Kruip in de huid van een hacker en ervaar hoe makkelijk het kraken van bedrijfsnetwerken is. In een halve dag valt het scannen van een bedrijfsnetwerk te leren. Het besmeuren van een corporate website met graffiti blijkt ook een fluitje van een cent.
‘Een gewaarschuwd mens telt voor twee.’ Onder dit motto hebben al heel wat ict-beheerders, beveiligingsexperts en netwerkspecialisten de zolder van de Rijswijkse villa van Fox-IT aan de Haagweg beklommen. Dat is de plek waar deze specialist in digitaal forensisch onderzoek de bedrijfscursus ‘Security & Hacking’ geeft. Het ruikt er naar groene zeep als ik op maandagmorgen de drie trappen naar het leslokaal beklim.
Cursusleider Rob van Boxtel komt me tegemoet als ik het leslokaal betreed en wijst me gelijk op de koffie. In het lokaal staan een achttal kantoor-pc’s op schoolbanken. Deze geven toegang tot een gateway, die allerlei te belagen machines, processen en websites kan bereiken die onder de bureaus in het lokaal zijn ‘verstopt’. Onzichtbaar voor de cursist. Net als voor de hacker die op zijn eigen zolder ook alleen zijn eigen scherm heeft om zich een voorstelling van de te belagen systemen te maken. De zon schijnt vrolijk door de zolderramen naar binnen. Al snel gaat de zonwering dicht om de computerschermen leesbaar te houden.
Praktijkervaring
Vandaag doe ik mee aan een hacksimulatie die onderdeel uitmaakt van ‘Security & Hacking’. Mijn tweetal medecursisten werkzaam bij de overheid en een stagiair van Fox-IT hebben al een aantal dagen meer theoretische onderdelen van de cursus achter de rug. Nu staat het zelf scannen van het netwerk op het programma, het kraken van wachtwoorden en het toe-eigenen van beheerdersrechten. Als klap op de vuurpijl vervangen we vanmiddag de hoofdpagina op een website met een eigen versie. Ik ben benieuwd of me dat zal lukken. Naast kennis van tekstverwerkers kom ik niet verder dan wat weetjes rond Windows en Dos.
Dat blijkt hooguit een lichte handicap. Alle hulpmiddelen waar wij gedurende de dag mee werken zijn op Unix gebaseerd. Het vergt wat uitproberen voordat duidelijk wordt hoe de syntax van deze systemen precies in elkaar zit. Na het intikken van een onbegrijpelijk commando en een lange reeks nietszeggende commando’s geeft het systeem meteen uitsluitsel: ergens een fout en daardoor voer ik het niet uit of het zwarte scherm vult zich met het resultaat van je opdracht. Maar het gebrek aan Unix-kennis vormt niet een onoverkomelijk obstakel. Het veel tijdens de cursus gebruikte Nmap en Netcat bijvoorbeeld is door de makers ervan voorzien van een uitgebreide handleiding. Wat hints van de cursusleider en je bent zo op weg.
Informatie vergaren
Nmap bijvoorbeeld bevat heel wat handigheidjes om onopvallend informatie over een te benaderen bedrijfsnetwerk te vergaren. Je kunt aan commando’s in deze tool parameters toekennen waarmee doelmachines belangrijke informatie over zichzelf geven, zonder het ip-nummer te achterhalen waar het de informatie naar toe moet sturen. Nmap ontfutselt deze informatie aan deze machines door ze te bestoken met gemanipuleerde onderdelen uit een volledige tcp/ip-netwerksessie. Ook kan het de tijdslijn waarlangs het pakketjes stuurt beïnvloeden.
Door veel tijd tussen verzoeken aan te brengen kan het detectiesystemen aan de andere kant van de lijn om de tuin leiden. Met poortscans is te achterhalen welke diensten er op machines draaien en met welk besturingssysteem deze uitgerust zijn. Netcat blijkt uitermate handig om verbindingen op nooit voorziene poorten op webservers en andere via internet benaderbare machines op te zetten en te gebruiken in een netwerkaanval.
Dit vergaren van informatie over doelsystemen is nog redelijk onschuldig. Later op de dag komt het verkrijgen van beheerrechten en het manipuleren van websites aan bod. Ook op dit vlak blijkt er een hele reeks hulpmiddelen te bestaan waarmee informatie in een netwerk is af te vangen en te analyseren. Onversleutelde codes en wachtwoorden zijn zonder al teveel moeite op het scherm te lezen en te misbruiken voor het bijvoorbeeld aanmaken van een eigen account met bijbehorende beheerrechten.
Ten aanval!
Na de lunch beginnen we aan het ‘defacen’ van een website. Dat lijkt heel veel voeten in aarde te hebben omdat de IIS-webserver die we plat proberen te krijgen met de op internet verkrijgbare softwaretool Koei niet goed werkt. De webserver blijkt niet vatbaar voor de overflow in de printbuffer die deze exploit probeert aan te spreken. Na wat veranderingen heeft de cursusleider dit rechtgezet.
Eenmaal omver gelopen door Koei is het mogelijk om op de webserver een achterdeur te plaatsen in de vorm van een ftp-client. Deze vormt straks het doorgeefluik waarlangs we de hoofdpagina van de website kunnen vervangen. Om dat te kunnen doen moeten we ons eerst nog een account met beheerrechten toe-eigenen op de webserver. Voorzien van deze rechten kun je de hoofdpagina op de website vervangen door een eigen versie. Het is een openbaring om te zien hoeveel handige hulpmiddelen en kant-en-klare-exploits er zijn om netwerkaanvallen tot een succes te maken.< BR>