Donderdag 03/12/2020

Tweakers.net

Nieuwsgierigheid is het grootste cyberveiligheidsprobleem

Beeld Tweakers

Technologiesite Tweakers is aanwezig op de jaarlijkse Black Hat-beveiligingsconferentie in het Amerikaanse Las Vegas. De eerste dag kende een groot aantal uiteenlopende presentaties, waarvan er twee een gemeenschappelijk thema hadden: nieuwsgierigheid. Zowel Elie Bursztein, beveiligingsonderzoeker bij Google, als Zinaida Benenson, wetenschapper aan de Duitse Erlangen-Nürnberg-universiteit, stelden de menselijke factor centraal in hun presentaties.

Bursztein ging specifiek in op de vraag: "does dropping usb drives really work?". Hij vertelde dat bij elke beveiligingsconferentie er altijd wel iemand is die claimt dat hij de beveiliging van een bedrijf heeft omzeild door een usb-stick buiten het gebouw op een opvallende plek neer te leggen in de hoop dat een medewerker die in een pc plugt.

Zo'n aanval zou zo effectief zijn, dat hij op een gegeven moment zelfs terugkwam in de tv-serie 'Mr. Robot'. Daar is in een bepaalde scene te zien hoe een beveiliger een kort daarvoor op de parkeerplaats gevonden usb-stick aan zijn computer hangt, zonder te weten dat de drive daar met een reden lag. Genoeg aanleiding voor de Google-onderzoeker om zelf een experiment op te zetten en de claim te onderzoeken.

Daarvoor verspreidde hij 297 geprepareerde usb-sticks over de campus van de Amerikaanse universiteit van Illinois, om gevonden te worden door voorbijgangers. Nadat personen de inhoud van de stick bekeken hadden, presenteerde hij hen een enquête, waarin ze konden aangeven welke beweegredenen ze hadden.

Mogelijke aanvallen

Bursztein onderscheidt drie mogelijke aanvallen die via een usb-stick uitgevoerd kunnen worden. Een eerste is volledig gebaseerd op 'social engineering', en bestaat bijvoorbeeld uit het plaatsen van kwaadaardige bestanden met de naam 'do not open', of iets anders aantrekkelijks. Zo'n aanval trekt echter al snel argwaan en is niet zeer betrouwbaar.

De tweede mogelijkheid is het zogenaamde 'hid spoofing', waarbij de gegevensdrager zich voordoet als een interfacetoestel; in de meeste gevallen is dat een toetsenbord. Op die manier kan er via toetsenaanslagen een commando worden uitgevoerd. Het lastige bij een dergelijke aanval is dat het besturingssysteem van het slachtoffer vastgesteld moet worden alvorens de aanval kan worden uitgevoerd. Daarbij moet de malafide software klein zijn en niet door een antivirusprogramma worden herkend. Ook moet de usb-stick er geloofwaardig uitzien.

Maar Bursztein toonde aan hoe al die drempels met een paar technische handigheidjes makkelijk kunnen worden overwonnen. Eens hij een reeks usb-stickjes had laten fabriceren voor zo'n 40 euro per stuk, en ze bij zijn 'slachtoffers' had geplant, duurde het hele inbraakproces - van het inpluggen van de usb-stick tot het injecteren van de speciaal voor dit doel ontwikkelde malafide software en de eigenlijke inbraak - ongeveer zes seconden, waarbij de gebruiker alleen kort een opdrachtprompt ziet verschijnen.

Beeld Tweakers

Nieuwsgierigheid

Uit Burszteins onderzoek bleek dat 98 procent van de neergelegde usb-sticks was opgeraapt en dat 48 procent daarvan aangesloten werd op een computer, iets wat hij niet had aan zien komen. Ook bleek dat het niet uitmaakte op welke plek de usb-stick werd neergelegd, bijvoorbeeld op een parkeerplaats, in een gemeenschappelijke ruimte of op een gang. Ook het uiterlijk maakt niet veel uit, bijvoorbeeld of er sleutels aanhangen of er een label opgeplakt is.

De grootste reden voor het openen van de bestanden op de drager bleek het identificeren van de eigenaar te zijn, verklaarden de vinders. Bursztein heeft bij deze verklaring echter zijn twijfels, omdat uit zijn data blijkt dat veruit de meeste personen alleen de foto's hadden geopend en niet de overige bestanden. De reden die daarna het vaakst genoemd werd is dan ook nieuwsgierigheid, iets dat Bursztein een stuk aannemelijker acht.

Phishing

Een ander onderzoek naar de invloed van nieuwsgierigheid op cyberveiligheid, dat van Zinaida Benenson, wetenschapper aan de Duitse Erlangen-Nürnberg-universiteit, richtte zich op het bekende verschijnsel van phishing. Zij wilde onderzoeken wat de redenen zijn om op verdachte links te klikken. Daartoe stuurde ze 1.600 studenten een Facebook-bericht of een e-mail van een onbekend persoon met daarin een link naar foto's van een nieuwjaarsfeest. Daarbij werd het verzoek meegestuurd de foto's niet te delen.

Snel bleek dat 43,5 procent van de studenten op de link in het Facebook-bericht klikten en 25 procent op de link in de e-mail. Toen Benenson de studenten op een later tijdstip benaderde, bleek dat de grootste reden voor het volgen van de link, opnieuw, nieuwsgierigheid was. Dat werd in 34 procent van de gevallen als reden aangevoerd.

Oplossingen

De oplossingen die de twee onderzoekers aandragen hebben raakvlakken met elkaar. Beiden noemen dat het creëren van bewustzijn bij gebruikers een belangrijke rol speelt. Zo noemt Benenson dat het alleen noodzakelijk is om achterdochtig te worden als daar een geldige indicatie voor is. Ook onderkent ze dat het onderdrukken van nieuwsgierigheid geen optie is, omdat dit nu eenmaal inherent is aan de mens. Ze roept dan ook op om in gesprek te gaan met gebruikers, bijvoorbeeld medewerkers van een bedrijf die dagelijks berichten van buitenaf verwerken.

Bursztein noemt dat er ook specifieke manieren zijn om je tegen een aanval via een usb-stick te verweren, maar dat deze niet altijd even goed werken. Zo is het bijvoorbeeld mogelijk om de usb-poort op computers te blokkeren. Daarnaast is er de optie om via systeembeleid alleen bepaalde usb-sticks toe te laten.

Absolute beveiliging is een utopie, en de menselijke factor blijft een heikel punt als het gaat om het beveiligen van systemen. Nieuwsgierigheid zal daarbij altijd een belangrijke rol blijven spelen.

Dit artikel verscheen oorspronkelijk op de technologiesite Tweakers.net

Meer over

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234