Het gereedschap van de cyberspeurders (deel 2)
Vervolg van deel 1
Een 'stickie'is makkelijker
Uit een onderzoek uit 2001 door onder andere een Nederlander waarbij één miljoen plaatjes van internet werden geanalyseerd bleek dat steganografie online vrijwel niet voorkomt. Vorige week dook een nieuw rapport over steganografie op, van de Amerikaanse Purdue University. Het aantal steganografietools wordt door de universiteit op 800 geschat, driehonderd meer dan Hosmers schatting.
Gebruikt worden ze ook. "We zien een sterk verband tussen criminele activiteiten en de installatie van steganografie-programma's op in beslag genomen computers", aldus professor James Goldman tegen Darkreading.com. De data komen van afgesloten zaken van de Amerikaanse politie.
Goldman, die ook toegang kreeg tot computers van reeds veroordeelde criminelen: "Steganografie is een ondergeschoven kindje. Er is vooral anekdotische bewijs, maar ik vermoed dat de inlichtingendiensten wel beter weten." Hij gebruikte speciale 'steganalysis-tools' die werden gedoneerd door het National White Collar Crime Center. Die richten de pijklen vooral op kinderpornohandelaren en identiteitsdieven. Goldman belooftdefinitieve resulaten in 2008 en vraagt nu al vervolgonderzoek.
Beveiligingsgoeroe Bruce Schneier vindt steganografie geen voor de hand liggende methode voor insiders om informatie te lekken. Ze kunnen gewoon met een usb-stick informatie meenemen. "Alleen werknemers die volledig gefouilleerd worden als ze het gebouw verlaten hebben een noodzaak om dit te gebruiken." Ook betwijfelt hij of het effectief is. Een verzonden plaatje mag dan onschuldig ogen, maar de afzender zelf kan toch verraden dat het om iets anders gaat. "Waarom zou je bijvoorbeeld vanuit Birma een plaatje van een giraf naar een mensenrechtenorganisatie mailen?" Op termijn moet het mogelijk worden om bestanden met verborgen inhoud automatisch door firewalls te laten herkennen, maar dat is volgens Hosmer nu nog niet zo.
USB-gevaren
Op die usb-sticks ging in Heerlen Thijs Bosschert van Fox-IT in. Jij onderzocht het hacken met gebruik van geïnfecteerde usb-sticks. De nieuwe generaties geheugenstaafjes, zoals de U3-stick van het populaire Sandisk, maken het nog gemakkelijker om er een virus op te installeren, aldus Bosschert.
Deze sticks maken automatisch een virtuele cd-drive aan als ze in de computer worden gestopt. Het automatisch starten leidt tot ongemerkt installeren van malicieuze bestanden. Ze zijn moeilijk te herkennen voor de argeloze gebruikers omdat bijvoorbeeld de U3 standaard een eigen programmaatje heeft plus een aantal verborgen mappen. Daarnaast maakt de stick via de eigen software ook verbinding met de server van Sandisk. Dat alles maakt het handiger om ongemerkt aanpassingen aan bestanden en instellingen te doen en een backdoor te maken.
Fox-IT kan met eigen software, 'D-Pack' overzichten maken van kwaadaardig gebruikte usb-sticks. Ze worden vaak ingezet het aftappen van internetverkeer, het stelen van wachtwoorden, het kapen van veiligheidscertificaten, het bouwen van een botnet of het verwijderen van bestanden. D-Pack verwijdert alle sporen op de computers weer zodra de usb-stick uit de computer wordt getrokken. Daarmee worden flexibele botnets zonder sporen mogelijk.
Beangstigend is een scenario wat Bosschert schetst waarbij hackers in organisaties usb-sticks verspreiden door ze achter te laten of op te sturen. "Wie een usb-stick vindt, zal hem uit nieuwsgierigheid willen uitproberen. Dat is die computer meteen geïnfecteerd. " Een ander voordeel is dat een usb-stick snel werkt. ""Wie ergens een laptop ziet staan, bijvoorbeeld op een conferentie, kan even snel die usb-stick erin pluggen en klaar."
Chipje inbouwen
Een andere vorm van USB-hacking is het plaatsen van een chipje in apparaten die je met usb aansluit. Bosschert toonde op het congres een muis waarin hij zelf een extra chipje had gemonteerd. Dit maakt opgang. Bosschert: "Ze passen ongetwijfeld ook in nieuwe telefoons met een usb-uitgang."
Bosschert gaf toe dat hij niet de enige is die met usb-hacking bezig is. Ook de hackersgroep Hak5 weet van wanten met 'U3 hacking', terwijl ook McGrewsecurity zich erop stortte.
Voor de opsporing hebben de usb-hacks ook gevolgen denkt Bosschert. "Rechercheurs moeten voortaan altijd alle apparaten waar een usb-ingang in zit in beslag nemen." Ook rechercheurs moeten oppassen voordat ze in hun laboratorium een usb-stick in een computer stoppen. "Een script kan worden geactiveerd waardoor het bewijsmateriaal niet meer authentiek kan zijn."
Dit soort kwetsbaarheden van usb werpen hun schaduw vooruit naar nieuwe toepassingen als de elektronisch identiteitskaart, eNik. In de opzet ervan is voorzien in een apparaatje met kaart, te koppelen aan de computer. De kans is groot dat dat via usb gebeurt.. Met een usb-hack zou een belangrijke reden voor de invoering van de eNik - juist bedoeld als extra veiligheidslaag voor de inlogprocedure van Digid - weer onderuit kunnen worden gehaald.
Zover is het nog niet. Ook zegt Bosschert in de praktijk nog geen gevallen te zijn tegengekomen waarbij criminelen usb-hacks gebruikten. "Maar dat is slechts een kwestie van tijd. We hebben dit gemaakt als proof of concept. Om te laten zien dat het kan. En we zijn er dus klaar voor als ze criminelen dit gaan gebruiken."
Fox-IT besloot deze week een ander onderzoek over usb-sticks te openbaren. In het rapport waarin wordt beschreven hoe bepaalde types 'veilige usb-sticks' die vooral aan bedrijven en overheden worden verkocht, te kraken zijn. Dat zorgde eind vorig jaar al voor wat ophef onder fabrikanten van de gekraakte sticks. Fox-It besloot het rapport geheim te houden zodat organisaties en fabrikanten de tijd kregen voor aanpassingen.
Volgens Thijs Bosschert worden onder meer sticks van BioSlimDisk nog steeds als 'met encryptie' verkocht terwijl dat helemaal niet zo is. De sticks met wachtwoorden of versleuteling zijn ook kwetsbaar. Maar omdat de gebruikers zouden denken dat ze veilig zijn gaan ze er wellicht slordiger mee om, denkt Bosschert. Met de BioSlimdisk 2.0 and BioSlimdisk iCool was het mogelijk om gegevens van de stick te krijgen door het geheugen direct uit te lezen met omzeiling van de beveiliging. De iCool-editie gebruikt vingerafdrukcontrole, maar de opgeslagen vingerafdrukken kan een hacker vervangen door zijn eigen vingerafdruk.
De Kobil MIDentity was de veiligste van de acht geteste sticks: zonder de juiste authentificatie-gegevens was het niet mogelijk er data af te krijgen. Maar met ontvreemding kan de software van het apparaat gemakkelijk worden vervangen. Bij de Mxi Mxp Stealth en de Safeboot Phantom is dat moeilijker, maar deze laten weer een brute force-aanval op het wachtwoord toe. Bij de Kingston DataTraveler Elite Privacy is om die reden een moeilijk wachtwoord verplicht.
Vervolg in deel 3 (laatste)
|
