Foto VLNR: Joram Teusink, Hans Minten, Stu Sjouwerman, Kevin Mitnick, Maarten Minten
We willen graag één van onze tofste ervaringen delen op het gebied van Cybersecurity. En dat is onze Advanced Practical Social Engineering training in Las Vegas in de Verenigde Staten. Met ons drieën gingen we naar de Black Hat 2017 conferentie. En nu zo terugkijkende op die tijd, realiseren we ons dat de tijd voorbij is gevlogen. Maar de plannen voor een nieuw bezoek zijn we al voorzichtig aan het maken!
De piramide
Las Vegas, wie kent het niet, al was het alleen van films? Het is een bizarre mix van pracht en praal met vergane glorie. Casino na casino en tijdens het wandelen struikel je om de 10 meter over een versleten Spiderman. Bij het uitstappen uit het vliegtuig is het nog niet zo te merken. Maar de overgang vanuit de airco gekoelde luchthaven naar de bebouwde woestijn is extreem. Zo warm, of eigenlijk heet, dat elk zweetdruppeltje praktisch direct verdampte. En toen het even ging waaien leek het meer op een föhn dan een fris windje.
We hadden het Luxor hotel gekozen voor ons 8-daagse verblijf. Een heuse piramide helemaal in Egyptische stijl. Althans, de casino, vanille geurende airco, glazen buitenkant en lichtstraal uit het dak niet meegerekend. De eerste dag gingen we er even op uit om de Las Vegas boulevard te verkennen. Want de volgende dag begon ons Advanced Practical Social Engineering avontuur!
Social Engineering uitgelegd
Maar eerst even, wat is Social Engineering nu precies? Social Engineering is precies zoals de titel van één van de boeken van onze docent al aangeeft. Namelijk de kunst van het hacken van de mens. In de ICT en technologie wereld bestaat hacken vooral uit het inbreken op computer systemen. Bij Social Engineering draait het om het inbreken in het hoofd van een mark. Een mark is een Engels woord voor doelwit (enigszins vrij vertaald). Het is de persoon waaruit informatie ontfutseld moet worden.
Social Engineering komt in allerlei vormen en situaties. Het kan zich in direct menselijk contact afspelen. Een human hacker probeert bijvoorbeeld aan de balie van een hotel te achterhalen of een specifiek persoon daar ook verblijft. Of het vindt indirect plaats. Denk hierbij aan iemand die de HR afdeling belt en op die manier BSN-nummers probeert te achterhalen. Weer een ander voorbeeld is het ontfutselen van informatie via Whatsapp, email of SMS.
Social Engineering gaat niet perse over de daadwerkelijke fraude of andere vormen van diefstal. Het gaat om het verkrijgen van informatie of toegang. En dat door middel van het verleiden van een persoon tot het doen van uitspraken of geven van toegang. Natuurlijk kan informatie of toegang gebruikt worden voor frauduleuze doeleinden, maar het hoeft niet.
En om ons Cybersecurity werk nog beter te kunnen doen, wilde zelf eens ervaren, en getraind worden, in Social Engineering. We kunnen namelijk nu met praktische voorbeelden en situaties deze vorm van hacking uitleggen aan collega’s en klanten.
Start van de training
Black Hat is groot. En wanneer we zeggen groot, dan bedoelen we groot. Zo groot dat elke beurs in Nederland klein aandoet sinds ons bezoek daar. De beurshallen waren echter nog niet open, omdat de eerste vier dagen voor ons bestond uit de training. De training Social Engineering werd verzorgd door Chris Hadnagy. Chris is eigenaar van Social-Engineer.com en auteur van onder andere “Social Engineering: The Art of Human Hacking“.
Bij binnenkomst in de klas keek de docent ons aan voor ongeveer drie seconden. Na deze drie seconden deelde hij ons mede dat we niet samen in één groepje zouden komen. Toen nog niet helemaal duidelijk wat daarmee bedoeld werd. Later zou blijken dat Chris het had over huiswerk avonden. En ja, wij hebben braaf huiswerk gedaan voor de training in Las Vegas in de hitte op straat.
De training ging in op verschillende aspecten van het Social Engineering. Denk hierbij aan ondervragingsmethoden, de voorbereiding van Social Engineering, maar ook bijvoorbeeld micro-expressies. Micro-expressies is een heel bijzonder fenomeen. Het is namelijk een emotionele uitdrukking in het gelaat van een persoon, die nagenoeg niet te onderdrukken is. Deze expressie is korter dan een seconde, maar kan wel degelijk waargenomen worden. We hebben overigens alle drie een certificaat behaald voor het herkennen van micro-expressies.
Of het nu verdriet, blijdschap, boosheid, verbazing, schrik of afgunst is, het is te zien. En hoe meer we de techniek toepassen, hoe beter we het zijn gaan herkennen. Een keerzijde is dat het niet uit te zetten is. Eens geleerd, blijft geleerd. Wij passen de techniek in ieder geval altijd met respect toe. Want iedereen voelt wel eens iets dat niet gedeeld of opgemerkt hoeft te worden.
Huiswerk op de boulevard
De kaders
Door een geheimhoudingsverklaring kunnen we geen details geven over de huiswerkopdrachten van onze training. Dus we beperken ons verhaal daarom. Bij het huiswerk ging het om “putting lessons into practice“. Het gelijk toepassen van de theorie in de praktijk. We kregen daarbij overigens strikte regels opgelegd. We mochten bijvoorbeeld nooit vragen naar een wachtwoord. Ook niet indirect. En iedereen waarmee we spraken moest een prettig gevoel overhouden aan het gesprek.
De aanpak
We gingen in verschillende groepen de straat op om ons huiswerk te doen. Voor Joram was dat wat buiten zijn comfortzone, maar hij genoot van de uitdaging. Hans en Maarten waren al wat meer bedreven in het vak. Als eeneiige tweeling hebben ze wat vaker aandacht gehad. Ook in Las Vegas is blijkbaar een tweeling zijn iets unieks. Want wildvreemde mensen wilde met ze op de foto bij de Slot Zilla Zipline. Het is in het begin wat onwennig om vreemde mensen aan te spreken en daarbij een verzonnen naam te gebruiken. Het voelt zelfs een beetje ‘verkeerd’, hoewel we totaal niks vervelends in petto hadden.
Ons huiswerk ging veelal om het verkrijgen van informatie zoals een voornaam, geboortedatum, en woonplaats. De truc zit hem in het gesprek casual te starten en het vanuit daar gaande te houden. Maar voorbereiding van een dergelijk gesprek is minstens zo belangrijk. Als groep gingen we daarom eerst een verhaal verzinnen. Dat wordt pre-text genoemd. Vervolgens gebruikte we props. Props zijn voorwerpen die helpen bij de pre-text. Denk aan een klembord met papier voor een ‘interview’. Pre-text en de props klaar? Dan is het tijd om de mark te vinden, en het gesprek te starten.
Het resultaat
De resultaten van dergelijke oefeningen werden de volgende dag besproken. Veel van deze verhalen waren hilarisch, en dat het in Las Vegas afspeelt geeft het extra joie de vivre. De ene groep had de ene dag meer moeite met doen van een opdracht. En een andere groep weer de andere dag. Het was veel leren en veel Social Engineering in een zeer korte tijd.
Training klaar, tijd voor Black Hat
De swag-tocht
Zo, de training Social Engineering is klaar. Het waren vier drukke dagen en drie drukke avonden. Tijd om even te ontspannen om vervolgens twee volle dagen op de beurshallen tegemoet te gaan. De beurshallen van Black Hat zijn groot. Nee, ze zijn mega. Alle bekende bedrijven op het gebied van informatiebeveiliging waren daar te vinden. En dat niet alleen, er kon ook zo ontzettend veel gedaan worden.
Van grijpmachines, tot verlotingen, tot en met lock pick wedstrijden. Joram en Maarten hadden al heel snel een dikke accupack uit een grijpmachine gephisht. Maar Hans wist dat snel te overtreffen met het winnen van een Dji drone bij de Trend Micro stand! We hebben daar ontzettend veel bedrijven gesproken. En bij elke stand was er wel swag te krijgen. En bij swag, denk dan aan talloze spinners, drinkbekers, hoeden, T-shirts en ga zo maar door.
Tijdens deze swag-tocht hebben we op verschillende momenten Social Engineering toegepast. Zo hebben we toch swag weten te krijgen wanneer we bijvoorbeeld niet hadden gewonnen met een spin-wheel. Of dat we bijvoorbeeld toch echt, vooruit, nog één keertje mochten inzetten. De twee dagen swag verzameling resulteerde overigens in gebrek aan kofferruimte. Er zijn toen extra tassen gekocht om de spullen mee naar huis te krijgen!
Kevin Mitnick bij KnowBe4
Nu willen we ons verhaal afsluiten met een ander hoogtepunt. Bovenaan deze blogpost staat namelijk een foto. En op deze foto staat niemand minder dan Kevin Mitnick! Kevin Mitnick is misschien wel de grondlegger van het hele Social Engineering gebeuren. Hij werd in 1995 gearresteerd door de FBI voor een set aan activiteiten op het gebied van computercriminaliteit. Inmiddels is hij een auteur en heeft hij een eigen bedrijf. Daarnaast is hij ook Chief Hacking Officer bij KnowBe4 en je kan daar meer lezen over Kevin Mitnick.
Wij stonden inmiddels in de lange rij bij de stand van KnowBe4. Er werd namelijk door Kevin Mitnick zelf een gratis gesigneerd boek weggegeven of een “lockpick visitekaartje“. Tijdens het wachten in de rij zagen we een man rondwandelen. We keken elkaar aan en dachten: “Jij bent een Nederlander!”. We riepen dat ook naar hem waarna hij naar ons toekwam. Inderdaad een Nederlander met roots in Amsterdam. Maar het bleek niemand minder dan Stu Sjouwerman te zijn. De oprichter en CEO van KnowBe4. Na een leuke kennismaking was het dan eindelijk tijd voor het boek en het visitekaartje. Want hoewel er officieel gekozen moest worden tussen het boek of het visitekaartje, wij hebben beide mogen krijgen! En natuurlijk ook de foto! Inclusief een heuse fotobom door Stu!
Terug naar huis
Het was tijd om terug naar huis te gaan. Met een enorme dosis nieuwe ervaringen en nieuwe Social Engineering kennis wel te verstaan. En tijdens deze prachtige ervaring is ook het idee geboren om een eigen Cybersecurity bedrijf te starten. En inmiddels timmeren we met MITE3 Cybersecurity al goed aan de weg!
Wilt u kennismaken met ons of meer over ons te weten te komen? Klik dan gelijk hier om met ons in contact te komen.