Hacking & Pentasting leggen steeds meer bloot
01 Sep 2019, 07:38
foto
Een voorbeeld van Wifi Hacking Interface.


Hacking is niet zo makkelijk. Het snelle keyboard getik in films waarna er administrator controle wordt verschaft aan een nerdy kelder bewoner aan de andere kant van de wereld zijn zeer zeldzaam en vereisen grove fouten aan de kant van de slachtoffer(s). Hacking vereist gedegen technische kennis, gespecialiseerde software, complexe hardware en verrassend veel social engineering.

De derde CySecA (cyber security awareness campagne) presentatie van Al-Khemia heeft vrijdagochtend plaatsgevonden. Op een discrete locatie heeft een kleine groep gespecialiseerde personeelsleden van een taakgroep (task-force) van de overheid first hand meegemaakt wat allemaal nodig is aan apparatuur, planning en software om werkelijk te hacken. Er zijn verschillende technieken toegepast, zoals keyboard logging, mobile metadata harvesting en directe in-your-face computer kraken. De participanten waren enkele dagen voor de presentatie "aangevallen" met een e-mail phishing scam van Al-Khemia Technici en tijdens de presentatie via een wifi network scanner.

Het is Al-Khemia gelukt persoonlijke en meta-data informatie te verkrijgen (legaal en illegaal) van enkele participanten. Deze informatie zou, theoretisch, verder kunnen worden gebruikt om ernstige schade toe te brengen aan de individuen en de instanties waar ze werken. Als voorbeeld zijn de browser historie van enkele telefoons (participanten) blootgelegd in een live demonstratie. Er kon worden achterhaald waar de participant allemaal gebruik heeft gemaakt van wifi tussen zijn huis en werk. Ook kunnen via Media Acces Controle (MAC) adressen van mensen worden gemonitord als ze binnen het bereik komen van bepaalde sensor apparaten. Hierdoor kun je bijvoorbeeld weten wanneer een bepaalde persoon eraan komt. Dit kan worden gebruikt als waarschuwing voor aankomende personen, maar ook om individuen aan te vallen zonder dat je ze hoeft te achtervolgen. Enkele participanten waren zodanig onder de indruk dat ze hun telefoons hebben uitgemaakt en verdere e-mails van Al-Khemia’s gaan weigeren. Alle telefoons, laptops en computers hebben MAC-adressen.

Het belang van penetration testing voor bedrijven en instanties is ook aan de orde gebracht. Bij deze test wordt gekeken naar de zwaktes en uitbuitingskansen voor een hacker of frauduleuze individuen om te stelen of anderszijds schade toe te brengen. Ook kunnen of moeten bedrijven intern maatregelen treffen om spionage, fraude en diefstal te voorkomen of zelfs op te sporen.

Deze recente presentatie/training is de meest geavanceerde cybersecurity event geweest in Suriname tot nu toe. De participanten wensten anoniem te blijven en uit voorzorg zullen bepaalde software, hardware en methoden niet publiekelijk worden behandeld. De presentatie is verzorgd door Roche Kandahi en Franklin Maanster als onderdeel van de nationale cyber security awareness campagne van Al-Khemia Foundation.

“Het was wel verrassend om te zien, wat onze cyber programma allemaal heeft kunnen blootstellen. Via e-mail phishing en onze wifi hacking hebben we gevoelige informatie kunnen achterhalen. Sommige participanten doen heel gevoelig werk in staatsbelang. Criminelen zouden/zullen dit kunnen uitbuiten. We moeten alert blijven en voorbereidingen treffen,” merkt Anwar Alibux, voorzitter van Al-Khemia Foundation op. De Cyber Security Awareness Campagne is een initiatief van de Al-Khemia Foundation met ondersteuning van Muhaarib Security NV. 
Advertenties