cracking the code

acht wachtwoorden, honderdendrie triljoen mogelijkheden
21/03/2015

Van particulieren tot grote bedrijven en universiteiten, iedereen gebruikt het internet. Een cyberaanval op onze gegevens doet ons dan ook stijgeren. Hackers lijken in onze privégegevens op het internet te kunnen snuffelen zonder dat iemand daar wat aan kan doen. We delen zelfs vaak informatie zonder het te weten of te willen. Hoe veilig zijn onze gegevens nog? Welk deel van het internet is nog echt privé? Of is het internet van iedereen?

piratenpartij en privacy

“Informatica heeft altijd gaten.” Een internationale beweging die erg begaan is met deze werkelijkheid is de Piratenpartij. dwars sprak met Arthur Govers, een ervaren partijmilitant. Op dit moment is de Piratenpartij vooral bezig met thema’s als privacy en auteursrecht. Zij vraagt een aanpassing van de wetgeving hieromtrent, omdat ze vindt dat die door recente internetevoluties voorbijgestreefd is. Gratis downloaden van muziek moet volgens de partij niet bestraft worden, want alles wat op het internet staat is van iedereen. Ik vraag Arthur of hij vindt dat er nog een plaats moet zijn op het internet die enkel van jou is. “Ja, maar dat is nu niet het geval. In de cloud is alles van iedereen. Je hebt er zelf geen controle over welke gegevens je deelt en welke niet.”

 

Arthur is zijn geloof in privacy dus kwijt. Bedrijven als Microsoft en Facebook vormen grote machtsconcentraties op het internet. Zij kunnen unilateraal over de gegevens van hun users beslissen door hun terms and conditions aan te passen, zoals Facebook onlangs deed. De Piratenpartij wil deze machtsconcentraties doorbreken. Ook Universiteit Antwerpen is onlangs user geworden van Microsoft en als user heb je geen rechten, volgens Arthur. “Wat als Microsoft haar terms and conditions zo aanpast dat de universiteit de controle over haar gegevens verliest?” Dat kan niet volgens Paul Fremau, departementsverantwoordelijke ICT van de universiteit. “Wij hebben contracten met Microsoft, die garanties geven over privacy en eigendomsrecht. Dat is ook de reden waarom we juist Microsoft gekozen hebben. Zij garanderen in tegenstelling tot andere gratis diensten wel die veiligheid.”

 

Het gaat, zoals Arthur zegt, niet alleen over de macht van grote bedrijven, maar ook over wie je nog bent als mens: “Op het internet wordt je bijvoorbeeld muziek aangeraden die je leuk zal vinden, op basis van eerdere zoekopdrachten. Wat als dat systeem je beter begint te kennen dan jij jezelf kent? Dan begin je je vrijheid als mens te verliezen.” Arthur vertelt er wel bij dat hij niet vindt dat de Piratenpartij het juiste antwoord heeft op deze uitdagingen. “Het is geen beweging die op zoek is naar een ideale samenleving, maar ze probeert wel een reactie te zijn op de huidige samenleving. Dat doet ze door relevante vragen te stellen over de plaats van het internet, want het web niet gebruiken is in deze maatschappij geen optie meer.”

 

de waakhond vervalsen

Dat beseft ook Universiteit Antwerpen, die net zoals andere universiteiten en bedrijven verschillende internetservices aanbiedt. Zo heeft zij haar eigen wifi-netwerk, waarop alle studenten en professoren kunnen inloggen. We gebruiken ook verschillende online services van de universiteit, zoals Blackboard, SisA, en de e-mailservice. Maar hoe veilig zijn de gegevens op die diensten? dwars zocht het uit.

 

De veiligheid van de gegevens op de diensten van de universiteit hangt af van een gebruikersnaam en een wachtwoord. “Dit systeem wordt ook gebruikt door de andere universiteiten en ook door de grote wireless-internetaanbieders in België,” drukt Paul Fremau mij op het hart. Verbinding maken met een wifi-netwerk van dit type gebeurt meestal automatisch, zodra de gebruikersnaam en het wachtwoord één keer zijn ingegeven (het gaat om een WPA2 bedrijfsnetwerk, nvdr.). Onze devices sturen de gebruikersnaam en het wachtwoord door naar een authenticatieserver. Deze verifieert de gebruikersnamen en wachtwoorden en laat je op basis daarvan toe op het netwerk.

 

Inloggen op het netwerk van het type dat de universiteit gebruikt, kan dus enkel met de juiste gebruikersnamen en wachtwoorden, want de authenticatieserver houdt als een waakhond alle indringers tegen. Net hier wringt het schoentje. Een authenticatieserver namaken is immers niet zo moeilijk. Hoe dat moet, kan je zelfs op het internet vinden. Als je die doe-het-zelf authenticatieserver combineert met een device die een wifi-signaal kan uitzenden – iets wat bijna elke smartphone kan – dan heb je je eigen bedrijfsnetwerk. Zo kan je dus op een plaats gaan zitten waar veel studenten komen en daar gebruikersnamen en wachtwoorden verzamelen. Zoals een van onze bronnen zei: “Eigenlijk is gewoon rondlopen in de studentenbuurt met een laptop genoeg.” Het is zelfs mogelijk dat gebruikers zonder het te weten verbonden zijn met een fake netwerk, omdat de meeste devices automatisch met dat netwerk verbinding willen maken.

 

Toch zit hier een moeilijkheid voor eventuele hackers. Hoewel de systeembeveiliging die wordt gebruikt ervoor gekend is de gebruikersnamen leesbaar door te sturen, worden wachtwoorden beveiligd met een versleuteling (voor de geïnteresseerden, de beveiliging is een EAP-MSCHAP (v2), nvdr.).

 

tamme hackers, grof geweld

Gelukkig! Je gegevens zijn toch veilig. Voor diegenen die The Imitation Game gezien hebben, is het duidelijk hoeveel moeite het kost om versleutelde boodschappen te kraken. En dan nog heb je er een geniaal brein voor nodig. Toch is ook de juiste wachtwoorden achterhalen niet heel ingewikkeld, zoals onze 'tamme' hackers bewezen. Zij achterhaalden op de manier die hierboven werd beschreven acht gebruikersnamen en versleutelde wachtwoorden van studenten.

 

Om de versleuteling van de wachtwoorden te kraken, gebruikten onze hackers eerst iets wat in het jargon een 'woordenboekaanval' heet. Dit soort cyberaanval heeft echter alleen effect op mensen die hun gegenereerde wachtwoord van de universiteit veranderd hebben naar iets voor de hand liggend. Wachtwoorden uit de inschrijvingsbrief van de universiteit kunnen op deze manier dus niet worden gekraakt. Die wachtwoorden zijn wel een gemakkelijke prooi voor iets wat een 'brute force attack' heet, omdat de universiteit bij het genereren van haar wachtwoorden enkele restricties gebruikt. Door de restricties die de universiteit hanteert voor het genereren van haar wachtwoorden, is het aantal mogelijke wachtwoorden ook beperkt: er blijven 103 triljoen mogelijkheden over.

 

103 triljoen? Het zal wel heel wat tijd en een supercomputer kosten om al deze mogelijkheden te vergelijken met de versleutelde wachtwoorden. Dat is gedeeltelijk waar, maar onze hackers pasten ook hier een mouw aan. Zij zijn er dankzij een beetje codeerwerk in geslaagd het proces te versnellen. Zo hebben zij op zes dagen tijd zes van de acht versleutelde wachtwoorden kunnen kraken. Dat is ongeveer een wachtwoord per dag, met een succesratio van 75 procent. Bovendien bestaan er diensten op het internet die wachtwoorden kraken, als je de juiste parameters invoert. Zij bieden een succesratio van 100 procent aan (uiterst illegaal en tegen betaling, uiteraard).

 

De mogelijke gevolgen van zo’n aanval spreken voor zich. Doordat het wachtwoord nu achterhaald werd, kan een hacker inloggen op alle diensten van de universiteit. Hij kan je mails lezen, Blackboard openen en SisA gebruiken. Voor een malafide hacker zijn de gegevens die op SisA staan een goudmijn: ze kunnen niet alleen adressen van studenten verkrijgen, maar ook bankgegevens. Als gebruikers het wachtwoord van de universiteit gebruiken om op andere diensten in te loggen, kan de hacker ook hier gegevens verzamelen. Je punten veranderen is echter moeilijker, vertelt Paul Fremau: “Ten eerste zijn die slechts een beperkte tijd vlak na de examens beschikbaar. De veranderingen die gebeuren worden gelogd, we weten dus van waar ze aangepast worden. We kunnen ze dus gemakkelijk terugtracen naar specifieke computers. Bij andere inbreuken is dit al eens gedaan. Je punten veranderen is immers wettelijk strafbaar.”

 

hackpreventie

Is er dan geen licht aan het einde van de tunnel? Zijn we allemaal gedoemd en worden onze gegevens vroeg of laat toch gestolen? Gelukkig zijn er enkele maatregelen die je zelf kan treffen om te voorkomen dat je gehackt wordt. Eerst en vooral is het belangrijk meerdere wachtwoorden te hebben. Zo kunnen hackers niet binnen op andere diensten die je gebruikt. Ook kan je je wifi-verbinding uitschakelen wanneer je die niet nodig hebt of op je device aanduiden dat er niet automatisch verbinding mag gemaakt worden met een netwerk. De valse authenticatieserver werkt immers het best wanneer er geen interferentie is met de echte authenticatieserver. Dat betekent dat hackers die de beschreven methode gebruiken vooral toeslaan op plaatsen waar geen UAntwerpen-netwerk aanwezig is.

 

Ook Universiteit Antwerpen kan enkele maatregelen treffen om haar netwerk beter te beveiligen. De gemakkelijkste manier om het probleem op te lossen is speciale karakters toevoegen aan de wachtwoorden en ook de lengte van de wachtwoorden uit de inschrijvingsbrief laten variëren, zeggen onze hackers. Voor huis-tuin-en-keuken-hackers zou het dan al onmogelijk zijn om met een 'brute force attack' de versleuteling van de wachtwoorden te hacken. Dat zou te veel tijd in beslag nemen. Bovendien zou je dan een echte rekencomputer nodig hebben. De hackdiensten op het internet beschikken echter wel over gespecialiseerde apparatuur. Wachtwoorden aanpassen is de verantwoordelijkheid van de studenten zelf, volgens Paul Fremau. “De universiteit raadt het immers ook aan de gegenereerde wachtwoorden te veranderen.” De parameters die je best toepast zijn te vinden op de webmailapplicatie en op de website van de universiteit. Ook de handleidingen van het Infocenter ICT voor studenten kunnen helpen de surfervaring op de universiteit veiliger te maken.

 

Een andere manier om hackers tegen te houden ligt in het systeem zelf. Zo is er de mogelijkheid om op de authenticatieserver certificaten in te stellen. Een certificaat zorgt ervoor dat je device eerst de echtheid van de authenticatieserver verifieert. Zo kunnen hackers dus niet aan je gebruikersnaam of wachtwoord komen door middel van een valse authenticatieserver en ben je dus beter beveiligd. Die certificaten bestaan wel op het universiteitssysteem, het gebruik hiervan kan worden ingesteld op client-toestellen. Dit wordt toegelicht in de handleidingen van het infocenter ICT. De universiteit kan dit echter niet zelf afdwingen, volgens het departement ICT.

 

Een andere manier om het netwerk beter te beveiligen, is het gebruik van een andere soort beveiliging (EAP-TLS, nvdr.). Dit soort beveiliging is veel sterker, maar ze is minder gebruiksvriendelijk. “Als we dat wel zouden willen doen, moeten we een commercieel pakket aankopen van 25.000 certificaten. Dat is een investering die in de honderdduizenden euro’s zou lopen. Ook andere universiteiten en hogescholen hebben dit niet gedaan. Het is naast de budgettaire overwegingen ook belangrijk steeds een afweging te maken tussen gebruiksvriendelijkheid en veiligheid,” zegt Paul Fremau. Wat wij wel kunnen doen is beter communiceren over cyberveiligheid.” Het is echter onmogelijk een beveiliging te maken die volledige veiligheid garandeert. “Onbreekbaar bestaat niet,” zegt één van onze hackers, “maar de wachtwoorden die de studenten nu krijgen toegezonden door de universiteit zijn 100 procent crackable.”