Naar mijn mening is social engineering één van (zo niet dé) leukste manier van hacken. Het is een vaardigheid die weinig met digitale techniek te maken heeft maar zo enorm belangrijk is. Social Engineering is het is het hacken van mensen. Door slim te manipuleren zorgt een hacker ervoor dat zijn slachtoffer iets doet wat het slachtoffer normaal gesproken nooit zou doen. Denk bijvoorbeeld het aan ontfutselen van een wachtwoord door slim vragen te stellen of zich voor te doen als iemand anders. Ik wil het in deze post gaan hebben over een manier van social engineering die ik vaak toepas tijdens het ethisch hacken: de USB-drop.
De USB-drop
De gevonden voorwerpenbak. Veel bedrijven hebben er wel eentje. En er ligt altijd van alles in. Van handschoenen die verloren zijn tot USB-sticks. En juist daar gaat het om. USB-sticks zijn een gemeengoed geworden en iedereen gebruikt ze. Even een documentje kopiëren op de stick voor een printje naar een collega. Nog even wat foto’s van de ene computer naar de andere. Het is zo gedaan met zo’n stickie. En dan verlies je ‘m. Waar blijven ze? En wat doe je als je er eentje vindt? Veel mensen worden nieuwsgierig als ze een USB-stick vinden en stoppen de stick in de computer. Met alle goede bedoelingen van dien. Immers, er kan een document met de naam van de eigenaar opstaan. Toch?
Geen USB-sticks in het systeem. That’s the rule!
Veel bedrijven hebben een regel (policy) dat werknemers USB-sticks niet meer mogen gebruiken in de computer. En zeker geen gevonden USB-sticks. Toch is een gevonden USB-stick verleidelijk om in de computer te steken en te kijken wat er op staat. Het mag niet maar toch doe je het.Dat is waar een hacker gebruik van maakt. De hacker zet op een aantal USB-sticks malafide software. Deze software kan gestart worden zodra de USB-stick in de computer wordt gestoken of wanneer er bijvoorbeeld een programma of document geopend wordt vanaf de stick. Zodra dit gebeurt wordt de “achterdeur” van de computer opengezet door deze malafide software. De hacker krijgt hier een melding van op zijn computer en heeft dan toegang tot het systeem van het slachtoffer.
Drop it like it’s hot
De USB-drop is, zoals de naam wellicht doet vermoeden, het rondstrooien van geprepareerde USB-sticks met malafide software. Ik doe dit bij een ethische hack waarbij er getest moet worden of medewerkers de regel naleven die zegt dat USB-sticks niet gebruikt mogen worden. Vaak laat ik een USB-stick achter op een openbare plek waar veel medewerkers komen zoals een kantine. Soms geef ik een stick af die ik “toevallig gevonden” heb bij de receptie. In zeker drie van de vijf USB-drop aanvallen plaatst de medewerker de stick zonder problemen in de computer. Je snapt: direct toegang.
Alles uit
Als je als organisatie besluit om het gebruik van USB-sticks te verbieden dan kun je dit natuurlijk ook technisch aanpakken. Door de instellingen te wijzigen van de computer is het mogelijk USB-sticks geen toegang te geven tot het computersysteem. Steekt een medewerker toch een USB-stick in zijn of haar computer dan zal de computer de USB-stick gewoon weigeren en er niets mee doen. Dan is toch de oplossing? Helaas. Er zijn verschillende “USB-sticks” te koop die er uitzien als een normale stick maar in werkelijkheid een microcomputer zijn. Deze sticks laten zich identificeren al een toetsenbord en dat is een apparaat dat door ieder besturingssysteem als legitiem wordt gezien. Vervolgens kan er nog steeds allerlei software gestart worden die de hacker wil.
Social engineering: IT Security Awareness
Medewerkers moeten zich dus bewust zijn van wat er kan gebeuren als ze toch een USB-stick in de computer steken. En bewustwording is de eerste stap in cyclus van het proces naar een betere beveiliging in de informatiehuishouding. Het echt veranderen zit in gedrag. Herhaling en bewustwording is een must wanneer het om IT Security gaat. Laten zien wat er mis kan gaan (en zal gaan) wanneer er soepel met de regels wordt omgegaan is nodig voor het veranderen van gedrag.