Ali Baba en de veertig cyberdreigingen

Het blijkt dat het verhaal van Ali Baba een verzameling verhalen uit het oude Perzië is over … cyberdreigingen?

We kunnen het niet vaak genoeg zeggen: sprookjes zijn in werkelijkheid nauwelijks verhulde rapporten over informatiebeveiliging. En het waren niet alleen de Europese verhalenvertellers die hun nakomelingen probeerden te waarschuwen voor cyberdreigingen, want men was net zo vooruitziend in het oosten. Sjeherazade bijvoorbeeld, de vertelster van de verhalen uit Duizend-en-een-nacht, hield eigenlijk gewoon een dagelijkse infosec-blog bij met video-podcasts. Ze had inderdaad wel een verborgen motief om dat te doen…

Vandaag kijken we echter naar een aantal gevallen die later aan Sjeherazades blog zijn toegevoegd, namelijk in de 18e eeuw: in het bijzonder een incident dat bekend staat als Ali Baba en de veertig rovers. Zelfs degenen die het verhaal niet precies kennen, zijn ongetwijfeld bekend met de magische spreuk: “Sesam open u!”

Het hele verhaal draait eigenlijk rond het idee van het gebruik van een wachtwoord ter bescherming tegen ongeautoriseerde toegang. Maar dat is lang niet de enige tip wat betreft gegevensbeveiliging in dit sprookje. Het is alleen de opvallendste.

Wachtwoordoverdracht via een onveilig kanaal

We frissen uw geheugen even op: het verhaal gaat over een roversbende die hun buit in een grot bewaren waar alleen toegang tot kan worden verkregen met het wachtwoord “Sesam, open u”. Het beschermingsmechanisme kent echter een aantal ernstige gebreken.

Helemaal aan het begin van het verhaal staat de leider van de rovers bij de ingang en roept hij luidkeels: “Sesam, open u!” Hier komen meteen verschillende problemen aan het licht. Ten eerste is het wachtwoord te eenvoudig, en ten tweede is er geen sprake van tweestapsverificatie of zelfs maar een gebruikersnaam!

Sterker nog: het wachtwoorden loopt via een open kanaal. Ali Baba, die in de buurt brandhout aan het verzamelen is, hoort onbedoeld de woorden van de rover. Later probeert hij uit pure nieuwsgierigheid, zonder kwade bijbedoelingen, het wachtwoord uit. Als de grot zich opent, gaat hij echter naar binnen en maakt hij zich een gedeelte van de schat eigen.

Spyware-module

Bij thuiskomst geeft Ali Baba de gouden munten aan zijn vrouw zodat die ze kan tellen. Ze probeert dit handmatig te doen, maar het zijn er zo veel dat ze de tel kwijtraakt, en ze besluit daarom om een meetinstrument van haar schoonzus te lenen, de vrouw van Ali Baba’s broer, Kassim.

Sommige vertalingen spreken van keukenweegschalen, sommige zeggen dat het een soort pot was, maar dat is een onbelangrijk detail. Wat echter wel belangrijk is, is het feit dat de nieuwsgierige vrouw van Kassim de bodem van het meetinstrument met honing insmeert (reuzel in sommige vertalingen) om erachter te komen waarom haar familie hem plotseling nodig heeft. En als dit meetinstrument wordt teruggegeven zit er een gouden munt vast aan de bodem, wat dus betekent dat haar schoonzus hem gebruikte om goud mee te tellen!

Zelfs een volledige digibeet kan zien dat de auteur hier een spyware-module beschrijft die is geïntegreerd in een legitiem product. Kassims vrouw verstrekt een apparaat (onder het Measure-as-a-Service-model) en bespioneert de activiteiten van de klant. De moraal van het verhaal is: gebruik tools van betrouwbare bronnen en controleer deze op kwetsbaarheden en schadelijke implantaten.

Vergeten wachtwoorden

Wat er vervolgens gebeurt lijkt mij nogal vergezocht. Ali Baba biecht alles aan Kassim op en vertelt hem het wachtwoord. Kassim gaat vervolgens de grot binnen. Eenmaal binnen slaagt hij erin het wachtwoord te vergeten (wat ook nodig is om weer naar buiten te kunnen) en komt dus vast te zitten. Vervolgens wordt hij onthoofd zodra de rovers hem binnen vinden. Het bericht van de marketingafdeling is duidelijk: “Verlies je hoofd niet vanwege een vergeten wachtwoord”, of iets in die richting.

Ik vermoed dat dit gedeelte van het verhaal in die tijd een product-pitch was voor een soort wachtwoordmanager gebruikt door Sassanidische techies, maar het oorspronkelijke bericht is verloren gegaan door het eindeloos doorvertellen van het verhaal. Om dat te compenseren houden we hier een pitch voor onze eigen wachtwoordmanager: Kaspersky Password Managerslaat veilig wachtwoorden en andere vertrouwelijke informatie op.

Een nooit veranderend wachtwoord

Maar laten we terugkeren naar het verhaal. Als Kassim niet thuiskomt, besluit zijn familie naar hem op zoek te gaan. Ali Baba keert terug naar de grot en vindt daar het lichaam van zijn broer en neemt hem mee naar huis om hem te begraven.

In dit proces krijgt de lezer nog een voorbeeld te zien van een erbarmelijk wachtwoordbeleid: de rovers hebben het wachtwoord na het incident niet gewijzigd. De exacte reden hiervoor wordt niet duidelijk. Dit kan simpelweg nalatigheid zijn of de schuld van de slecht ontworpen architectuur van het authenticatiesysteem.

Het is ook mogelijk dat de rovers eenvoudigweg niet over de administratorrechten beschikken. Als ze de grot hebben gekaapt (het zijn tenslotte rovers), hebben ze waarschijnlijk alleen een gebruikerswachtwoord. De echte eigenaar van de grot zou zijn beheerdersgegevens hebben meegenomen in het graf.

Aanval via een aannemer

Omdat Ali Baba het verhaal geheim wilde houden, kon hij het lichaam niet met een afgehakt hoofd begraven. Hij besluit om de weduwe van zijn broer samen met haar dienstmeid Morgiana alles wat er gaande is te laten verdoezelen. Morgiana gaat meerdere keren naar de apotheek voor medicijnen en laat het zo lijken alsof Kassim alsmaar zieker wordt, en meldt uiteindelijk dat hij een natuurlijke dood is gestorven.

Ondertussen brengt ze een schoenmaker mee naar huis om Kassims lichaam weer aan elkaar te naaien. Ze blinddoekt de schoenmaker bovendien en leidt hem via een omslachtige route naar Kassim, zodat hij niet weet waar hij is.

De rovers, die proberen uit te vinden waar het informatielek zich bevindt, komen bij de schoenmaker uit. Ze beloven hem goud, blinddoeken de oude man ook en dwingen hem om zijn gangen na te gaan naar het huis.

Dit voorbeeld toont aan dat zelfs als u via een versleuteld kanaal met aannemers werkt, gevoelige informatie nog altijd aan indringers gelekt kan worden. Morgiana had de schoenmaker misschien een geheimhoudingsverklaring moeten laten ondertekenen.

Honeynet

Een van de rovers markeert de deur van Kassims huis, waar Ali Baba nu woont, en keert later die nacht met zijn handlangers terug om de bewoners te vermoorden. De sluwe Morgiana ziet die markering echter, en markeert de deuren van alle andere huizen in de straat op precies dezelfde manier, waardoor de aanval kan worden voorkomen.

Eigenlijk verandert Morgiana de straat zo in een soort netwerk van honeypot-hackersvallen. In theorie werkt dit als volgt: indringers in een netwerk zien een van de honeypots voor hun doelwit aan, beginnen deze aan te vallen en onthullen zo hun intenties en methodes. Tegen de tijd dat ze hun fout inzien, kunnen experts van een cyberafdeling van de regering hun werk doen en de aanval stoppen.

Wat rest is de vraag hoe ethisch het is om de huizen van onschuldige gebruikers als honeypots te gebruiken. Hoe dan ook, er is geen echte schade, want de rovers hebben de list op tijd door en blazen de aanval af.

Containerisatie

De leider van de roversbende besluit om persoonlijk de leiding te nemen over de aanval. Hij verzamelt 40 enorme potten (jars in het Engels, mogelijk een referentie naar .JAR, het Java ARchive-bestandsformaat), waarvan twee gevuld met olie en de rest leeg. De potten met olie zijn bedoeld om een oppervlakkige scan te omzeilen; de rovers verstoppen zich in de lege potten.

Met deze lading komt hij aan bij het huis van Ali Baba. Het plan van de leider is om vermomd als verkoper van olie zich binnen te praten, om vervolgens de rovers later als iedereen slaapt uit de “lege” potten te laten komen.

Dit is eigenlijk een beschrijving van een infrastructuur-aanval met gebruik van malware verborgen in containers. Omdat de scanners bij de ingang de inhoud van de containers niet controleren, glipt de dreiging door de beveiliging heen. Eenmaal binnen activeert de leider de malware.

Maar Morgiana treedt wederom op als de reddende engel omdat ze een dief in een van de potten hoort. Ze controleert elke container, stelt vast waar de bandieten zitten verborgen en giet er vervolgens kokende olie in en elimineert de dreiging. In andere woorden: zelfs toen al had ze een tool voor het scannen van de inhoud van containers. Onze Kaspersky Hybrid Cloud Security-oplossing beschikt over dezelfde technologie, alleen dan met 1500 jaar aan updates.

Uiteindelijk zegeviert het recht. De leider van de rovers wordt gedood; Morgiana trouwt met Ali Baba’s zoon (die uit het niets verschijnt aan het einde van het sprookje); en Ali Baba blijft als enige over met het wachtwoord voor de met schatten gevulde grot.

De moraal van het verhaal

  • Houd bij het ontwerpen van een authenticatiesysteem rekening met de beveiliging. Het gebruik van een hard-coded wachtwoord via een niet-versleuteld kanaal zonder tweestapsverificatie is vragen om problemen.
  • Kies uw leveranciers en aannemers zorgvuldig uit. Controleer hun tools en diensten als het even kan op kwetsbaarheden en schadelijke implantaten en vergeet niet om alle partijen geheimhoudingsverklaringen te laten ondertekenen.
  • Gebruik een beveiligingsoplossing die de inhoud van containers op schadelijke code scant om te voorkomen dat deze in uw project verzeild raken via een gecompromitteerd archief.
Tips