Hacking is niet zo makkelijk. Het snelle keyboard getik in films waarna er
administrator controle wordt verschaft aan een nerdy
kelder bewoner aan de andere kant van de wereld zijn zeer zeldzaam en vereisen
grove fouten aan de kant van de slachtoffer(s). Hacking
vereist gedegen technische kennis, gespecialiseerde software, complexe hardware
en verrassend veel social engineering.
De derde
CySecA (cyber security awareness campagne)
presentatie van Al-Khemia heeft
vrijdagochtend plaatsgevonden. Op een discrete locatie heeft een kleine groep
gespecialiseerde personeelsleden van een taakgroep
(task-force) van de overheid first hand meegemaakt wat allemaal nodig is
aan apparatuur, planning en software om werkelijk te hacken. Er zijn
verschillende technieken toegepast, zoals keyboard
logging, mobile metadata harvesting
en directe in-your-face computer kraken.
De participanten waren enkele dagen voor de presentatie "aangevallen" met een
e-mail phishing scam van Al-Khemia
Technici en tijdens de presentatie via een wifi
network scanner.
Het is
Al-Khemia gelukt persoonlijke en meta-data informatie te verkrijgen (legaal en
illegaal) van enkele participanten. Deze informatie zou, theoretisch, verder
kunnen worden gebruikt om ernstige schade toe te brengen aan de individuen en
de instanties waar ze werken. Als voorbeeld zijn de browser historie van enkele
telefoons (participanten) blootgelegd in een live demonstratie. Er kon worden
achterhaald waar de participant allemaal gebruik heeft gemaakt van wifi tussen
zijn huis en werk. Ook kunnen via Media Acces Controle (MAC) adressen van mensen
worden gemonitord als ze binnen het bereik komen van bepaalde sensor apparaten.
Hierdoor kun je bijvoorbeeld weten wanneer een bepaalde persoon eraan komt. Dit
kan worden gebruikt als waarschuwing voor aankomende personen, maar ook om
individuen aan te vallen zonder dat je ze hoeft te achtervolgen. Enkele
participanten waren zodanig onder de indruk dat ze hun telefoons hebben
uitgemaakt en verdere e-mails van Al-Khemia’s gaan weigeren. Alle telefoons,
laptops en computers hebben MAC-adressen.
Het
belang van penetration testing voor bedrijven en instanties is ook aan de orde gebracht. Bij deze
test wordt gekeken naar de zwaktes en uitbuitingskansen voor een hacker of frauduleuze individuen om te stelen of
anderszijds schade toe te brengen. Ook kunnen of moeten bedrijven intern
maatregelen treffen om spionage, fraude en diefstal te voorkomen of zelfs op te
sporen.
Deze recente
presentatie/training is de meest geavanceerde cybersecurity
event geweest in Suriname tot nu toe. De participanten wensten anoniem te
blijven en uit voorzorg zullen bepaalde software, hardware en methoden niet
publiekelijk worden behandeld. De presentatie is verzorgd door Roche Kandahi en
Franklin Maanster als onderdeel van de nationale cyber
security awareness campagne van
Al-Khemia Foundation.
“Het was wel
verrassend om te zien, wat onze cyber programma allemaal heeft kunnen
blootstellen. Via e-mail phishing en
onze wifi hacking hebben we gevoelige
informatie kunnen achterhalen. Sommige participanten doen heel gevoelig werk in
staatsbelang. Criminelen zouden/zullen dit kunnen uitbuiten. We moeten alert
blijven en voorbereidingen treffen,” merkt Anwar Alibux, voorzitter van Al-Khemia Foundation op. De Cyber Security Awareness Campagne is een
initiatief van de Al-Khemia Foundation
met ondersteuning van Muhaarib Security
NV.