Explosieve hacking-gadgets
Het gevaar van agressieve hardware
Hacking-gadgets die vieze trucs kunnen uithalen om computers, smartphones en dergelijke aan te vallen zijn gewoon te koop. Die apparaten gebruiken de zwakke plekken van wifi, bluetooth, usb en nfc om systemen te hacken of te storen. Sommige gadgets zijn ook te misbruiken voor spionage. We hebben 15 verschillende apparaten in huis gehaald en hun gang laten gaan om te kijken welk gevaar ze opleverden.
Gespecialiseerde online shops verkopen gadgets die James Bond ook wel zou willen hebben. De apparaten nemen de veiligheid van moderne IT op de korrel door aanvallen uit te voeren waar veel systemen niet op bedacht zijn. Daarom zijn hacking-gadgets populair bij pentesters (penetration testers), die beroepsmatig zoeken naar zwakke plekken in bedrijfsnetwerken. Sommige van die apparaten worden gebruikt voor analyse-, onderzoeks- of ontwikkeldoeleinden, bijvoorbeeld door security-experts, om radioprotocollen zonder dure laboratoriumuitrusting te analyseren. Veel van die producten zijn in verkeerde handen echter ook te misbruiken als gevaarlijk cyber-wapen. Het zijn dan ook niet alleen pentesters die ze kopen, maar ook hackers – zowel de goede als de slechte.
Voordat we echter verder gaan, is een waarschuwing op zijn plek: met veel van de op de volgende pagina's genoemde apparaten kun je echte schade aanrichten en geldende wetten overtreden. Als je met het idee speelt om er een van te kopen, moet je die niet tegen eigendommen van anderen inzetten – of anders minstens met schriftelijke toestemming. Meer informatie over de juridische situatie staat op pagina 54.
De aanvalstechnieken die de apparaten gebruiken kunnen bijna niet méér van elkaar verschillen. Bij onze kleurrijke selectie zit bijvoorbeeld de USB Rubber Ducky (zie pagina 42), die qua uiterlijk niet van een gewone usb-stick te onderscheiden is. Een pentester laat dat ding gewoon ergens op een openbare plek liggen en wacht dan tot een nieuwsgierige vinder die in een computer stopt. Voordat de vinder het in de gaten heeft, is zijn computer gecompromitteerd. De stick meldt zich bij het systeem niet aan als opslagmedium, maar als usb-toetsenbord en neemt de controle dan over. De USB Killer (zie pagina 45) lijkt aan de buitenkant ook op een usb-stick, maar als je die in een usb-poort stopt komt er -215 volt uit – wat tot een voortijdige hardwaredood van de computer leidt.
Sommige van de hacking-gadgets kunnen een complexe netwerkaanval doorvoeren met één druk op de knop. Een penetratietester kan op die manier bijvoorbeeld de mazen in het netwerk van zijn opdrachtgever opsporen en demonstreren hoe makkelijk die te gebruiken zijn. De LAN Turtle (zie pagina 44) ziet er bijvoorbeeld uit een als gewone usb-netwerkadapter, maar er zit een minipc in op basis van Linux met verschillende pentesting-tools. Een pentester hoeft die in een onbewaakt moment alleen maar tussen een computer en de netwerkkabel te stoppen om een permanente backdoor te installeren. De kans dat zo'n achterdeur langere tijd onopgemerkt blijft is groot: wanneer heb jij voor het laatst de achterkant van je computer gezien? De WiFi Pineapple (zie pagina 48) werkt op een vergelijkbare manier. Daar kun je allerlei aanvallen op wifinetwerken en hun clients mee uitvoeren. Tussen de apparaten zit ook een kleine usb-keylogger (pagina 43), die eenvoudig tussen het toetsenbord en de computer aangesloten moet worden. Die registreert in het vervolg dan alle toetsaanslagen en verstuurt van tijd tot tijd een logbestand via het wifi. Als je dat zonder medeweten van de gebruiker doet, mag dat natuurlijk niet. De TV-B-Gone-kit op pagina 45 is daarentegen geheel ongevaarlijk en leuk om mee te spelen: hij probeert via infrarood meer dan honderd tv-uitschakelcodes uit tot alle schermen in de omgeving op zwart zijn gegaan. Als je dat een keer live meegemaakt hebt, weet je waarom op beurzen en tentoonstellingen de infraroodontvangers van de presentatiedisplays vaak afgeplakt zijn.
De meeste van de genoemde apparaten zijn echter geen speelgoed. Er worden steeds meer gevallen bekend waarbij de speciale hardware voor echte aanvallen misbruikt werd. Bij de redactie van een krant werd een usb-keylogger ontdekt die blijkbaar al meer dan een jaar gebruikt werd om redacteuren te bespioneren. Een voormalige medewerker was de hoofdverdachte. Een van onze lezers stuurde ons zelfs een usb-voeding waarin zorgvuldig een digitale audiorecorder was ingebouwd. We konden de inhoud van het flashgeheugen eraf halen en naar de betreffende lezer sturen. Hoe en waarom hij aan die gemanipuleerde voedingsadapter gekomen was, werd niet helemaal duidelijk.
Alle websites van de fabrikanten en waar je de producten kunt bestellen staan bij de link hieronder. Op pagina 50 hebben we de meest interessante aanvalstechnieken voor je op een rijtje gezet. Alleen als je de voor een deel onconventionele trucs van de hacking-gadgets snapt, kun je je daar effectiever tegen beschermen.