Help, ik word gehackt door de buren!

goede-buurEen lezer vroeg me:

Mijn buurjongen hackt regelmatig mijn computer. Dat weet ik zeker, want hij maakt opmerkingen over dingen die hij niet kan weten tenzij hij op mijn PC heeft gekeken. Maar concreet bewijs kan ik niet overleggen, en zonder zulk bewijs wil de politie niets doen. Dus nu dacht ik, ik kan een honeypot bouwen met net wat slechtere beveiliging dan normaal, en dan alles loggen zodat ik dat bewijs krijg. Mag dat?

Er is op zich weinig mis met het opzetten van een honeypot, oftewel een systeem dat voorzien is van uitgebreide logging en een paar eigenschappen waardoor een inbreker daar graag gaat kijken. De beveiliging net wat slechter dan normaal, een paar bestanden of mappen die suggereren dat er wat te halen is en vrij gemakkelijk bereikbaar vanaf het inbreekpunt op het netwerk.

Een honeypot opzetten is geen uitlokking. Van uitlokking is pas sprake als je zelf het initiatief neemt, oftewel als jij de buurjongen overhaalt om bij jou in te gaan breken. Volgens de Hoge Raad is het enkele neerzetten van een fiets zonder slot nog geen uitlokken van diefstal: het gaat erom of je een specifiek persoon met concrete handelingen aanzet iets te doen dat hij niet zelf al van plan was. Een fiets neerzetten zet niemand specifiek aan tot het stelen daarvan. En een zwakke beveiliging hebben op een computer zet je buurjongen nog niet aan tot computervredebreuk, ook niet als jij hoopt dat hij dan op die computer binnendringt.

Je moet alleen niet tegen de buurjongen zeggen “haha nu kom je écht niet meer binnen” of juist “nou ik heb vandaag toch een serie lekkere pornofoto’s van je moeder op mijn netwerkdrive gezet”. Dat kan wél worden gezien als uitlokking, want daarmee nodig je hem min of meer uit om in te gaan breken.

Lastig punt blijft hoe je dat bewijs aan de buren gaat koppelen. Jij kunt niet het IP-adres van de binnendringer koppelen aan zijn NAW-gegevens. De politie natuurlijk wel, dus die zul je met de juiste logs et cetera moeten overtuigen dat er werkelijk is ingebroken. (Iemand tips hoe je het meest overtuigend laat zien aan Oom Agent dat er is binnengedrongen? Standard logs zien er niet heel overtuigend uit. Een screencast?)

En dan nog. Is het wel die buurjongen? Of iemand die zijn IP-adres gebruikt?

Arnoud

25 reacties

  1. Ik hoor vaker mensen van deze random dingen roepen. Vaak is het niet de waarheid.

    Dat weet ik zeker, want hij maakt opmerkingen over dingen die hij niet kan weten tenzij hij op mijn PC heeft gekeken.

    Ja dat lijkt verdacht. Maar een beetje google en facebook gebruiken brengt een gemiddeld persoon al heel ver. Dus is het wel waar dat deze feiten alleen op de machine staan? of zijn er nog andere wegen hoe dat iemand aan deze feiten kan komen? Andere contacten met vrienden, vrouw of man, ouders van der persoon?

    Tenslotte als je buurjongen zo gemakkelijk bij je informatie kan komen dan denk ik dat je niet alleen moet gaan proberen dat te bewijzen doormiddel van een honeypot maar dan zou ik toch een serieus naar je beveiliging kijken. Wachtwoord draadloos netwerk veranderen, zorgen dat je op je eigen PC het admin account van een wachtwoord voorziet en ook je eigen account moet beveiligd zijn met een wachtwoord.

    Maar het draadloos netwerk is een begin om te starten. Check eens via de router of er nog meer devices gebruik maken of hebben gemaakt (DHCP leases) Deze ingang is vele malen makkelijker dan via het internet.

    1. Ook ik moet denken aan XKCD Virus Venn Diagram, maar dan met “virus” vervangen door “hacked”.

      Mijn gok is de Facebook privacy settings. 🙂

      Je netwerk beveilingen lijkt me een stuk nuttiger dan een honeypot opzetten, en fatsoenlijk monitoren van computers op dit netwerk. Dat kan vrij eenvoudig. Voor beveiliging: goed wachtwoord op WPA2 wifi, geen gaten in de firewall of NAT (en als je er echt zelf van buiten bij moet komen, installeer dan een OpenVPN daemon). Voor monitoring: log de leases van de DHCP server.

      Nadat deze beveiliging is gebeurt wil een goed gesprek denk ik ook wel helpen. Als het niet met de buurjongen zelf is, dan wellicht met dienst ouders. En met goed gesprek bedoel ik natuurlijk niet “Jij hebt mij wifi gehack” (lijkt me voor een beetje buurjongen het toppunt van uitlokking). Maar “Je noemt dit-of-dat. Dat vind ik niet prettig.” Pas als hij toegeeft dat hij gehackt of (waarschijnlijker) social engineering/google heeft geraadpleegd zou ik er van maken “Knap dat je dat zomaar gevonden hebt. Ik schrik ervan. Zou je me voor 50 euro willen helpen de beveiliging/Facebook privacy settings?” Kortom, hetzelfde ombuigen naar positief hacken als bij de blogpost van 10 mei.

      Pas als dat alles niets opgelevert heeft, tjsa, dan kan je eens aan een honeypot en de politie denken.

  2. Ik ben wel benieuwd hoe de vraagsteller zijn PC-beveiliging geregeld heeft als hij uit opmerkingen van zijn buurjongen moet afleiden dat er blijkbaar op zijn PC ingebroken is.

    In ieder geval is het betrappen van een inbrekende buurjongen geen oplossing voor het probleem, aangezien het aantal potentiële buurjongens/voorbijgangers/kwaadwillenden zeer groot is. Net als voorgaande commenters zou ik beginnen met de eigen beveiliging op te schroeven. WiFi- en PC-wachtwoord veranderen, WPS (WiFi-protected setup) uitzetten, MAC-address control aanzetten, firewall wat aanscherpen, bestanden versleutelen, dat soort dingen.

  3. Technisch detail: Het IP-adres heb je in dit geval waarschijnlijk niets aan: dat zal waarschijnlijk een lokaal adres zijn (99% van alle gevallen in de 192.168.x.y range), dat door je eigen router via DHCP wordt toegekend aan elke computer op het lokale netwerk.

    Je wilt eigenlijk het MAC-adres vastleggen. Dit kan door je router een log te laten bijhouden van DHCP leases (dit koppelt IP-adres aan MAC-adres), of misschien kan je honeypot-computer het zelf loggen.

    De eerste optie lijkt me makkelijker, want dit is bij veel routers een standaard-feature. Aan de andere kant is het wellicht minder waterdicht tegen echte hackers, die wellicht DHCP omzeilen of de controle over de router hebben overgenomen. Voor de gemiddelde scriptkiddie is dat echter een onrealistisch scenario.

    Het MAC-adres is normaal gesproken uniek voor elke netwerkkaart, dus als je een verdacht MAC-adres hebt gevonden, dan zou de politie eens langs kunnen gaan bij de buurjongen om te kijken wat het MAC-adres van zijn computer is. Deze methode is niet helemaal waterdicht, omdat je buurjongen ook tijdelijk softwarematig zijn MAC-adres kan hebben aangepast, maar de kans is natuurlijk aanwezig dat hij niet zo slim is geweest.

    Daarnaast versturen veel computers een hostnaam mee bij hun DHCP-requests, en die kan dan weer door de router worden gelogd. Veel mensen stoppen iets persoonlijks in de hostnaam (bijv. “PC-van-Corné”); dat levert dan natuurlijk ook weer een duidelijke aanwijzing op.

    Tot slot, zoals al eerder is opgemerkt: het is waarschijnlijk veel eenvoudiger om je netwerk gewoon goed te beveiligen. Dat levert ook gewoon minder gedoe op.

    1. je vergeet nog arp spoofing of te wel middle man attack.. bedoel je kunt de mac adres van de router clonen vervolgens dhcp server op zetten. succes met je logs..

      ik vraag me af of politie zo maar bij mensen mag aankloppen en mac adressen gaat controleren (mits ze dat kunnen kuch). iedereen in de omgeving is dan een verdachte..

      is draadloze netwerk zonder passwords ook uitlokking?

  4. Ik zie de laatste tijd vaker verwijzingen naar LJN BE9817, maar is het arrest wat van oorsprong betrekking had op uitlokking niet het Tallon arrest?

    Jij kunt niet het IP-adres van de binnendringer koppelen aan zijn NAW-gegevens. De politie natuurlijk wel, dus die zul je met de juiste logs et cetera moeten overtuigen dat er werkelijk is ingebroken.

    Waarom niet? Daar draait toch heel Lycos/Pessers om? Dat als je een zwaarwegend (of gerechtvaardigd?) belang hebt je die gegevens kan opvragen bij de partij die ze beheert?

    1. In het geval van ongerichte uitlokking is het Lokfiets arrest denk ik relevanter. Tallon ziet vooral op gerichte uitlokking. in het Lokfiets arrest zie je al dat A-G en HR beide Tallon gebruiken en tot een andere conclusie komen. Door naar Lokfiets te verwijzen voorkom je enige twijfel.

  5. Heeft z’n moeder niet gewoon de reservesleutel van het huis in de keukenla liggen?

    “nou ik heb vandaag toch een serie lekkere pornofoto’s van je moeder op mijn netwerkdrive gezet
    Ieuw. Zou mij juist afschrikken.

  6. maar wat nu als je buurman hackt al je wachtwoorden weet en dit al jaren doet. Je telefoon hackt je lokatie probeert op te zoeken en roddelt over je. Het zover gaat dat je geen computer meer hebt en de telefoon gemanipuleerd wordt. Je kinderen je bellen en je geen smsjes daarvan krijgt op je telefoon als je het weer aanzet en dit al jaren doorgaat en je niets aan de politie hebt. Wat moet je dan nog doen?

    1. Zelf-verdediging: Leer het één en ander bij over computerbeveiliging en het kiezen van veilige wachtwoorden. Bij de apparaten waar hij al is binnengedrongen: backup al je data, her-installeer alle software (incl. besturingssysteem), of laat dit doen door iemand die je echt vertrouwt, of koop desnoods een nieuw apparaat. Gebruik nieuwe, veilige wachtwoorden op je nieuwe/opgeschoonde apparaten, en vervang je wachtwoorden bij websites en dergelijke (typ deze wachtwoorden alleen in op de apparaten die je vertrouwt). Oh, en controleer even of die vervelende buurman niet je huis kan binnendringen.

      Bovenstaande aanpak is natuurlijk alleen maar symptoombestrijding, maar het kan op korte termijn het leven wat aangenamer maken. Voor de onderliggende oorzaak: waarom doet die buurman dit? Is het mogelijk om hier uit te komen door met die buurman te gaan praten, eventueel samen met iemand die als “mediator” kan optreden?

      Als al het andere faalt, dan kan je je natuurlijk voorbereiden op een juridische oplossing. Ik heb zelf geen jurist, dus anderen kunnen je daar beter over adviseren. Ik zou zeggen dat je overtuigend bewijsmateriaal zult moeten verzamelen van het pest-gedrag van die buurman.

    2. Eerst en vooral gewoon aangifte doen van computervredebreuk. En van stalking. Als het een huurwoning betreft ook even de woningbouw-vereniging hierover inschakelen. Contact opnemen met de buurtagent. En vooral heel belangrijk: bewijs verzamelen! Het probleem met dit soort kwesties is dat er altijd twee partijen zijn in een dergelijk conflict en ik ben benieuwd hoe jouw buurman steeds jouw wachtwoord weet te raden. De kans bestaat dat hij medewerking krijgt van iemand binnen jouw huishouden, maar dat kan ook gewoon paranoia zijn. Maar het kan ook gewoon zijn dat niet je buurman jou hackt, maar dat je software gebruikt uit een onveilige bron en dus malware op je computer kreeg. Idem voor je mobieltje. Dan is niet de buurman de schuldige maar de malware. Dit is dus een lastige kwestie en je zult overtuigend bewijs nodig hebben. En daarna een goede advocaat,

  7. ik zit nu op een andere computer maar helaas bemerk ik hier ook weer vreemde dingen op. Ik begrijp dat de telefoon gehackt wordt door tactieken die een zendamateur gebruikt, althans zoiets dergelijks. de computer met een of andere computernerd. Ik ben al bij de politie geweest maar daar loop ik tegen een muur op. Ik ben er ziek van geworden en het bepaald mijn hele leven. Deze mensen zijn niet van plan te stoppen. Weet iemand een adres waar ik terecht kan voor hulp op technisch gebied?

    1. Annekef, de kans bestaat dat je buurman je helemaal niet lastig valt maar dat je paranoide aan het worden bent door al deze nieuwe technieken die je niet kunt begrijpen. Zeker als je kijkt naar wat er op het Internet allemaal gezegd wordt, waarvan een groot deel gewoon nep is. Jij bent niet de eerste die voelt alsof de buurman, een voormalige ex of een of andere overheids-instantie je continu aan het volgen is om jou dwars te zitten. Maar als je rationeel gaat nadenken dan zul je met een motief moeten komen. Waarom wil die buurman van jou dit alles? Wat is zijn probleem? Heb je overtuigend bewijs dat hij dit werkelijk doet? De Stichting Korrelatie, zoals Eric al aangaf, kan jou hierbij helpen om het gehele probleem tot op de bodem uit te zoeken en om na te gaan in hoeverre jouw buurman daadwerkelijk bezig is met wat jij denkt. In deze situatie is er iemand met een groot psychologisch probleem. Mogelijk je buurman maar mogelijk ook jijzelf. Korrelatie is ervoor om in dit soort kwesties te bemiddelen en jou en je buurman gerust te stellen.

    1. Heel simpel: als je al bewijsmateriaal hebt dan zou dat toch anderen moeten overtuigen dat jij gelijk hebt. Zo niet, dan mankeert er gewoon wat aan het bewijs dat je al hebt. En als er het een en ander mis is met het bewijs dan moet je echt serieus overwegen of je niet echt last hebt van paranoia. Maar goed, er van uit gaande dat de buurman het op jou en jou alleen heeft gemunt, waarom dan? Waarom steekt hij zoveel tijd en energie in dit alles met alle bijbehorende risico’s als hij betrapt wordt? Wat is zijn motief? Waarom jou en niet iemand anders?

  8. Annekef, ook ik word al precies 2 jaar gehackt. Alle digitale apparatuur wat ik aanschaf wordt gehackt. Gegevens wijzigen. Niets helpt. Ik heb zelf veel ontdekt en ik heb nu ongeveer 700 printscreens om aan de politie te overhandigen. Ik moet de politie laten zien dat ik gehackt wordt. Heel frustrerend want alles wordt afgeschermd en gecodeerd. Eindelijk gaat de politie het bekijken. Ik ben er letterlijk van doorgedraaid en het leid volledig mijn leven. Dag in dag uit. Ik hoop dat het ook ophoudt bij jou. Ik weet hoe het voelt. Groetjes Leonie

    1. Ik heb zelf ook gemerkt dat er af en toe aan mijn router was gerommeld. Wat bleek? Niet de buren maar de internet-provider was regelmatig onderhoud aan het plegen op het netwerk en ging daarbij met enige regelmaar mijn router gewoon resetten. Stond dat ding dus weer op de standaard instellingen en kom ik alle instellingen weer opnieuw invoeren. Besef dus wel dat je niet altijd wordt gehackt maar dat je provider er een rommeltje van kan maken. Na enkele malen hierover te hebben geklaagd is het uiteindelijk opgelost.

      Een andere mogelijkheid kan natuurlijk zijn dat er in jouw netwerk ergens een met malware besmette PC/tablet/phone is aangesloten die steeds weer de router aanpast. Ook vervelend.

      Een eventuele oplossing kan ook zijn om Wifi op je modem/router gewoon volledig uit te schakelen, zodat de provider daar verder niets mee kan. Koop daarnaast een losse Wifi router die je met een kabel aan de modem/router aansluit en verbind vervolgens met je eigen router in plaats van de minder veilige Wifi-verbinding die je provider levert. Dit doe ik zelf overigens ook, maar ook mede omdat de modem aan de verkeerde kant in mijn huis staat. Een hele lange netwerk-kabel gaat door de muur naar de andere kant van mijn huis, waar deze aan een switch hangt met daaraan mijn PC en een Wifi router om mijn tablet en telefoon mee te voorzien. De beveiliging daarvan werkt perfect.

    2. Alles wordt gehackt? Kans is dat Wim gelijk heeft, en dat je een PC hebt die met een trojan besmet is. Als ze vervolgens vanuit jouw netwerk kunnen gaan ‘hacken’ kan je proberen wat je wil, maar alles wat je op je netwerk intypt kunnen ze zien. Als je dan ook wachtwoorden hergebruikt, hebben ze helemaal vrij spel.

      Of je wordt echt gehackt; dan ben je of een interessant persoon, of iemand in de buurt vindt jouw netwerk leuk om op te oefenen. Dat eerste kan je zelf beoordelen, maar het laatste is erg onwaarschijnlijk.

      In dat laatste geval, heb je al eens gekeken of jouw router toevallig een bekende exploit heeft? En zo ja, is er een firmware update? Netgear heeft bijvoorbeeld een tijdje een remote exploit in de FW gehad, dan kan je wachtwoorden wijzigen tot je erbij neer valt. Maar ieder scriptkiddie komt op je netwerk. Eén keer wachtwoorden over niet encrypte verbindingen sturen en ze hebben die ook.

      Enige oplossing als je echt gehackt bent en als je lekke apparatuur hebt is PC’s loskoppelen van netwerk met een boot DVD de hardeschijven schoon poetsen en alles opnieuw installeren. Nog niet aan internet/netwerk hangen voor updates etc. Virus scanner en updates even op veilige locatie op USB stick zetten.

      Een oude/lekke router zal je moeten updaten danwel vervangen voor je de PC’s weer aan het internet hangt.

      Het is maar net hoe ver je wil gaan. Je zou je modem in bridge mode kunnen zetten en een pfSense appliance inzetten. Maak een vlan voor je interne bedraade netwerk en een vlan voor je wireless AP. Je telefoon en tablet zijn zo helemaal gescheiden van je PC’s etc…

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.