>>>  Laatst gewijzigd: 15 september 2020  
Ik

Woorden en Beelden

Filosofie en de waan van de dag

Start Glossen Weblog Boeken Denkwerk

Thema's 'Techniek'

Atoombom, wapentuig

Internet, Sociale media

Informatieovervloed

Privacy

Spionage, inlichtingendiensten

Geschiedenis hacken

Hackerethiek

Voorkant Mitnick 'Art of intrusion' Kevin D. MITNICK / William L. SIMON
The art of intrusion - The real stories behind the exploits of hackers, intruders and deceivers
Indianapolis: Wiley, 2005; 270 blzn.
ISBN: 07 6456 9597

Kevin Mitnick is een van de meer bekende 'hackers' die inbraken in computersystemen en daar op een gegeven moment voor gearresteerd en veroordeeld werden - zie Hafner-Markoff Cyberpunk. Na zijn verblijf in de gevangenis heeft Mitnick zijn leven gebeterd en is hij veiligheidsexpert geworden bij een firma die andere bedrijven adviseert over hoe ze zich kunnen wapenen tegen computerinbraken, bedrijfsspionage, en andere vormen van 'cybercrime'.

Dit boek beschrijft in een aantal hoofdstukken 'hacks' van heel uiteenlopende aard, geeft vervolgens per 'hack' inzichten in hoe de veiligheid van een systeem doorbroken of omzeild werd, en tips voor wat je daar tegen zou kunnen doen. Maar het accent ligt op de verhalen over 'hacks'.

[Mitnick verkoopt op die manier ook zijn eigen diensten natuurlijk en eigenlijk is dat jammer. De verhalen zijn spannend om te lezen, maar de toon van de adviezen is heel anders. Het is natuurlijk mogelijk die onderdelen gewoon over te slaan ...]

Interviews

Het boek is gebaseerd op interviews, waarbij de identiteit van sommige 'hackers' geheim gehouden moest worden. Dit om de simpele reden dat ze alsnog gearresteerd zouden kunnen worden voor hun 'hacks'. Uiteraard wilden die bronnen alleen maar praten als ze dat konden doen zonder risico. Vandaar dat in dit boek namen van betrokken personen en bedrijven regelmatig veranderd zijn.

Belangrijke vraag is bij interviews altijd de betrouwbaarheid van de verhalen die de geïnterviewden vertellen. Mitnick schrijft zelf:

"Even so, it’s possible — in fact, it’s likely — that some people exaggerated their stories with details intended to make them more compelling, or spun a story that was a total fabrication, but constructed around enough workable exploits to give them the ring of truth."(ix)

Mitnick - die natuurlijk alle ervaring heeft als 'hacker' - heeft de geinterviewden flink aan de tand gevoeld over de technische details van hun 'hacks' om een zo hoog mogelijke mate van betrouwbaarheid te bereiken.

[Jawel, dat geloof ik wel, maar desondanks is dit een probleem. Het trekt het boek meteen in de sfeer van de journalistiek, omdat wetenschappelijk, bijvoorbeeld historisch, onderzoek naar de 'hackers' en hun 'hacks' door bescherming van die bronnen in feite onmogelijk wordt. Het mogen dan aannemelijke verhalen zijn geworden, desondanks blijven ze voor anderen oncontroleerbaar. En de controleerbaarheid voor Mitnick zelf is ook maar beperkt. Hij kan dan misschien wel de technische details beoordelen, maar hij was er zelf niet bij toen het gebeurde. Wanneer je dan bedenkt hoe graag 'hackers' opscheppen over hun 'hacks', ga je je toch afvragen hoe waar die verhalen allemaal zijn.]

De Casino-hack

Het eerste verhaal gaat over een hack van 'slot machines' in Las Vegas. Die bevatten natuurlijk ook chips en programmatuur die de 'toevalligheid' regelen van de verschijnende kaarten en de winstkansen voor de gebruikers zo beperken dat het casino er altijd winst mee maakt. Een groepje mensen slaagde er in te weten te komen hoe de volgordes van de verschijnende kaarten verliepen en konden die kennis gebruiken om de juiste keuzes te maken en geld te verdienen met de machines. Maar één van de spelers werd betrapt, omdat hij arrogant werd. Daarna stopte de groep met hun 'hack'. Geinterviewd werden twee mensen van die groep.

"Both of them had been reluctant at first about telling their story but then took to the task with relish. And why not — in the 10 or so years since it happened, none of the four has ever before shared even a whisper of the events with anyone except the wives and the girlfriend who were part of it. Telling it for the first time, protected by the agreement of absolute anonymity, seemed to come as a relief."(19)

[Dit is nu zo'n voorbeeld van die betrouwbaarheidskwestie. Mitnick snapt de technische details van het programmeren door die groep ongetwijfeld, maar weet verder eigenlijk niets van hoe het er in casino's aan toe gaat. Hoe kan hij dus beoordelen wat er precies is gebeurd? En nog gekker: Als het inderdaad zo is dat niemand van die groep ooit over hun 'hack' gepraat had, hoe is Mitnick er dan achter gekomen dat die groep bestond en die 'hack' uitgevoerd had? Hoe is hij aan zijn interviews gekomen?]

'Hacks' voor een terrorist

Het verhaal over 'Comrade' en 'ne0h', de 'Keebler Elves', die contact kregen met ene Khalid Ibrahim. Khalid begon 'ne0h' opdrachten te geven voor 'hacks' waarvoor hij ook zou betalen, bijvoorbeeld een inbraak in Bhabha Atomic Research Center in India.

"The outfit was running a Sun workstation, which is familiar ground for every hacker. ne0h got into it easily enough but found the machine didn’t have any information of interest on it and appeared to be a standalone, not connected to any network."(26)

[Ik citeer dit, omdat het illustreert dat er af en toe maar rare dingen geschreven worden in dit boek. Hoe kan 'ne0h' op afstand inbreken in een computer die niet met netwerken is verbonden?]

Daarna braken de twee in in computers binnen de VS en 'deface'-den ze met anderen de website van het Witte Huis. Deze 'hackers' waren nog tieners die het als een spel zagen en het heerlijk vonden dingen te doen die niet mochten. Ze hadden nauwelijks door hoe gevoelig het inbreken in computers en het verschaffen van geheime informatie konden liggen. Het is ook nog maar de vraag of Khalid werkelijk een terrorist was. Hij zou ook heel goed een FBI-informant geweest kunnen zijn.

[Dat is een van de dingen die ik niet begrijp van dit soort jonge 'hackers': dat ze niet meer wantrouwen hebben ten aanzien van de contacten die ze hebben in 'cyberspace'. Je weet immers niet wat voor persoon er schuil gaat achter een internetidentiteit, mensen kunnen je daar van alles wijsmaken. Ik zou toch minstens willen weten met wie ik van doen had, wanneer ik me met iemand zou wagen aan computercriminaliteit. En dat is niet vast te stellen over computernetwerken. Het zou al moeilijk zijn bij een fysieke ontmoeting! Ik vind het zo ontstellend naïef.]

'Hacks' in een gevangenis in Texas, in een gerechtshof, en bij Boeing

Het volgende verhaal speelt in een gevangenis, waar twee gevangenen er in slagen zonder toestemming met computers te werken op een manier waarmee ze konden communiceren via internet. Hiervan valt het volgende te leren:

"Insiders often pose a greater threat than the attackers we read about in the newspapers. While the majority of security controls are focused on protecting the perimeter against the outside attacker, it’s the insider who has access to physical and electronic equipment, cabling, telephone closets, workstations, and network jacks. They also know who in the organization handles sensitive information and what computer systems the information is stored on, as well as how to bypass any checks put in place to reduce theft and fraud."(63)

Terwijl het vierde verhaal gaat over een paar tieners die in weten te breken bij gerechtshoven, een hotelketen en bij Boeing.

"It seems amazing in today’s world that hackers still find it so easy to saunter into so many corporate Web sites. With all the stories of break-ins, with all the concern about security, with dedicated, professional security people on staff or consulting to companies large and small, it’s shocking that this pair of teenagers were skillful enough to find their way into the computers of a federal court, a major hotel chain, and Boeing Aircraft.

Part of the reason this happens, I believe, is that many hackers follow a path like I did, spending an inordinate amount of time learning about computer systems, operating system software, applications programs, networking, and so on. They are largely self-taught but also partly mentored in an informal but highly effective “share the knowledge” tutoring arrangement. Some barely out of junior high have put in enough time and gained enough knowledge in the field that they qualify for a Bachelor of Science in Hacking degree. If MIT or Cal Tech awarded such a degree, I know quite a few I would nominate to sit for the graduation exam."(87)

"It’s about time that manufacturers began getting wise to this perennial problem. How about hardware and software manufacturers starting to recognize that most people don’t read the documentation? How about providing a warning message about activating the security or changing the default security settings that pops up when the user is installing the product? Even better, how about making it so the security is enabled by default? Microsoft has done this recently — but not until late 2004, in the security upgrade to Windows XP Professional and Home editions with their release of 'Service Pack 2', in which the built-in firewall is turned on by default. Why did it take so long?"()

Robin Hood Hackers

Robin Hood hackers proberen computersystemen te kraken zonder hun identiteit te verbergen en geven de fouten en zwakheden in die systemen door aan de eigenaren ervan. Maar ze doen dat wel zonder toestemming van die eigenaren. Het voorbeeldverhaal gaat over Adrian Lamo.

"In Adrian’s case, the U.S. Attorney chose to ignore the fact that the companies learned they were vulnerable to attack because Adrian himself told them so. Each time, he protected the companies by advising them of the gaping holes in their systems and waiting until they had fixed the problems before he permitted news of his break-in to be published. Sure he had violated the law, but he had (at least in my book) acted ethically."(110)

Penetration tests

Over de penetratietests van l0pht Havy Industries (de makers van l0phtCrack) bij een bedrijf. En over een dergelijke veiligheidstest door Dustin Dykes van Callisma Inc. Uiteraard gaat dat soort penetratieaanvallen samen met preciese afspraken, een kaartje met het bewijs dat de hacker een opdracht van het bedrijf uitvoert, en een NDA (Non Diclosure Agreement).

"The Callisma team concluded that, as in most organizations, anyone could walk in off the street, bring in their own equipment, wander throughout the buildings, and never be stopped or asked to explain themselves and show authorization. Dustin and his teammates had pushed the envelope to an extreme without a challenge."(133)

"One method to mitigate tailgating attacks is to modify what social psychologists call the politeness norm. Through appropriate training, company personnel need to overcome the discomfort that many of us feel about challenging another person, as often happens when entering a building or work area through a secured entrance. Employees properly trained will know how to politely question about the badge when it’s apparent the other person is attempting to “tag along” with them through the entrance. The simple rule should be this: Ask, and if the person doesn’t have a badge, refer them to security or the receptionist, but don’t allow strangers to accompany you into a secured entrance. "(136-137)

Andere hoofdstukken bevatten nog meer voorbeelden van penetratie tests. Dat is zo langzamerhand herhaling van hetzelfde.

Social Engineering

Maar ook 'social engineering' komt aan de orde, waarbij 'hackers' mensen op allerlei manieren manipuleren om informatie vrij te geven over wachtwoorden of andere vormen van toegang.

Daarbij wordt vrijwel altijd misbruik gemaakt van de beleefdheid, goedwillendheid, behulpzaamheid, vriendelijkheid van mensen. Helaas zijn veel van die behulpzame mensen ook nogal naïef waar het gaat om computers en computernetwerken en hebben ze gemakkelijk vertrouwen in andere mensen, zelfs in mensen die ze helemaal niet kennen. Bij dat laatste is het natuurlijk van groot belang dat de 'hackers' in staat zijn met hun verhalen vertrouwen te winnen en overtuigend te zijn. Helaas lukt dat al te vaak.

"Psychologists have identified many benefits people receive when they help others. Helping can make us feel empowered. It can get us out of a bad mood. It can make us feel good about ourselves. Social engineers find many ways of taking advantage of our inclination to be helpful."(235)

Start  ||   Glossen  ||   Weblog  ||   Boeken  ||   Denkwerk