Dagboek van een hacker 

8 Februari
Yes, vandaag gebeld door een nieuwe opdrachtgever. Hij wil dat ik jullie intellectual property (IP) ontfutsel. Daarnaast moet ik het bedrijf ontregelen zodat hij een goede voorsprong krijgt. Ik heb er 7 maanden de tijd voor dus ik kan dit goed aanpakken. Zin in!

12 februari
Eerst kijk ik naar jullie verdediging. Ik kijk naar de opbouw van de e-mailadressen (was ik snel achter via de website: voornaam.achternaam@organisatie.com). En naar LinkedIn. Ik zie gelijk dat jij, Johan, vol trots een taart-foto plaats omdat “de office365 implementatie van start gaat”. Ha, dank je..

14 februari

Valentijnsdag. Ik ben gewoon met een bos rozen aan de balie gaan staan – “ik kom deze persoonlijk bezorgen voor Johan”, toen mocht ik door lopen. Social Engineering noemen ze dat, maar ik noem het gewoon “lef ”. Ik heb een USB stick op het toilet gelegd, hopelijk dat iemand hem in prikt.

20 februari

Thuis check ik dagenlang jullie digitale beveiliging. Met een poortscan kijk ik welke poorten direct bereikbaar zijn vanaf internet. Ik werk zorgvuldig, ik neem de tijd. Want ik heb de tijd.

1 maart

Jammer, niemand heeft mijn USB stick van het toilet ingeprikt dus schakel ik over naar plan B.

3 maart

Vandaag ga ik lekker vissen. I love it, the game is on. Ik heb een prachtig mailtje getikt over Office365, ik weet dat iedereen bij jullie hier nu mee bezig is dus de kans dat iemand klikt is groot. Mijn mail is niet van een echte te onderscheiden. Ik zet er een link bij met het verzoek vandaag nog Officce365 te activeren.

Wow een uur later en bam, I am in. Hoera. Door de klik is er een code achtergelaten. Met een stukje code wat ik via een simpel Word Macrotje heb ingebakken, zet ik nu de communicatie met het netwerk op. Ik ga maar eens rustig met een biertje in de hand en de voeten op tafel jullie netwerk ontleden en uittekenen (=enumeratie).

Waarschijnlijk duurt het nog maanden voordat het opvalt.

5 maart
Handen uit de mouwen ik ga zo veel mogelijk systemen proberen te bereiken en me daarin nestelen (heerlijk woord toch, nestelen). Mijn doel vandaag: gebruikersaccounts onder mijn beheer krijgen, oftewel: CONTROLE. Ik verken rustig het netwerk. Jullie zullen mij voorlopig niet door hebben want ik gebruik alleen geautoriseerde gebruikersaccounts. Ik laat wat passwordsprays los, zo kan ik lekker geautomatiseerd gebruikersnaam en wachtwoord combinaties uitproberen op jullie systemen. Tevens hop ik van het ene naar het andere systeem omdat er geen netwerk of systeem segmentatie heeft plaatsgevonden.

18 april
Ik heb bestandsservers inmiddels gevonden en ook wachtwoordbestanden gelokaliseerd. Het hele netwerk heb ik netjes in kaart gebracht, ik ben immers een nette jongen, Johan. Mijn macht over de systemen en accounts is nu echt groot. Lekker gevoel.

22 mei
Via bestaande gebruikersaccounts heb ik toegang tot bestanden. Volgens mij heeft nog niemand mij door. Het is net een puzzel en daar ben ik dol op. Ik ben systematisch bezig geweest om simpele wachtwoorden op ‘admin-accounts’ te kraken en dat is gelukt. Ik heb nu volledige controle over systemen en kan alle informatie verkrijgen die horen bij die ‘adminaccounts’. Yes: datalek is een feit. Ik heb macht én ben onzichtbaar want ik doe het netjes met bestaande accounts. Goede combinatie.

22 juni
Zo, het harde werk is gedaan, nu is het een inkoppertje. Ik werk geraffineerd alle bestanden naar buiten. Ik ben inmiddels zo lang op het netwerk dat ik exact weet wanneer de back-upprocedures en service-windows gestart worden. Precies op die momenten sla ik mijn slag. Bingo, intellectueel eigendom in de pocket.

Bij jullie zal dit moment, het moment van exfiltratie, later door de recherche “dag nul” genoemd worden. Maar voor mij is het dag L.O.L.

Zo. Weer een missie geslaagd. Ik laat nog wat “grapjes” achter, zoals deze brief die nu uit jullie printer rolt. En off I go.

Tijd voor een welverdiende vakantie.