Exploit (computerbeveiliging)

Een exploit (Engels, in de zin van iets gebruiken voor eigen voordeel) is een stukje software of hoeveelheid gegevens die gebruikmaakt van een bug, glitch of kwetsbaarheid in de software van een apparaat om ongewenst gedrag te veroorzaken op de software of hardware van dat elektronische apparaat. Het gaat dan vaak over het verkrijgen van controle over een computersysteem. Kortweg komt het neer op het gebruikmaken van een bug in (de beveiliging van) een besturingssysteem of in specifieke clientprogrammatuur die door hackers kan worden geëxploiteerd.[1]

Classificatie

[bewerken | brontekst bewerken]

Er zijn verschillende methoden om exploits te classificeren. De meeste gelijkenissen zijn te vinden in de manier waarop de exploit in contact komt met de kwetsbare software. Een 'remote-exploit' (een exploit op afstand) werkt over een netwerk en buit het beveiligingsprobleem uit zonder voorafgaande toegang tot het kwetsbare systeem. Een 'lokale exploit' vereist toegang tot het kwetsbare systeem en meestal verhoogde rechten, verleend door de systeembeheerder, door de persoon die de exploit uitvoert.

Exploits kunnen ook voorkomen via applicaties bij derden, meestal bestaande uit gemodificeerde servers die een exploit sturen wanneer ze toegang hebben via een toepassing of applicatie in een elektronicatoestel van derden. Een exploit tegen zo'n applicatie kan ook bepaalde interactie vereisen met de gebruiker en zo gebruikt worden in combinatie met de social-engineeringmethode. Dit is de manier van hackers om data te stelen door binnen te dringen in een computer of website.

Een andere classificatie is door actie tegen een kwetsbaar systeem: ongeautoriseerde toegang tot data, het uitvoeren van een willekeurige code of een DDoS-aanval.

Veel exploits dienen om administratorrechten te verkrijgen van een computersysteem. Hoewel het ook mogelijk is verschillende exploits te gebruiken, eerst om op een laag niveau toegang te krijgen, daarna om de rechten te verhogen om uiteindelijk de rootgebruiker te bereiken/verkrijgen en zo de volledige toegang te hebben tot het computersysteem.

Een exploit kan alleen voordeel halen uit een specifiek beveiligingslek in bepaalde software. Wanneer een exploit gepubliceerd wordt, wordt het lek meestal hersteld door een patch en is de exploit verouderd voor de nieuwere versie van de software. Dit is tevens de reden waarom bepaalde blackhat-hackers zo'n exploit niet publiceren maar alleen voor zichzelf of andere hackers houden. Deze exploits worden aangeduid als zero-day-exploits. Jonge onervaren hackers, vaak genoemd als scriptkiddies hebben vaak als wens om toegang te hebben tot deze exploits.

Exploits worden veelal gecategoriseerd volgens:

  • Het type van beveiligingslek dat ze uitbuiten.
  • Het apparaat waarop ze uitgevoerd worden. Is dat hetzelfde apparaat als het programma dat een beveiligingslek heeft (lokaal) of het kan uitgevoerd worden door een ander elektronisch apparaat om een programma aan te vallen dat op een ander apparaat draait (op afstand, remote).
  • Het resultaat van de gebruikte exploit: DDoS, spoofing of misbruik maken van de bevoegdheid.

Pivoting (Engelse term) verwijst naar de methode die wordt gebruikt door 'penetratietesters' die een geïnfecteerd systeem gebruiken om andere systemen aan te vallen op hetzelfde netwerk om obstakels te vermijden, zoals een bepaalde configuratie van een firewall die de directe toegang tot allerhande elektronische toestellen kan vermijden. Een aanvaller kan bijvoorbeeld een webserver infecteren op een bedrijfsnetwerk. De aanvaller kan dan deze geïnfecteerde server gebruiken om andere systemen van dit netwerk aan te vallen. Deze types van aanvallen worden vaak genoemd naar multi-lagenaanvallen (van het Engelse multi-layered attacks). In het Engels gebruikt men vaak de term 'island hopping' of 'eilandhoppen'.

Pivoting kan opgesplitst worden in proxy-pivoting en VPN-pivoting.

  • De term proxy-pivoting beschrijft de uitvoer van gekanaliseerd verkeer door een aangetast doel, gebruikmakend van een 'proxy payload' of 'proxy lading' op de machine en de lancering van aanvallen van deze computer.[2][3]
  • Bij VPN-pivoting creëert de aanvaller een gecodeerde tunnel in het aangetaste toestel om elk netwerkverkeer door het doelwittoestel te leiden, bijvoorbeeld om een kwetsbaarheidsscan uit te voeren, door het aangetast toestel, binnen het intern netwerk, zodat dit de aanvaller volledige netwerktoegang geeft alsof hij door de firewall gebroken is. Een typisch kenmerk is dat de proxy- of VPN-applicaties pivoting activeren zodat er een exploit wordt uitgevoerd op de doelwitcomputer als de payload-software.

Markt voor exploits

[bewerken | brontekst bewerken]

Aangezien de meeste toestellen dezelfde software gebruiken, wat het geval is op de quasi-monopolistische softwaremarkt, kan één specifieke kwetsbaarheid worden gebruikt tegen een groot aantal gebruikers. Het is daarom niet verwonderlijk dat niet alleen cybercriminelen, maar ook cyberspionnen geïnteresseerd zijn in dergelijke kwetsbaarheden. Beide groepen hebben er belang bij die verborgen te houden voor zowel gebruikers als fabrikanten. Zeroday-exploits worden al dan niet legaal verhandeld via webplatforms,[4] of als spyware aan inlichtingendiensten verkocht door militaire cyberbedrijven als Raytheon en ManTech. Zerodium was het eerste bedrijf dat een volledige prijslijst voor zero-days publiceerde, met bedragen variërend van $5.000 tot $1.500.000 per exploit.[5] Zo werd in 2021 tot $300.000 geboden voor het hacken van WordPress, $100.000 voor Pidgin of VMware vCenter Server, $50.000 voor ISPConfig, of $25.000 voor Moodle.[6]