Iedereen kent die hacker-aanval scene van NCIS. Abby Sciuto (Pauley Perrette) en Timothy McGee (Sean Murray) werken in hun slecht verlichte forensisch laboratorium en moeten een cybercrimineel afweren die vastbesloten is informatie over hun onderzoek te stelen.
Te midden van een stortvloed van onontcijferbare technobabble (Hij is door de firewall gebrand! Dit is DOD Level 9-codering!), begint het paar terug te vechten. Uiteindelijk typen ze tegelijkertijd op hetzelfde toetsenbord. Het is – bij gebrek aan een betere term – belachelijk.
Ga zitten. We zijn aan het hacken
Die scènes belichamen alles wat mis is met hoe hacking wordt geportretteerd in de wereld van tv en film. Invallen in verre computersystemen vinden plaats in een kwestie van ogenblikken, vergezeld van een verscheidenheid aan betekenisloze groene tekst en willekeurige pop-ups.
De werkelijkheid is een stuk minder dramatisch. Hackers en legitieme penetratietesters nemen de tijd om de netwerken en systemen waarop ze zich richten te begrijpen. Ze proberen netwerktopologieën te achterhalen, evenals de gebruikte software en apparaten. Vervolgens proberen ze erachter te komen hoe die kunnen worden uitgebuit.
Vergeet de real-time counter-hacking afgebeeld op NCIS; zo werkt het gewoon niet. Beveiligingsteams concentreren zich bij voorkeur op verdediging door ervoor te zorgen dat alle extern gerichte systemen zijn gepatcht en correct zijn geconfigureerd. Als een hacker op de een of andere manier de externe verdediging weet te doorbreken, nemen geautomatiseerde IPS (Intrusion Prevention Systems) en IDS (Intrusion Detection Systems) het over om de schade te beperken.
Die automatisering bestaat omdat er verhoudingsgewijs maar heel weinig aanvallen op gericht zijn. Ze zijn eerder opportunistisch van aard. Iemand zou een server kunnen configureren om het internet af te speuren, op zoek naar voor de hand liggende gaten die hij of zij kan misbruiken met scriptaanvallen. Omdat deze bij zulke hoge volumes voorkomen, is het niet echt houdbaar om ze allemaal handmatig aan te pakken.
De meeste menselijke betrokkenheid vindt plaats op de momenten na een beveiligingsinbreuk. De stappen omvatten het proberen om het punt van binnenkomst te onderscheiden en het af te sluiten, zodat het niet opnieuw kan worden gebruikt. Incidentresponsteams zullen ook proberen te onderscheiden welke schade is aangericht, hoe deze te verhelpen en of er problemen zijn met de naleving van de regelgeving die moeten worden aangepakt.
Dit zorgt niet voor goed vermaak. Wie wil er nu toekijken hoe iemand minutieus de documentatie van obscure zakelijke IT-apparatuur doorneemt of serverfirewalls configureert?
Verover de vlag (CTF)
Hackers vechten af en toe in realtime, maar het is meestal voor “rekwisieten” in plaats van voor enig strategisch doel.
We hebben het over Capture the Flag (CTF) wedstrijden. Deze vinden vaak plaats op infosec-conferenties, zoals de verschillende BSides-evenementen. Daar strijden hackers tegen hun collega’s om gedurende een bepaalde tijd uitdagingen te voltooien. Hoe meer uitdagingen ze winnen, hoe meer punten ze verdienen.
Er zijn twee soorten CTF-wedstrijden. Tijdens een Red Team-evenement proberen hackers (of een team van hen) met succes bepaalde systemen binnen te dringen die geen actieve verdediging hebben. De oppositie is een vorm van bescherming die vóór de wedstrijd wordt geïntroduceerd.
Het tweede type wedstrijd plaatst rode teams tegen verdedigende blauwe teams. Rode teams scoren punten door met succes doelsystemen binnen te dringen, terwijl de blauwe teams worden beoordeeld op hoe effectief ze deze aanvallen afweren.
Uitdagingen verschillen per evenement, maar ze zijn meestal ontworpen om de vaardigheden te testen die dagelijks door beveiligingsprofessionals worden gebruikt. Deze omvatten programmeren, misbruik maken van bekende kwetsbaarheden in systemen en reverse engineering.
Hoewel CTF-evenementen behoorlijk competitief zijn, zijn ze zelden vijandig. Hackers zijn van nature nieuwsgierige mensen en zijn ook geneigd hun kennis met anderen te delen. Het is dus niet ongebruikelijk dat tegenstanders of toeschouwers informatie delen die een rivaal kan helpen.
CTF op afstand
Er is natuurlijk een plotwending. Op dit moment zijn vanwege COVID-19 alle persoonlijke beveiligingsconferenties van 2020 geannuleerd of uitgesteld. Mensen kunnen echter nog steeds deelnemen aan een CTF-evenement met inachtneming van de regels voor onderdak of sociale afstand.
Sites zoals CTFTime verzamelen aankomende CTF-evenementen. Net zoals je zou verwachten bij een persoonlijk evenement, zijn veel hiervan competitief. CTFTime toont zelfs een leaderboard van de meest succesvolle teams.
Als je liever wacht tot alles weer opengaat, kun je ook deelnemen aan solo-hackuitdagingen. De website Root-Me biedt diverse uitdagingen die hackers tot het uiterste op de proef stellen.
Een andere optie, als je niet bang bent om een hackomgeving op je pc te creëren, is Damn Vulnerable Web Application (DVWA). Zoals de naam al aangeeft, zit deze webapplicatie opzettelijk vol met beveiligingsfouten, waardoor potentiële hackers hun vaardigheden op een veilige, legale manier kunnen testen.
Er is maar één regel: twee mensen op een toetsenbord, mensen!