Is je paswoord KIJK DAN UIT VOOR HACKERS

Amai, je hebt wel je dag uitgekozen om langs te komen. Vanochtend is bekendgemaakt dat de populaire wifi-beveiliging WPA2 gekraakt is door Belgische onderzoekers." De sms komt van Cédric De Vroey, een ethische hacker met wie we later op de dag hebben afgesproken om ons te gidsen door de wondere en soms duistere wereld van cyberveiligheid.

"Het zal niet de laatste keer zijn dat we opgeschrikt worden door zo'n nieuws", vertelt hij later. "De hacks of softwarefouten die het nieuws halen, zijn maar het topje van de ijsberg. Deze keer is het eigenlijk goed nieuws. De kwetsbaarheid werd door een wetenschapper gevonden, die meteen alle grote fabrikanten op de hoogte heeft gebracht." Ondertussen hebben Apple en Microsoft laten weten dat hun toestellen gepatcht zijn. Google werkt aan een update en grote netwerkfabrikanten zijn er ook mee bezig.

"Sommige overheden of hackers met slechte bedoelingen hadden dat nooit publiek gemaakt." De Vroey klapt zijn MacBook open, zijn toegangspoort op een wereld die maar weinigen leken begrijpen. Zijn camera is afgeplakt. "Je weet nooit wie er meekijkt."

Onleesbare code

Voor ons zit geen wereldvreemde, schuchtere jongeman met een zwarte capuchon. De Vroey vertelt honderduit over zijn passie voor hacken. "Voor mij is dat zoals kruiswoordraadsels oplossen. We vergeten soms dat hacken iets heel creatiefs is. Het woord werd voor het eerst gebruikt door onderzoekers aan het Massachusetts Institute of Technology (MIT). Zij probeerden miniatuurtreintjes op geprogrammeerde tijdschema's te laten rijden."

Al voor de grote ransomware-aanvallen WannaCry en NotPetya (waarbij bestanden versleuteld worden tot er losgeld wordt betaald) eerder dit jaar associeerde het grote publiek hacken vooral met criminelen, oorlog en onleesbare codes. "Ik ben geen hacker, ik ben een ethische hacker", zegt De Vroey.

Hij zoekt naar zaken die je een systeem of applicatie kunt laten doen waar het eigenlijk niet voor gemaakt is. Dat gaat verder dan het scannen van een website met behulp van software op zoek naar kwetsbaarheden. "Dat moet ook gebeuren, maar wij duiken dieper in systemen. We maken natuurlijk altijd duidelijke afspraken met onze klanten welke systemen, websites of domeinen we precies onder vuur mogen nemen."

Een aantal jaar geleden, toen De Vroey de ethische hacker in zichzelf leerde ontdekken, screende hij samen met een vriend via Google een achthonderdtal php-websites - dat zijn websites die met een relatief eenvoudige programmeertaal in elkaar gezet zijn. "We kwamen er toen achter dat het bij 60 procent van die websites relatief eenvoudig was om in te breken in de databases achter de website. We stuurden enkele van die bedrijven een e-mail om hen op de hoogte te brengen."

Antwerpen

Maar die e-mails werden niet beantwoord, ofwel kregen ze ronduit vijandige reacties. "We waren naïef en hoopten op die manier werk te versieren. Ondertussen hebben we een duidelijk motto: we willen onze kop niet kwijt, en in de gevangenis belanden is ook niet de bedoeling."

'We', dat zijn De Vroey en zijn twee vennoten in het bedrijfje N0B0T. Vandaag bewandelen ze het pad van cyberconsultancy vooraleer ze aan het hacken slaan. "We nodigen onszelf uit bij bedrijven, leggen uit wat we doen en proberen hen te overtuigen van onze meerwaarde in hun cyberveiligheidsplan."

Zo heeft N0B0T een afspraak met de stad Antwerpen. "Vier keer per jaar testen we de volledige omgeving van de stad, nadien maken we een soort rapport met wat we precies gedaan hebben, waar de belangrijkste aandachtspunten liggen en hoe die veiliger gemaakt kunnen worden." Wat voor kwetsbaarheden De Vroey & co. vinden, is enkel voor de stad Antwerpen bestemd.

"De vraag is niet of we gehackt zullen worden, maar wanneer dat zal gebeuren", zegt Nick Huysmans, veiligheidsexpert bij BDO - Risk & Assurance Services. "Vroeger waren IT-systemen relatief eenvoudig, vandaag gaat het in de meeste bedrijven om talrijke applicaties, cloudtoepassingen en andere databases die met elkaar moeten kunnen communiceren en waar ook soms mensen van buiten je organisatie aan moeten kunnen. Dat inzicht doet je op een andere manier naar cyberveiligheid kijken."

Enkel digitale verdedigingsmuren rond je netwerk optrekken met firewalls en virusscanners is onvoldoende. De vraag die je als organisatie moet stellen, is: hoe voorkom ik dat een onverwachte bezoeker aan de haal gaat met alle waardevolle gegevens? "Vandaag heerst er dan vooral chaos: wat moeten we nu?", weet cyberexpert Kurt Callewaert (Howest). "Iedereen binnen je organisatie moet weten wat er van hem of haar verwacht wordt indien er een aanval is."

Bankfilialen hebben duidelijke procedures indien er plots een gewapende gangster eist om de kluizen te openen. Dankzij gangsterfilms weet iedereen dat er ergens een geheime knop zit om de politie subtiel op de hoogte te brengen van een overval. Het komt er dan op neer de overvallers zo lang mogelijk bezig te houden tot de politie arriveert.

Back-up

Volgens Callewaert is er zelfs in de basis nog veel winst te boeken. "Heel wat bedrijven hebben vandaag geen duidelijk zicht op hun eigen netwerkschema's. Alles werkt, maar hoe digitale informatie zich van de ene naar de andere applicatie beweegt, is meestal een raadsel." Hij raadt bedrijven aan om niet alleen alle toestellen in kaart te brengen, maar ook hoe het netwerk beweegt. "Een verouderd Windows-toestel kan voldoende zijn om heel je netwerk kwetsbaar te maken." Daarnaast is een duidelijk wachtwoordbeleid onontbeerlijk. "Dat wil niet alleen zeggen dat iedereen geregeld zijn wachtwoord moet wijzigen, je moet ook perfect weten wie toegang heeft tot welke applicatie." Het is bovendien geen slecht idee om alle data te versleutelen. Als er dan een indringer binnen raakt, kan die de gegevens niet lezen.

Tot slot hoort elk bedrijf een back-up te hebben van alle cruciale gegevens. "Het is belangrijk dat die kopie niet met het internet verbonden is, anders zijn die gegevens misschien ook besmet met de malware op het netwerk", zegt Callewaert. Zo'n back-up zorgt ervoor dat ransomware-aanvallen nutteloos worden, je moet geen losgeld betalen om je gegevens terug te krijgen. Bovendien kan je organisatie naar behoren blijven functioneren.

Het probleem van cybersecurity is hetzelfde als in vele sporten: De verdediging is maar zo sterk als de zwakste schakel. En in het geval van cyberveiligheid is dat niet een stukje code, of een computer an sich, maar de mens. "Als je een USB-stick op de parking van een bedrijf legt waar een sticker op kleeft met de boodschap 'top secret' of 'loonbrieven', dan mag je er vergif op innemen dat er toch een werknemer zijn nieuwsgierigheid niet kan bedwingen. Zodra die geheugenstick in de computer gaat, is de hacker waar hij wil zijn, in het hart van het netwerk", zegt Nick Huysmans van BDO - Risk & Assurance Services. "Daarom zijn cyberoefeningen binnen bedrijven van cruciaal belang", zegt Cédric De Vroey. "Stuur zelf regelmatig phishing mails uit en analyseer wie welke e-mails opent. Op basis van die data kan je opleidingen organiseren."

Een goed idee, vindt Ulrich Seldeslachts van LSEC, een samenwerkingsverband van beveiligingsexperts uit het bedrijfsleven, de academische wereld en de overheid. Hij gelooft niet in het nut van alleen maar sensibilisering zonder enig gevolg. "We hebben op vlak van cyberveiligheid een echte gedragswijziging nodig." Als veiligheidsexpert weet hij precies hoeveel toestellen zijn gezin aan het internet koppelt. "Dat zijn er vandaag 126. Dingen zoals een televisie, versterker, radio, game console of koelkast. Dat moet kunnen, zolang je die beheert en gecontroleerd met het internet verbindt."

Hij verwijst naar een ontluisterend voorbeeld van begin dit jaar. "Cloud Pets zijn knuffels die je via bluetooth met een app kan verbinden. Ouders kunnen op die manier horen wat hun kinderen tegen hun pluche vriend vertellen." In februari bleek dat de gegevens van een half miljoen mensen op straat lag. Het ging om e-mailadressen, wachtwoorden en zelfs opnames van kinderen.

Veiligheidsvoorschriften

Het voorval legt volgens Seldeslachts een aantal pijnlijke zaken bloot. "Ten eerste moeten we vermijden dat onveilige producten op de markt komen. Een wagen moet ook aan veiligheidsvoorschriften voldoen. Die veiligheid staat aan op het moment dat je naar buiten rijdt met de wagen. Je moet die als consument niet activeren. Ten tweede is het uit den boze dat producten, die je met het internet verbindt, voorzien zijn van bijvoorbeeld een standaard gebruikersnaam 'admin' of 'root' en wachtwoord 'password' of '123456'. Tot slot mogen we niet naïef zijn en denken dat, eens we het paswoord veranderd hebben, alles veilig is. Voortschrijdend inzicht leert dat er regelmatig nieuwe veiligheidsrisico's opduiken, zoals KRACK, het lek in het WPA2-protocol. Net zoals met een wagen, moet je de toestellen als een goede huisvader onderhouden." Hij zou het niet eens zo'n gek idee vinden mocht er op termijn een soort rijbewijs voor het internet komen. "Niemand wil verantwoordelijk zijn voor het platleggen van een land omdat hij de software van zijn koelkast niet heeft geüpdatet."

Dat klinkt niet eens gek als je de voorspelling van onderzoeksbureau Gartner bekijkt: tegen 2020 zouden er 20 miljard toestellen, groot en klein, met het web verbonden zijn. Computers en smartphones werden niet meegerekend.

Ook al die spullen moeten een update krijgen. Seldeslachts: "Want als jij vandaag een slimme koelkast koopt, hoe weet je dan zeker dat die tegen 2020 nog voldoende beveiligd kan worden? Wie kan je dat verzekeren? Het maatschappelijk debat loopt, tussen gebruikersorganisaties, fabrikanten en beveiligingsspecialisten, maar een eenvoudig antwoord is er niet. Er wordt wel gewerkt aan een certificatiesysteem voor ICT-producten- en diensten."

Cédric De Vroey begrijpt Seldeslachts' verzuchting. "We hebben dringend nood aan wat digitale etiquette. Ik kan er zelf alles aan doen om veilig te werken op het internet. Denk aan wachtwoorden van minstens 24 tekens en een dubbele verificatie om mijn e-mails te kunnen lezen. Maar als ik gevoelige informatie naar jou mail en jij gebruikt overal hetzelfde wachtwoord en logt op elke openbare wifi in, dan breng je ook mij in gevaar. Echt collegiaal is dat niet."

Toch ziet hij de toekomst niet donker in. "Hoelang staat er al een computer die verbonden is met het internet in de huiskamer? We moeten gewoon duidelijke regels met elkaar afspreken, enkel zo sluiten we de rangen."