Encryptie is sterk. Wachtwoorden zijn dat vaak niet.
Tijdens een recente TryHackMe-oefening viel me iets op dat in theorie bekend is maar in de praktijk nog steeds onderschat wordt: bestanden kunnen technisch correct versleuteld zijn, maar toch niet veilig zijn als het wachtwoord zwak is.
De opdracht draaide om twee bestanden. Een met wachtwoord beveiligde PDF en een versleuteld ZIP-archief. Op papier zag alles er netjes uit. Geen verouderde algoritmes, geen corrupte bestanden, geen configuratiefouten. Toch bleek toegang uiteindelijk verrassend eenvoudig. Niet omdat de encryptie zwak was, maar omdat de sleutel dat wel was.
Offline aanvallen veranderen het speelveld
Wat deze oefening interessant maakte, was het ontbreken van een netwerkdienst, account of applicatie. De bestanden waren al in handen van de aanvaller. Vanaf dat moment gebeurt alles offline. Er zijn geen lockouts, geen waarschuwingen en geen logs op de oorspronkelijke omgeving. De enige vraag die telt is hoe sterk het gekozen wachtwoord is.
Offline wachtwoordkraken gebeurt met tools zoals john of pdfcrack. Dit laat zien waarom context en patroonkennis in de praktijk vaak zwaarder wegen dan de sterkte van het gebruikte algoritme, iets wat ook door beveiligingsprofessionals wordt benadrukt.
Bij het analyseren van de PDF werd al snel duidelijk dat het bestand correct versleuteld was. Dat is ook precies waarom aanvallers zelden proberen encryptie zelf te breken. Moderne cryptografie is daar simpelweg niet voor bedoeld. In plaats daarvan verschuift de aanval naar het wachtwoord zelf. Een dictionary-aanval met een gangbare woordenlijst bleek voldoende om het juiste wachtwoord te vinden. Het was thematisch, voorspelbaar en allesbehalve uniek.
Werken zonder grafische omgeving
De omgeving waarin dit plaatsvond had geen grafische interface. Geen PDF-viewer, geen vensters, geen gemak. In plaats van het bestand te openen, moest de inhoud worden geëxtraheerd. Dat bleek uiteindelijk de meest realistische aanpak. Servers en jump hosts hebben zelden een GUI. In plaats van kijken, lees je data uit.
Met een eenvoudig CLI-commando werd de inhoud van de PDF omgezet naar tekst en direct leesbaar. Geen viewer, geen export, geen omweg. Dat voelt misschien onhandig als je eraan moet wennen, maar het is precies hoe dit in echte omgevingen vaak werkt.
Zelfde probleem, ander bestand
Het ZIP-bestand volgde hetzelfde patroon. De encryptie was moderner en de sleutelafleiding sterker, wat de aanval vertraagde maar niet verhinderde. Ook hier bleek het wachtwoord afkomstig uit een standaard woordenlijst. Iets langer wachten, maar hetzelfde resultaat. Zo kreeg ik toegang tot de inhoud door het juiste wachtwoord te achterhalen, zonder dat het encryptiemechanisme zelf werd aangetast.
Wat deze combinatie van bestanden duidelijk laat zien, is dat encryptiesterkte en wachtwoordkeuze twee verschillende dingen zijn. Een sterk algoritme compenseert geen zwak menselijk besluit. Zodra een bestand uitlekt of wordt gekopieerd, verdwijnt elke vorm van externe bescherming. Wat overblijft is alleen de kracht van het wachtwoord.
Waarom detectie zo lastig is
Dit maakt dit soort aanvallen extra gevaarlijk. Ze laten nauwelijks sporen achter op de plek waar het bestand vandaan komt. Er zijn geen mislukte logins en geen netwerkpatronen om op te reageren. Detectie vindt pas plaats op het systeem waar de aanval wordt uitgevoerd. In CPU-belasting, GPU-gebruik, tooling en tijdelijke bestanden. Voor verdedigers betekent dit dat preventie belangrijker is dan ooit.
Reflectie
Deze oefening bevestigde voor mij hoe belangrijk het is om verder te kijken dan tooling en stappenplannen. De techniek is zelden het probleem. De keuzes die mensen maken zijn dat wel. Voor mijn voorbereiding richting PNPT is dit precies het soort scenario dat telt. Niet omdat het ingewikkeld is, maar omdat het realistisch is. Begrijpen waar beveiliging echt faalt, is uiteindelijk belangrijker dan weten welke tool je als eerste moet starten.