Hoe de Russen (waarschijnlijk) probeerden de OPCW te hacken

ma, 17/12/2018 - 12:58

Door: Redactie WINMAG Pro

Het heeft het meeste weg van een slecht geacteerde James Bond film. Vier Russen in een auto, vlakbij het gebouw van de OPCW, mét verschillende antenne’s, een laptop, een telefoon met 4G-verbinding en een nogal verdacht taxibonnetje. Een knullige operatie volgens de MIVD, die de groep betrapte en het land uitzette. Tegelijkertijd zet het wel aan tot nadenken. Want stel dat de inlichtingendienst niet was getipt, hoe waarschijnlijk is het dan dat de Russen het netwerk hadden kunnen hacken?

Ervaren hackers

Het antwoord daarop is: vrij groot. Wifi-netwerken zijn op zichzelf veilig, maar nooit honderd procent. Zeker niet voor door de staat aangestuurde groepen zoals de GRoe. Bovendien is dit zeker niet de eerste operatie van de Russen. Op de genoemde laptop stond namelijk een hele waslijst aan belastende informatie. Naar verluidt hadden de Russen hun hackkunsten al toegepast in Kuala Lumpur om daar informatie over het MH17-onderzoek buit te maken. Na het hacken van de OPCW zou de reis verder gaan naar Zwitserland. Daar staat onder meer het laboratorium waar gifgas wordt onderzocht dat is gebruikt voor de aanvallen in Salisbury en Syrië.

Interessante apparatuur

Het waren dus zeker geen doorsnee loopjongens die op Den Haag werden afgestuurd. Een tweede teken dat de hackkans succesvol zou zijn geweest, is de apparatuur die de vier bij zich hadden: meerdere antennes, een laptop, signaalversterkers en een zogenaamde Pineapple. Dit is een relatief simpel apparaat dat iedereen volstrekt legaal kan kopen voor ongeveer € 75,-. Het is ooit ontwikkeld door het bedrijf Hak5, met als doel om te laten zien hoe makkelijk het is om een wifi-netwerk te hacken. Inmiddels wordt het zowel gebruikt om zwakheden in een wifi-netwerk bloot te leggen, als door criminelen om het te hacken door middel van een zogenaamde man-in-the-middle (MITM) aanval.

Hoe werkt zo’n MITM aanval, waarbij een hacker gebruikmaakt van een pineapple? Om dat uit te leggen is het belangrijk om eerst te weten wat een Pineapple precies is en hoe het werkt.

Wat is een Pineapple?

Een Pineapple is een soort van router. Het grote verschil is dat hij beschikt over meerdere radio’s, waardoor hij tegelijkertijd contact kan maken met een groot aantal apparaten. Je kunt er verschillende kanten mee uit, maar bij een MITM-aanval wordt er vooral gebruikgemaakt van de mogelijkheid om een Pineapple als een tussenstation te gebruiken. De hacker plaatst hem dan figuurlijk tussen de router en je computer of smartphone. De Pineapple doet zich voor als een betrouwbare router en probeert zo je apparaat te verleiden om er contact mee te maken. Het is alsof je een brievenbus door snuffelt, de brieven leest en ze vervolgens weer ongeopend teruglegt.

Hoe werkt hij?

De grote vraag is natuurlijk hoe een Pineapple jouw computer verleidt om te denken dat hij een betrouwbare server is. Daarvoor maakt het apparaat gebruik van een standaard zwakte van wifi. Bijna iedereen maakt wel gebruik van meerdere wifi-netwerken voor zijn of haar telefoon of laptop. Bijvoorbeeld als je in een café zit en daar even gebruikmaakt van ‘Huub1234’, het openbare netwerk. Bijna iedereen heeft zijn of haar apparaat zo ingesteld dat hij deze netwerken onthoudt, zodat er de volgende keer automatisch contact mee wordt gemaakt.

SSID’s

Om dat voor elkaar te krijgen stuurt jouw computer een signaal uit, een zogenaamde SSID. Dat staat voor Service Set Identifiers. Het komt erop neer dat je laptop aan iedere server vraagt of hij toevallig ‘Huub1234’ is, zodat hij er een verbinding mee kan maken. Je kunt je voorstellen dat dit een flinke zwakheid is. Het is alsof je iedere willekeurige vreemdeling op straat vraagt of hij toevallig jouw goede vriend Piet is. Er hoeft maar één kwaadwillende tussen te zitten die zegt dat hij Piet is, om bij jou binnen te komen en je huis leeg te halen. De Pineapple doet niets anders dan op SSID’s scannen. Vervolgens doet hij zich voor als het gevraagde netwerk. Op het moment dat het apparaat verbinding met hem legt, is de hacker binnen. Heel simpel. Daarmee kun je natuurlijk nog niet zomaar alles bekijken wat de gebruiker uitvoert. Die is namelijk beveiligd met het nieuwe HTTPS-protocol. De opvolger van het veel minder veilige HTTP. Een groot deel van alle websites is inmiddels overgestapt op HTTPS. Veel browsers geven tegenwoordig ook aan wanneer je een onbeveiligde HTTP-website wilt bezoeken. Die is veel vatbaarder voor glurende hackers.

HTTP's onschadelijk maken

Helaas heeft de Pineapple hier een truc op gevonden. En ook hierbij wordt gebruikgemaakt van een standaard zwakheid. Op het moment dat je namelijk verbinding wilt maken met een beveiligde website, zoals bijvoorbeeld Facebook, stuurt jouw apparaat een HTTP-signaal uit naar de server van Facebook. Die reageert vervolgens met een HTTPS-signaal dat goed beveiligd is. Je ziet het al: de beveiliging werkt maar één kant op. Van de server van de website naar jouw apparaat toe.

SSLSplit

De Pineapple maakt hier genadeloos gebruik van. Hij onderschept het zwakke HTTP-verzoek en stuurt deze in eerste instantie door naar de server van Facebook, zoals het hoort. Maar op het moment dat het HTTPS-signaal terugkomt, wordt deze nogmaals onderschept. Met een zogenaamde SSLSplit-module kan de Pineapple de ‘S’ laten verdwijnen, zodat de gebruiker op een slecht beveiligde HTTP-website terechtkomt. Het enige wat ‘ineens’ verdwenen is, is het gesloten slotje aan de linkerkant van de url. Maar het is slechts een kleine kans dat een onwetende gebruiker dat doorheeft. Door dit soort trucs kun je een Pineapple gebruiken om mee te gluren bij gebruikers van het wifi-netwerk. Daarbij kan alles worden opgeslagen, inclusief ingevulde gebruikersnamen en wachtwoorden. Deze kunnen vervolgens weer van afstand worden gebruikt door hackers om gevoelige informatie boven water te halen.

Evil Portal

De kans is echter klein dat de Russen hun Pineapple daarvoor wilden gebruiken. Het doel was namelijk om het netwerk van de OPCW te hacken. Daar sluit de Evil Portal methode een stuk beter op aan. Een beetje hacker, en zeker eentje van de GRoe, is zonder meer in staat om de inlogpagina van de OPCW keurig netjes na te maken. Op het moment dat de Pineapple met het apparaat van de medewerker is verbonden en deze wil inloggen, krijgt hij een keurig nette nepsite voorgeschoteld die niet van echt is te onderscheiden. Een soort van Phishing maar dus beter en met een veel hogere slagingskans.

Signaal versterken

Alle mogelijkheden bij elkaar opgeteld is het geen wonder dat de Russen gebruik wilden maken van een Pineapple om de OPCW te hacken. De antennes en signaalversterkers waren waarschijnlijk vooral bedoeld om het wifi-signaal op te pikken, te versterken en vervolgens weer duidelijk terug te sturen. Alsof de Pineapple midden in het gebouw stond, in plaats van in de auto van de Russen.

Onschuldige laptop?

Dan blijven de laptop en de 4G-telefoon nog over. Op zich heel onschuldig zou je zeggen, maar wel genoeg om met een beetje moeite een wifi-netwerk te kraken. Daarvoor heb je uiteraard wel de nodige software nodig. Je zou zeggen dat je daarvoor een doorgewinterde hacker moet zijn, met de nodige contacten op het Dark web. Niets is echter minder waar, bizar genoeg kun je vrijwel alle soorten hackers software gewoon gratis downloaden.

Gratis hackers software

Bekende ‘gereedschappen’ zijn Kali Linux of BackTrack Linux. Die werken vanuit een onafhankelijk systeem, bijvoorbeeld vanaf een USB-stick, en beschikken allebei over tools om een netwerk te kraken. Ook kun je als wannabee hacker gebruikmaken van Aircrackng- 1.2. Daarmee kun je zwakkere netwerken hacken die gebruikmaken van een WEP of WPA-PSK beveiliging. De kans is natuurlijk wel erg klein dat de OPCW die gebruikte.

Reaper

Waarschijnlijk maakte de OPCW minimaal gebruik van een WPA- of WPA2-beveiliging. Die is een stuk sterker, maar zeker niet waterdicht. Je kunt namelijk gebruikmaken van Reaper, of Reaper Pro. In principe kunnen die vrijwel ieder netwerk kraken in een tijdspanne van twee tot acht uur. Het maakt gebruik van een zwakheid binnen WPS, Wifi Protected Setup. Daarmee kun je jouw router resetten en hem een nieuw wachtwoord geven. Uiteindelijk is dat wat Reaper probeert te bereiken.

Penetratietest

Daar kun je relatief makkelijk achterkomen. Beveiligingsbedrijven maken namelijk gebruik van precies dezelfde middelen, maar dan voor een zogenaamde penetratietest. Ze proberen je netwerk van alle kanten te kraken. Zowel van buitenaf, als met een zelfde MITM-aanval als de Russen probeerden. Vervolgens kun je aan de hand van de resultaten maatregelen nemen om dit soort grappen te voorkomen. Om een Pineapple te slim af te zijn kun je bijvoorbeeld maatregelen nemen om de risico’s met SSID’s te beperken. Bijvoorbeeld door het standaard opslaan van wifi-netwerken uit te zetten. Het hacken van je netwerk met Reaper kun je voorkomen door een router te gebruiken zonder WPS.

Tot slot vraag je jezelf misschien af hoe wij aan deze informatie komen. Ook dat is schrikbarend makkelijk. Gewoon openbaar, op het internet. En natuurlijk met het idee dat je het alleen voor je eigen beveiliging gebruikt.

Beveiliging

Concluderend kun je zeggen dat vier Russen met kennis en ervaring, een paar antennes, signaalversterkers, een goede laptop en een Pineapple waarschijnlijk genoeg zouden zijn geweest om het de beveiliging van de OPCW knap lastig te maken. Een andere vraag is in hoeverre jouw eigen wifi-netwerk bestand is tegen dit soort aanvallen en trucs.