Mensen denken altijd nog dat een wachtwoord vreselijk ingewikkelde combinatie van letters en cijfers moet zijn, maar zo simpel is het niet meer...
En inderdaad, een paar seconden later kijken we mee met de toetsaanslagen.
Brandweerman En nee, er gaan geen alarmbellen op uw computer af. Uw systeem ziet de keylogger als een toetsenbord, niets anders. “Ik hoor u al denken: dan moeten ze eerst binnen zien te komen”, vervolgt Hellinghuizer. “Als u denkt dat dat onmogelijk is, zit u er naast. Is het u bijvoorbeeld wel eens opgevallen dat het schoonmaakpersoneel in werkelijk alle kamers kan komen, zelfs waar u met uw hoogste security clearance soms niet bij kan?” Er klinkt instemmend gebrom in de zaal. “Maar die inspectie van de brandweer van vorig jaar. Is er iemand die zich afvraagt of dat een echte brandweerman was?”
Rubber ducky Het klinkt als een script voor een nieuwe ‘mission impossible’, maar het gebeurt in de praktijk. “Als je voldoende tijd hebt en de incentive groot genoeg is, kun je verrassend ver komen”, legt Hellinghuizer uit. “Stel, je wilt fysieke toegang tot een bepaalde plant. Door een document te vervalsen waarin er toestemming wordt gegeven voor een brandinspectie, een vals ID-bewijs, een brandweerpak dat je op Ebay hebt gevon- den en een grote dosis geduld en brutaliteit,
kom je vaak op plaatsen waar je toegang hebt tot een pc. Eenmaal daar ga je niet stuntelen met een wi-fi dongel, wat moge- lijk ook alarmbellen doet afgaan, maar steek je een ‘rubber ducky’ in een USB-poort.”
“Een rubber ducky is een als USB-stick ver- momd apparaatje dat door de computer als een keyboard wordt herkend”, vervolgt Hellinghuizer. “Je kunt duizenden karakters pre-programmeren en zodra je de ducky in de USB-ingang steekt, worden die vanzelf uitgevoerd, zonder dat het systeem het ziet. Je verbindt de ducky met een telefoon hot- spot die je ergens achterlaat en vervolgens kun je het systeem op afstand uitlezen.”
Wachtwoord Het praktijkgedeelte begint en we worden uitgenodigd plaats te nemen achter de lap- tops. We beginnen met de eerste en meest eenvoudige oefening, nadat we een formu-
De ‘Rubber ducky’, keurig vermomd als
USB-stick, voor de foto gedemonteerd.
Is het u bijvoorbeeld wel eens
opgevallen dat het schoonmaak- personeel in werkelijk alle kamers kan komen, zelfs waar u met uw hoogste security clearance soms niet bij kan?
35
lier hebben ondertekend dat de opgedane vaardigheden niet in de ‘praktijk’ mogen worden gebracht. “Mensen denken altijd nog dat een wachtwoord vreselijk ingewik- kelde combinatie van letters en cijfers moet zijn, maar zo simpel is het niet meer”, legt Hellinghuizer uit. “De lengte van het wacht- woord wordt steeds belangrijker. Je moet eigenlijk minimaal twaalf tekens gebruiken om enigszins safe te zijn.” We maken een gebruikersnaam en wacht- woord aan, bestaande uit maximaal zes karakters. Vervolgens laten we een program- ma los op de gebruikersnaam-wachtwoord combinatie. “Na de lunch is die wel ge- kraakt”, belooft Hellinghuizer. De cursisten kijken hem ietwat ongelovig aan, maar schuifelen toch richting de broodjes.
Brute force En inderdaad, een minuut of twintig later zijn alle wachtwoorden, met uitzondering
Page 1 |
Page 2 |
Page 3 |
Page 4 |
Page 5 |
Page 6 |
Page 7 |
Page 8 |
Page 9 |
Page 10 |
Page 11 |
Page 12 |
Page 13 |
Page 14 |
Page 15 |
Page 16 |
Page 17 |
Page 18 |
Page 19 |
Page 20 |
Page 21 |
Page 22 |
Page 23 |
Page 24 |
Page 25 |
Page 26 |
Page 27 |
Page 28 |
Page 29 |
Page 30 |
Page 31 |
Page 32 |
Page 33 |
Page 34 |
Page 35 |
Page 36 |
Page 37 |
Page 38 |
Page 39 |
Page 40 |
Page 41 |
Page 42 |
Page 43 |
Page 44 |
Page 45 |
Page 46 |
Page 47 |
Page 48 |
Page 49 |
Page 50 |
Page 51 |
Page 52 |
Page 53 |
Page 54 |
Page 55 |
Page 56