Tijdens de Q&A in de hallo, inspireert webinar: Waarom zou ík gehackt worden? kwamen verschillende vragen aan bod over hacken en gehackt worden. Een ethisch hacker van Hoffmann en onze eigen Security Officer Roy Sandbergen gaven antwoord op de vragen die de kijkers tijdens het webinar stelden.

Jullie stelden ze de volgende vragen:

1. Wij werken met Office 365. Hoe hackgevoelig dat is?

Roy: Dat is natuurlijk afhankelijk van wat voor maatregelen je al hebt genomen. Office 365 geeft al heel veel verschillende mogelijkheden op het gebied van security die je wel of niet geactiveerd kan hebben. Daarnaast is hoe hackgevoelig je bent afhankelijk hoe afhankelijk jij bent van je Office 365 omgeving.

Als we gaan kijken naar de basis dan moet je denken aan MFA (Multi-Factor Authenticatie) waarbij je niet alleen met je gebruikersnaam en wachtwoord inlogt maar ook middels een code via app of SMS. Daarnaast kun je als organisatie gebruik maken van voorwaardelijke toegang. Daarmee geef je eigenlijk regels aan of iemand wel of niet bij je data mag komen. Deze persoon hoort dan aan bepaalde regels te voldoen. Als hij hier niet aan voldoet krijgt hij geen toegang.

In de webinar zie je dat Laslo zijn wachtwoord is gehackt en dat terwijl je met de LinkedIn pagina een beveiligde verbinding hebt gemaakt.

2. Hoe kan een hacker zo simpel dat wachtwoord uitlezen?

Hacker: Dat komt door een flauw trucje die ik heb gedaan namelijk dat ik een neppe LinkedIn website heb gemaakt. Op het moment dat iemand die opvraagt, stuur ik je naar een andere versie. Het enige wat daaraan anders is, is dat er bijvoorbeeld linkedin-nl.com staat of een andere variant die ik geregistreerd heb. Wat ik vervolgens doe, is je gebruikersnaam en wachtwoord onderscheppen en je vervolgens doorsturen naar de echt LinkedIn website. Zodra je ingelogd bent, lijkt alles te kloppen. Dus eigenlijk heb ik daar nog een trucje aan toegevoegd via een phishing website.

3. Wat kan je het beste als wachtwoord gebruiken?

Hacker: Het belangrijkste is eigenlijk dat een wachtwoord zo onvoorspelbaar mogelijk moet zijn. Dat kan een lange zin zijn. Het liefst niet eentje met getallen en leestekens aan het uiteinde. Dit is voorspelbaar.

  • Bijvoorbeeld: Welkom2020! (niet aan te raden)

Maar een aantal woorden waarbij je de laatste letter met hoofdletter doet en in het midden een # is al een betere optie.

  • Bijvoorbeeld: eeN#aantaLwoordeN (een betere optie)

Het allerbeste zou zijn een heel complex, niet te onthouden wachtwoord zijn. Maar dat is niet praktisch. Wel zou je hiervoor een wachtwoordmanager kunnen gebruiken die deze complexe wachtwoorden genereerd en weer versleuteld opslaat.

Gewoon een paar woorden aan elkaar is dus niet handig. Dat kunnen we ook al heel snel uitrekenen. Dus hoe onvoorspelbaarder en hoe langer hij is, hoe beter. Ik raad aan een wachtwoord te gebruiken van 12 of 14 karakters.

Je zou een willekeurige zin kunnen gebruiken als basis voor je wachtwoord. Kies dan wel een zin dat niet met jou persoonlijk of je organisatie te maken heeft zoals: Ik luister naar UB40 en de 6e van Beethoven! Hiervan neem je bijvoorbeeld de eerste twee letters en daar maak je een wachtwoord van:

  • Bijvoorbeeld: IklunaUB40ende6evaBe! (aanbevolen)

Een hackers neemt de tijd om een lijst te maken met allerlei woorden of zinnen en karakters. Dit vergt wat extra tijd om deze specifieke, op jouw organisatie gerichte lijst te maken. Als het aantal onderschepte wachtwoorden hiermee beperkt is, zal de hacker opgeven en het misschien bij de buren proberen.

Dus als je een lang wachtwoord hebt van 14 karakters dat onvoorspelbaar is en je wijzigt het jaarlijks, dan houd je de meeste mensen wel buiten de deur.

4. Ik ben in het verleden geDDoSt. Wat kun je hier tegen doen?

Hacker: Er bestaan diverse diensten die jou en je organisatie kunnen beschermen tegen DDos-aanvallen. De meeste staan in een datacenter zoals een anti DDos-wasstraat. Je kan ook gaan denken aan diensten zoals zoals een cloudflare. Als je bijvoorbeeld een Ziggo internetlijn hebt, en daar is een DDos-aanval op gedaan , dan ben je redelijk afhankelijk van Ziggo zelf. Je hebt eigenlijk een bepaalde bandbreedte en als daar veel meer verkeer naartoe gaat, dan is het zeker als particulier lastiger om je daar volledig tegen te weren. Er zijn dus zeker wel diensten, maar of deze als particulier helemaal aansluiten bij de producten die je afneemt, dan heb ik daar mijn twijfels bij. Als particulier verwacht je dat jouw serviceprovider zulk soort zaken voor jou regelt.

5. Kan ik bij de McDonalds veilig gebruik maken van een gratis WiFi netwerk?

Hacker: Helaas is het zo dat niet bij elke McDonalds de WiFi op dezelfde manier is ingericht. Over het algemeen kun je zeggen dat als je de verbindingen netjes versleuteld zoals de https die je op veel websites ziet, kun je in principe stellen dat het veilig is. Maar in sommige gevallen als als de WiFi niet goed geconfigureerd is, kun je dus een trucje uithalen en een valse website tevoorschijn toveren. De persoon heeft dit niet eens door.

Wat je hiertegen kunt doen is dat als je de veiligheid van de verbinding niet kunt vertrouwen, je gebruikt gaat maken van een VPN. Je kunt gebruik maken van een zakelijke VPN-verbinding op bijvoorbeeld je telefoon of laptop. De verbinding is dan zo versleuteld dat we gewoon niet meer mee kunnen kijken. En anders zou ik in dat soort situaties gebruik maken van 4G of 5G.

6. Bij een hack gaan we ervan uit dat het wachtwoord uit die lijst met WiFiwachtwoorden staan. Wat als het wachtwoord nou niet in deze lijst staat?

Hacker: Wat criminelen, maar ook wij als ethische hackers doen, is dat soort woordenboeken onderling uitwisselen. Ze hebben een aantal met bijvoorbeeld een taalkundig onderzoek van een universiteit waar 17 000 000 Nederlandse woorden in zitten, maar ook de Nederlands- en Engelstalige versies ervan. Maar denk ook aan bijvoorbeeld Wikipedia of de ondertiteling van IMDB. En daar maken we weer varianten op. Dus dat de a wordt vervangen door een @ en een e door een 3. Zo beschikken wij tot vele terabytes aan woordenboeken.

hallo, wachtwoord gehackt
Tijdens de webinar kraakte de hacker het wachtwoord van het gastennetwerk binnen enkele seconden

Een andere mogelijkheid die er is, is gewoon om alle karakters te proberen. Dus vanaf de nul tot en met een hoofdletter Z. Dit heet dan een ‘brute force’ aanval. Wat daarbij wel van belang is, is dat het alleen werkt tot een bepaalde lengte. Daarom zei ik eerder al: een wachtwoord met 12 of 14 karakters werkt perfect. Om op deze manier het wachtwoord te bemachtigen kost de hacker gewoon ontzettend veel tijd. Dus goed om te weten: met een lang en onvoorspelbaar wachtwoord ben je toch beschermd.

7. Bij het hacken heb je een programmaatje gebruikt. Heeft het dan wel zin om een heel sterk wachtwoord te gebruiken als dit toch wel wordt achterhaald?

Hacker: Ja, in dit geval wel. Dat komt doordat ik dat trucje had uitgehaald dat jij niet met de echte website praatte waardoor ik mee kon lezen. Dus als hij super complex was geweest en heel lang, dan had ik er heel veel moeite voor moeten doen. In dat geval is het makkelijker voor de hacker om het bij iemand anders te proberen.

Dus waar die onvoorspelbare wachtwoorden dus wel tegen helpen is dat hackers wachtwoorden gaan proberen te raden bij heel veel organisaties. Dus bij organisaties waar 100 tot 200 mensen werken, daar zit altijd wel iemand bij die een wachtwoord heeft met bijvoorbeeld winter2020! Dit is makkelijk te hacken, ook aangezien ze de mailadressen gewoon kunnen verzamelen.

Dat de inloggegevens worden geraden zien we veel gebeuren bij Office365. Het is daarom goed om gebruik te maken van MFA.

8. Hoe weet ik of ik gehackt bent? en wat moet ik doen als dat zo is?

Roy: Dit weet je pas zeker als je je IT-landschap goed in kaart hebt. Daar zijn diverse programma’s of tools voor die jou daarmee kunnen helpen. Bijvoorbeeld een hacker-alert. Met een stukje software die actief is in je IT- omgeving, die leert van je omgeving en de handelingen die in je omgeving gebeurt. En als hij daar dan afwijkend gedrag in ziet, geeft hij een melding.

Microsoft 365 heeft met de Cloud App Security daar een hele mooie tool voor. Maar ook een on-premis-oplossing voor als je systemen nog zelf op locatie hebt staan. Er bestaan hele mooie tools om jou daarin in kunnen helpen.

Stel dat je gehackt bent. Wat nu? Dan is eigenlijk het beste advies: bel je provider. Maar dat is natuurlijk een beetje kort door de bocht. Voordat je dat doet, zijn er meerdere dingen waar je rekening mee moet houden. Bijvoorbeeld: Communicatie is echt heel belangrijk, want wie ga je op de hoogte stellen? Denkt daarbij aan je eigen directie, maar ook aan je interne collega’s. Je wil niet dat al je collega’s je IT-provider gaat bellen terwijl die bezig moeten zijn met het zoeken naar een oplossen.

Welke acties moet je nemen? Wat ga je als eerste herstellen? Dit zijn maar een selectie van aantal vragen die je jezelf al van tevoren moet gaan stellen. Het mooiste zou zijn als je dat al als herstelplan klaar hebt liggen in het geval dat het misgaat. Als je eenmaal weet van oké dit scenario is aangebroken, dan kun je zo het protocol volgen.

9. Waar begin je dan als ondernemer met het inventariseren van jouw risico? Wat moet je doen?

Roy: Om te weten waar je risico’s liggen, moet je eerst weten wat je in huis hebt. Dus wat is je IT-landschap? Denk daarbij aan applicaties, servers en routers. Eigenlijk je hele IT-omgeving moet je in kaart brengen. Dan ga je vervolgens prioriteiten stellen. Hoe afhankelijk ben ik van mijn applicaties, servers of routers? Daarom ga je vervolgens kijken naar hoe ben je al beveiligd. Heb je al een back-up verbinding? Heb jij diverse maatregelen genomen rondom antivirussoftware? Daarna ga je de maatregelen implementeren. En zo kom je steeds een stapje verder. Een belangrijk onderdeel is, er is geen begin en er is geen einde. Met andere woorden: als je nu je IT-landschap in kaart brengt, is het wel de kunst dit regelmatig te herhalen. Want alles verandert.

10. Heeft het wel nut om te betalen aan een hacker als ze later misschien nog wel een keertje binnenkomen?

Hacker: Helaas zitten er hele grote professionele criminele organisaties achter die ironisch genoeg een naam hoog te houden hebben. Als bekend wordt dat bedrijven niet hoeven te betalen en daarna nog een keer toeslaan, maakt het willen betalen bij een volgende slachtoffer kleiner.

We zien zelfs dat er Nederlandstalige helpdesks zijn ingericht waarmee je mee kan praten of onderhandelen. Dat stel, als je ze niet gelooft, dat ze een paar bestanden ontsleutelen, gewoon om te bewijzen dat het echt kan. Dus helaas gaat het bij hen echt om financieel gewin.

11. Hoe kun je nu voorkomen dat je nog een keer gehackt gaat worden?

Hacker: Er zijn een paar dingen al eerder genoemd die je kan doen. Detectie is heel belangrijk. Vooral aan de voorkant. Maar ook wanneer het al te laat is dat je een plan hebt om de zaken zo goed mogelijk terug te zetten. Je moet natuurlijk alle wachtwoorden wijzigen. Daarnaast is het ook mogelijk om partijen in te schakelen die forensisch onderzoek uitvoeren om te achterhalen wat er nou precies in welke volgorde gebeurd is zodat je daar weer maatregelen voor kunt treffen.

Dit soort onderzoeken kun je ook preventief uitvoeren. Dus dat je eigenlijk een organisatie vraagt om je te hacken en aan te geven wat de zwakke punten zijn en waar je kunt verbeteren. Ook als het gaat om websites kun je tegenwoordig een beleid op je website plaatsen, dat je mensen toestemming geeft aan je website te ‘knutselen’. Je vraagt ze dan wel jou op de hoogte te stellen en het niet openbaar te maken. Jij als organisatie zal dan geen juridische stappen ondernemen en dat lijdt dan vaak dat hobbyisten bepaalde kwetsbaarheden dan eigenlijk gratis bij je melden.

Sommige organisaties zetten hier weer een beloning tegenover of ze sturen deze mensen een taart of een shirt. Dat is tegenwoordig ook een hele populaire manier om om met dit soort dingen om te gaan.

12. Hoe blijf je als hacker anoniem?

Hacker: Ja, eigenlijk probeer je dingen te doen die die niet opvallen. Ik doe alles legaal, dus we hebben een VPN waarvan we de klanten ook vertellen dat we dat gebruiken als we onderzoek uitvoeren. Als er iets gebeurt of opvalt, dat ze weten dat wij het zijn en niet een echte kwaadwillende persoon.

Zoals je hebt kunnen lezen is het dus belangrijk om voor de juiste maatregelen te zorgen. Sta er als organisatie bij stil dat het belangrijk is om de mensen mee te nemen die met de gegevens werken. Zorg voor bewustwording. Stel als organisatie ook een stukje beleid op voor het geval je in deze situatie terechtkomt.

Meer weten?