Ethisch hacker Thijs Alkemade zoekt de hele dag naar kwetsbaarheden in computerprogrammatuur. Onlangs won hij met collega Daan Keuper 200.000 dollar in een hackwedstrijd voor een door hen ontdekt lek in videobelprogramma Zoom. ‘Helemaal waterdicht wordt het nooit’

Wat kan er allemaal met het lek in Zoom dat u met uw collega ontdekte?

“We hadden volledig toegang tot de computer en alle bestanden die erop stonden. We konden op elk moment de microfoon aanzetten of meekijken met de webcam. Er was vorig jaar veel ophef over het inbreken op Zoommeetings zonder uitnodiging; Zoombombing noemen ze dat. Dan kan iemand meekijken met een meeting die bezig is, maar meestal wordt diegene er ook snel weer uitgegooid. Maar dit is permanent: ook al is er geen Zoommeeting bezig, iemand kan op elk moment meekijken en meeluisteren.”

Hoe kwam u op het idee om Zoom te hacken?

“Mijn collega en ik deden mee met de hackwedstrijd Pwn2Own. Drie maanden van tevoren maakt het bedrijf achter de wedstrijd de mogelijke doelwitten bekend. Wie het lukt een van die doelen te hacken door gebruik te maken van een kwetsbaarheid waar nog niemand anders van weet, kan een bedrag van 200.000 dollar winnen; omgerekend zo’n 168.000 euro. We zagen dat Zoom en Teams dit jaar meededen in een nieuwe categorie, software voor communicatie. Gezien de pandemie vond de organisatie het belangrijk ook die software mee te nemen in de competitie. Wij wilden een poging doen Zoom te hacken.”

Hadden jullie toen al een vermoeden van het eindresultaat?

“Nee, we hadden in het begin echt nog geen idee of het zou lukken. De eerste stap was gewoon een lijstje maken van wat je allemaal kunt met Zoom. De volgende stap is zicht te krijgen op wat je daadwerkelijk over je netwerk stuurt naar de andere persoon. En dan krijg je als hacker pas een idee waar mogelijk een kwetsbaarheid zit. Dat testen deed ik voornamelijk door mezelf te bellen en mezelf berichtjes te sturen.”

Konden jullie ook onder de motorkap van Zoom kijken?

“Nee, we hebben niet de code van Zoom en die zouden ze ons ook niet willen geven. Met een speciaal programma, een decompiler, probeer je de code na te maken en te kijken wat er precies gebeurt. En zo wisten we uiteindelijk een kwetsbaarheid te vinden. Vervolgens zijn we anderhalve maand bezig geweest met het schrijven van een eigen programma dat die kwetsbaarheid weet te gebruiken, om daarmee de ‘slachtoffercomputer’ van de wedstrijd aan te vallen. En op die manier is het ons uiteindelijk gelukt die computer over te nemen.”

Hoe belangrijk is het om zo’n lek te vinden?

“Deze kwetsbaarheid had best wat impact kunnen hebben als een kwaadaardige hacker haar had gevonden. Binnen een paar minuten kan iemand de computer overnemen. En als potentieel slachtoffer hoef je alleen maar Zoom geïnstalleerd te hebben. Je hoeft niet eens een call te accepteren van iemand. Dus ik denk dat het belangrijk is voor Zoom dat deze kwetsbaarheid aan het licht is gebracht.”

“Daarnaast geeft het vinden van zulke lekken een beeld van dit soort software; wat de risico’s zijn die je ermee loopt. Elke applicatie die je installeert, brengt risico mee, zeker als je er mensen mee belt die je niet kent.”

Waar maakt u zich het meest zorgen om?

“Binnen de slimme huishoudelijke apparaten, het internet der dingen, liggen nog veel uitdagingen. Daarbij gaat het namelijk vaak om apparaten waarbij er nog niet heel goed is nagedacht over hoe je ze updatet. Vaak is de ondersteuning van de software korter dan de levensduur van zo’n apparaat.”

“Bij een slimme koelkast kunnen ze bijvoorbeeld na drie jaar zeggen dat het platform dat erachter zit niet zo goed meer is. Dan wordt dat platform offline gehaald en komen er geen updates meer. Maar zo’n koelkast kan nog wel twintig jaar werken en blijft dan al die tijd met onveilige software zitten die nooit meer wordt geüpdatet. Nieuwe toepassingen komen er sneller bij dan beveiligingen.”

Is het dan dweilen met de kraan open om kwetsbaarheden op te sporen?

“Nee, ik denk dat we wel vooruitgang boeken. Kijk bijvoorbeeld naar browsers: die zijn veel veiliger geworden. Tegenwoordig is het steeds lastiger om daar nieuwe kwetsbaarheden in te vinden. Er worden steeds meer veiligheidsmaatregelen toegevoegd die niet per se een specifieke kwetsbaarheid oplossen, maar het misbruiken van kwetsbaarheden in het algemeen moeilijker maken.”

“Een voorbeeld van zo’n maatregel is een beschermende omgeving waar je de applicatie in zet, een zogenoemde sandbox. Daardoor kan je niet zomaar meer toegang krijgen tot de hele computer, maar heb je eerst nog een tweede kwetsbaarheid nodig hebt om uit die sandbox te komen, al is het nooit helemaal waterdicht.”

Maar zou het dan voorlopig toch beter zijn om helemaal te stoppen met het gebruiken van Zoom?

“Anderen hebben de specifieke kwetsbaarheid die wij ontdekten waarschijnlijk niet gevonden. Dus ik denk dat het veilig is om Zoom te gebruiken. Maar het is wel altijd iets waarbij je moet nadenken als je software installeert. Wil je de risico’s van deze applicatie accepteren of niet? Als je als gebruiker echt veilig wilt zijn, moet je geen computers gebruiken. In de meeste software die we gebruiken zitten kwetsbaarheden.”