Ook dit jaar vindt de Black Hat-beveiligingsconferentie plaats in het Amerikaanse Las Vegas en Tweakers is op locatie aanwezig. De eerste dag kende een groot aantal uiteenlopende presentaties, waarvan er twee een gemeenschappelijk thema hadden: nieuwsgierigheid. Zowel Elie Bursztein, beveiligingsonderzoeker bij Google, en Zinaida Benenson, wetenschapper aan de Duitse Erlangen-Nürnberg-universiteit, stelden de menselijke factor centraal in hun presentaties.

Usb-sticks

Bursztein ging in op de vraag ‘does dropping usb drives really work?’. Hij vertelde dat bij elke beveiligingsconferentie er altijd wel iemand is die claimt dat hij de beveiliging van een bedrijf heeft omzeild door een usb-stick buiten het gebouw op een opvallende plek neer te leggen in de hoop dat een medewerker deze in een pc plugt. Deze aanval zou zo effectief zijn, dat hij op een gegeven moment zelfs terugkwam in de tv-serie Mr. Robot. Daar is in een bepaalde scène te zien hoe een beveiliger een kort daarvoor op de parkeerplaats gevonden usb-stick aan zijn computer hangt, zonder te weten dat de drive daar met een reden lag.

Genoeg aanleiding voor de Google-onderzoeker om zelf een experiment op te zetten en deze claim te onderzoeken. Daarvoor verspreidde hij 297 geprepareerde usb-sticks over de campus van de Amerikaanse universiteit van Illinois, om gevonden te worden door voorbijgangers. Daarbij maakte hij onderscheid naar locatie, uiterlijk en inhoud van de stick en kon hij de resultaten bijhouden via een backend. Nadat personen de inhoud van de stick bekeken hadden, konden zij een enquête invullen en aangeven welke beweegredenen zij hadden.

Mogelijke aanvallen

Bursztein onderscheidt drie mogelijke aanvallen die via een usb-stick uitgevoerd kunnen worden. Een eerste is volledig gebaseerd op social engineering en bestaat bijvoorbeeld uit het plaatsen van kwaadaardige bestanden met de naam ‘do not open’, of iets anders aantrekkelijks. Deze aanval wekt echter al snel argwaan en is niet zeer betrouwbaar. De tweede mogelijkheid is het zogenaamde hid spoofing, waarbij de gegevensdrager zich voordoet als een human interface device; in de meeste gevallen is dat een toetsenbord. Op die manier kan er via toetsenaanslagen een commando worden uitgevoerd; bijvoorbeeld het openen van een remote shell.

NieuwsgierigheidAlsAanvalsplan02

Het lastige bij een dergelijke aanval is dat het besturingssysteem van het slachtoffer vastgesteld moet worden alvorens de aanval uitgevoerd kan woorden. Daarbij moet de payload die zorgt voor het openen van de opdrachtprompt klein zijn en niet door een antivirusprogramma worden herkend. Ook moet de usb-stick er geloofwaardig uitzien.

Voor al deze problemen heeft de onderzoeker echter een oplossing weten te vinden. Via het virtueel indrukken en vastzetten van de ‘scroll lock’-toets kon hij op een snelle manier het besturingssysteem van het slachtoffer vaststellen. Ook een kleine payload bleek haalbaar te zijn. Zo was het mogelijk via scripttaal een Linux-payload van honderd tekens te schrijven. In Windows was het proces iets complexer, maar ook niet onmogelijk. Het fabriceren van een usb-stick kostte Bursztein ongeveer 40 dollar per apparaat op basis van een Teensy 3.2.

De uiteindelijke aanval demonstreerde hij in een video. Daarin was te zien dat het hele proces van het inpluggen van de usb-stick tot het openen van een shell en verbinding leggen met een command-and-control-server op basis van metasploit ongeveer zes seconden duurde, waarbij de gebruiker alleen kort een opdrachtprompt ziet verschijnen. Daarna had hij vrije toegang tot de geïnfecteerde computer.

De derde manier om een usb-stick voor een dergelijke aanval te gebruiken is door via een zero day-kwetsbaarheid toegang tot een apparaat te krijgen. Deze manier is echter zeer kostbaar en omslachtig, waardoor deze alleen is weggelegd voor zeer toegewijde aanvallers, zoals een staat.

Bursztein heeft de code van zijn project online beschikbaar gemaakt. Ook ging hij uitgebreid in op het fabriceren van een usb-stick op basis van een Teensy met een overtuigend uiterlijk. Hierbij maakte hij gebruik van een mal van silicoon, wat hem in het begin niet meeviel. Uiteindelijk lukte het echter om goede exemplaren te maken. De onderzoeker overweegt een Kickstarter-project voor dit soort usb-sticks te beginnen als er genoeg interesse voor is.

Nieuwsgierigheid

Terug naar de resultaten van het uitgevoerde onderzoek. Het bleek dat 98 procent van de neergelegde usb-sticks was opgeraapt en dat 48 procent daarvan aangesloten werd op een computer, iets wat Bursztein niet had aan zien komen. Ook bleek dat het niet uitmaakte op welke plek de usb-stick werd neergelegd, bijvoorbeeld op een parkeerplaats, in een gemeenschappelijke ruimte of op een gang. Ook het uiterlijk maakt niet veel uit, bijvoorbeeld of er sleutels aanhangen of er een label opgeplakt is.

De grootste reden voor het openen van de bestanden op de drager bleek het identificeren van de eigenaar te zijn, verklaarden de vinders. Bursztein heeft bij deze verklaring echter zijn twijfels, omdat uit zijn data blijkt dat veruit de meeste personen alleen de foto’s hadden geopend en niet de overige bestanden. De reden die daarna het vaakst genoemd werd is dan ook nieuwsgierigheid, iets dat Bursztein een stuk aannemelijker acht.

Het tweede onderzoek, dat van Benenson, richtte zich op het verschijnsel van phishing. Zij wilde onderzoeken wat de redenen zijn om op verdachte links te klikken. Daartoe stuurde zij 1600 studenten een Facebook-bericht of een e-mail van een onbekend persoon met daarin een link naar foto’s van een nieuwjaarsfeest. Daarbij werd het verzoek meegestuurd de foto’s niet te delen. Het aantal kliks werd vervolgens door de onderzoeker vastgelegd.

Het bleek dat 43,5 procent van de studenten op de link in het Facebook-bericht klikte en 25 procent op de link in de e-mail. Toen Benenson de studenten op een later tijdstip benaderde, bleek dat de grootste reden voor het volgen van de link nieuwsgierigheid was. Dit werd in 34 procent van de gevallen als reden aangevoerd. De daaropvolgende reden was dat de studenten dachten dat het inderdaad foto’s van een feest waren dat zij hadden bijgewoond. Redenen voor het niet-klikken waren het niet-kennen van de afzender en het vermoeden dat het om spam of phishing ging.

Benenson voert aan dat gebruikers eigenlijk de hele tijd in een soort ‘James Bond-modus’ moeten verkeren: constant alert dat iets niet is wat het lijkt. Zij begrijpt echter ook dat dit niet van iemand gevraagd kan worden.

Oplossingen

De oplossingen die de twee onderzoekers aandragen, hebben raakvlakken met elkaar. Beiden noemen dat het creëren van bewustzijn bij gebruikers een belangrijke rol speelt. Zo noemt Benenson dat het alleen noodzakelijk is om achterdochtig te worden als daar een geldige indicatie voor is. Ook onderkent zij dat het onderdrukken van nieuwsgierigheid geen optie is, omdat dit nu eenmaal inherent is aan de mens. Zij roept dan ook op om in gesprek te gaan met gebruikers, bijvoorbeeld medewerkers van een bedrijf die dagelijks berichten van buitenaf verwerken.

Bursztein noemt dat er ook specifieke manieren zijn om je tegen een aanval via een usb-stick te verweren, maar dat deze niet altijd even goed werken. Zo is het bijvoorbeeld mogelijk om de usb-poort op computers te blokkeren. Daarnaast is er de optie om via systeembeleid alleen bepaalde usb-sticks toe te laten. Dit kan echter misgaan op het moment dat de id van een apparaat wordt vervalst, wat niet heel moeilijk is. Ook helpen antivirusprogramma’s niet tegen een dergelijke aanval, omdat er alleen tekst wordt ingevoerd.

Absolute beveiliging is dus een utopie en de menselijke factor blijft een heikel punt als het gaat om het beveiligen van systemen. Nieuwsgierigheid zal daarbij altijd een belangrijke rol blijven spelen.


Dit artikel is geschreven door Sander van Voorst en gepubliceerd op Tweakers.net.