‘Hackaton’ in samenwerking met GlobalKnowledge

In een hackathon georganiseerd door GlobalKnowledge moesten de pen testers de beveiliging van het bedrijf The Clerks Collecting Office zien te kraken. Niels Gilis en Benjamin Eygenraam, die als System Engineers bij Axxes aan de slag zijn, waren twee van de deelnemers.

De kans dat je al van The Clerks Collecting Office gehoord hebt is onbestaande, want het bedrijf bestaat gelukkig niet. Toch was in TryHackMe, een platform waarin je virtuele machines kunt maken, alles gecreëerd om het bedrijf tot leven te brengen. Er was een website, bijvoorbeeld, en ’werknemers’ hadden een account op sociale media. Net als in het echte leven dus.

Vijf dagen lang probeerden Niels, Benjamin en honderden anderen uit binnen- en buitenland binnen te dringen in de backend van het virtuele bedrijf om via het “capture the flag”-principe punten te scoren. Iedere dag spendeerden ze minstens één uur om opdrachten te vervullen. Wie vlak na de middernacht de eerste vlag vond kreeg extra punten - wat tot heel wat nachtelijke escapades leidde. Het plan van Niels en Benjamin bestond uit drie grote fasen.

FASE 1: VERKENNEN

‘In eerste instantie is het belangrijk om het bedrijf goed te leren kennen’, zegt Niels. ‘Dat doe je door alle informatie die je online kan vinden netjes te groeperen.’ Het gaat om zaken die iedereen op legale wijze kan verkrijgen. Denk maar aan wat op een website of sociale media te vinden is. Want, zo zegt Niels, die kan later altijd van pas komen.

Op een Instagram-profiel stond bijvoorbeeld een foto van een hond, wiens naam later als paswoord opdook. Het lijkt te voor de hand liggend, maar in een wereld waarin 1234 nog steeds het populairste paswoord is, is het de realiteit. ‘Sommige gegevens konden we ook, net als bij echte hacks, via social engineering ontfutselen. Zo heb ik het telefoonnummer van de CEO kunnen ontfutselen door me op Instagram als iemand anders voor te doen.’

Iedere relevante tip leverde punten op, die varieerde naargelang de manier waarop je ze vond. Wie hetzelfde telefoonnummer vond op een verborgen pagina van de website kreeg een iets lagere score. ‘Het fijne aan hacken is dat je zaken zoals deze op verschillende manieren kunt benaderen. Je kan een deel automatisch scrapen, maar er blijft vaak nog een menselijke factor’, zegt Benjamin.

FASE 2: DE DEUR OP EEN KIER ZETTEN

Wanneer alle legale middelen uitgeput waren, haalden Benjamin, Niels en hun concurrenten de zwaardere tools boven om “eens te kijken naar wat achter de deur zou kunnen zitten”. Een van de belangrijkste hulpmiddelen daarbij was Kali Linux, een operating system met heel wat functionaliteiten die je in een penetratietest kunt gebruiken.

Niels: ‘Die kan je gebruiken om bijvoorbeeld na te gaan op welk systeem een website draait en waar je precies naar kijkt. De software geeft een pak meer informatie dan wat je via een normale browser zou zien.’

Twee tools springen in het oog. De eerste is DirBuster, die bijvoorbeeld verborgen wegpagina’s toont als je er de juiste wordlist aan hangt. Daarnaast is er Nmap, waarmee je onder andere de versie van de service kan bekijken. Wie dat deed ontdekte bijvoorbeeld een geheime folder.

‘Het belangrijkste,’ zo zegt Benjamin, ‘is je kunnen verplaatsen in de schoenen van een ander. Mensen die websites ontwikkelen gaan vaak testpagina’s maken of bestanden laten staan op plaatsen waar ze na de lancering verwijderd hadden moeten worden. Denk bijvoorbeeld aan mappen met testbestanden. Als tester kan je retroactief te werk gaan om die op te sporen.’

FASE 3: HET KRAKEN VAN CODES

De volgende stap? Bepaalde geëncrypteerde gaan kraken. Niels: ‘Vaak vind je in scans bestanden die je niet meteen kan openen, zoals oude backups. In dit geval kon je daar bijvoorbeeld de naam van de hond als paswoord voor gebruiken. De finale stap was het vinden van de username om in te loggen op de backend. Ook daarvoor moest je je opnieuw verplaatsen in de developer die het systeem had opgezet. Als je goed nadacht ontdekte je dat hij of zij niet echt ervaren was en daarom de handleiding van het hostingbedrijf had gevolgd. Daarin werd aanbevolen om het IP-adres in combinatie met de domeinnaam van de website als username te gebruiken. Door die ontdekking konden wij ook inloggen in de backend.’

De meer dan honderd tools in Kali Linux kwamen ook hier van pas, maar kunnen overweldigend overkomen. Niels: ‘Als je niet weet wat je doet kan je veel tijd verspillen. Het is beter om eerst na te denken over wat je wil doen en dan de tool zoekt. Vaak zijn er ook online tools die je kan gebruiken zonder dat je technisch onderlegd bent. Denk maar aan CrackStation, die geëncrypteerde informatie kan lezen en je al wat meer vertelt over wat het bestand zou kunnen zijn. Cryptii zet binaire codes om naar leesbare taal, Cyberchef gaat nog een stap verder en kan effectief aanduiden welke encryptie de code gebruikt en van zwakkere encrypties en herkenbare wachtwoorden vaak het slot al breken voor jou.’

WHAT’S NEXT?

Uiteindelijk belandde Niels wereldwijd in de top 50 van de hackathon, Benjamin zelfs in de top 20. ‘Ik merk dat het me echt wel ligt en wil me hier nog meer op toeleggen. Wedstrijden zoals deze helpen me om m’n kennis uit te breiden of op te frissen’, zegt Benjamin. Dat beaamt Niels: ‘Een van de belangrijkste zaken die ik leerde is dat het als developer belangrijk is om na een lancering goed na te gaan wat je nodig hebt voor je eindproduct. Als programmeur laat je geen ongebruikte code laten staan, als network engineer geen ongebruikte poorten en als systeembeheerder geen ongebruikte accounts. Half werk zorgt voor een makkelijke invalshoek voor hackers! Door overbodige bestanden te verwijderen sluit je heel wat open deuren. De mens blijft hoe dan ook de zwakste schakel: je moet niet alleen je systemen maar vooral je mensen beveiligen.

By Niels Gillis & Benjamin Eygenraam