Med et stadig stigende antal detektiv / murder mystery serier og film der ser dagens lys, er den fælles tendens det uvisse. Det mystiske og hemmelighedsfulde fascinerer den brede befolkning. Tager man et kig tilbage, ser man at tendensen ikke er ny, men mere det nyeste skud på stammen – lysten til at afsløre og afmystificere er noget der ligger dybt i os mennesker. Selv de mindre nysgerrige iblandt os finder en vis tilfredsstillelse i at dele viden, som ikke er tilgængelig for andre. Hvor detektivhistorier og kryds & tværs tiltaler det brede publikum, så har hackere valgt at stille denne lyst ved at erhverve sig viden, der umiddelbart virker utilgængelig.
Navnet hacker bliver nu brugt til at betegne den gruppe af individer, der besidder evnen til at lokalisere og erhverve sig informationer tilgængelig fra Internettet, der er forsøgt skjult og/eller sikret. Medierne udviser en stigende interesse for disse hackere og de nærmest magiske bedrifter de kan udrette, men alt for ofte fokuserer medierne på det mystiske, det uforklarlige, den gode historie og fastholder dermed den generelle opfattelse at hackere og computerspecialister lever i en særlig verden utilgængelig for almindelige mennesker. Men ganske som den magiske aura omkring en tryllekunster forsvinder så snart man forstår hvad der foregår kan hackerens metoder og værktøjer virke langt mindre skræmmende så snart man indser hvad der sker bag kulisserne.
I dette indlæg giver jeg en kort beskrivelse af de første værktøjer hackere benytter når de forsøger at skaffe sig adgang til en anden persons oplysninger.
Kvalificerede gæt, er ofte det første skridt på vejen. Det lyder måske ikke så sexet som man kunne have håbet, men det har vist sig at virke igen og igen. Først prøver vi med nogle kombinationer af navne; dit, din partners, dine børns og dine kæledyrs – oplysninger der med tiden er blevet let tilgængelig via blandt andet Facebook og Google. Har vi ikke noget held med det personlige forsøger vi med navnet på firmaet du arbejder i og smider gerne nogle tal efter 123, telefonnummer eller årstal er altid gode bud. Slår vi ud igen så forsøger vi med nogen af de mest populære kodeord; 123456, password, 123123, admin, letmein, password1, qwerty, abc123, 123456789,monkey, princess, trustno1, 111111, iloveyou, computer, welcome, internet, baseball, football, whatever, secret, matrix, 102030, test …..
Gav dette heller ikke pote, bevæger vi os videre i værktøjskassen.
Pass reuse, er en anden meget low tech tilgang hvor vi udnytter ofrets hukommelse. Hver dag skal vi logge på adskillige tjenester som E-mail, Sociale medier sider, Arbejds PC’er, Hjemme computere, Mobiltelefoner, Bank etc. og selvom vi godt ved at vi ikke burde genbruge vores kodeord, så ender det ofte med at vi bare genbruger det kodeord vi nu kan huske til et væld af tjenester og kun beskytter det vigtigste med noget stærkere. Ved at søge rundt i de tjenester et offer bruger kan man enten finde deres password direkte i en lækket bruger database fil eller der kan i nogen tilfælde identificeres et nemmere mål hvor koden så kan tilegnes.
Blandt de mest udbredte leaks filer er Adobe(152.445.165 individer), G-mail(4.789.599 individer) og Snapchat(4.609.615 individer) som alle er let tilgængelige fra diverse forums.
Brute force, er vores næste værktøj vi tager fat i. Det kommer til at tage længere tid og det bliver oftest meget tydeligt at et angreb er under vejs, hvilket er grunden til at vi venter lidt med bare at forsøge alle kombinationer – men vi kommer ikke altid udenom.
Exploitation, eller software hacking kan være nødvendigt hvis vi ikke har mulighed for at gætte utallige gange. Vi forsøger simpelthen at bryde det stykke software eller den service brugeren benytter sig af. Kan vi lave et bufferoverflow, en SQL injection eller sender de trafikken over en usikker kanal? Der er en lang række sårbarheder, der kan ende med at give adgang helt uden at kende brugerens password.
Shotgun, er en af de mere aggressive værktøjer i vores kasse. Vi forsøger at exploite alt hvad der rører sig på serveren for at finde nogen mulige sårbarheder – ofte ved at bruge automatiserede scanningsværktøjer som Nmap, Burp eller Nikto. Mens vi er i gang kan vi også sende nogen spear-phishing angreb mod det offer vi har interesse i.
Så her har i nogle af de mest almindelige værktøjer mange hackere benytter sig af. Det ovenstående vil jeg nok mest betegne som the script-kiddy approach, hvilket er den mindst tekniske version af en hacker. De er langt fra de mest farlige, men det er klart dem der findes i det største antal og med mindre du er af en ekstraordinær interesse, så er det sandsynligvis dem du eller dit firma vil rende ind i.
Jeg håber her at have afmystificeret mediernes ”hacker” og givet en hurtig gennemgang af nogle af de faser de vil forsøge sig med, når de vil skaffe sig adgang til skjult eller sikret information. Hvad man bør tage bort fra dette er, at dit passwords længde tæller for meget – hvis det ikke kan findes i en ordbog. Sætninger er ligeledes en dårlig ide og længden af passwords der er sætninger, skal ses som antallet af ord og ikke antallet af bogstaver. Så hav hovedet med jer når der skal vælges passwords og sørg nu for ikke at genbruge kodeord hos services der ikke kan tilbyde jer en ordentlig sikkerhed.