Volg Software Zaken

Interview Kevin Mitnick: ‘Mens is altijd zwakste schakel in securitybeleid’

| Tijs Hofmans | Privacy Security

Kevin Mitnick durft best te pochen over zijn kunsten. Hij noemt zichzelf “the world’s most famous hacker.” Je kunt discussiëren of dat terecht is, maar Mitnick weet als geen ander hoe makkelijk het is om bedrijven binnen te dringen. SoftwareZaken sprak met hem over zijn werk.

Ethisch hacker Kevin Mitnick werd vooral bekend in de jaren 90 toen hij gepakt werd voor hacks in meerdere computersystemen. Hij hackte zich naar binnen bij veel bedrijven, tot hij daarbij iets te ver ging. Toen hij telecombedrijf Pacific Bell hackte begon hij op te vallen bij de FBI. Die zetten hem op de most wanted-lijst. Toen Mitnick na 2,5 jaar op de vlucht gepakt werd zat hij 5,5 jaar in de cel.

Inmiddels zet Mitnick zijn kennis in om bedrijven te helpen bij hun digitale beveiliging. Hij richtte Mitnick Security op, een bedijf dat penetratietesten doet om de beveiliging van klanten te testen. Ook is hij ‘Chief Hacking Officer’ bij securitybedrijf KnowBe4.

Ouderwetse methodes

Opvallend is dat Mitnick voor dat werk nog grotendeels dezelfde methodes gebruikt als waar hij in de jaren 90 zo berucht mee werd. Via de telefoon en door middel van openbare bronnen heeft hij veel succes. “Ik kan bij ieder bedrijf binnendringen”, vertelt hij aan SoftwareZaken. Soms gaat dat snel, andere keren duurt het wat langer, maar Mitnick claimt een successcore van 100 procent. “Zolang je maar genoeg tijd neemt.”

De zwakste schakel daarbij is vrijwel nooit een slecht geconfigureerde firewall of een rammelende update policy. Het is de mens. Door een beetje creatief manipuleren laten zij Mitnick al dan niet moedwillig een netwerk op. Volgens Mitnick is er in iedere organisatie wel iemand te vinden die je kunt overhalen een geïnfecteerde bijlage te openen of zelfs direct geld over te laten maken.

Social engineering

Openbare bronnen zoals sociale media helpen Mitnick zijn potentiële slachtoffers te vinden. “Iedereen is tegenwoordig op LinkedIn te vinden. Bedrijven schrijven ook veel blogs over hun werk en noemen daarbij werknemers met hun namen en functies. Hoe langer je zoekt, hoe meer je vindt.”

Het is een methode die vaker wordt ingezet. Social engineering, open source intelligence (OSINT) gebruiken om gegevens te verzamelen, en op die manier jezelf een organisatie binnen praten. Op die manier kan een kwaadwillende een hoop schade aanrichten.

Ceo-fraude

Dat gebeurde bijvoorbeeld niet zo lang geleden nog bij bioscoopketen Pathé. Daar werd een werknemer slachtoffer van zogeheten ‘Ceo-fraude’. Een hacker deed zich voor als een hooggeplaatste functionaris binnen het bedrijf en mailde werknemers met de opdracht een transactie te doen naar een fictieve klant. Dat geld kwam op de rekening van de hackers te staan die er zo met 19 miljoen euro vandoor gingen.

Mitnick was nog niet bekend met die specifieke case, maar staat er niet van te kijken als het hem wordt uitgelegd. “Dit komt heel bekend voor, al gebeurt het meestal op wat minder grote schaal”, zegt hij. Ceo-fraude komt veel voor, bijvoorbeeld om geld te verdienen zoals in dit geval of juist om een organisatie binnen te dringen voor andere doeleinden, bijvoorbeeld om gevoelige informatie te stelen.

Het einddoel is eigenlijk niet zo relevant, zegt Mitnick, de aanvalsmethode is vaak hetzelfde. “Je speelt in op het vertrouwen van degene met wie je communiceert. Die persoon vertrouwt de ceo, een manager, een baas… Het is makkelijk dat uit te buiten.”

“De methode die ik gebruik verschilt op basis van hoe groot de organisatie is”, zegt Mitnick. “Bij een grote organisatie is het makkelijk je voor te doen als medewerker, zeker als het bedrijf meerdere locaties heeft. Bij een kleine organisatie moet je wat meer moeite doen om vertrouwen te winnen.”

Aandacht = succes

Hoe meer aandacht iemand als Mitnick in een aanval steekt, hoe groter de kans op succes is. Mitnick: “Hoe meer aandacht je er in stopt, hoe makkelijker dat gaat. Stel dat je een advocatenkantoor wil infecteren. Dan stuur je eerst een introductie, daarna ga je een eerste gesprek aan. Misschien een tweede. Na een paar telefoontjes stel je voor een call op te zetten met een systeem dat je zelf gebruikt. Je stuurt ze een dan een linkje naar een site waar ze kunnen inbellen, of een document met meer details, ét voìla, je bent hun systeem binnen.”

Vanaf dat moment is het kiezen wat je doet. Ransomware verspreiden, gevoelige documenten stelen, er is veel mogelijk. Want, zegt Mitnick, niet alleen de aanvalsmethode is zo eenvoudig, ook aan de systemen mankeert vaak nog genoeg. “Het is bij zoveel bedrijven nog steeds heel makkelijk om een heel systeem te infecteren vanaf één aanvalspunt. Terwijl het voor goede beveiliging ook essentieel is aan netwerksegmentatie te doen.”

Basismaatregelen

Mitnick en KnowBe4 doen dan ook regelmatig penetratietesten waarbij die problemen constant naar voren komen. “Als wij een bedrijf binnendringen gebruiken we daar echt geen geavanceerde methodes voor hoor. We zetten simpele tools en technieken in die in 90 procent van de gevallen te voorkomen waren. Als je je netwerken een beetje gescheiden houdt en overal een sterk wachtwoord gebruikt kom je al heel ver.”

Waarom ontbreekt het bij bedrijven dan aan zulke maatregelen? Het is niet alsof de beveiligingsindustrie niet al jaren voor zulke basismaatregelen pleit. Ook voor doorsnee medewerkers moeten experts blijven hameren op simpele maatregelen, zoals lessen in het herkennen van phishingmails. Mitnick erkent dat er weinig is veranderd in het narratief. “Maar dat komt omdat het nu eenmaal nog steeds nodig is. Als wij cursussen geven zien we nog steeds dat er zoveel maatregelen niet worden doorgevoerd. Totdat dat wél gebeurt moeten we als industrie blijven herhalen.”

Impact laten zien

Eén oplossing is in ieder geval om te laten zien wat er mis kan gaan, en hoe snel. Met KnowBe4 simuleert Mitnick wel eens aanvallen in bedrijven. Daarmee krijgen medewerkers volgens hem pas echt te zien hoe makkelijk een aanval is – en hoeveel schade dat kan opleveren. “Veel slachtoffers denken: ‘Mij overkomt dat niet’, of ze denken dat zij die phishingmails wél herkennen. Het is altijd iemand anders’ probleem. Totdat ze zien hoe makkelijk ook zij getroffen kunnen worden. Je moet het echt aantonen, pas dan valt dat kwartje. Pas dan leren werknemers, pas dan gaan ze écht beter opletten.”

Als u slachtoffer bent van cybercrime bent u mogelijk verplicht dat te melden. Lees hier meer over onze procedure meldplicht datalekken. Softwarezaken kan u helpen aan goede certificatie voor veiligheid te komen. Lees hier meer over onze certificatie ‘Security Verified’.

Bron afbeelding: Kevin Mitnick

Author: Tijs Hofmans
Tijs Hofmans is tech- en ruimtevaartjournalist. Hij schrijft voor diverse techtijdschriften en -websites, en is als freelancer verbonden aan SoftwareZaken om te schrijven over privacy en security. Hij is te bereiken via https://www.tijshofmans.nl