De “unhackable” securityoplossing: elk jaar duikt er wel weer een op. Maar kan dat? Iets ontwikkelen wat niet te hacken is? Is het niet gewoon slimme marketing? Of zelfs een onverstandige uitlating die hackers alleen maar uitdaagt?
Zeggen dat een securityoplossing niet te hacken valt: het straalt ontzettend veel zelfverzekerdheid uit. En wie wil er nou niet investeren in 100% solide security? Toch is het – zelfs wanneer u zeker van uw zaak bent – alles behalve slim te roepen dat iets onhackbaar is. En wel hierom:
Waarom “unhackable” niet bestaat
Beweren dat iets niet te kraken is, is hetzelfde als zeggen dat kraanwater niet giftig is. De kans dat iemand sterft aan het drinken van water is nihil. Maar wil iemand het toch voor elkaar krijgen? Dan is dat met een beetje wilskracht zeker mogelijk: bij de inname van een zeer hoge hoeveelheid water begeven de nieren het. Het gevolg? Jazeker: watervergiftiging.
Dit gaat precies hetzelfde in zijn werk bij securityoplossingen. Ja, ze kunnen zo ontwikkeld zijn dat het vreselijk lastig is ze te kraken. Maar écht onkraakbaar? Dat kan nooit. Hackers die graag willen, krijgen het vroeg of laat voor elkaar. Al kost het ze jaren aan werk.
Het ding is alleen: juist de oplossingen die beweren unhackable te zijn, blijken in de praktijk ook nog eens vrij eenvoudig te kraken. We geven daar later in dit artikel nog een paar voorbeelden van.
“Unhackable” is een gevaarlijke term
In de praktijk komt iedereen er prima mee weg te zeggen dat kraanwater niet giftig is. De meeste mensen snappen dat bij normale hoeveelheden de stof nagenoeg onschadelijk te noemen is. Dat gaat voor securityoplossingen alleen niet op. Er zit een groot verschil tussen roepen dat water niet giftig is en roepen dat software niet te kraken is.
Dat verschil? Dat zit hem in de kwaadwillenden. Zeggen dat water niet giftig is, zal niemand uitdagen u een grote hoeveelheid toe te dienen om alsnog het tegendeel te bewijzen (Excuses voor het lugubere voorbeeld). Hackers daarentegen zien het nog geregeld als een sport bij lastige doelwitten binnen te komen. Iets hacken dat onhackbaar zou moeten zijn? Dat is dan al helemaal een interessante uitdaging!
Gekraakte software leidt tot imagoschade
Elke keer wanneer een ontwikkelaar beweert dat zijn oplossing niet te kraken is, weten hackers toch weer het tegendeel te bewijzen. “Daag hackers niet uit” is dan ook het advies van veel experts. Oplossingen die als onkraakbaar op de markt zijn gezet en vervolgens alsnog gekraakt werden, gaan over het algemeen de geschiedenis in als flaters.
Onhackbare oplossingen beloven komt zelfverzekerd over. Maar durven zeggen dat iets nagenoeg niet te hacken is, straalt nog veel meer betrouwbaarheid uit.
Security oplossingen waarbij het mis ging
Door de jaren heen zijn er meerdere onhackbare oplossingen toch gehackt. We hebben drie opvallende situaties op een rijtje gezet:
1. De onhackbare wallet
Bitfi-wallet is een opslag voor cryptocurrency die beweerde onhackbaar te zijn. Ze daagden hackers zelfs uit door ze een bedrag van $100.000 aan te bieden wanneer ze coins uit de wallet konden halen. Echter kreeg geen enkele hacker geld, want toen de wallet gekraakt was, beweerde Bitfi dat ze niet aan de voorwaarden hadden voldaan.
Het bijzondere aan dit alles? Dat de claim “unhackable” pas na meerdere keren gehackt te zijn van de website is gehaald. Blijkbaar beschouwde Bitfi hun product na 1 hack nog altijd als onhackbaar. Opvallend is dat John McAfee ondertussen nog steeds van mening is dat Bitfi niet te hacken is.
2. De onkraakbare USB-stick
Een ander bedrijf dat de fout maakte hackers uit te dagen, is eyeDisk. Op hun Kickstarter pagina beloofden ze dat paniek bij het verliezen van een USB-stick niet meer nodig is. De eyeDisk bepaalt namelijk aan de hand van iemands iris of hij of zij de rechtmatige eigenaar is. De ge-encrypte data op de USB-stick is daarmee alleen toegankelijk voor degene die de juiste biometrie kan presenteren. Onhackbaar dus, volgens eyeDisk.
Pentest researcher David Lodge wist de USB-stick toch te kraken. De eyeDisk is namelijk ook toegankelijk met een back-up wachtwoord. Dat wachtwoord is eenvoudig te achterhalen door een verkeerd wachtwoord in te voeren. Door de manier waarop een wachtwoord gevalideerd wordt, is het juiste wachtwoord er zo uit te trekken door een hacker.
3. Niet te hacken bluetooth-slot
Afgelopen September bewees een Brits bedrijf dat pentesten uitvoert dat het niet te hacken bluetooth-slot 360Lock toch eenvoudig te hacken bleek. Het slot is namelijk kwetsbaar voor replay-aanvallen. Dat geeft aanvallers de mogelijkheid het slot toch te openen. Ook de fysieke behuizing van het slot blijkt fragiel en is eenvoudig met een hamer te breken.
360Lock beweerde op Kickstarter net als eyeDisk dat het slot volledig “hackproof” is. De claim is gelukkig niet getest door een kwaadwillende hacker, maar een beveiligingsonderzoeker met minder kwade bedoelingen. Wel gaf de onderzoeker advies het slot niet te gebruiken. Niet bepaald goede marketing voor 360Lock dus.
Niet te hacken? Niet geloven
We hebben ons punt wel gemaakt: oplossingen die onhackbaar zijn bestaan niet. Helaas. Of u daarmee alle – zogenaamd – unhackable oplossingen meteen moet wantrouwen? Dat niet per se. Maar het is wel belangrijk nooit 100% blind te vertrouwen op een oplossing. Blijf wakker en alert. Alleen dán bereikt u het hoogst haalbare op het gebied van veiligheid.
Tot slot is het per definitie gezond kritisch te zijn bij het kiezen van een cybersecurity oplossing en altijd goed door te vragen. Advies van een expert nodig? Neem dan vrijblijvend contact met ons op.
