordt in amper twintig minuten een griezelig perfecte replica van de webmailapplicatie van Mediafin gebouwd, met identieke lay-out, kleuren en lettertypes. De link naar die phishingpagina wordt vervolgens in een mail gekopieerd, bestemd voor het Mediafin-personeel.

In de mail, afkomstig van ICT@pesrgroep.net, wordt gevraagd even opnieuw in te loggen op de webmail. Over de reden waarom iemand dat zou moeten doen, moet de studenten niet lang nadenken. ‘Synchronisatieproblemen’, klinkt het in koor. ‘Iedereen heeft er al van gehoord, maar niemand die het begrijpt.’

De vraag is of we niet te laat zijn. Het is intussen na 22 uur, en met de minuut zijn er minder mensen op de redactie in Brussel. Als de weinige mensen die nog aan de slag zijn het te druk hebben, of - erger nog - het plan doorzien, is de avond afgelopen. Nerveus drentelen de studenten heen en weer. Tot De Wachter plots zijn armen in de lucht steekt. ‘We hebben beet’, roept hij.

De list is geslaagd. Eén collega heeft gehapt, en zijn/haar gegevens ingevoerd op de phishingpagina. Met dat paswoord en die login geraken we één niveau verder, tot in de mailbox van het slachtoffer. ‘Daarmee kan je in principe al heel wat kanten mee uit’, zegt De Wachter. ‘In een mailbox kan je van alles vinden over hoe een organisatie in elkaar zit en draait. En als je gaat mailen als de gephishte persoon - iemand die normaal gezien toch vertrouwen geniet in een organisatie - kom je helemaal verder.’ Maar omdat vooraf is bepaald dat we geen mails van medewerkers mogen lezen, is het geen optie om verder mee te gaan.

Social engineering

Probleem is dat we dan vastzitten. Ook hier stoten we op een digitale afweergordel van Mediafin. Om van buiten de redactievloer echt intern te geraken heb je niet genoeg aan de logingegevens van een medewerker. Om achter de firewall te geraken moet je een unieke, steeds wijzigende code ingeven in software die enkel is geïnstalleerd op de toestellen van het bedrijf. En we hebben noch de software, noch de code.

Vloekend zoeken de studenten verder naar een eventuele webapplicatie die ons verder zou kunnen helpen. Na een tijd stoot iemand op een domein waarvoor een authenticatiecode wordt gevraagd, en waar je dus in principe mee voorbij de firewall geraakt. Als we de code kunnen bemachtigen, kunnen we mogelijk toch nog achter de muur kijken. Om aan die code te geraken wordt beslist iets uit te proberen wat in het jargon ‘social engineering’ heet.

Op een whiteboard wordt een scenario uitgeschreven dat geloofwaardig genoeg moet zijn om diegene van wie we de gegevens hebben bemachtigd zo ver te krijgen zijn unieke code te geven. De Wachter zal de rol van een ICT’er van De Persgroep spelen, die belt omdat het mailprobleem niet opgelost geraakt. Hij blokt even op zijn tekst, die autoriteit én vertrouwen moet uitstralen.

Tot groot jolijt van de ethische hackers verklapt het slachtoffer niet één, maar twee keer zijn unieke code om in te loggen.

Via de mailapplicatie diepen de hackers het gsm-nummer van het slachtoffer op. Hoewel het laat op de avond is, neemt de persoon meteen op. De Wachter brengt zijn tekst zonder haperen. ‘Met Tim, van de ICT-helpdesk. Onze excuses dat we zo laat bellen. Maar het is dringend, en we zagen dat u al gereageerd had op onze mail, dus bellen we u maar even. We kunnen uw hulp gebruiken.’ De list werkt. Zonder het minste wantrouwen, en tot groot jolijt van de studenten, geeft het slachtoffer niet één, maar twee keer zijn unieke code om in te loggen.

Het slachtoffer blijkt niet de juiste bevoegdheden te hebben om in te loggen op het gevonden domein. Het spoor loopt dus finaal dood, al zijn we aardig ver gekomen in het manipuleren van onze collega’s, waarvoor nogmaals onze excuses. ‘Met meer tijd en wat meer bevoegdheden waren we zeker verder geraakt’, zucht Ver Eecke. ‘Maar we moeten toegeven dat jullie bedrijf ons aangenaam verrast. We dachten dat deze klus een fluitje van een cent ging zijn. Maar dat is het niet geworden.’

Met gemengde gevoelens nemen we afscheid. We zijn blij dat ons bedrijf aardig beveiligd is. Enkel de sensibilisering van de medewerkers is op basis van deze beperkte audit een aandachtspunt. Maar echt vrolijk worden we niet van wat we hebben gezien. Het is angstwekkend wat enkele studenten met goede bedoelingen in enkele uren tijd voor elkaar krijgen. Je wil er niet over nadenken welke ravage mensen met meer tijd, meer middelen en minder scrupules in een gemiddeld bedrijf kunnen aanrichten.

Lees verder

Gesponsorde inhoud

Partner content