Pagina Menu

Wat is hacken?

Hacken staat omschreven als het indringen in een computer en ongeautoriseerd bekijken van gegevens. Het woord "hacken" verwees oorspronkelijk naar activiteiten die een grote hoeveelheid expertise en kennis van computersystemen vereisen. Mede door de negatieve media-aandacht is hacken tegenwoordig vrijwel een synoniem geworden voor illegale activiteiten. Met veel expertise op computergebied is het vaak relatief eenvoudig om binnen te dringen in beveiligde systemen, of om software zoals virussen of Trojaanse paarden te ontwikkelen. Met "hacken" worden meestal illegale activiteiten aangeduid, alhoewel de echte hackers dit gebruik verfoeien. Hackers vinden problemen en lossen die waar mogelijk op. De verbeteringen die ze doorvoeren, en de kennis die zij hebben opgedaan geven ze door aan collega’s. De boosdoeners heten in werkelijkheid crackers. In de meeste gevallen zijn de daders zogenaamde "script-kiddies", die met behulp van geautomatiseerde applicaties honderden websites aanvallen.

Een hacker heeft vrijwel nooit een Windows-besturingssysteem. Open source systemen zoals OpenBSD en Linux zijn populair onder de hackers, omdat je het besturingssysteem naar eigen wensen kan aanpassen.

Veel (thuis)gebruikers hebben er moeite mee te geloven dat anderen hun pc interessant genoeg vinden om op in te breken of om er malware op te installeren. Dat is een misvatting. Zelfs een eenvoudige thuiscomputer kan interessante informatie bevatten, zoals accountgegevens bij allerlei diensten en rekeningnummers. Ook worden veel thuis-pc's gebruikt voor internetbankieren, en criminelen beschikken over software waarmee ze financiële transacties kunnen onderscheppen en aanpassen. Bovendien kan eigenlijk elke pc dienst doen als onderdeel van een botnet, waarbij geïnfecteerde pc's (zogenoemde zombies) in opdracht van een command and control server spam versturen of in een gezamenlijke DDoS-aanval proberen een webserver op de knieën te krijgen. Daar komt nog bij dat hackers tijdens hun verkenningsrondes vaak weinig selectief te werk gaan en willekeurige pc's aftasten op mogelijke veiligheidslekken. Ga er dus maar van uit dat ook uw pc een mogelijk doelwit is.

In eerste instantie zal de hacker een reeks commando’s naar een besturingssysteem of programma zenden, ondertussen peilend of zijn acties succes hebben. Als de hack gelukt is, heeft de hacker een reeks commando’s tot zijn beschikking die hij verzamelt in een tekstbestand, een zogenoemd script. Bij een volgende aanval kan hij het script in één keer afdraaien en zonder moeite een kwetsbaar systeem verschalken. Iemand zonder hack-ervaring kan zo’n script ook gebruiken, aangezien het praktisch automatisch werkt. Een onkundig persoon die zo’n script gebruikt, wordt met enig dedain een script kiddie genoemd. Meestal gaat het namelijk om tieners, die uiteindelijk vaak opgepakt worden. Een deur openen met een loper is tenslotte één ding, na afloop wegkomen zonder bewijsmateriaal achter te laten een ander. Soms is hacken wel erg makkelijk. Zo maakt het programma ERD Commander – van Microsoft – het mogelijk om met een paar muisklikken de wachtwoorden op elke Windows-pc te veranderen.

Symptomen en reparatie

Wat zijn symptomen van een gehackt systeem? Een harde schijf die plotseling erg actief is, of een backup-tool die op de achtergrond bezig blijft met het maken van kopieën, of windows is bezig met defragmenteren en het indexeren van de schijfinhoud. Het zijn verdachte symptomen, maar ze kunnen ook wijzen op een legitiem updateproces, of een back-uptool die is op de achtergrond bezig is met veiligheidskopieën. Of misschien is het defragmentatie- of schijfindexeringsprogramma van Windows wel bezig.

Ook als de leds van de switch of router opeens beginnen te flikkeren, betekent dat niet meteen dat een of ander backdoor-programma stiekem data naar een hacker stuurt.

Dat kennissen opeens spam van uw e-mailadres ontvangen, kan net zo goed betekenen dat spammers uw adres ergens hebben gevonden en hun spamberichten hebben 'gespooft' met dat adres.

Drukke schijf

Een opvallend drukke schijf is een van de symptomen die kan wijzen op een gecompromitteerd systeem. Het is dus zaak te achterhalen welke processen precies achter die schijfactiviteit steken. Om te beginnen kunt u daarvoor Windows Taakbeheer aanspreken via de toetscombinatie Ctrl+Shift+Esc. Het Taakbeheer van Windows 7 en 8 werkt iets anders. In Windows 7 opent u het tabblad Processen en plaatst u een vinkje bij Processen van alle gebruikers weergeven. Klik vervolgens de kolomtitel Processen aan: u krijgt dan alle processen in een lijstje te zien, gesorteerd op cpu-gebruik. Wilt u echter weten welke processen de meeste schijfactiviteit innemen, ga dan naar het menu Beeld / Kolommen Selecteren en plaats een vinkje bij zowel I/O: gelezen bytes als I/O: geschreven bytes, waarna u de informatie in deze kolommen sorteert. Herkent u het bijbehorende proces niet of vertrouwt u het niet, klik het dan met de rechtermuisknop aan en kies Bestandslocatie openen.

In Windows 8.1 en 10 ziet het Taakbeheer er wat anders uit. Ga naar het tabblad Processen en klik op de kolomtitel Schijf, waarna u ook hier de processen gesorteerd op schijfactiviteit krijgt te zien. In het contextmenu vindt u ook hier Bestandslocatie openen.

Misschien heeft u aan de bestandslocatie en de bijbehorende programmanaam al voldoende om te weten of het om een bonafide proces gaat. Zo niet, dan kunt u de proces- en/of programmanaam altijd intikken in een zoekmachine als Google. Het contextmenu van Taakbeheer in Windows 8 heeft daarvoor zelfs de optie Online zoeken. Blijkt het inderdaad om ongewenste software te gaan, dan moet u die zo snel mogelijk verwijderen. Zie ook hier.

Vindt u ook in de zoekresultaten niet de nodige informatie terug, dan kunt u altijd nog terecht bij ProcessLibrary, een database die meer dan 140.000 processen bevat. Deze gegevens kunt u ook opvragen via een alfabetisch geordende tabel. Veel items zijn bovendien van een veiligheidsscore en eventueel ook van verwijderinstructies voorzien.

Ter aanvulling op het Windows Taakbeheer: er zijn ook handige externe tools waarmee u snel ontdekt welke processen voor de meeste schijfactiviteit zorgen. Een voorbeeld is het gratis programma Process Explorer. Start het uitgepakte programma en kies Options / Tray Icons, zet dan alleen een vinkje bij I/O History. Zet ook een vinkje bij Options / Hide When Minimized, waarmee u de tool minimaliseert. Er verschijnt nu een pictogram in het systeemvak van Windows. Gaat u hier met de cursor overheen, dan ziet u welk proces op dat moment voor hoeveel schijfactiviteit verantwoordelijk is (Read / Write / Other).

Met deze tool is het ook mogelijk de schijfactiviteit van de laatste paar minuten te bekijken. Start Process Explorer in het hoofdvenster op en dubbelklik op de vierde minigrafiek, bovenaan (I/O). U krijgt nu een kort historisch overzicht van de vastgestelde schijfactiviteit. Desgewenst maakt u de grafiek breder om verder in de tijd terug te kunnen gaan. Houd de cursor boven een piek om te zien wat het bijbehorende proces is.

Druk netwerkverkeer

Een ander symptoom dat op de aanwezigheid van malware en hackers kan wijzen, is grote netwerkactiviteit, met name op momenten dat u zelf geen netwerkactivititeit verricht, zoals downloaden, uploaden of online gamen. Bedenk wel, de ledjes op de switch of router zijn niet de betrouwbaarste manier om de intensiteit of aard van de netwerkactiviteit te meten. Dan heeft u meer aan de ingebouwde tool Broncontrole. Die start u als volgt op. Open het Taakbeheer en ga naar het tabblad Prestaties, kies onderaan Broncontrole of Broncontrole openen. Daar opent u dan het tabblad Netwerk. Dat geeft een actueel overzicht van de processen, evenals het aantal verstuurde en ontvangen bytes over de netwerkadapter. Klik een verdacht item met de rechter muisknop aan en kies Online zoeken om meer feedback te krijgen. Of surf naar ProcessLibrary (zie hiervoor).

De tool Broncontrole vertelt weliswaar welke processen hoeveel netwerkactiviteit genereren, maar om welk type netwerkactiviteit het precies gaat is minstens zo belangrijk. Het kan bijvoorbeeld nuttig zijn te weten met welke servers uw pc (of processen daarop) in verbinding staat. Dat kunt u ook te weten komen vanuit Broncontrole (met name als u hier het paneel TCP-verbindingen opent en daar vooral de kolom Extern adres controleert). Maar een externe tool als GlassWire is informatiever en overzichtelijker. Start u die tool op, dan is het heel goed mogelijk dat die al meteen een paar meldingen geeft dat bepaalde toepassingen een netwerkverbinding willen opzetten. Die informatie kunt u in dit stadium negeren, tenzij u al meteen door hebt dat het om een malafide programma gaat. In het hoofdvenster van GlassWire opent u vervolgens het tabblad Graph. U ziet dan een grafiek met het uitgaande en binnenkomende netwerkverkeer. Standaard toont de grafiek het netwerkverkeer van de laatste vijf minuten. Bovenaan kunt u ook Week, 24 Hours en 3 Hours selecteren. Klik onder in de grafiek om de namen van de programma's te zien die achter het netwerkverkeer zitten. Tegelijk verschijnen ook de namen en het land van de hosts (servers) waarmee de netwerkverbinding werd opgezet. Klik zo'n naam aan om meer informatie te zien, zoals de hoeveelheid netwerkverkeer. Merk ook het knopje bovenaan rechts op, waarmee u de grafiekweergave tijdelijk kunt bevriezen. Handig zijn ook de menu-opties Apps en Traffic. Daarmee kunt u het netwerkverkeer respectievelijk per applicatie en per netwerktype volgen (zoals http voor het surfen, SMTP voor het verzenden van e-mail, POP3 voor het opvragen van e-mail en ftp voor het versturen van bestanden). Vergelijkbare informatie vindt u in het tabblad Usage, maar dan gesorteerd volgens datahoeveelheid.

Mocht u, bijvoorbeeld na een rondje googelen, inderdaad het vermoeden hebben dat een bepaald programma een verdachte netwerkverbinding heeft opgezet, dan is het zaak die software van uw systeem te krijgen (Zie hiervoor deze paragraaf). U doet er goed aan die connectie zo snel mogelijk te verbreken. Dat kunt u makkelijk doen vanuit GlassWire. Open het tabblad Firewall en zet een vinkje bij Firewall On. Dat lukt overigens alleen als Windows Firewall actief is, wat GlassWire voor u kan regelen. Vervolgens hoeft u alleen maar het vlammetje naast het verdachte item aan te klikken. Zodra dat rood kleurt, laat uw firewall het verkeer van en naar dat item niet langer toe.

Vreemde programma's

Mocht u plotseling programma's zien opduiken (bijvoorbeeld via een pictogram in het Windows-systeemvak of in de lijst met processen in Taakbeheer), dan is de kans groot dat die automatisch samen met Windows opstarten. Het is in dat geval ook mogelijk dat uw systeem wat trager opstart dan normaal. Het kan geen kwaad om deze 'autostarters' nader te bekijken. De kans is aanwezig dat er een of meer ongewenste exemplaren tussen zitten. Ook dat bekijken kunt u met Windows-eigen tools doen. In Windows 7 drukt u op Windows-toets+R en voert u het commando msconfig uit, waarna u het tabblad Opstarten opent. In Windows 8 opent u Taakbeheer en gaat u naar het tabblad Opstarten. Om een item (tijdelijk) uit te schakelen verwijdert u het bijbehorende vinkje (Windows 7) of kiest u Uitschakelen in het contextmenu (Windows 8.1 en 10). Bij twijfel laat u het item ongemoeid totdat u meer zekerheid hebt. Die kunt proberen te krijgen via een zoektocht met Google of u spreekt een meer gespecialiseerde database aan, zoals deze. Krijgt het item bij deze sites een 'X' mee, dan weet u dat het goed fout zit. Dat item schakelt u meteen uit en probeert u ook definitief van uw systeem te halen (zie weer deze paragraaf).

Ook voor het controleren van autostarters bestaan er externe tools die u beter informeren dan Windows. Eén ervan is Autorun Organizer. Dit programma is er weliswaar in eerste instantie op gericht het opstartproces te optimaliseren, maar u kunt het ook gebruiken om verdachte items uit te filteren. Bij het opstarten krijgt u meteen een overzicht van de autostarters te zien, inclusief hun locatie op de schijf en hoe ze worden opgestart (vanuit de programmagroep Opstarten, vanuit de taakplanner, via het register enzovoort). Met één druk op de knop, waarin u aangeeft bereid te zijn de lijst met gedetecteerde toepassingen naar de makers te sturen, krijgt u nog extra informatie. U komt bijvoorbeeld te weten hoeveel procent van de medegebruikers die toepassingen hebben uitgeschakeld (of met enig uitstel laten opstarten). Vanuit het contextmenu kunt u over elk item verdere informatie opvragen (Search Internet) of op non-actief zetten (Temporary disable).

Browserongeregeldheden

Verschijnen ongevraagd extra werkbalken in uw browser, heeft u opeens een andere startpagina of zoekmachine of duiken er om de haverklap advertentiepop-ups op, dan weet u dat iets of iemand met uw browser heeft gerommeld. Mogelijk ligt het aan ongewenste add-ins of extensies. Die krijgt u in principe weg via het ingebouwde extensiebeheer. In Firefox kiest u in het menu voor de optie Help en dan vor de optie Restart with add-ons disabled. In Google Chrome klikt u op het knopje met de drie streepjes en kiest u Meer hulpprogramma's / Extensie, waarna u het vinkje weghaalt bij Ingeschakeld om het item op non-actief te zetten of het vuilnisbakpictogram aanklikt om de extensie daadwerkelijk te verwijderen. In Internet Explorer klikt u het tandwielpictogram aan en kiest u Invoegtoepassingen beheren. Ongewenste items selecteert u en maakt u via de knop Uitschakelen onschadelijk. Het is ook mogelijk uw browser in één keer naar de oorspronkelijke staat te laten terugkeren. Houd er in dit geval wel rekening mee dat ook eerder opgeslagen cookies, formuliergegevens, wachtwoorden en invoegtoepassingen worden verwijderd. In IE doet u dat via Internetopties / Geavanceerd / Opnieuw instellen. In Chrome gaat dat via Instellingen / Geavanceerde instellingen weergeven / Instellingen opnieuw instellen (helemaal onderaan).

Hardnekkige adware en andere ongewenste gasten zoals hijackers en PUP's (potentially unwanted programs) zijn niet altijd zo makkelijk te verwijderen. In dat geval kunt u beter de hulp inroepen van een gespecialiseerde tool als ADwCleaner of Adware Removal Tool. Het moet gezegd, sommige antivirusprogramma's vertrouwen ADwCleaner niet. Wel valt het af te raden een tool als ADwCleaner of Adware Removal Tool uit te voeren wanneer u geen problemen met adware en aanverwanten heeft. Maak in elk geval vooraf een systeemherstelpunt. Zoek daarvoor in Windows naar 'herstelpunt' en kies Een herstelpunt maken, waarna u de knop Maken indrukt en een geschikte naam kiest. Loopt er onverhoopt iets fout, dan kunt u via Systeemherstel nog terugkeren. AdwCleaner is makkelijk te bedienen. Start het programma, druk op de knop Scan en klik na afloop van de scanronde op de knop Cleaning. De procedure bij Adware Removal Tool is vergelijkbaar, maar duurt over het algemeen wat langer: druk op Scan, bevestig met OK en druk op Next. Na de operatie herstart u in beide gevallen de pc.

Te veel spam

Hierbij gaat het niet over spamberichten die zelf ontvangt, maar om ongewenste mailtjes die kennissen of onbekenden via uw e-mailadres binnen krijgen. In veel gevallen is er 'niet meer' aan de hand dan spammers die uw adres zijn tegengekomen en dat misbruiken om anderen te laten geloven dat hun berichten van u afkomstig zijn. Maar er kunnen ook andere oorzaken zijn. Het is bijvoorbeeld niet uitgesloten dat uw systeem als een zombie binnen een botnet van spammers is opgenomen. Anders gezegd, uw pc wortdt af en toe gebruikt om naar andere pc's spam te versturen. In dat geval genereert uw systeem geregeld opvallend meer netwerkverkeer. Het is niet uitgesloten dat de rommel zich via een zogenoemde rootkit diep in uw systeem heeft genesteld. Dan vereist het verwijderen van de malware doorgaans een gespecialiseerde aanpak. Meer daarover leest u in deze paragraaf. Een andere mogelijke verklaring voor de spamberichten is dat hackers op een of andere manier uw e-mailaccount zijn binnengedrongen.

Antivirus

Sommige malware kan bepaalde programma's blokkeren. Uw antivirustool werkt bijvoorbeeld niet meer, het lukt niet meer om toepassingen als regedit te starten (voor het aanpassen van registersleutels), of u kunt niet meer op sites van bepaalde antivirusfabrikanten komen. Vaak zit er dan weinig anders op dan een antivirustool vanaf een live medium te draaien (zie hiervoor deze paragraaf. U kunt het in elk geval ook eerst proberen door Windows in veilige modus te starten (houd na het inschakelen van de pc even de F8-toets ingedrukt en kies Veilige modus) en scan vervolgens het systeem met uw up-to-date antivirustool. Download, desnoods vanaf een andere pc, ook de gratis versie van Malwarebytes Anti-Malware en laat die eveneens uw systeem scannen. Deze tool slaagt er ook vaak in om bijvoorbeeld 'ransomware' te verwijderen. Dat is malware die uw systeem blokkeert totdat u betaalt.

In Windows 10 bereikt u de Veilige modus door de SHIFT toets ingedrukt te houden terwijl u de opdracht geeft Windows 10 opnieuw op te starten, kies vervolgens de tegels Problemen oplossen, Geavanceerde opties en Opstart instellingen. De veilige modus is ook te bereiken door MSCONFIG te typen in het zoekveld en vervolgens op Enter te drukken, tabblad Computer opstarten, optie Opstarten in veilige modus (vink deze optie in de veilige modus weer uit om Windows in de ‘normale’ modus op te starten). Als u deze stappen uitvoert, start Windows op met de instellingen voor selectief opstarten. Dat houdt in dat bepaalde programma's in Windows niet worden gestart. Wanneer Selectief opstarten naderhand weer wordt uitgeschakeld, starten alle geselecteerde software­programma's opnieuw op.

De veilige modus wordt standaard opgestart zonder netwerk­verbinding. Is een internet­verbinding nodig bijvoorbeeld om webpagina's te bekijken of om toegang te krijgen tot een via het netwerk toegankelijke opslaglocatie, activeer de veilige modus dan met netwerk­functionaliteit. Dat kan door de optie Netwerk te activeren (in geval van MSCONFIG) of door te kiezen voor Veilige modus met netwerk­mogelijkheden inschakelen (na het opnieuw opstarten met de SHIFT-toets).

Account gehackt

Het lukt niet om u bij Facebook of bij uw webmail aan te melden. De service klaagt erover dat uw wachtwoord onjuist is, terwijl u zeker weet dat u het goed hebt ingevoerd. Dan is de kans groot dat hackers er op een of andere manier in zijn geslaagd uw account te kraken (al dan niet door zich toegang tot uw pc te verschaffen). Wijzig zo snel mogelijk het wachtwoord van de gecompromitteerde accounts. De meeste diensten voorzien in zo'n mogelijkheid. Meestal zult u een bevestigingsmail ontvangen. Veel diensten helpen ook met tips wanneer uw account is gehackt. Voor Outlook.com kunt u bijvoorbeeld terecht op een pagina van Microsoft. Om te vermijden dat uw account nogmaals wordt gehackt, kiest u niet alleen een stevig(er) wachtwoord, maar maakt u ook gebruik van tweefactor-authenticatie. Daarbij moet u naast een wachtwoord bijvoorbeeld ook nog bevestigen met een controle getal via een sms. Steeds meer diensten bieden een dergelijke optie aan, waaronder Apple, Facebook, Google en Microsoft.

De-installatie

Heeft u inderdaad ontdekt dat er zich ongewenste software op uw systeem bevindt, dan kunt u eerst proberen die op de 'reguliere' manier te verwijderen. Via het Configuratiescherm van Windows in het onderdeel Programma's en onderdelen. Lukt het daar niet mee, ook niet wanneer u Windows hebt opgestart vanuit de veilige modus, dan kunt u het proberen met bijvoorbeeld Revo Uninstaller. Dat programma scant naar eventuele resten van een (niet helemaal) verwijderd programma en probeert ook die weg te halen. Handig is ook de zogenoemde jachtmodus: u sleept een vizier naar een venster, waarna Revo Uninstaller het bijbehorende proces kan stopzetten of het programma kan de-installeren. De betaalde ('professional') versie gaat grondiger te werk dan de gratis versie. Lukt het met deze tool evenmin om de ongewenste software weg te krijgen, dan zit er weinig anders op dan het met een anti-malwaretool (zoals het eerder genoemde Malwarebytes Anti-Malware) te proberen of met de techniek zoals beschreven in deze paragraaf.

Live medium

Sommige malware is zo hardnekkig dat u die niet weg krijgt door Windows op de normale manier (en zelfs niet in veilige modus) op te starten en vervolgens een antivirustool te gebruiken. Er zit dan weinig anders op dan uw computer vanaf een live medium als een dvd of usb-stick op te starten, waarop al een of meer anti-malwaretools zijn geïnstalleerd. Een goede tool om een live usb-stick te prepareren is Your Universal Multiboot Installer ofwel YUMI. U hoeft weinig meer te doen dan naar de usb-stick te verwijzen en in de rubriek Antivirus Tools telkens een antivirusprogramma te selecteren, zoals Kaspersky, Avira, AVG, F-Secure en BitDefender. YUMI zal dat dan voor u ophalen, waarna u naar het gedownloade iso-bestand verwijst om het op uw stick te plaatsen. Start uw pc vervolgens met die stick op en laat de antivirustool(s) op uw systeem los.

Preventie

Hackers en malware weten vaak in uw systeem door te dringen door sluw gebruik te maken van veiligheidslekken in Windows en software zoals browsers, Flash, Adobe Reader en Java. U bent het dus aan uzelf verplicht ervoor te zorgen dat zowel Windows als uw programma's up-to-date blijven en zijn voorzien van alle beschikbare patches. Stel daarom de updatefunctie van Windows in op automatisch (via Configuratiescherm / Windows Update) en controleer de sites van de softwarefabrikanten regelmatig op mogelijke updates en patches. Twee tools kunnen u in dit updateproces helpen. Het gaat allereerst om Ninite, waarmee u met enkele muisklikken een negentigtal bekende freewaretools kunt updaten. Dan is er nog Sumo Lite, dat nagaat welke programma's u al hebt geïnstalleerd en welke u kunt updaten.

letop.pngGebruik de lite-versie om de installatie van extra software te vermijden.

Speciaal voor het checken op verouderde en dus vaak onveilige, want niet goed gepatchte, software is er nog Secunia PSI.

Virtualisatie

Gaat u af en toe met onbekende software aan de slag of bezoekt u wel eens sites waarvan u niet helemaal zeker bent of die betrouwbaar zijn, dan vermindert u het risico op malware en hackers wanneer u dat 'gevirtualiseerd' doet. Dat houdt in dat u met behulp van speciale software in een omgeving werkt die is afgeschermd van de rest van de Windows installatie, ook wel sandbox genoemd. U hoeft daarvoor niet aan de slag met virtualisatie­software als het gratis VirtualBox, die een complete Windows installatie in een virtuele omgeving plaatst. Het kan ook met gratis tools als SandBoxie of ToolWiz Time Freeze. Die laatste kunt u op elk moment activeren, waarna alles wat er op de systeemschijf gebeurt na een herstart van Windows automatisch weer ongedaan kan worden gemaakt. Virtualisatie­software geeft geen honderd procent garantie op veiligheid, maar maakt het malware en andere rommel toch een stuk lastiger.

Ethisch hacken

Niet alle computerinbraken gebeuren met het doel gegevens te stelen of schade aan te richten. Een veel gehoorde reden om een beveiliging te doorbreken is aantonen dat deze onbetrouwbaar is. Er is natuurlijk niets mis met het melden van fouten in beveiligingen. Maar andermans netwerk of computer hacken om daarin fouten te vinden, is een ander verhaal. Dit wordt door rechters niet snel geaccepteerd.

Wie dus andermans beveiliging wil testen, kan dat maar beter vooraf vragen. Niet alle netwerkbeheerders zitten te wachten op ongevraagde 'tests', zeker niet wanneer onduidelijk is wat er nu precies getest en gedaan is. Het opruimen van de schade en het controleren op eventueel achtergebleven rootkits en andere software kan een tijdrovende klus zijn.

Een ethisch hacker is een computer en netwerk beveiligingsconsultant die uw systemen en netwerkinfrastructuur onderzoekt op beveiligingsfouten die kwaadwillende hackers zouden kunnen misbruiken om de betrouwbaarheid van uw ICT-infrastructuur negatief te beinvloeden. Tijdens een ethische hack worden uw computersystemen onderzocht op een wijze die vergelijkbaar is aan de aanpak die computerkrakers hanteren.

Het verschil tussen kwaadwillende computerkrakers en ethisch hackers is vanzelfsprekend de manier waarop met de bevindingen wordt omgegaan. Waar een computerkraker ongeoorloofd misbruik maakt van de aangetroffen kwetsbaarheden, voorziet een ethisch hacker zijn opdrachtgever van een duidelijke rapportage die aangeeft wat er moet gebeuren om de beveiligingskwetsbaarheden weg te nemen.

Hulpmiddelen voor hackers

Voor computervredebreuk worden meestal speciale "hack"-programma's gebruikt. Het kraken van wachtwoorden, het exploiteren van fouten in de beveiliging ("exploits") of het zich voordoen als een ander persoon of systeem (bijvoorbeeld via een "rootkit") gaat een stuk gemakkelijker met speciale programma's om te hacken. Het maken, vervaardigen, verkopen, verwerven, invoeren, verspreiden of anderszins ter beschikking stellen of voorhanden hebben van dergelijke software is een strafbaar feit (art. 139d lid 2 onder a). Hierop staat een jaar cel (of een boete van 16.750 euro).

Hacken via lokale DNS

Uw pc werkt ook met een lokale DNS-service, Windows raadpleegt die voordat het bij een externe DNS-server aanklopt. Hackers weten zoiets ook en dus gebeurt het dat ze bijvoorbeeld via malware, zoals een malafide bijlage, die lokale DNS met valse adressen trachten te injecteren. Hierdoor komt u op hun eigen site terecht wanneer u nietsvermoedend iets als www.mijnbank.nl intikt.

Die lokale DNS vindt u als volgt. Druk op Windows-toets+R en voer het commando %systemroot%\System32\­drivers\etc uit. Vervolgens dubbelklikt u op het tekstbestand hosts en opent het met Kladblok. Eigenlijk hoort u hier alleen commentaarregels te zien (die met # beginnen). Treft u ook andere regels aan met verdachte namen of adressen, dan is uw lokale DNS mogelijk gekaapt. Stel, u treft hier de regel 149.150.151.152 www.mijnbank.nl aan en u surft naar die site, dan belandt u op de site met IP-adres 149.150.151.152 en dat zou zomaar de site van een hacker kunnen zijn. Dit bestand zo nu en dan checken is dus geen slecht idee. Overigens kunt u nog actiever omspringen met dit hosts-bestand door het te vervangen door een aangepaste versie. Dat kunt u bijvoorbeeld in zip-formaat hier downloaden. Dit vervangende bestand blokkeert tal van url's van kapers en spammers door die naar een niet-geldig adres om te leiden (zoals 0.0.0.0 ads.amigos.com).

Lekken via open poorten

Hackers proberen na te gaan of uw systeem vatbaar is voor bepaalde 'exploits': technieken die misbruik maken van bepaalde bugs of kwetsbaarheden. Dat doen ze onder meer door te controleren welke communicatiekanalen (poorten) open staan. Dat kunt u ook zelf nagaan met ShieldsUP! Surf naar deze website, klik op Proceed en vervolgens op All Service Ports. Even later wordt dan een poortscan op uw systeem uitgevoerd. Als de hokjes van elke geteste poort groen kleuren, dan staan die poorten - ook voor een potentiële hacker - niet open. Blauw geeft aan dat de poorten weliswaar zichtbaar zijn, maar gelukkig gesloten. Een rode kleur betekent een open poort en dat is niet zonder gevaar, gezien een hacker zich dan op die poorten kan richten in de hoop exploits te vinden. Klik die rode vakjes aan om meer gegevens te krijgen, zoals het poortnummer en het type communicatie (zoals ftp of http). Die rode poorten vragen uw aandacht. Waarschijnlijk kunt u die met een firewall alsnog afschermen. Zie daarvoor de paragraaf Afschermen met Firewall.

Afschermen met Firewall

Een up-to-date anti-malwaretool op elke computer is noodzakelijk, maar ook een firewall mag niet ontbreken. Die fungeert namelijk als een soort poortwachter en houdt verdacht (binnenkomend) netwerkverkeer tegen. Windows zelf voorziet al in een degelijke firewall. Controleer wel of hij geactiveerd is: open het startmenu van Windows en tik firewall in. Kies Status van firewall controleren en klik vervolgens op Windows Firewall in- of uitschakelen. Vink Windows Firewall inschakelen aan, bij netwerk Particulier en vooral ook bij netwerk Openbaar. Bevestig met OK.

Blijft ShieldsUp! klagen over geopende poorten, dan moet u misschien ook de firewall van uw router instellen. Open de webinterface van uw router en ga naar de firewallmodule (die bevindt zich wellicht in een rubriek als Beveiliging, raadpleeg hiervoor de handleiding bij uw router). Blijkt ook die geactiveerd, dan heeft u wellicht zelf een of meer poorten open gezet bij een rubriek als Port forwarding. Meer informatie voor uw eigen router vindt u waarschijnlijk hier. Schakel hier alle overtollige items uit. Heeft u sommige poortdoor­verwijzingen absoluut nodig, zorg dan minstens dat u de achterliggende services altijd goed up-to-date houdt om het risico op exploits te beperken.

Andere riskante router­functies

Wie veiligheid op zijn netwerk belangrijk vindt, moet zich ook even bezinnen op de functies UPnP, DMZ en WPS die u op de meeste routers vindt. UPnP (Universal Plug and Play) zorgt ervoor dat netwerk­apparaten makkelijker met elkaar kunnen communiceren door de nodige poorten automatisch open te zetten. Helaas is al vaker gebleken dat UPnP niet vrij van exploits is, dus wilt u een veilig netwerk, dan kunt u die functie - indien mogelijk - op uw router beter deactiveren.

DMZ (staat voor DeMilitarized Zone) is een techniek die een bepaalde netwerk­computer geheel open zet voor verkeer vanaf internet om bepaalde services bereikbaar te maken. Dat doet u natuurlijk alleen maar als die computer minstens door een stevige firewall van de rest van uw netwerk is afgeschermd. WPS (Wi-Fi Protected Setup) ten slotte zorgt ervoor dat u gemakkelijker een nieuw apparaat aan uw draadloze netwerk kunt toevoegen. Dat gebeurt op basis van een pincode, maar bij veel routers is dat niet echt goed uitgevoerd. Schakel die functie dus maar uit. Activeer die alleen tijdelijk, als u een nieuw toestel aan uw WLAN wilt koppelen.

Keylogger

Dergelijke hulpmiddelen hoeven niet per se software te zijn. Ook hardware kan een hulpmiddel voor computervredebreuk zijn. Er bestaan apparaatjes die tussen toetsenbord en computer kunnen worden aangebracht en alle ingedrukte toetsen opslaan. Dergelijke hardwarematige keyloggers zijn te zien als zo'n hulpmiddel, als ze geadverteerd of geprogrammeerd zijn om wachtwoorden van anderen mee te achterhalen.

Op hulpmiddelen aanbieden of voorradig hebben die bedoeld zijn om niet alleen in te breken, maar ook gegevens op te slaan of een systeem wederrechtelijk te gebruiken, staat niet één maar vier jaar cel.

Oogmerk van computer­vredebreuk

Wanneer is er sprake van computer­vredebreuk? Wanneer het maken, aanbieden enzovoorts van hulpmiddelen gebeurt met het oogmerk computervredebreuk te (laten) plegen. Wie de wachtwoorden van zijn gebruikers wil testen, mag een kraakprogramma gebruiken om te zien of ze daarmee te raden zijn. Een beveiligingsbedrijf mag software ontwikkelen om beveiligingsgaten op te sporen en te testen. Het bedrijf mag zelfs (met toestemming van de klant) proberen de beveiliging van het netwerk van de klant te passeren of uit te schakelen. Maar het in bezit hebben van diezelfde software terwijl je van plan bent daarmee ergens in te breken, is dus een misdrijf.

Wachtwoorden

Als misdrijf wordt ook aangemerkt het verkrijgen, verkopen, verspreiden of voorhanden hebben van wachtwoorden, toegangscodes en dergelijke (art. 139d lid 2 onder b). Ook dit moet gebeuren met het oogmerk computervredebreuk te (laten) plegen. De systeembeheerder die een kopie van alle wachtwoorden van gebruikers in de kluis bewaart, omdat mensen die steeds kwijtraken, pleegt dus geen misdrijf.

Een groot aantal van de "hackers" van tegenwoordig doet niets meer dan het uitproberen van vrijelijk beschikbare programma's ("scripts") die automatisch proberen in te breken in computersystemen. Alhoewel zij op individuele basis gemakkelijk te bestrijden zijn, maakt het gigantische aantal van deze "script kiddies" hen toch een reële bedreiging.

Path Traversal, SQL Injection, Cross-site scripting

De meest bekende manieren om een website binnen te dringen zijn bekend onder de namen Path Traversal, SQL Injection en Cross-Site Scripting.

Path Traversal is een eenvoudige manier om websites te kraken. Hier volgt een uitleg aan de hand van een voorbeeld.

Veronderstel dat in de adresbalk van een website staat pagina=welkom. Klikt u op een andere menu-optie in de website, bijvoorbeeld Beveiliging, dan verschijnt in de adresbalk pagina=beveiliging. Wat gebeurt er nu wanneer u in de adresbalk pagina=test zet? Waarschijnlijk geeft de website een foutmelding. Die foutboodschap geeft u informatie over de manier waarop het systeem werkt. Die foutmelding begint bijvoorbeeld met een melding over file_get_contents. Dat is een PHP-functie die de inhoud van een bestand leest. Welk bestand wordt gelezen staat er tussen haakjes achter, bijvoorbeeld web/test. Eerst wordt de map web geopend en hierin wordt gezocht naar het bestand test. Vervolgens geeft de foutmelding aan dat dit bestand niet bestaat (No such file or directory) en wordt in de melding nog een bestandsnaam opgegeven:

/var/vhosts/hans/www/index.php

Het bestand index.php wordt nu uitgevoerd op de website. Het valt op dat deze bestandsnaam begint met een (slash forward). Dat is de hoofdmap onder Linux, de website draait blijkbaar op een Linux-systeem. Die hoofdmap is vergelijkbaar met de C:\ onder Windows. In de hoofdmap bevindt zich een map var, met daarin een map vhosts, waar weer een map hans in zit, met daarin weer een map www en daar staat uiteindelijk het bestand index.php in. Wanneer het webprogramma web/test probeert te lezen, dan wordt vanuit de map www, waarin het bestand zou staan, gezocht naar de map web en hierin het bestand test. In feite wordt geprobeerd het volgende bestand te openen:

/var / vhosts / hans/ www / web / test

Het is logisch dat dit bestand niet bestaat, want test is door u opgegeven en de kans is klein dat er daadwerkelijk een bestand test in de map web staat. Wel staat er in die map een bestand welkom en een bestand beveiliging. In feite laat de website u ieder bestand in de map openen door de bestandsnaam in de adresbalk achter pagina= te plaatsen. Maar in de map web staan waarschijnlijk geen interessante bestanden. U wilt een aantal mappen omhoog om systeembestanden te kunnen lezen. Een bestand op een Linux-systeem dat altijd de belangstelling van kwaadwillenden opwekt, is /etc/passwd. Het bestand passwd staat hier in de map etc, die in de hoofdmap van het systeem staat. Om dit bestand te kunnen openen moet u een truc bedenken om vanuit de web-map een aantal stappen omhoog te gaan. Wie ervaring heeft met Linux of DOS zal die truc kennen, want die stamt af van het cd.. -commando om een map omhoog te gaan. Die .. werkt ook in bestandsnamen, u kunt in de adresbalk opgeven:

pagina=../../../../../etc/passwd

Dan zal de website het volgende bestand openen:

/var / vhosts/ hans / www / web /../../../../../ etc / passwd

Dat betekent dat vanuit de web-map vijf mappen omhoog moet worden gegaan, wat dus uitkomt in de hoofdmap, en dat vanaf hier de map etc moet worden gezocht en hierin het bestand passwd. Dat bestand geeft een overzicht van de gebruikers op het systeem. Vroeger stonden in dit bestand ook de versleutelde wachtwoorden, maar later is besloten de wachtwoorden in een apart bestand te plaatsen, dat alleen door de systeembeheerder is te lezen.

Dit voorbeeld demonstreert dat een hacker willekeurige bestanden op het systeem kan lezen. Op die manier kan hij of zij bijvoorbeeld naar log-, backup- en configuratie­bestanden zoeken, of de brondcode van de website downloaden om hierin op zoek te gaan naar andere fouten die hij of zij kan misbruiken.

Hoe beschermt u zich tegen een hacker?

Er zijn enkele maatregelen die u kunt nemen. Gebruik in plaats van een wachtwoord een zelfbedachte zin van minimaal vijf woorden, zoals: in de herfst smaken appels het best. Eenvoudig te onthouden maar lastig te kraken. Als websites de wachtzinnen (passphrases) versleuteld bewaren, is de kans heel klein dat een hacker die weet te achterhalen.

Een andere maatregel is het gebruik van een uniek wachtwoord - of beter wachtzin - voor elke website. Zodra een hacker de wachtwoorden uit de database heeft weten te stelen en de website de wachtwoorden niet heeft versleuteld, zal de hacker die wachtwoorden op tal van andere sites proberen. Veel internetgebruikers gebruiken overal hetzelfde wachtwoord. Eén gehackte site kan tot gevolg hebben dat een kwaadwillende ook toegang heeft tot Hyves-, Facebook-, Skype-, Twitter-, Paypal-, Flickr- en LinkedIn-accounts.

Emet
emet.png

 

Microsoft heeft een gratis programma beschikbaar gesteld om uw pc te beschermen tegen hackers die via beveiligingslekken uw pc proberen binnen te dringen. Het pakket Enhanced Mitigation Experience Toolkit 4.0 (EMET 4.0) creëert hindernissen die cybercriminelen eerst moeten overwinnen voordat ze misbruik kunnen maken van een beveiligingslek.

Download EMET. Zet een vinkje voor EMET Setup.msi en download via Next het bestand naar uw pc. Dubbelklik op het EMET Setup.msi-bestand om de installatie van het programma uit te voeren. Mogelijk dient u eerst het aanvullende pakket .NET Framework 4.0 te installeren. Tijdens de installatie verschijnt er een speciale wizard in beeld. Selecteer de optie Use Recommended Settings om de aanbevolen instellingen te gebruiken. Klik ten slotte op Finish. De beveiliging draait volledig in de achtergrond van uw pc.

Rechtsonder in het systeemvak vindt u een pictogram van EMET 4.0 waar u eventuele waarschuwingen voorbij ziet komen.

Werk de updates bij

Op de meeste computers is naast Windows een vaste set programma's te vinden. Die programma's zijn interessant voor hackers om aan te vallen. U kunt zich hiertegen wapenen door steeds de meest recente versie binnen te halen, maar dat wordt soms vergeten. WIGI is een afkorting met een knipoog en staat voor WhyIGotInfected. Het programma controleert of u de meest recente versie hebt van potentiële risicoprogramma's. Hieronder vallen Internet Explorer, Java, Firefox, software van Adobe en servicepacks voor Windows. WIGI voert een controle uit en geeft een rode markering als er een nieuwere versie beschikbaar is. Die kunt u vervolgens met een paar muisklikken ophalen en installeren.

WIGI updatet alleen de programma's die een groot risico vormen op het moment dat ze verouderen. Patch My PC kijkt ook andere populaire programma's na. De lijst is te lang om op te noemen, maar de kans is groot dat u veel van deze software gebruikt. Patch My PC voert een controle uit, toont welke programma's verouderd zijn, haalt de meest recente versie binnen en installeert die.

Standaard moet u Patch My PC handmatig starten, waarna het programma controleert of je van al je programma's de meest recente versie hebt. Door Patch My PC te automatiseren werkt u nog gemakkelijker. Start het programma en klik op Schedule. Activeer een controletijd, bijvoorbeeld Once a week om wekelijks naar nieuwe versies te zoeken. Kies voor Yes bij Include Windows Update en Patch My PC controleert ook uw Windows Updates. Als het goed is doet Windows dat zelf al, maar beter twee keer kijken dan één keer vergeten. Als u Silent run activeert merkt u winig van het updateproces van Patch My PC.