Scattered Secrets kraakt wachtwoorden voor nobel streven
De Nederlanders Jeroen van Beek en Rickey Gevers knutselen machines en software in elkaar om wachtwoorden uit gehackte databases te kraken. Niet om je online accounts over te nemen, maar om je gratis of tegen betaling te waarschuwen voor datalekken. PCM spreekt de hackers over Scattered Secrets, hun uit de hand gelopen hobby.
Die hobby startte in 2017, toen de twee mannen ‘s avonds samen aten en ervaringen uitwisselden over hun werk. Ricky Gevers van antivirusleverancier Bitdefender en freelance it’er Jeroen Van Beek verzamelden beiden al jaren datadumps met tienduizenden tot honderden miljoenen wachtwoorden. Die werden op ssd’s opgeslagen om de wachtwoorden te kraken, als dat nuttig kon zijn voor hun werk. “Het werkte aardig en de informatie was vaak erg waardevol, maar het ging houtje-touwtje”, herinnert Van Beek zich op bezoek bij PCM. “Rickey had hetzelfde. Toen ik eens met gelekte wachtwoorden bij een klant aankwam, vroeg deze of er geen dienst is die je kan waarschuwen als je wachtwoorden gekraakt worden. Dat was een ‘ping’-momentje en zo zijn Rickey en ik eigenlijk begonnen.”
Na dat ‘ping’-moment in 2017 bundelden Van Beek en Gevers hun krachten. “We hadden twee doelen”, vertelt eerstgenoemde. “We wilden een gestructureerde dienst voor onszelf maken zodat een zoekopdracht niet meer twintig minuten duurt, maar direct resultaat biedt. Ten tweede bevat zo’n gelekte database vaak versleutelde wachtwoorden. Die wilden we vooraf kraken zodat we bij de klant direct aan de slag kunnen.”
Dat kraken deden de twee mannen eerst op locatie als de klant erom vroeg, en dat kraken kost tijd. Door de verzamelde datadumps te combineren en te investeren in goede videokaarten met opensource-kraaksoftware startten ze hun project. “Een hobbyproject dat nuttig was voor ons werk”, aldus Van Beek. “Klanten hadden dat ook door en vroegen steeds vaker hoe ze zich moeten beschermen tegen gelekte, gekraakte wachtwoorden. Daarom dachten we: laten we er een commercieel project van maken, ook omdat de kosten voor een hobbyproject een beetje uit de hand liepen.”
De twee cybersecurity-experts togen naar de Kamer van Koophandel om Scattered Secrets vast te leggen. Voor Van Beek is Scattered Secrets één van zijn freelance it-projecten, terwijl Gevers het ziet als een commerciële hobby naast zijn fulltime-baan.
©PXimport
Anders dan HaveIBeenPwned
De oprichting van Scattered Secrets leverde de mannen vragen op. “Veel mensen vragen me: wat is het verschil tussen het bekende HaveIBeenPwned en Scattered Secrets?”, vertelt Van Beek. “Het verschil is eigenlijk heel simpel: HaveIBeenPowned mailt jou als je e-mailadres is buitgemaakt, maar dat betekent nog niets. De grootste bronnen van HaveIBeenPwned zijn spamlijsten en die worden per miljarden samengesteld door god mag weten wie.” Scattered Secrets gebruikt alleen datadumps met e-mailadressen én wachtwoorden. Die komen volgens Van Beek ‘overal en nergens’ vandaan, van The Pirate Bay en het darknet tot fora op het reguliere internet.
Grote en interessante datadumps worden voor veel geld verkocht, maar Scattered Secrets betaalt nergens voor. “Sinds de invoering van de wet Computercriminaliteit III (in februari 2019, red.) is dat heling en de datasets komen vaak snel gratis beschikbaar.”
De databases met wachtwoorden, vaak op bepaalde manier versleuteld, gaan de kraakmachines van Scattered Secrets in. Op die zogeheten kraakstraten komen we zo terug. Gekraakte wachtwoorden worden automatisch toegevoegd aan de eigen database die weer gelinkt is aan de website www.scatteredsecrets.com. Na het aanmaken van een gratis account zie je de gelekte wachtwoorden die bij het door jou ingevoerde e-mailadres horen. Een seintje ontvangen als de kraakmachines nieuwe gelekte wachtwoorden ontdekt hebben, kost je een paar euro per jaar. Zakelijke gebruikers zijn veel duurder uit en krijgen daar meer mogelijkheden voor terug. Scattered Secrets heeft volgens Van Beek inmiddels tienduizenden gebruikers, vooral uit Nederland.
Wachtwoorden kraken
De database van Scattered Secrets bevat op moment van schrijven bijna vier miljard records, dus e-mailadressen inclusief bijbehorende wachtwoorden. Dat worden er elke seconde meer, want Gevers en Van Beek gebruiken zelfgemaakte ‘kraakstraten’ om wachtwoorden uit nieuwe én oude gelekte databases te kraken. “Wij kraken nog steeds wachtwoorden uit de LinkedIn-hack, die uit 2012 stamt en in 2016 gepubliceerd is. We hebben al 98 of 99 procent, maar we hebben dus nog steeds miljoenen wachtwoorden niet. Die vallen nu per duizenden om. We komen op punten waar nog niemand geweest is”, vertelt Van Beek enthousiast.
“Sommigen typen versleuteling, waaronder SHA1 en MD5, zijn eenvoudig te kraken omdat onze videokaarten tientallen miljarden pogingen per seconde uitvoeren om wachtwoorden te kraken. Omdat de meeste mensen korte en eenvoudige wachtwoorden gebruiken, kunnen we vaak snel tachtig tot negentig procent van de wachtwoorden kraken. Die laatste procenten kunnen jaren duren, maar leveren wachtwoorden op van hoge kwaliteit.”
©PXimport
Het kraken gaat via cpu’s (processors), gpu’s (videokaarten) en fpga’s (field-programmable gate array). Over de fpga’s kan Van Beek wel uren praten. Veel compacter dan een high-end videokaart, tien keer zo energiezuinig en ook nog veel sneller voor sommige typen wachtwoordhashes. Wat een vinding. Fpga’s werden jaren geleden gebruikt voor het minen van bitcoins, maar dat gaat nu veelal via betere ASIC-miners. Een stel Russen ontwikkelde wachtwoordkraakalgoritmes specifiek voor fpga’s, die destijds nieuw per stuk 1250 euro exclusief btw kostten maar niet meer leverbaar zijn. Gevers en Van Beek zagen de snelheid van het kraken en wisten: deze bordjes moeten we hebben.
Na twee jaar zoeken kon Van Beek er twaalf overnemen van een Duitser, daarna zagen ze niets meer voorbijkomen. Na jaren wachten dook er laatst een anonieme Tsjech op met meer dan honderd bordjes. “Ik mocht ze niet komen ophalen, hij wilde zijn identiteit niet prijsgeven en ik moest vooraf betalen met bitcoin”, vertelt Van Beek. “Alles wees op een oplichter, maar ik wist zijn identiteit te achterhalen en bestelde tien bordjes. Die waren goed, dus toen kochten Rickey en ik de overgebleven rest ook. Nu bouwen we zelf serieuze kasten met professionele apparatuur met een custom-made behuizing, goede koeling, veel usb-kabels en genoeg ruimte voor veel fpga-bordjes.”
Van Beek zegt niemand op de wereld te kennen die ook fpga’s op deze schaal inzet voor het kraken van wachtwoorden. “Een Amerikaan voert er experimenten mee uit, maar wij draaien 24/7.”
Stroomrekening van honderden euro’s
Naast specifieke kraakapparatuur gebruikt Scattered Secrets ook andere machines. Veel exotisch spul, verklaart Van Beek. Wachtwoorden kraken vergt namelijk heel veel processorkracht en werkgeheugen. “Onze kleinste computers hebben 144GB werkgeheugen, maar die gaan er binnenkort uit omdat het te weinig is.” Denk verder aan servers van HP en Dell die nieuw tienduizenden euro’s kosten, door Van Beek voor een fractie van de nieuwprijs op de kop getikt op Marktplaats en andere verkoopsites. “Niemand raakt ze kwijt”, lacht hij. En dan, nog steeds lachend: “onze apparatuur wordt gekoeld door blowers waar je kat beter niet achterlangs kan lopen, want dan is ‘ie misschien wel weg.”
©PXimport
Plots trekt hij een serieus gezicht. “Het kraken, koelen en andere processen zijn wel stroomvreters. Als we acht krachtige gpu’s in een machine draaien, tikken we al ruim twee kilowatt vermogen aan. Onze grootste servers verbruiken drie- tot vierhonderd euro per maand aan stroom.” Daarom zijn de fpga-bordjes waar hij nu aan sleutelt zo belangrijk: die zijn krachtiger én negentig procent energiezuiniger.
Dat sleutelen doet Van Beek thuis, waar de proefapparatuur staat. Productiehardware en andere belangrijke gegevens bevinden zich in datacenters. De stroomintensieve kraakstraat staat verdeeld over diverse locaties ‘die ik niet ga vertellen en waar ik niet zomaar bij kan’, vertelt de it-specialist geheimzinnig.
Rekening houden met privacy
Databases uit de krochten van het internet trekken, in machines stoppen om wachtwoorden te kraken en die vervolgens via internet ter beschikking stellen aan de rechtmatige eigenaar. Dat is Scattered Secrets in een notendop volgens Van Beek. “Als je je een gebied bevindt dat door sommigen als grijs gezien wordt, moet je de schijn niet tegen je krijgen. Daarom moet je een heel helder verhaal hebben”, beaamt hij.
“Eén van onze grootste risico’s is dat we juridische ellende krijgen, wat we te allen tijde moeten voorkomen.” De startup hanteert daarom strenge contracten, doet veel handwerk en heeft zich laten adviseren door Ot van Daalen, een bekend privacy- en security-advocaat en oud-directeur van privacy-organisatie Bits of Freedom. Zo willen Van Beek en Gevers geen problemen krijgen met de privacywet AVG en Wet Computercriminaliteit III.
De zaak Hookers.nl
Een paar weken na het gesprek op het PCM-kantoor in Haarlem, reizen we af naar Amsterdam om de foto’s voor dit artikel te maken. Naast hun online samenwerking spreken Van Beek en Gevers een avond per week bij één van hen thuis af om samen te eten en een paar uur aan Scattered Secrets te werken. Het is een week nadat een hacker de database van het Nederlandse erotiekforum Hookers.nl heeft buitgemaakt, met daarin onder andere wachtwoorden en e-mailadressen van de 290 duizend gebruikers.
Op Hookers wisselen – vooral Nederlandse – prostituees, escorts en hun klanten ervaringen uit. De hacker verkoopt de database voor een paar honderd dollar, maar andere hackers bieden hem al snel aan voor slechts een paar euro. Van Beek en Gevers hebben de dataset “gratis, via-via” in handen weten te krijgen. Direct daarna hebben ze één van hun kraakcomputers losgelaten op de versleutelde wachtwoorden. Na drie dagen had die 57 procent van de wachtwoorden gekraakt.
©PXimport
De twee hackers analyseerden de database en gekraakte wachtwoorden en publiceerden een blog over hun bevindingen. Die haalde het nieuws, want voor zover bekend is Scattered Secrets de eerste die de database (deels) doorgrond heeft. Dat voelt goed, zeggen de twee mannen terwijl ze de bezorgde pizza’s eten. “Het is goede reclame naar potentiële klanten toe, maar het was ook grappig om de meestgebruikte wachtwoorden op een rijtje te zetten”, aldus Van Beek. In de wachtwoordtop-35 staan onder meer ‘amsterdam’, ‘qwerty’ en ‘geheim’, maar ook ‘hoeren’, ‘hookers’ en – uiteraard – ‘123456’.
Gevers keek aan de hand van ip-adreslijsten en e-mailadressen naar een deel van de gebruikers van Hookers.nl. “Ik vond tientallen medewerkers van onder meer de Nationale Politie, het Ministerie van Defensie en het Ministerie van Buitenlandse Zaken. Er zijn zelfs mensen die een account geregistreerd hebben met hun @minbuza- of @politie.nl-mailadres en het forum regelmatig vanaf hun werk bezoeken”, vertelt hij lachend. “En ja, ik kwam in deze database ook een paar vrienden tegen en mensen die we van de televisie kennen.”
Toekomstplannen
“Het is niet bij te kraken”, zegt Van Beek op de vraag of Scattered Secrets de komende tijd nog genoeg databases kan kraken. Hij knutselt met Gevers en een handige vriend daarom verder aan zijn ‘kraakstraten’ met onder meer fpga-bordjes, schrijft met Gevers technische blogs op Medium om aandacht te genereren en denkt na over meer prijsabonnementen om de dienst aantrekkelijker te maken voor kleinere bedrijven.
“Scattered Secrets moet zichzelf meer in de kijker spelen bij potentiële klanten”, verklaart hij. Dat gaat zeker niet vanzelf. “Mensen, zowel consumenten als bij bedrijven, hebben toch nog moeite met het begrijpen van het probleem, denk ik. Dat is een probleem, want één van de grootste digitale plagen die naar mijn mening nu speelt, is het gerecyclede wachtwoord en de variaties daarvan.”
