De Kluis: Anonymous en andere crackers hadden topjaar

Tientallen Nederlandse gemeenten vielen dit jaar door de mand, met gammele websites die vertrouwelijke informatie lekten of zich lieten 'beheren' door onbevoegden. Ook andere organisaties werden betrapt op zwak digitaal hang- en sluitwerk, waaronder een groot aantal webwinkels, integriteitoverheid.nl en de Politiebond.

In oktober deed ict-deskundige en journalist Brenno de Winter via Webwereld een boekje open over het gestuntel bij met name de overheid. Kort voor het eind van de maand werd zijn eigen server bijna moeiteloos gekraakt - door heren betrokken bij beveiligingsfirma Issx te Amersfoort, die een vet spoor naar dat bedrijf achterlieten.

Nog wat eigen glazen werden ingegooid door netwerkspecialist Neteyes, die de actie van De Winter en Webwereld gebruikte in een reclametekst waarin afdoende beveiliging werd beloofd. De eigen webstek liet zich veel te makkelijk kraken. Neteyes gaf de schuld aan een ander, ingehuurd om de site te bouwen en in de lucht te houden. 'We gingen ervan uit dat het veilig was.' Maar de site was gebaseerd op Lithium, een obscuur cms (content management system) waarvan al sinds 2009 geen updates meer zijn verschenen. Bovendien was de login van de beheerder nogal kinderlijk: gebruiker admin, wachtwoord netogen1. Een ict-bedrijf dat betere bescherming tegen crackers belooft, en zelfs daar niet even naar kijkt?

De Winter lijkt te denken dat meer aandacht voor beveiliging uiteindelijk geen zin heeft. Tijdens een interview met Security.nl zei hij: 'dit voorkomen kun je niet.' Dat partijen zoals Neteyes en De Winter geen kans zien om tochtvrij aan internet te hangen stemt somber, maar toont nog niet aan dat crackers onvermijdelijk vrij spel hebben. Want er zijn experts met heel wat meer kennis van zaken in huis. Houden de grootmeesters het wél droog?

Aaron Barr en zijn bedrijf Hbgary Federal werkten aan beide kanten van de schreef, voor klanten binnen de Amerikaanse overheid. Volgens zijn collega Greg Hoglund doen 'wij ons best om de Amerikaanse regering tegen hackers te beschermen.' Maar de dienstverlening omvatte ook spionage en ronduit criminele activiteiten.

General Dynamics

In 2009 werkte Hbgary voor General Dynamics, een fabrikant van onder andere gevechtsvliegtuigen en oorlogsschepen, ook actief in militaire informatica. De klant vroeg naar methodes om ongemerkt een rootkit (achterdeur) in andermans computers te plaatsen. Verder was General Dynamics geïnteresseerd in de geavanceerde malware die Hbgary ontwikkelde voor het verzamelen en verzenden van inlogdata, ongehinderd door een eventuele firewall; vermomd als webverkeer, tijdens gebruik van een browser.

Een jaar later was de Amerikaanse luchtmacht op zoek naar software voor de omgang met 'personages', valse identiteiten voor de verspreiding van (des)informatie via sociale netwerken zoals Facebook. Speciaal opgeleide soldaten zouden elk tien personages onderhouden, per stuk voorzien van 'een achtergrond, ondersteunende details, technisch, cultureel en geografisch samenhangend.' De informatiestromen moesten door manipulatie van ip-adressen worden gecamoufleerd, om tracering van de ware herkomst uit te sluiten. Barr zelf had veel belangstelling voor dat soort werk, want zijn specialisme was de exploitatie van sociale netwerken.

In de herfst van 2010 ontwikkelde Hbgary Federal samen met collega's Palantir en Berico plannen voor het advocatenkantoor Hunton & Williams. Een grote Amerikaanse bank (vermoedelijk Bank of America) vreesde dat gevoelige informatie in handen van Wikileaks was gevallen, en vroeg om ideeën voor tegenmaatregelen. Een tweede klant van H&W, de U.S. Chamber of Commerce (een lobbygroep van grote bedrijven), had last van actiegroepen en vakbonden. Barr kwam met powerpoints die bol stonden van 'analyse en exploitatie van sociale media,' 'beïnvloeding en misleiding' en 'aanvallen gericht tegen en exploitatie van computernetwerken' als oplossing van zulke problemen.

Begin 2011 had Hbgary Federal dringend nieuwe grote klanten nodig. Barr dacht ze te vinden door zijn bedrijf spectaculair in het nieuws te brengen. Een groep hacktivisten onder de naam Anonymous was sinds kort beroemd en berucht, onder andere dankzij aanvallen gericht tegen bedrijven zoals Paypal, Mastercard en Visa vanwege hun weigering om donaties voor Wikileaks te verwerken.

Niemand wist wie of wat Anonymous precies was. De politie in diverse landen had veel belangstelling voor meer informatie. En Anonymous maakte gebruik van internet chatrooms en sociale netwerken om acties te coördineren. Barr ging aan de slag. Eind januari meende hij de ware namen en adressen van drie leiders te hebben achterhaald. Op 4 februari publiceerde de Financial Times een interview met hem, waarin hij uitgebreid reclame mocht maken voor zijn methodes en expertise. Hij noemde geen namen, maar vertelde dat hij later die maand meer inzicht zou geven tijdens zijn presentatie op de BSides Security Conference in San Francisco.

De volgende dag waren de servers van Hbgary Federal onbereikbaar. Anonymous legde ze plat met een ddos-aanval (distributed denial of service), waarbij grote aantallen computers verspreid over de wereld een server overspoelen met informatiestromen. Hinderlijk, maar geen serieuze bedreiging.

CommanderX

Barr had een zekere mate van contact met Anonymous via speciaal ontworpen personages. Hij liet een dekmantel vallen en begon een gesprek onder eigen vlag met 'CommanderX', volgens Barr een van de leiders. Of Anonymous zijn servers met rust wilde laten, aangezien hij niet van plan was om ware namen te onthullen. CommanderX ontkende alle betrokkenheid. Hij waarschuwde slechts dat 'je kwetsbaarheden' (van hbgaryfederal.com) 'een stuk materiëler zijn. Misschien moet je daar iets aan doen.' Maar het was al te laat.

Moderne websites bestaan niet meer uit statische html-pagina's. Verzoeken van browsers worden door een cms vertaald en doorgegeven aan een database zoals Mysql, die op zijn beurt de inhoud van de gevraagde pagina levert. De database bevat ook informatie die niet voor iedereen zichtbaar mag worden, zoals de logindata van mensen met adminrechten. Tenzij een cms de verzoeken van browsers heel zorgvuldig filtert, kan een aanvaller er een instructie in verwerken die zulke informatie naar zijn browser stuurt.

Hbgaryfederal.com was gebaseerd op een speciaal voor het bedrijf geschreven cms, dat veel te makkelijk gehoor gaf aan de instructies van Anonymous. Op zich niet erg; een lijst van logins mag immers geen wachtwoorden bevatten, maar alleen de hashes ervan. Er is geen manier om een hash terug te rekenen naar het wachtwoord. Een aanvaller moet zelf hashes gaan berekenen voor mogelijke wachtwoorden, tot hij identieke hashes vindt in het gestolen bestand.

MD5-algoritme

Recente hashalgoritmes en procedures zoals cryptografisch zout (het verlengen van wachtwoorden met een willekeurig getal) maken gestolen inlogdata zo goed als waardeloos. Hbgary Federal gebruikte echter het oude MD5-algoritme, zonder zout of wat dan ook. Daarmee werd het volle gewicht van de beveiliging op de schouders van de wachtwoorden gelegd. Zijn ze lang en lijken ze niet op woorden of namen - denk aan 1337;uG1y9855W0r} - dan blijft het modderen voor een cracker. Maar twee werknemers gebruikten wachtwoorden bestaande uit slechts acht gewone letters en cijfers. Een van de twee was Aaron Barr.

Geen wonder dat de webstek van zijn bedrijf er even later minder fris uitzag. Andere schade lag echter niet voor de hand. De inlog gaf immers alleen toegang tot het beheer van de webstek zelf. Helaas maakten Barr en zijn collega nog een cruciale fout: ze gebruikten hetzelfde wachtwoord ook voor allerlei andere logins. En Barr was de admin van Hbgary's e-mailservice. Zo kreeg Anonymous tienduizenden e-mails in handen. Onderlinge conversaties over gevoelige onderwerpen, contacten met personeel van Amerikaanse inlichtingendiensten, het lag allemaal op straat. Letterlijk, want Anonymous zette de archieven integraal op thepiratebay.org, waar ze nog steeds te vinden zijn.

Zelfs daar hield de schade nog niet op. Via de inlog van zijn collega werd een tweede server gekraakt en een van de e-mailaccounts maakte het mogelijk om de admin van een derde server schijnbaar te laten benaderen door Greg Hoglund, Hbgary's rootkitmaker. Een handig gevoerde e-mailconversatie gaf Anonymous ook de macht over zijn rootkit.com in handen.

Dat Hbgary Federal niet wat beter werd verdedigd is curieus. Maar ook de beste digitale sloten en grendels bestaan voor een groot deel uit software, waar onvermijdelijk exploiteerbare fouten in zitten. Er is een levendige handel in zero-days, nog niet bij de maker bekende gaten in de beveiliging van allerlei software.

Je doet je voordeur op slot als je van huis gaat. Daarmee houd je insluipers en kwajongens tegen - maar niet de goed georganiseerde criminelen die weten dat je lang genoeg weg blijft, voorrijden in een keurige verhuiswagen en op hun gemak je inboedel naar buiten dragen.

Digitale sloten zijn niet fundamenteel anders. Op een zeker niveau is het geen kwestie van beveiligen, maar van vervolgen. Wereldwijd meer blauw op de virtuele straat. Wetten en handhaving die crackers (en overheden) in toom kunnen houden. Wie weet komt het er ooit eens van.

Expert Steven Bolt is robotica-wetenschapper en is daarnaast expert op het gebied van wiskunde en ict-beveiliging.