Redactie
Redactie Media 28 nov 2016

Hoe realistisch is Mr. Robot? Hackexpert geeft antwoord

Het tweede seizoen van hitserie Mr. Robot is inmiddels gaande en wordt net als het eerste seizoen lyrisch ontvangen. Terecht, want de spanning rond hacker Elliot Alderson is enorm. Waar veel films rond het hacker-thema flink geromantiseerd worden, schijnt Mr. Robot behoorlijk realistisch te zijn. We vragen Jeroen Slobbe, beveilingsexpert bij Deloitte, of deze geruchten kloppen.

Hoe realistisch zijn de hacks in Mr. Robot?

‘Het verschilt per hack, sommige hacks moeten aan randvoorwaarden voldoen – de hacker moet bijvoorbeeld fysiek in de buurt zijn – terwijl andere behoorlijk realistisch zijn. Een aantal hacking tools uit de serie gebruik ik zelf ook als mij gevraagd wordt om een systeem op kwetsbaarheden te testen. Bedenk wel dat hacken in het echt vaak langdurig en relatief saai is om naar te kijken. Op YouTube worden 10 hacks uit Mr. Robot uiteengezet, laten we per geval kijken of ze realistisch zijn.’

  1. Social engineering
  2. ‘In het eerste geval belt Elliot zijn slachtoffer op met een verhaal en vraagt hij naar de informatie die nodig is. Deze techniek is vrij eenvoudig. Een hacker die hierdoor bekend is geworden is Kevin Mitnick.’

  3. Het plaatsen van fysieke hardware om af te luisteren
  4. ‘Ook dit is niks nieuws, op internet zijn tal van hardwarematige keyloggers (apparaatjes die alle toetsaanslagen opslaan) te koop. Over het algemeen geldt: als iemand fysiek toegang heeft tot je systeem, is er veel mogelijk. In de praktijk zie je eerder dat een computer geïnfecteerd is met een trojan horse dan met een fysieke keylogger.’

  5. Car hacking
  6. ‘Een erg spectaculaire hack, maar in de praktijk nog erg lastig uitvoerbaar. Er zijn genoeg wetenschappers die onderzoeken publiceerden en hacks demonstreerden waarin auto’s gehackt werden. In de praktijk vergt het nu nog veel voorbereiding en fysieke toegang. Als we willen innoveren op dit vlak, is het wel zaak om serieus aandacht te geven aan beveiliging en privacy.’

  7. TV hacks / smart TV
  8. ‘Al in 2013 was er een presentatie op een bekende hacker-conferentie over het hacken van slimme TV’s. Deze hack is realistisch.’

  9. CD als hack
  10. ‘Volgens mij is deze hack mogelijk, alhoewel ik zelf liever een USB-stick zou gebruiken voor dit type aanval. Denk hierbij aan een USB-stick met een plakkertje erop – ‘vakantie foto’s 2016′ bijvoorbeeld- waardoor andere mensen de inhoud willen bekijken zonder argwaan. Als een computer zo ingesteld staat om automatisch een programma op een cd of USB stick te draaien – zet daarom altijd auto-run uit – dan zal de trojan aan de slag gaan zodra de boel wordt opgestart.’

  11. Fake SMS + social engineering
  12. ‘Deze aanval lijkt social engineering te combineren met het spoofen van een sms-bericht. Er zijn diensten beschikbaar op internet om een nep sms te versturen. Ondenkbaar is de aanval dus niet.’

  13. Nepveroordeling
  14. ‘Dit scenario lijkt mij niet heel realistisch. Als het je lukt een Twitter-account te hacken (bijvoorbeeld door gebruik te maken van social engineering of andere technieken) en je uploadt een foto met verkeerde locatiegegevens (GPS-spoofing) dan nog is de vraag of dit als hard bewijs wordt gezien in een rechtszaak.’

  15. Celdeuren openen
  16. ‘Voor deze hack moet er echt wel veel mis zijn. Naast een kwetsbaar systeem dat de celdeuren beheerst, moet het systeem ook nog eens direct met de buitenwereld verbonden zijn of met een netwerk waar een aanvaller op zit. Aan de andere kant hebben we in het verleden wel gevallen gezien waarin deuren gehackt werden. Ook is er een geval bekend waarin de software de gevangenen te vroeg vrijliet. Verder interessant: een demonstratie waarin een enkelband wordt gehackt.’

  17. Flash crash
  18. ‘Hoewel er wel gevallen bekend zijn van een flash crash die door een fout (niet door een hack) veel geld hebben gekost, lijkt een hack mij onwaarschijnlijk in dit geval. Aan de andere kant hoeven het niet per se beurssystemen te zijn die koersen kunnen veranderen. Kijk bijvoorbeeld naar het geval waarin een tweet vanuit een vertrouwde nieuwsbron de koersen doet veranderen.’

  19. Anoniem internetten
  20. ‘Volledig anoniem internetten is heel erg moeilijk. Net als bij alles wat je doet in het leven laat je ook online makkelijk sporen achter. Als je echter in de buurt wil komen, dan kan ik de ‘vrijheid-box’ van Bits of Freedom aanbevelen.’

Hoe groot is de kans dat een groep hackers succesvol een grote organisatie hackt?

‘Je ziet dat steeds meer organisaties investeren in detectie en responsmechanismen, dat is niet voor niets. De strijd om een organisatie veilig te houden zonder functionaliteit te verliezen, is asymmetrisch. Een organisatie heeft een beperkte inzet van tijd en middelen en moet daarmee alle mogelijke scenario’s en kwetsbaarheden afdekken, terwijl een (groep) aanvallers in principe net zo veel tijd kan spenderen als ze zelf beschikbaar hebben. Ze hoeven maar een gaatje te vinden om binnen te komen. Het is daarom belangrijk dat organisaties niet enkel investeren in beveiliging & privacy, maar ook investeren in detectie en respons mogelijkheden.’

Zijn er in de geschiedenis vergelijkbare gevallen bekend?

‘Bijna elke week staat er wel een grote hack in de krant, maar een goede hack gaat niet over een nacht ijs. Vaak ben je als hacker een flinke tijd kwijt aan het verkennen van een systeem, het analyseren van het aanvalsoppervlakte en het vergaren van randinformatie voordat je een gaatje gevonden hebt. Als je eenmaal een lek in een systeem vindt, moet je nog zorgen dat je daadwerkelijk bij de data kunt en deze data uit het systeem kunt ontfutselen. Afsluitend moet je er ook nog voor zorgen dat je in de tijd dat het lek openstaat niet betrapt wordt. Dus de praktijk is toch iets weerbarstiger dan de filmwereld.’

‘De eerste voorbeelden van gehackte koelkasten, zonnepanelen of babymonitoren zijn al bekend’

Waar speelt de ‘hackers wereld’ zich af? Gebeurt dit bijvoorbeeld in het dark web?

‘Dit ligt er echt een beetje aan hoe je de hacker wereld definieert. Als je bijvoorbeeld kijkt naar spectaculair onderzoek – zoals het hacken van allerlei dingen – dan kun je gewoon naar bekende hacker conferenties gaan. In december vindt de CCC in Duitsland plaats en in de zomer praten Defcon en Blackhat je graag bij. Daar is niks geheims aan. Daarnaast bestaan er inderdaad gesloten netwerken en verstopte servers, bijvoorbeeld op het dark web. Niet alles wat zich daar afspeelt is slecht trouwens, er zijn ook gewoon mensen die erg gesteld zijn op hun privacy.’

Elliot Alderson, de hacker in Mr. Robot, is extreem goed. Hoe goed moet je zijn om te opereren zoals hij dat doet?

‘Voor sommige zaken is standaard kennis over het gebruik maken van hacker tools al voldoende. Over het algemeen worden deze mensen script-kiddy’s (zij die niet hun eigen code of scripts kunnen schrijven) genoemd. Desalniettemin kunnen ze net zo effectief zijn als een hacker. Voor andere hacks geldt dat je lang onderzoek moet doen en veel ervaring moet opbouwen voordat je ze succesvol kunt uitvoeren.’

Hacken wordt in series en films meestal geromantiseerd. Hoe ziet de wereld van hackers er in de echte wereld uit?

‘In de filmwereld is veel mogelijk en inderdaad, als je kijkt naar hacker films kiezen de hackers vaak de rol van de samenleving en hacken ze om een misstand aan te tonen. De echte wereld is iets fijnmaziger. Zelf maak ik het onderscheid ‘goede’ hacker en ‘slechte’ hacker bij voorkeur door te kijken naar motivatie. Een ‘goede’ hacker, hackt om iets te leren. Het doel is kennisvergaring, terwijl een ‘slechte’ hacker – ook wel cracker genoemd – leert om te hacken en daar vervolgens profijt uit te halen. Daarnaast bestaat er ook nog een zogenoemde  ethical hacker, deze hackt bedrijven op hun verzoek zodat de organisaties de beveiliging kunnen verbeteren. Tegenwoordig zou ik de groep hackers die hackt om maatschappelijke problemen op de kaart te zetten eerder hacktivisten noemen.’

In het tweede seizoen van Mr. Robot zien we hoe een woning, alle spullen die met wifi verbonden zijn, wordt overgenomen. Hoe realistisch is deze situatie?

‘Met de opkomst van het ‘internet der dingen’ wordt dit steeds realistischer. De eerste voorbeelden van gehackte koelkasten, zonnepanelen of babymonitoren zijn al bekend.’

Ook in de hitserie Black Mirror wordt de normale man getreiterd door doorgeslagen technologie. Het realistisch zijn situaties waarin onze levens gedoemd worden door technologie?

‘No risk, no gain. De risico kant van technologie wordt vaak in het nieuws gebracht, het is ook belangrijk dat er voldoende aandacht voor security en privacy komt. Maar de andere kant is net zo belangrijk. Kijk bijvoorbeeld naar medische apparatuur. Zelfs als het apparaat dat jou in leven houdt gehackt kan worden, ben je nog steeds beter af dan zonder dat apparaat. En wat nu als een autonome auto niet 100 procent veilig is, maar het wel drie keer beter doet dan een gemiddelde bestuurder? Moeten we wachten tot het waterdicht is? Of plukken we de vruchten, monitoren we het restrisico en streven we zo naar een steeds betere situatie?’

‘Beveiliging van producten is, net als de privacy, essentieel om het vertrouwen van de consument in het product te blijven borgen. Als je product de mensheid vooruit helpt, maar niemand wil of durft het te gebruiken, dan schieten we er niks mee op. Wat trouwens interessant is aan een Tesla, is dat ‘ie over the air kan worden geüpdatet. Dus als er een kwetsbaarheid wordt gevonden, kan het in ieder geval snel worden gerepareerd.’

Hoe groot is de kans dat je als normale burger gehackt wordt? En om risico te verkleinen: heb je een beveiligingsadvies?

‘Via een website als haveibeenpwned.com kun je daar zelf achterkomen. Kijkend naar de statistieken is de kans reëel dat je wordt gehackt. Sterker nog: als je het geïnfecteerd raken met een computervirus ook meerekent, dan denk ik dat de meeste mensen wel eens gehackt zijn.’

‘Regelmatig je computer(s)/apps updaten en werken met wachtwoordzinnen in plaats van korte wachtwoorden, helpt al enorm. Daarnaast is het belangrijk om niet op verdachte links te klikken of informatie achter te laten daar waar geen noodzaak bestaat. Voor je mobiele telefoon geldt: alleen apps downloaden uit betrouwbare locaties en let tijdens het browsen op het slotje op je browser.’

Reageer op artikel:
Hoe realistisch is Mr. Robot? Hackexpert geeft antwoord
Sluiten