Wie zich verdiept in het verbeteren van de beveiliging van webapplicaties is als het goed is de OWASP Top 10 tegengekomen. Het is niet voor niets dat de OWASP Top 10 een veelgebruikte kapstok is voor het uitvoeren van webapplicatie pentests. Wat de OWASP Top 10 precies inhoudt? We vertellen het in dit artikel.

Wat is OWASP? 

OWASP staat voor “Open Web Application Security Project.” Het doel van deze non-profitorganisatie? Het verbeteren van de beveiliging van (web)applicaties. OWASP biedt zoveel mogelijk gratis resources, tools en richtlijnen om organisaties hierbij te helpen.

OWASP is niet uit de lucht komen vallen. De oprichters van OWASP zagen dat veel organisaties worstelden met onderling vergelijkbare beveiligingsproblemen in hun webapplicaties. Dat was voldoende aanleiding om een gemeenschappelijk platform te creëren waar beveiligingsprofessionals, ontwikkelaars en experts kunnen samenwerkenom beveiligingsrisico’s in webapplicaties beter te begrijpen en aan te pakken.

De OWASP Top 10 

OWASP is vooral bekend van de OWASP Top 10, een lijst met de meest kritieke beveiligingsrisico’s voor webapplicaties. OWASP houdt deze lijst up-to-date voor ontwikkelaars en beveiligingsprofessionals die zich bezighouden met webapplicaties. 

Het doel van de OWASP Top 10 is om bewustzijn te creëren over de beveiligingsrisico’s en best practices te bevorderen. Alles om applicaties beter te beschermen tegen cyberaanvallen. De OWASP Top 10 is een prettig gestandaardiseerd kader om de beveiligingsstatus van webapplicaties te beoordelen en te verbeteren. 

Buiten de OWASP Top 10 organiseert OWASP conferenties en trainingen om professionals webapplicatie beveiliging skills aan te leren. 

Wat heeft de OWASP Top 10 met pentesten te maken? 

Tijdens een pentest voeren ethisch hackers aanvalssimulaties uit om kwetsbaarheden in digitale systemen of netwerken praktijkgericht bovenwater te halen. Zo is er ook een webapplicatie pentest. Deze richt zich op – u raadt het al – de veiligheid van webapplicaties.

Bij deze pentest halen pentesters de OWASP Top 10 erbij om te beoordelen of webapplicaties en systemen kwetsbaarheden bevatten die verband houden met de meest kritieke beveiligingsrisico’s. Een goede pentest test dus altijd (minimaal) op de kwetsbaarheden in de OWASP Top 10.
 

De OWASP Top 10

De OWASP Top 10 is natuurlijk een vrij technisch verhaal, maar we hebben uiteraard ons best gedaan het in heldere taal op te sommen:

1. Broken Access Control

Toegangscontroles bepalen wie tot welke informatie en functies toegang krijgen. Een admin mag meer dan een gewone gebruiker. Maar als die toegangscontrole niet goed werkt, is dat voor aanvallers een kans om misbruik te maken. Dan is er de kans dat ze volledige rechten hebben over de webapplicatie en alles kunnen doen wat ze willen. 

2. Cryptographic Failures

Een ander risico dat op de loer ligt bij webapplicaties is dat gevoelige gegevens onvoldoende beschermd zijn. Onversleutelde communicatie of op een andere manier inadequaat opgeslagen persoonlijke informatie zijn voorbeelden van Cryptographic Failures.

3. Injection

Dit is een aanval waarbij er (bijna) letterlijk een injectie plaatsvindt. Geen injectie met een injectiespuit, maar een injectie van ongewenste code in een invoerveld. Kwetsbare websites staan het invoeren van codes namelijk gewoon toe. Dat terwijl een invulformulier bijna altijd bedoeld is voor geschreven tekst.

Bij Cross-Site Scripting (XSS) voegen aanvallers bijvoorbeeld kwaadaardige scripts in in webpagina’s. Als die vervolgens worden bekeken door andere gebruikers, krijgt de aanvaller toegang tot diens gevoelige informatie of sessiegegevens.

4. Insecure Design

“Insecure Design” wijst op fundamentele ontwerpfouten die het gemakkelijk maken voor aanvallers om kwetsbaarheden in een applicatie te exploiteren. Het benadrukt hoe belangrijk security-minded zijn bij elke fase van de ontwikkeling van een applicatie wel niet is.

5. Security Misconfigurations

Er zijn een tal aan beveiligingsinstellingen mogelijk en nodig bij webapplicaties. Maar daar kan soms een foutje in sluipen. Een standaardwachtwoord dat bij livegang niet veranderd is bijvoorbeeld. Maar het kan ook verder gaan: bijvoorbeeld security instellingen die helemaal niet kloppen. 

6. Vulnerable & Outdated Components

Een webapplicatie is op verschillende manieren op te bouwen. Bijvoorbeeld met Open Source onderdelen. Of eigen code. Bij deze kwetsbaarheid maakte de ontwikkelaar (per ongeluk) gebruik van verouderde of bekende kwetsbare componenten. 

7. Identification & Authentication Failures

Onder deze noemer vallen alle kwetsbaarheden in de authenticatie en sessiebeheer. Denk aan zwakke wachtwoorden waardoor derden eenvoudig toegang krijgen, of slechte sessiebeheerimplementaties.

8. Software & Data Integrity Failures

Dit zijn fouten in de integriteit van de software en data. Kort door de bocht uitgelegd betekent dat, dat door de kwetsbaarheden aanvallers (in externe software modules van onbekende bronnen) in staat zijn wijzigingen aan te brengen in de applicatie. 

9. Security Logging and Monitoring Failures

Nummer 10 bouwt voort op nummer 6. Binnen een goed beveiligingsbeleid valt namelijk het loggen en monitoren van gebeurtenissen binnen de webapplicatie. Die logs zijn namelijk een bron van informatie. Gaat er iets mis? Of dreigt er iets mis te gaan? Dan zijn de logs het geheugen: die kunnen vertellen wat er gebeurd is of gaande is. Als er dus geen sprake is van logging, of als de logs niet goed bewaard of gebruikt worden, is dat dus een kwetsbaarheid. 

10. Server-Side Request Forgery (SSRF)

Aanvallers misleiden de server van een webapplicatie om verzoeken te sturen naar interne systemen of externe servers, vaak zonder medeweten van de gebruiker. Zo krijgen ze mogelijk toegang tot bronnen waar ze niet bij horen te komen, wat kan leiden tot datadiefstal, systeemcompromissen en andere beveiligingsproblemen.

Loop uw webapplicatie geregeld na

De OWASP Top 10 is er niet voor niets. Doordat webapplicaties continu in beweging zijn (aanpassingen in functionaliteiten, bugfixes en andere updates), sluipen kwetsbaarheden er continu in. Soms zelfs al in het ontwikkelproces! 

Maak gebruik dus van deze kennis en loop uw webapplicatie geregeld na, of besteed het uit aan bijvoorbeeld een pentester. 

IP4Sure biedt pentesten aan als dienst en heeft het CCV Keurmerk Pentesten.

Al die ogen op Artificial Intelligence, het drukt Ransomware haast in het vergetel hoekje. De cijfers liegen alleen niet: in de eerste 9 maanden van 2023 waren er al meer ransomware aanvallen dan in heel 2022. 

Ransomware-as-a-Service (daarover later meer) zal vast een aandeel hebben in deze stijging. Maar MIT professor Stuart Madnick – waar bovengenoemde cijfers vandaan komen – benoemt ook dat ransomware bendes gewoon veel georganiseerder zijn geworden. Daar gaan we in 2024 zeker van alles van merken. Er is nog geen uitzicht op vermindering in ransomware aanvallen, helaas. 

In het kort: wat is Ransomware?

Ransomware is malware die aanvallers inzetten voor chantage. Hoe? De schadelijke software versleutelt eerst – zo belangrijk mogelijke – bestanden van de doelwitorganisatie. Daarna vraagt de ransomwarebende om losgeld met de belofte de versleutelde bestanden te herstellen. Vaak zetten ze hierbij druk op het bedrijf dat slachtoffer is. En helaas geeft betaling lang niet altijd de garantie op een oplossing.

Wie zijn die doelwitten dan?

Het belangrijkste is dat een organisatie over de brug komt met het losgeld. Dat gebeurt sneller als die organisatie genoeg in paniek raakt. Dat is vaak wanneer erg belangrijke bestanden vergrendeld zijn. Bendes kiezen dus vooral (grotere) organisaties waarbij bestanden gevoelig en/of essentieel zijn voor de corebusiness. 

Denk bij doelwitten dus vooral aan overheden, scholen, ziekenhuizen, banken, energiecentrales en grote ondernemingen. Maar: sommige ransomwarebendes kiezen misschien voor meerdere kleinere doelwitten. Daarnaast verandert het threatlandschap continu. De methodes van ransomware aanvallen dus ook. 

Wat voor ontwikkelingen zijn er binnen de ransomware?

We noemden net al Ransomware-as-a-Service: gebruiksklare ransomware die eenvoudig te kopen is op het dark web. Het maakt ransomware aanvallen vanuit de zolderkamer een stuk toegankelijker voor tieners met een beetje techkennis. Maar ondertussen zijn er meer ontwikkelingen: 

1. Ransomwarebendes verharden hun aanpak

Het doel van ransomwarebendes is en blijft zoveel mogelijk (los)geld verzamelen. Daarvoor veranderen en verbeteren ze constant hun tactieken. Want wat vergroot de kans dat organisaties sneller betalen? We zien dat bendes de druk op slachtoffers de laatste tijd enorm vergroten tijdens ransomware aanvallen. Hier een voorbeeld: 

In Amerika nemen bendes direct na de aanval contact op met de U.S Securities and Exchange Commission (SEC). Een van de verantwoordelijkheden van de SEC is het beschermen van beleggers. Bij een beursgenoteerd slachtofferbedrijf maakt de SEC de ransomwareaanval vrijwel direct publiek. Beleggers krijgen dan bezorgdheid, wat natuurlijk een enorme impact kan hebben. 

Een kat in het nauw maakt rare sprongen. Dus een bende die “We hebben de SEC al ingelicht van deze aanval” zegt tegen het slachtofferbedrijf, heeft meer kans op betaling van losgeld. 

2. Ransomware aanvallen: hiding in plain sight

De ene bende doet aan grootschalige en opvallende ransomware aanvallen. De andere bende – die zich richt op grote bedrijven (die een SOC hebben die aanvallen op tijd detecteert) – gebruikt meer verfijnde methoden. Denk aan het vermommen van de aanval als legitiem netwerkverkeer of normale systeemactiviteit. “Hiding in plain sight”: het is een tactiek waar we meer en meer alert op mogen gaan zijn.

Bendes kunnen hun ransomware onopvallend verspreiden via schijnbaar normaal e-mailverkeer, filesharing of zelfs de software die al aanwezig is op de systemen inzetten. Alles om ervoor te zorgen dat de aanwezige beveiliging minder snel alarm slaat. Zodat de bende genoeg de tijd heeft om schade aan te richten. Betrouwbare software kan met deze techniek dus ineens een bedreiging vormen.

3. Meer focus op data diefstal (en het internationale aspect ervan)

Bij ransomwarebendes denkt men vooral aan de gijzeling van data. Maar de diefstal (exfiltratie) ervan is ook een onderdeel ervan. Ze dreigen de gegijzelde data publiek te maken of door te verkopen (weer een tactiek om het slachtoffer onder druk te zetten). Om data te stelen, is het belangrijk dat de aanvaller eerst ongezien binnenkomt.

Het stelen van data is overigens niet nieuw, al hebben wel steeds meer experts het erover dat ransomwarebendes zich meer op diefstal gaan focussen dan op encryptie.

Opvallend is dat op het moment meer dan 40% van de gestolen gegevens naar China en Rusland gaat. Er wordt steeds meer gespeculeerd over State-Sponsored data diefstal. Maar het is niet hard te bewijzen: het kan ook zo zijn dat de data exfiltratie naar deze landen niets met hun overheid te maken heeft.

Of het nu State-Sponsored is of niet: experts verwachten dat in 2024 landen zoals Noord-Korea een noggroter aandeel gaan hebben in dit percentage. En het interessante aan Noord-Korea is dat die in het verleden wel als staat aangekeken zijn op het hacken van banken.

4. Sommige bendes verleggen hun aandacht naar IoT in productieketens

Hoe belangrijker data is voor bedrijfsprocessen, hoe groter de kans dat een organisatie bezwijkt onder de druk en losgeld betaalt. Wie bij productiebedrijven een cyberaanval zo in kan zetten dat de volledige productie stil komt te liggen, krijgt vast bij een aantal van deze bedrijven losgeld. 

Interessant is dat ransomwarebendes ook Internet of Things (IoT) apparaten vaker gebruiken om dit soort processen te ontwrichten. Dit zijn slimme apparaten die aangesloten zijn op het bedrijfsnetwerk. Een airco bijvoorbeeld. Dit soort endpoints zijn vaak minder goed beveiligd, vooral omdat ze over het hoofd worden gezien. 

5. Dichtgetimmerde ransomware code

We benoemden aan het begin van dit artikel al dat bendes georganiseerder zijn geworden. De professionalisering van ransomware aanvallen is ook te zien in de soorten ransomware die ze ontwikkelen. Zo houden bendes zich meer bezig met secure coding tegenwoordig. 

Bij secure coding houdt een ontwikkelaar van software bij het coderen al rekening met de veiligheid van de code. Zo maken ze het moeilijker om bij de broncode te komen, bijvoorbeeld. 

Doordat bendes dit nu ook inzetten bij de ontwikkeling van hun ransomware, is reverse engineering moeilijker. En dit is juist iets wat cyber security experts doen om de aanvalmethode te analyseren, zodat ze kunnen blijven bouwen aan actuele beschermingstechnieken. 

Groeiend bewustzijn

Ransomwarebendes blijven in een stijgende lijn meer en meer om zich heen slaan. Gelukkig groeit de bewustzijn daarvan ook bij organisaties. Dat is ook niet gek: grote ransomware aanvallen komen geregeld voorbij in het nieuws. 

Dat bewustzijn is belangrijk. Want in een tijd waarin we zien dat de technieken van bendes in een razend tempo verbeteren, is het extra van belang netwerken meer te monitoren en te weten wat te doen bij een ransomware aanval.

Red Teaming: een belangrijk en effectief onderdeel van cyber security strategieën. In dit artikel leggen we precies uit wat Red Teaming betekent, hoe het zich verhoudt tot Blue Teaming en wat het uiteindelijk oplevert. 

Wat is Red Teaming? 

Red Teaming is het testen van de beveiliging van een organisatie doormiddel van aanvalssimulaties door ethical hackers. Het doel van Red Teaming is zien hoe goed bestaande beveiligingsmaatregelen, techniek en zelfs menselijke aspecten binnen de organisatie reageren op mogelijke dreigingen. Het is de meest realistische evaluatie van uw cyber security die er is. 

Waar komt de naam Red Teaming vandaan? 

De naam Red Teaming komt van het militaire Capture the Flag vandaan. Daarbij is er zowel een Red Team als een Blue Team: twee teams die we in de cyber security ook kennen. In dit geval is de betekenis van Red Team gelijk aan “Aanvallend team” en die van Blue Team “Verdedigend Team”. 

Het belang van Red Teaming

Aanvalssimulaties zijn een enorm proactieve manier om de cyberveiligheid van een organisatie te verbeteren. Op deze manier komt u achter kwetsbaarheden, vóórdat hackers ze kunnen misbruiken. Dat voelt een stuk prettiger dan het oplossen van een kwetsbaarheid die door een cyberaanval aan het licht is gekomen.

Red Teaming biedt organisaties dus inzicht in hun zwakke plekken, helpt kwetsbaarheden te verminderen en verhoogt het bewustzijn van medewerkers.

De aanpak van een aanvalssimulatie

Uiteraard is een aanvalssimulatie volledig in samenspraak met de klant. De ethical hacker bepaalt samen het doel en de scope van de aanvalssimulatie. Ook zorgt de ethical hacker ervoor dat de aanval zo veilig mogelijk verloopt: het is niet de bedoeling dat onderdelen van een digitale infrastructuur beschadigd raken.

Hoe de aanvalssimulatie zelf eruitziet? Er zijn verschillende modellen en methoden hiervoor, afhankelijk van de specifieke behoeften van een organisatie en de ethical hacker zelf. We schreven ooit eerder een artikel over de stappen die een hacker doorloopt bij een aanval. Die stappen doorlopen ethical hackers uit het Red Team ook. 

Soorten scopes

Red Teaming kan variëren in scope. Zo is het mogelijk een aanvalssimulatie alleen toe te passen op specifieke afdelingen, systemen of processen. Andere organisaties willen juist een beeld krijgen van hun volledige beveiligingslandschap. 

Daarnaast is er ook nog de keuze of de aanpak Black box, Grey box of White box gaat zijn.

Soorten aanvalssimulaties

In principe is het mogelijk een aanvalssimulatie uit te voeren op alles dat door een hacker te misbruiken is. Maar voor wat extra overzicht in de mogelijkheden (ook al is Red Teaming altijd maatwerk!), hebben we een aantal “standaard” pentests opgesteld. 

1. Network Pentest Intern: Wat kan een hacker allemaal zodra deze binnen is? Heeft die dan meteen de kroonjuwelen in handen? Of zijn er intern ook nog barrières te doorbreken?

2. Network Pentest Extern: Hoeveel gaten zitten er in de digitale omheining van uw organisatie? Ethical hackers zijn in staat ingangen te zoeken in de buitenkant van de infrastructuur.

3. Webapplicatie Pentest: Het is ook mogelijk een website of webapplicatie specifiek te testen. Is het bijvoorbeeld mogelijk bij klantgegevens te komen in online portalen? 

4. Fysieke Pentest: Ook deze test valt onder Red Teaming: hierbij proberen Mystery Guests alleen fysiek toegang te krijgen tot uw digitale infrastructuur door uw gebouw binnen te dringen.

5. Wifi Pentest: Deze test richt zich juist weer specifiek op wifi netwerken. Zo is het interessant te weten wie er toegang heeft tot welke netwerken. En wat derden allemaal ermee kunnen.

5. Domain Pentest: Soms ontstaat er een wildgroei aan websitedomeinen binnen een organisatie. Welke zijn nog in gebruik? Welke niet? En welke “vergeten” domeinen zijn kwetsbaar?

Rapportage en Aanbevelingen

Na de aanvalssimulatie ontvangt een organisatie een gedetailleerd rapport met de bevindingen. Het Red Team omschrijft hierin de ontdekte kwetsbaarheden en geeft aanbevelingen voor verbetering. Op die manier dicht u de zwakke plekken en is de cyberweerbaarheid van uw organisatie weer een stuk hoger.

Samenwerking tussen Blue Team en Red Team

Het Red Team brengt heel doeltreffend de digitale zwakheden van een organisatie in kaart. Dat is waardevolle input voor het Blue Team: die is verantwoordelijk voor de verdediging. Bij het bepalen van een cyber security strategie is de samenwerking en kennistuitwisseling tussen deze twee teams dus ideaal. Dat heet Purple Teaming. 

Continu optimaliseren

In het meest ideale geval is Red Teaming een iteratief proces. Het is niet zonder reden dat cyber security organisaties periodieke pentests aanbevelen: digitale infrastructuren zijn continu in beweging. Die veranderingen kunnen ervoor zorgen dat een kwetsbaarheid die er een maand geleden niet was, er nu ineens wel is. Een update in – bijvoorbeeld – een besturingssysteem zou al een kwetsbaarheid kunnen veroorzaken. 

Uiteraard zijn (zeer) periodieke pentests niet voor elke organisatie realistisch. Dus vraag aan een cyber security consultant of de ethical hacker zelf wat ze daarin aanbevelen. Zij denken mee over een aanpak die past bij de grootte en het budget van uw organisatie. 

Meer weten over Red Teaming?

Een tijd geleden hebben we een overzicht gemaakt van de best gelezen artikelen over de offensieve kant van cyber security. U leest dus hier nog veel meer over dit onderwerp!

Vorige maand was IP4Sure aanwezig op DEF CON in Las Vegas. DEF CON is één van de grootste hacker-conferenties ter wereld waar hackers, cyber security experts en hun kennis samenkomen. Ook tijdens afgelopen editie werden trends in het hackerlandschap gepresenteerd. In dit artikel geven we een kleine greep uit de opvallendste ontwikkelingen:

1.Hacktechniek: Web race conditions & de echte potentie ervan

Laten we meteen uitleggen wat web race conditions zijn. Een goed voorbeeld is namelijk een website die kortingscode actie heeft waarbij de code normaliter 1x bruikbaar is. Met de race conditions techniek is het mogelijk meermaals gebruik te maken van de code. 

Hoe? Door meerdere “verzoeken” (ook wel requests) om de kortingscode toe te passen als het ware in één verzoek te verpakken. Doordat alle requests exact tegelijk aan komen, denkt de website bij alle requests “Deze bezoeker heeft de code nog niet gebruikt, dus we mogen de korting toepassen!”

Maar ondanks dat race conditions – meerdere requests exact tegelijkertijd op een server afvuren – al lang bestaan, was het bovenstaande voorbeeld eerder nog niet mogelijk. Voorheen kwamen requests nooit exact tegelijk aan bij een website/applicatie. Dat komt doordat ze bij een webapplicatie altijd ver moeten reizen. Een paar ms tijdsverschil is al te lang voor race conditions.

De nieuwe aanvalstechniek laat zien dat 30 requests in elkaar te schuiven zijn voor webapplicaties. In een demonstratie op DEF CON was zichtbaar hoe die requests binnen 1ms aankwamen van Australie naar Europa. Daardoor werd het als tegelijk gezien en werd de race condition toegepast.

De demonstratie op DEF CON ging nog een stap verder dan coupons uitbuiten. Web race conditions zijn namelijk ook in te zetten om wachtwoorden te achterhalen via een passwordreset truc. Er zit een technisch verhaal achter. Maar het laat zien dat deze ontwikkeling nog een staartje gaat krijgen. 

2. Onderzoek: Nederlanders onthullen TETRA kwetsbaarheden op DEF CON

TETRA (Terrestrial Trunked Radio) is een digitale mobiele radiostandaard: u heeft vast ooit eens gehoord van het C2000-Netwerk dat hier onderdeel van is. C2000 is het communicatienetwerk van Nederlandse hulpdiensten. O.a. encryptie beveiligt dit netwerk. 

Nu hebben Nederlandse onderzoekers in totaal vijf kwetsbaarheden ontdekt hierin. (Een daarvan zou zelfs bewust gecreëerd zijn door de Nederlandse overheid!) De groep heeft al deze kwetsbaarheden uitgebreid aan het licht gebracht tijdens de DEF CON-conferentie in Las Vegas. We volgden de volledige technische uitleg hoe de kwetsbaarheden te exploiteren zijn en wat voor gevolgen daaraan vasthangen.

Natuurlijk is de kwetsbaarheid die Nederlandse overheid zelf zou zijn gemaakt en zelfs al 20 jaar bestaat de meest opvallende. Een selecte groep binnen de overheid wist hiervan. Het gaat hierbij om TEA1, een TETRA-algoritme dat o.a. inlichtingendiensten buiten Europa ook gebruiken. 

De backdoor maakt het mogelijk om communicatie af te luisteren, of te manipuleren. Deze kwetsbaarheid heeft te maken met verzwakte encryptie, waardoor het systeem in enkele minuten te kraken is met een gewone laptop. Dit kan de kritieke infrastructuur van verschillende landen in gevaar brengen.

De vraag is waarom deze backdoor erin zit en waar deze exact voor wordt gebruikt. Op DEF CON vermeldde de Nederlandse groep onderzoekers dat ze ook contact gehad met ETSI om ze te wijzen hierop. Maar ze ontkenden steeds. Delen van deze conversatie werden getoond tijdens de presentatie op DEF CON.

3. Hacktechniek: Thread Stack Spoofing 

Een andere techniek waar we op DEF CON mee in aanraking gekomen, is Thread Stack Spoofing. Het doel van Thread Stack Spoofing is simpel: malware ondetecteerbaar maken voor een EDR-solution. Omdat EDR nog een vrij nieuwe oplossing op de cyber security markt is, is het groot dat er nu een aanvalstechniek is die een bedreiging kan gaan zijn hiervoor. 

Tijdens DEF CON maakten we kennis met wel twee nieuwe methoden om EDR’s (Endpoint Detection & Response oplossingen) te ontwijken. Gelukkig volgde er ook advies. Er zijn manieren om deze technieken te detecteren. Dat geeft meteen aan hoe belangrijk het is op de hoogte te zijn van ontwikkelingen aan de kant van de hackers: het geeft cyber security professionals de kans daar weer op in te spelen.

Niet bekend met EDR? Lees hier wat Endpoint Detection & Reponse precies is.

Nog veel meer kennis op DEF CON

DEF CON duurt meerdere dagen en barst van informatie over trends en ontwikkelingen op het gebied van hacken. Buiten bovenstaande drie punten is er dus nog veel meer kennis opgedaan door onze experts die aanwezig waren op DEF CON. Wie goed weet wat de ontwikkelingen zijn aan de kant van de tegenstander kan ook de juiste maatregelen treffen. Op die manier verbeteren we continu onze offensieve en defensieve diensten. 

Pentests, ethisch hackers, white hats, de enumeratiefase: er is veel te schrijven over de red team kant van cyber security. En dat hebben we ook gedaan. Een overzicht van alle informatie die we tot nu toe erover hebben gepubliceerd, op één plek. Leesze!

Wie bepaalt of uw cyber security goed is? De hacker

Afwegen welke cyber security investeringen er nodig zijn is niet altijd eenvoudig. In de praktijk zien we dat een uitspraak als “We hebben een antivirus, dus we zijn beschermd” nog wel eens voorbij komt. Maar is die conclusie echt zelf te trekken?

Ons antwoord: naast cyber security professionals die een risicoanalyse maken en een inschatting kunnen doen, is er maar één iemand die nog beter weet of uw organisatie goed beschermd is. En dat is de hacker zelf. Lees hier waarom we in de cyber security ook hackers inzetten.

De vulnerability scan, de pentest en hun verschillen

Testen is weten. Alleen op die manier is het implementeren van écht doeltreffende security oplossingen mogelijk. Maar er zijn verschillende manieren om de cyberweerbaarheid te controleren. En al die tests en scans hebben weer hun eigen specifieke doel.

Als het er echt op aan komt, adviseren we natuurlijk graag vrijblijvend welke test of scan voor uw organisatie het meest interessant is. Maar we hebben in dit artikel de verschillen tussen een vulnerability scan en pentest al uitgeschreven. (En hier gaan we ook dieper in op security audits.)

Wat hacken met stalken gemeen heeft

Hacken heeft veel van stalken weg. Waarom? We leggen in dit artikel precies uit wat hacken is. Want wat zijn de redenen om te hacken? Wat voor soorten hackers zijn er? En hoe gaat het hacken stap voor stap te werk? We doorlopen deze stappen en geven concrete voorbeelden van hacks.

Hoe vaak zijn pentests nodig?

Bij een pentest simuleert een ethisch hacker een cyberaanval. Daarmee legt de ethisch hacker praktijkgericht de vinger op de zere plekken. Een pentest maakt niet alleen theoretisch de kwetsbare punten zichtbaar: een pentest bewijst waar de digitale omheining zwak is. Dat maakt doelgerichte reparaties mogelijk.

Die digitale omheining is alleen altijd in beweging. Nieuwe kwetsbaarheden steken geregeld de kop op. Het slimste is dus vaker dan één keer te pentesten om ook die kwetsbaarheden te ontdekken. In dit artikel geven we antwoord op de vraag “Hoe vaak is een pentest nodig?”.

Interview: wat doet een ethisch hacker?

We hebben ze hierboven al een aantal keer benoemd: ethisch hackers. Maar wat is het verschil tussen een kwaadwillende hacker en een ethisch hacker? Wat doet een ethisch hacker allemaal? In dit interview geeft ethisch hacker Joost antwoord op de vaakst gestelde vragen over ethisch hacken.

Wat is het verschil tussen een black box en een white box pentest?

We gaan nog dieper in op de materie in dit artikel over black box, white box en grey box pentests. En voor wie denkt: wat zijn deze termen? Black box, white box en grey box verwijzen naar de scope van een pentest. Een black box pentest levert zo weer hele andere inzichten op dan white box. Met allemaal hun eigen voor en nadelen.

Ethisch hacken: aanvallen met toestemming

Wie pentest of ethisch hacken zegt, neemt al snel het woord “white hat” in de mond. En dan is er ook nog de “grey hat” en “black hat”. We vertellen meer over hacken in de cyber security. En: we gaan in dit artikel vooral in op de verschillen tussen white hats, grey hats en black hats in.

De penetratietest: 8 veel voorkomende misvattingen

Het woord pentest is eigenlijk een afkorting van het woord “penetratietest”. Nu de penetratietest steeds meer bekendheid heeft verworven, zijn er natuurlijk ook een aantal misvattingen. Lees hier wat die misvattingen over pentests zijn.

Meer lezen over (de verschillende soorten) pentests?

Op deze pagina geven we een volledig overzicht van wat een pentest inhoudt en wat voor soorten pentests er zijn. Er is namelijk niet één algemene pentest. Pentests variëren van tests die zich enkel op het Wifi-netwerk richten tot tests die zelfs de fysieke beveiliging van een gebouw op de proef stelt.

Het zoeken, vinden en misbruiken van kwetsbaarheden – ook wel vulnerabilities – is een belangrijk onderdeel van hacken. Tijdens een pentest komt het opsporen van vulnerabilities ruimschoots aan bod. Belangrijk, want nieuwe kwetsbaarheden ontstaan bijna dagelijks.

In dit artikel lichten we de vaakst misbruikte vulnerabilities van vorig jaar uit. Altijd handig om ze eens na te lopen.

Wat zijn vulnerabilities?

Het woord zegt het al: vulnerabilities zijn zwakke plekken. In dit geval in de digitale infrastructuur. Kwetsbaarheden zijn als het ware achterdeurtjes die hackers gebruiken om – soms heel eenvoudig – binnen te dringen. 

Kwetsbaarheden ontstaan doorgaans door o.a. updates. Ontwikkelaars van bijvoorbeeld software blijven nieuwe features toevoegen. Met elke verandering in de software is er een kans dat er een kwetsbaarheid ontstaat.

Security patches tegen kwetsbaarheden

Ontwikkelaars zijn hier meestal van op de hoogte en brengen securitypatches uit. Maar: soms komen deze patches pas laat uit. Of: ontwikkelaars merken ontstane kwetsbaarheden pas op als hackers ze al actief aan het misbruiken zijn.

Het komt geregeld voor dat kwetsbaarheden te lang aanwezig blijven in de digitale infrastructuur. Vaak doordat updates worden uitgesteld, overgeslagen of vergeten. Het ontbreekt dan aan een patchbeleid. Het eerste advies is dus: zit bovenop die patches!

Het tweede advies? Vulnerability Management: dat is een nog effectievere aanpak.

Wat is Vulnerability Management?

Vulnerability Management – in het Nederlands kwetsbaarheidsbeheer – richt zich op het actief monitoren van kwetsbaarheden in de digitale infrastructuur. Een VM-tool geeft daarmee een realtime overzicht van actuele kwetsbaarheden, hun risico en een advies om ze op te lossen. Soms is dat het uitvoeren van een patch, maar het kan ook zijn dat er een workaround nodig is.

In plaats van patchen en hopen dat er daardoor geen kwetsbaarheden meer zijn, toont een VM-tool – of een pentest – aan of er nog kwetsbaarheden zijn. Doorgaans valt dat tegen: zelfs de besten zitten met een VM-interface vol meldingen aan het begin. Maar wie al die meldingen stap voor stap rustig oppakt, is uiteindelijk bijgebeend.

En: kan met een stuk meer zekerheid zeggen dat de organisatie minder kwetsbaar is.

Vaakst misbruikte vulnerabilities van vorig jaar

Jaarlijks ontstaan er ontelbaar veel kwetsbaarheden. De ene is spraakmakender dan de ander. Vaak bepaalt de schaal van impact of heel de wereld het over een vulnerability heeft. Hieronder de vaakst misbruikte kwetsbaarheden van vorig jaar (in onwillekeurige volgorde):

1. Microsoft Office kwetsbaarheid uit 2017

We starten meteen met een oude. Een Microsoft Office bug (CVE-2017-11882) die in 2017 al ontdekt was, werd in 2022 nog steeds actief misbruikt. Gezien Microsoft bekend staat om het uitbrengen van security updates op hun “Patch Tuesday” is dit een opvallende. Dat in 2022 een kwetsbaarheid nog zo vaak geëxploiteerd is, geeft aan hoeveel organisaties een patchachterstand hebben.

Wat konden/kunnen hackers met deze kwetsbaarheid? De bug maakt het mogelijk op afstand arbitraire code uit te voeren op het apparaat. Dit biedt hackers de kans controle te krijgen over het apparaat, om vervolgens data te stelen of malware te installeren.

2. Spring4Shell

Deze kwetsbaarheid (CVE-2022-22965) is vorig jaar ontdekt én meteen uitgebreid misbruikt. Hij zit in het Java-gebaseerde Spring framework. Ook deze kwetsbaarheid maakt remote code execution mogelijk. Aanvallers deden dit via data binding. Inmiddels is er een patch uitgebracht tegen deze vulnerability. Het is te hopen dat iedereen die heeft uitgevoerd.

3. Zimbra Collaboration Suite

Wie Zimbra Collaboration Suite gebruikt als e-mail platform mag even opletten. In 2022 zijn de vulnerabilities met de codes CVE-2022-27925, CVE-2022-41352 ontdekt én flink misbruikt. Verrassing: in dit geval hebben we ook te maken met remote code execution. Aanvallers zijn met deze kwetsbaarheden daarnaast in staat malafide bestanden te uploaden naar het kwetsbare systeem. Met een Directory Traversal Attack als gevolg.

Ook deze aanval is inmiddels gepatcht.

4.  Google Chrome

Vorig jaar kreeg de veelgebruikte web browser Google Chrome te maken met een Zero Day kwetsbaarheid (CVE-2022-0609). Aanvallers hebben gretig gebruik gemaakt van deze vulnerability. De mogelijkheid tot remote code execution maakte de kwetsbaarheid aantrekkelijk. De hacker moest daarvoor overigens wel gebruikers zover krijgen naar een malafide website te gaan.

De kwetsbaarheid is gepatcht. Dus wie de laatste versie van Google Chrome gebruikt, loopt geen gevaar.

5.Log4Shell

Wie herinnert zich Log4Shell (CVE-2021-44228) niet? Deze Apache kwetsbaarheid is al ontdekt in 2021, maar was vorig jaar nog steeds actief misbruikt. Dat terwijl er inmiddels gewoon een patch voor is. Wat konden aanvallers met deze kwetsbaarheid? Wederom: remote code execution.

6. Zyxel

Er is een trend gaande in dit artikel: ook deze kwetsbaarheid (CVE-2022-30525) geeft aanvallers de kans controle te krijgen over een systeem dankzij remote code execution. Het stelen van data en het installeren van malware is daardoor allemaal mogelijk.

De vulnerability is ontdekt in 2022 en er is inmiddels ook al een patch voor beschikbaar. Gebruikers die deze patch hebben uitgevoerd, lopen dus geen risico meer.

7. F5 BIG-IP

Dit is een interessante, want F5 BIG-IP is een collectie aan hardware- en software die gericht is op toegankelijkheid, prestaties én beveiliging. Helaas had het te maken met een kwetsbaarheid (CVE-2022-1388) die – wederom – remote code execution mogelijk maakt. Dat geeft creatieve hackers een tal aan mogelijkheden.

Voor deze kwetsbaarheid is een patch beschikbaar gesteld.

8. Follina

Nog een remote code exection kwetsbaarheid: Follina (CVE-2022-30190). Deze kwetsbaarheid zit in het in de Microsoft Windows Support Diagnostic Tool. Hoe aanvallers de vulnerability exploiteren? Via een schadelijk Office-document. Alle besturingssystemen binnen Windows zijn kwetsbaar.

Er is een beveiligingspatch uitgebracht. Wie up-to-date is, loopt hierin dus geen risico meer.

Hackers zijn er snel bij

Aanvallers zijn altijd op zoek naar kwetsbaarheden waar nog geen patch voor is. Ze zitten er bovenop. Het meest veilige is om er zelf dus ook bovenop te zitten. Of dat nu is met Vulnerability Management, een regelmatige pentest, of nog beter: beiden.

Wie zich verdiept in pentests is vast de termen “black box”, “white box” en ook “grey box” tegen gekomen. Een black box pentest levert weer andere resultaten op dan een white box pentest. Maar wat is een black/white/grey box pentest? En wanneer zetten we welke in? In dit artikel geven we antwoord.

Wat is een pentest?

Een pentest is een aanvalssimulatie. Het test de veiligheid van systemen, netwerken of webapplicaties door deze actief aan te vallen zoals een hacker dat zou doen. De pentester – ook wel ethisch hacker – zet dezelfde technieken als kwaadwillenden in om kwetsbaarheden boven tafel te krijgen. Een pentest achterhaalt dus niet theoretisch wat de zwakke plekken zijn, maar bewijst het.

Het doel van een pentest is altijd het verbeteren van de cyberveiligheid van een organisatie. Zo’n aanvalssimulatie vindt enkel plaats met toestemming van de opdrachtgever. En na de pentest? Dan koppelt de ethisch hacker zijn of haar bevindingen terug en adviseert oplossingen voor de gevonden kwetsbaarheden.

Een pentest heeft altijd een scope: welke onderdelen moeten getest?

Wat is een black box pentest?

Een black box pentest lijkt het meest op een echte cyberaanval. Zonder van te voren ook maar iets van informatie te hebben, probeert de pentester binnen te dringen. De black box pentest schept daarmee een realistisch beeld van hoe de digitale infrastructuur eruit ziet vanuit het perspectief van een aanvaller.

Een black box pentest is goed te vergelijken met een spontane inbraak. Gelegenheidsinbrekers weten van te voren ook niet hoe een kantoorpand van binnen is, waar de buit ligt en via welke routes ze daar komen. Dat moeten ze ter plekke uitvogelen. Black box pentesters tasten van te voren dus volledig in het duister.

Wanneer een black box pentest?

Organisaties zetten een black box pentest in om vanuit een extern oogpunt inzicht te krijgen. Het weergeeft het meest realistisch hoe eenvoudig of lastig een aanval verloopt. Hoe snel en via welke weg komt een aanvaller binnen? En waar kan de aanvaller allemaal bij? Het geeft een mooi algemeen beeld van de beveiligingsomgeving.

Ook zetten organisaties black box pentests in om de response van beveiligingsmaatregelen zoals een SOC (blue team) te testen. Hoe snel wordt een aanval opgemerkt? En hoe snel komt er actie?

Voordelen black box pentest:

– Simuleert het meest realistisch een echte aanval
– Is vaak de minst dure pentest, want het kost meestal minder tijd
– Snel een rapportage

Nadeel black box pentest:

Het kan zijn dat de pentest bij – bijvoorbeeld – het inlogscherm van een website al stopt. In dat geval is het inlogscherm erg goed beveiligd. Maar misschien is alles wat daarachter zit enorm kwetsbaar? Wat gebeurt er wanneer een aanvaller met een phishingactie inloggegevens weet te achterhalen en wél verder komt dan het inlogscherm?

In dit geval is een grey box pentest handiger.

Wat is een grey box pentest?

Een grey box pentest lijkt op een black box pentest, maar het verschil is dat de ethisch hacker een heel klein beetje informatie heeft van te voren. Bijvoorbeeld dus de inloggegevens van een webapplicatie. Zo kan de pentester gegarandeerd dieper kijken waar kwetsbaarheden zitten en welke data te stelen is.

In het geval van een grey box pentest weten inbrekers van het kantoorpand van te voren al hoe ze binnen moeten komen. De vraag is alleen nog steeds waar de buit ligt en hoe ze daar raken. Tijdens een grey box pentest achterhaalt de pentester de kwetsbaarheden van binnenuit.

Wanneer een grey box pentest?

Een grey box pentest is meestal geschikter dan een black box pentest. Het geeft nog steeds een realistisch beeld van een echte aanval. Maar het geeft meer garantie op antwoorden op vragen als “Wat kunnen aanvallers als ze al binnen zijn?” of “Wat kunnen aanvallers met informatie X bereiken?”.

Voordelen grey box pentest:

– Simuleert echte aanvallen behoorlijk realistisch
– Zekerder dat er bruikbare informatie boven tafel komt
– Is minder duur dan een white box pentest

Nadeel grey box pentest:

Bij deze pentest kan de ethisch hacker meestal niet bij de broncode. Maar juist door de broncode te lezen kan de pentester kwetsbaarheden vinden die anders niet waren gevonden.

Wat is een white box pentest?

De white box pentest is de meest diepe en grondige pentest die er is. De ethisch hacker krijgt van te voren een stuk meer informatie. Bijvoorbeeld toegang tot de broncode. Of inzicht in de interne werking van een systeem.
In het geval van de inbreker heeft deze van te voren al de blauwdrukken van het kantoorpand. Het is volledig duidelijk waar alles zit.

Daardoor is de pentester in staat zo goed als álle kwetsbaarheden te achterhalen. Worden die kwetsbaarheden opgelost? Dan is het eindresultaat van een white box pentest het meest waterdicht.

Met een white box pentest is een organisatie ook in staat juist enkel hele specifieke onderdelen te laten testen. In dat geval geven ze de pentester informatie over waar ze die onderdelen kunnen vinden. Dan pluist de ethisch hacker uit welke kwetsbaarheden erin zitten. De scope hoeft dus niet oneindig breed te zijn bij een white box pentest.

Wanneer een white box pentest?

Deze pentest is het meest geschikt voor organisaties die inzicht willen in zo goed als álle kwetsbaarheden. Of voor opdrachtgevers die een aanval willen op belangrijke onderdelen van een systeem.  Ook zetten webdevelopers een white box pentest vlak voordat een applicatie live gaat in. Want: het verhelpen van kwetsbaarheden is veel eenvoudiger als de app nog in development is.

Voordelen white box pentest:

– Haalt zo goed als álle kwetsbaarheden bovenwater
– Stelt opdrachtgevers in staat specifiek de meest kritische onderdelen te laten pentesten

Nadeel white box pentest:

Logischerwijs is een white box pentest de minst goedkope pentest. Hij is grondiger, en duurt dus ook langer. Daardoor ontvangt u wat later een rapportage. Maar: dan is hij wel het meest uitgebreid.

Bepaal het doel van uw pentest

Om te weten welke pentest geschikt is, helpt het zelf of samen met een security expert het doel van de pentest vast te stellen. Zo ontstaat er een scope en is het helder wat voor pentest nodig is. Soms blijkt zelfs dat juist Vulnerability Management een passendere oplossing is. Wij denken altijd vrijblijvend mee en geven passend advies!

Dus: overweegt u een pentest en heeft u vragen? Neem dan contact met ons op.

Ex-programmeur Joost is nu ethisch hacker en voert dagelijks pentests uit. Een tijdje geleden konden volgers van onze LinkedIn en Twitter vragen over ethisch hacken voor Joost insturen. Die hebben we hem gesteld!

Wat is ethisch hacken?

“Ethisch hacken is het proberen kwetsbaarheden in systemen bloot te leggen. En dan echt alle systemen: websites, computer netwerken, auto’s, hardware. In de breedste zin van het woord. Maar ook kwetsbaarheden in de fysieke beveiliging: denk aan sloten en toegangsbadges. Software die je installeert op je computer en apps. Je kan het zo gek niet verzinnen.”

Wat is het nut van ethisch hacken?

“Als ik een kwetsbaarheid kan vinden in het systeem van de klant, dan kunnen anderen dat ook. Ik ben tenslotte niet de enige (ethisch) hacker op de wereld. Doordat een klant het mij laat testen, voorkom je dat een andere hacker ze gaat misbruiken om er – gemeen – geld mee te verdienen. Want ik help de klant het op te lossen.

Wat ik doe is dus het ethische gedeelte van het hacken: een kwetsbaarheid vinden vind ik leuk, maar misbruik maken voor persoonlijk gewin interesseert me echt niets. Het is gewoon kwestie van een crimineel zijn of niet.”

Wat doe je op een werkdag?

“Het hangt er een beetje vanaf in welke stage van een pentest ik zit. In het geval van een webapplicatie probeer ik de applicatie te bekijken op een manier waarop ontwikkelaars er niet naar kijken. Ik gebruik hem ook niet per se zoals een gewone gebruiker dat doet. Sterker nog: ik heb wel eens dat ik de applicatie zelf amper gebruik, maar het allemaal met mijn eigen tooling doe.

Je vind als ethisch hacker nogal eens zaken die ontwikkelaars over het hoofd hebben gezien. Bijvoorbeeld omdat ze misschien niet securityminded werken. Dat is goed te begrijpen: tenslotte willen ze vooral een gave applicatie maken die goed werkt voor de klant. Security is dan een vervelend en minder zichtbaar stukje dat erbij komt.”

Hoe ben je ethisch hacker geworden?

“Ik heb security altijd interessant gevonden in de breedste zin van het woord: zowel offensief en defensief. En ik ben super nieuwsgierig! Ik wil het allemaal weten. Een beetje problematisch af en toe, want je kan niet alles weten. Je blijft dingen uitzoeken en dan kom je weer andere dingen tegen die óók weer interessant zijn.

Uiteindelijk kwam ik erachter dat ik dit kwijt kon in ethisch hacken. Toen was het einde zoek. Al mijn (vrije) tijd ging erin zitten. Het was precies de combinatie van de dingen die ik zocht om te doen: grote technische uitdagingen, zonder illegaal bezig te zijn. De switch naar ethisch hacker was snel gemaakt.”

Waarom ben je ethisch hacker en geen programmeur?

“Programmeren vond ik super vet. Je hebt een idee en die kan je dan helemaal bouwen en uitwerken. Je ziet het voor je ogen groeien. Maar ethisch hacken en pentesten is wat breder.

Meerdere domeinen binnen de ICT komen samen. En dat maakt ethisch hacken voor mij uitdagend. Binnen programmeren heb je veel mogelijkheden, maar bij hacking heb je nog veel meer kanten die je op kan. Het is echt een eindeloze leerweg. Dat is superfijn.

Dat ik zelf programmeer helpt overigens wel in mijn werk als ethisch hacker: want je kan makkelijk in de mindset van de programmeur duiken. En op die manier kan je alles testen.

Op het moment dat ik in een situatie kom dat ik een leerplafond heb bereikt, ben ik niet meer blij. Maar binnen ethisch hacken gebeurt dat niet: want het verandert allemaal continu. Ik moet uitgedaagd worden. En dan ben ik ook op mijn best.”

Waarom is ethisch hacken legaal?

“Het verschilt per land, afhankelijk van wetgeving. Maar los daarvan denk ik dat hetgeen dat het ethisch maakt dat je aan het einde van de rit het doel hebt om de beveiliging te verbeteren. Ethisch hacken is altijd in samenspraak met de klant.

Het fundamentele verschil tussen illegaal hacken en ethisch hacken is voor mij dus het doel wat je voor ogen hebt. Een boef heeft zeker niet als doel om de organisatie beter te maken. Die zijn vaak self-centered en willen – bijvoorbeeld – geld verdienen.”

Is een pentest ook geschikt voor kleinere organisaties?

“Zeker. Of je nou een grote of kleine organisatie bent: je hebt bijna altijd iets van een IT-infrastructuur. Dus ook kleinere bedrijven hebben data om te beschermen. Dat is vaak veel geld waard. Dan is het belangrijk om af te vragen wat de schade is als het gestolen wordt. Meestal is dat behoorlijk. Het is dus logisch dat je het wil beveiligen.

Een voorbeeld: ik ben maar een simpele ‘boeren’ jongen, maar ik heb thuis wel een slot op mijn deur. Want ik wil niet dat ze mijn TV meenemen. Dus alles wat voor jou van waarde is, wil je niet gestolen hebben. Dat wil je beschermen. En een ethisch hacker brengt kwetsbaarheden aan het licht.

…Maar misschien was dat van de TV niet zo’n goed voorbeeld. Ik heb een hele oude TV namelijk.”

Wat is het meest bizarre wat je ooit tegen bent gekomen?

“Een keer testte ik een webapplicatie en kwam ik binnen met een wachtwoord dat in een publiek datalek zat. En door drie of vier kwetsbaarheden aan elkaar te knopen had ik volledige toegang tot de database. Dat was ook heel vet natuurlijk omdat je een aanvalsketting krijgt n.a.v. inloggegevens die je online hebt gevonden. Iedereen op internet zou dit in theorie dus kunnen doen.

Wat voor mij leuk eraan is, is dat je een webapplicatie test en dat je ineens door het hele interne netwerk van een organisatie heen rolt. Dat verwacht je van te voren niet!”

Welke kwetsbaarheden zie je het vaakst?

“Kwetsbaarheid voor brute force aanvallen: die lukken tijdens een pentest bijna altijd. En het is niet eens heel moeilijk om jezelf er tegen te verdedigen. Er zijn verschillende maatregelen om jezelf ervoor te beschermen. Maar op de een of andere manier lukken brute forces echt heel erg vaak.

Een ander voorbeeld is officieel geen echte kwetsbaarheid maar een aanvullende maatregel die mist. Het gaat om de CSP (content security policy) bij webapps. Dat is een extra aanvullende maatregel die helpt tegen exploitatie. En die is er bijna nooit. Terwijl die voor een hacker – en ook voor een ethisch hacker dus – écht irritant en vertragend is als het er wel is.”

Heb je nog een security tip voor organisaties?

“Het is moeilijk om met een universele tip die altijd goed werkt te komen. Want bij een webapplicatie heb je een heel ander speelveld dan bij een netwerk. Maar als ik dan iets universeels moet zeggen, dan is het MFA. Dat werkt altijd. En ook echt heel goed.

En een andere tip is jezelf kritische vragen stellen: want heb je enig idee je of je applicatie of netwerk veilig is? En weet je dat echt zeker? Hoe weet je dat? Vaak zijn webapplicaties gebouwd en wordt er gezegd dat het veilig is. Maar dat hoeft niet zo te zijn. Het stellen van die kritische vragen kan uitdagend zijn. Dus mijn laatste tip is vast geen verrassende: in dat geval kan samenwerken met een ethisch hacker erg helpen!”

Hackers maken organisaties en individuen het leven zuur. Ransomware, malware, spyware: ze hebben van alles in huis om apparaten en systemen te infecteren. Maar hoe doen ze dat? Wat is hacken nou echt?

Wat is hacken?

De vaakst voorkomende definitie van hacken is “Het ongeautoriseerd misbruiken van digitale apparaten”. In het Wetboek van Strafrecht hangen ze er de term computervredebreuk aan. Dat vangt de essentie eigenlijk wel. Vaak weten hackers op afstand toegang te krijgen tot deze digitale apparaten.
 

Het imago van hacken

De omschrijving in de blogintroductie is precies het beeld wat de meesten van hackers hebben. Rotzakken die met ransomware rondstrooien. Waar cybercriminelen om bekend staan is hacken om geld, om spionage, om data, om protest, om ontwrichting. Alles voor het eigen gewin.

Maar: wij hebben ook hackers in dienst. Die betalen we alleen niet om een schop tegen de maatschappij te geven. Ethisch hackers zetten het hacken in om cybercriminelen tegen te werken. Hoe? Met aanvalssimulaties brengen ze kwetsbaarheden in kaart voordat kwaadwillenden dat doen. Ze hacken in het belang van cyber security.
 

Redenen om te hacken

Er is dus een onderscheid tussen kwaadwillende hackers (black hats), ethisch hackers (white hats) en hackers die in het grijze gebied vallen (grey hats). Ook zijn er hacktivisten die vanuit activistische redenen hacken. De meest bekende groep hacktivisten is Anonymous. We gaan nog even in op de beweegredenen van black hats en white hats:
 

Kwaadwillende hackers/black hats

1. De meest bekende reden om te hacken is – we hebben hem al genoemd – het verdienen van geld. Op het Dark Web is er een enorme handel naar creditcardnummers, data zoals (admin)credentials, en zelfs ingangen tot systemen van bedrijven. Andere hackers verdienen juist hun geld door ransomware te ontwikkelen en die dan weer als een service te verkopen.

2. Bedrijfsspionage: het voelt als iets uit films, maar het komt in de werkelijkheid gewoon voor. Organisaties betalen dan een hacker om in de systemen van concurrenten binnen te dringen en daar gevoelige informatie te ontfutselen. In sommige gevallen gaan de hackers een stap verder: dan vallen ze aan om een bedrijf volledig plat te leggen.

3. We hebben gezien dat zowel Rusland als Oekraïne cyberaanvallen als oorlogswapen tegen elkaar inzetten. Er is natuurlijk voldoende discussie te voeren of deze aanvallen (per partij) kwaadwillend of te verantwoorden zijn. Omdat het gaat om ontwrichtende aanvallen, hebben we deze nu even onder kwaadwillend gezet.

4. Tot slot zetten kwaadwillende hackers ook hackacties op om hun eigen reputatie in de hackersgemeenschap te verbeteren. Er is een gebruik als hacker een eigen hackteken achter te laten op een veroverde website.
 

Ethisch hackers/white hats

1. Het doel van deze hackers is altijd het verkrijgen van inzicht in de cyber security van bedrijven, ten behoeven van de veiligheid. Die inzichten zijn de voedingsbodem voor verbeteringen in de digitale beveiliging.

2. Ze testen doorgaans webapplicaties, systemen of netwerken op kwetsbaarheden. Dit doen ze in de vorm van aanvalssimulaties: ze bewijzen in de praktijk dat er een beveiligingslek is door deze actief te hacken.

3. Ethisch hackers houden zich – soms – bezig met het schrijven van plugins of software programma’s waar andere white hats iets aan hebben. Het verbeteren van de best practices van de white hat community dus.
 

Wat doet een hacker om te hacken?

Nu het echte hoe en wat achter hacken: want hoe pakt een hacker een hack aan? Het onbevredigende antwoord is dat elke hackactie anders is. Dat heeft alles te maken met hoe IT-infrastructuren (en de kwetsbare plekken) per organisatie verschilt. Maar: over de algemene aanpak van een hacker valt veel te zeggen! Dat gaan we doen ook:
 

Net zo nieuwsgierig als een stalker

De grap “Hackers zijn mega stalkers” is meer dan eens gemaakt door hackers. Die vergelijking is zo gek nog niet. Want een hack staat of valt met de nieuwsgierigheid van de hacker. Is de hacker bereid flink veel informatie te verzamelen? Die informatie door te spitten? Én relaties te leggen binnen die informatie? Dan is de hack al sneller succesvol.
 

De stappen van hacken

Vaak doorlopen hackers een aantal stappen om een hack succesvol te laten zijn. Het start altijd met het “stalken”. Al heeft het op het gebied van hacken een andere naam: namelijk Reconnaissance.

We maken natuurlijk wel even de kanttekening dat elke hack er anders uit ziet. Elk doelwit heeft zijn eigen kwetsbaarheden: die verschillen altijd!
 

Reconnaissance

Wie wil hacken, moet eerst meer weten over het doelwit. Welke apparatuur gebruiken ze? Welke programma’s/software? Wie werken er? Wat doen die mensen binnen de organisatie? Welke mailservice gebruiken ze? Wat vinden ze interessant?

Al deze informatie maakt het makkelijker het zwaktepunt te vinden en erop in te spelen. Want: bij het ene doelwit is een phishingactie geschikt, en bij het andere doelwit kan juist een exploit genoeg zijn.
 

Passive Reconnaissance

Reconnaissance is onder te verdelen in Passive en Active. Bij Passive Reconnaissance verzamelt de hacker informatie zonder contact te maken met het doelwitsysteem. De hacker zoekt bijvoorbeeld op internet zoveel mogelijk informatie over het bedrijf en haar medewerkers op. Tot social media aan toe!
 

Active Reconnaissance

Active Reconnaissance staat voor het actief zoeken van informatie om te kunnen hacken. Met actief bedoelen ze in dit geval dat de hacker contact legt met het doelwitsysteem. Dit is risicovol: als het doelwit gebruik maakt van een SIEM kan het zijn dat ze de hacker detecteren. Voorzichtigheid is dus belangrijk.
 

De Reconnaissance tijdlijn

Oké, het doel van Reconnaissance is dus zoveel mogelijk informatie verzamelen. Dat betekent niet dat het ongestructureerd informatie bulken is. Om succesvol te hacken, is het doorgaans verstandig antwoord te hebben op de volgende 6 (technische) vragen:

1. Wat is de network range?
2. Welke active machines zijn er?
3. Wat zijn de open ports en access points?
4. Wat draait er op de open ports (en OS)?
5. Hoe ziet het netwerk eruit?
6. Welke informatie (van het web) komt nog meer van pas?
 

Concrete voorbeelden van hacken

Na de Reconnaissance fase is het tijd voor actie. Hacken dus! Voor een voorbeeld dat stap voor stap in gaat op het hacken van een doelwit is een losse blogpost nodig. Daarom hier twee kleine voorbeelden die aangeven hoe de methode per doelwit erg verschillend kan zijn.
 

Doelwit 1 – Exploit

De hacker trekt na de Reconnaissance fase de conclusie dat een exploit voldoende is om binnen te komen. Er is namelijk een service niet gepatcht terwijl er een kwetsbaarheid zit in de oude versie. De hacker haalt een voorgeleverde exploit van een exploitdatabase, hij typt de code in en… Hij heeft toegang!

Voor kwaadwillende hackers is het nu enkel nog een kwestie van data stelen en/of ransomware plaatsen. Ethisch hackers zetten deze vondst in een rapport.
 

Doelwit 2 – Websitefoutje

Bij het contactformulier van de website van het doelwit is het ook mogelijk bestanden mee te sturen. De website controleert alleen niet wat voor bestanden dat zijn. Niet alleen PDF’s en foto’s: ook PHP-pagina’s zijn mogelijk.

Wat doet de hacker? Die uploadt een eigen PHP-pagina, zodat die op de server van het doelwit komt te staan. In deze PHP-pagina heeft hij aan de achterkant een reverse shell gestopt. Hij voert de PHP-pagina uit en ja hoor: toegang!
 

Hacken start met stalken

Geen hack zonder goed stalkwerk. Als het om hackers gaat, is nieuwsgierigheid haast een belangrijkere eigenschap dan technisch inzicht. Heeft u naar aanleiding van deze blogpost vragen gekregen over – met name ethisch – hacken? Neem vrijblijvend contact met ons op.

“Een pentest is niet eenmalig”: wie zich verdiept in pentests is deze uitspraak vast al eens tegengekomen. Maar wat betekent het nou echt? Hoe vaak zijn penetratietesten daadwerkelijk nodig?

Uitspraken over de niet-eenmaligheid van penetratietesten wekken snel de indruk dat pentesten al snel verandert in een slepend proces. Iets dat – als u niet uitkijkt – maandelijks terugkomt. “Er is geen budget voor periodieke pentests, dus laat die eerste dan ook maar zitten” is dan de gedachte. Logisch maar wel onhandig: want organisaties lopen daarmee een hoop inzicht – en dus veiligheid – mis.
 

Dus: hoe vaak zijn penetratietesten nodig?

Wanneer u googelt op deze vraag, zijn de antwoorden uiteenlopend. Al lijken “1 keer per 6 maanden” en “nog liever 1 keer per maand” de meest voorkomende reacties. Ja, daar zijn we het mee eens. Maar… Ons échte antwoord is misschien wat onconventioneler: het kunnen er soms ook ietsje minder zijn.

Want laten we realistisch blijven. Niet elke organisatie heeft geld voor een tal aan pentests per jaar. Of genoeg personeel om elke maand te schakelen met een pentester. Kortom: niet elke organisatie is ingericht op maandelijkse of halfjaarlijkse pentests. In dat geval is doelgericht pentesten een goede optie.

Hoe u doelgericht pentesten eruit ziet? Daar gaan we later in dit artikel dieper op in.
 

Eén pentest is beter dan geen pentest

Omdat een pentest een momentopname is en alleen weergeeft hoe een systeem, website of (web)applicatie er op dat moment uit zag, is periodiek testen altijd het beste. Maar laten we eerlijk zijn: één pentest is beter dan geen pentest. Zeker wanneer een systeem of applicatie al lang in gebruik is, is de kans op kwetsbaarheden bijna gegarandeerd. Een pentest brengt deze in kaart en geeft u de gelegenheid ze te verhelpen.
 

De voordelen van maandelijkse penetratietesten

Elke maand of halfjaar pentesten is slim, want zo zit het in de routine en is de organisatie gewend erop in te spelen. De verantwoordelijken zijn dan gewend dat er periodiek actiepunten uit een penetratietest naar voren komen. Zijn er kwetsbaarheden? Dan zijn de stappen om deze te verhelpen in dit geval vaak sneller gezet.

Die stappen hoeven niet altijd groots te zijn. Bij de eerste paar pentests komt er vaak veel boven. Maar hoe vaker u penetratietesten laat uitvoeren, hoe minder er – als het goed is – uit naar voren komt. Tenzij u (bijvoorbeeld een applicatie) door blijft ontwikkelen natuurlijk. Dan is de kans reëel dat een pentest altijd nieuwe kwetsbaarheden blootlegt.
 

Voorbeelden & voordelen van doelgericht pentesten

Het is ook een optie juist doelgericht om te gaan met pentests. Dat houdt in: pentesten op de belangrijke momenten, dus niet op gezette momenten in het jaar. Wat die belangrijke momenten zijn? We zetten een paar voorbeelden op een rijtje:

• Bijvoorbeeld na het ontwikkelen van een (web)applicatie, vlak voor de livegang
• Nadat er nieuwe functionaliteiten zijn geïmplementeerd (of juist tijdens de nieuwe ontwikkelingen)
• Wanneer een systeem of applicatie al lang zonder toetsing in gebruik is
• Op de momenten dat dit moet voor de compliance van een certificaat
• Nadat security verbeteringen zijn doorgevoerd, een controlepentest dus

Vaker pentesten geeft altijd meer inzicht. Maar wanneer periodiek niet mogelijk is, is doelgericht pentesten een goede manier om kosten onder controle te houden en toch inzicht te winnen. Een groot voordeel wanneer uw organisatie het moet doen met beperkte budgetten dus.
 

Penetratietest in combinatie met vulnerability scans

Wie de cyber security ontwikkelingen een beetje bijhoudt, weet dat er zeer regelmatig nieuwe kwetsbaarheden opduiken. Die ontstaan onder andere wanneer software of besturingssystemen een nieuwe update krijgen. Hoe ernstiger de kwetsbaarheid, hoe groter de kans dat hackers deze massaal exploiteren. De Log4J kwetsbaarheid is daar een goed voorbeeld van.

Om naast pentests op de hoogte te blijven van kwetsbaarheden in aangekochte software, zijn vulnerability scans in de vorm van vulnerability management software een goede toevoeging. Zo verkrijgt u inzicht vanuit beide disciplines (het hele jaar door).

Vragen over penetratietesten en vulnerability scans?

Overweegt u een pentest voor uw organisatie? Of heeft u een vraag over vulnerability scans? Neem vrijblijvend contact met ons op voor meer informatie.

“Zijn we voldoende beschermd tegen hackers?” is een vraag die CEO’s zichzelf – hopelijk – steeds vaker stellen. Wie het meest eerlijke antwoord op die vraag kunnen geven? Nou, de hackers zelf.

Toch durven velen alsnog zelf conclusies trekken: “Wij zijn geen interessant doelwit, dus meer bescherming dan een firewall en een antivirus is niet nodig”. Maar waarop is dit gebaseerd? Is het nog wel mogelijk te beweren dat bedrijven uit bepaalde branches geen doelwit van hackers zijn?
 

Hackers & cyber security

De praktijk laat zien dat kwaadwillende hackers niet discrimineren. Het aantal cyberaanvallen neemt nog altijd toe en slachtofferorganisaties lopen steeds meer uiteen. Zelf voorspellen dat er toch geen aanval gaat zijn op organisatie X staat gelijk aan de kop in het zand steken.

Laten we wel voorop stellen: die struisvogelresponse is heel begrijpelijk. Cyberveiligheid kan een overweldigend onderwerp zijn. Dat snappen we.

Maar voor wie zijn hoofd nog in de aarde heeft zitten: we raden iedereen wel aan het zand alsnog uit de ogen te wrijven. Dat heeft er alles mee te maken dat geen enkele organisatie 0% risico loopt. Hoe dat zit? We leggen het uit.
 

In elke woning kan brand uitbreken

Cyberdreiging is net als brandgevaar: dat een huis met een rieten dak minder brandveilig is dan een huis met dakpannen, wil niet zeggen dat dat laatste huis gegarandeerd nooit met vuur te maken krijgt. In elke woning kan een kaars omvallen. Om nog maar te zwijgen over brandstichting.

Sterker nog: er is zelfs kans dat het rieten dak juist minder risico op brandschade loopt. Vaak zijn deze huiseigenaren zich extra van brandveiligheid bewust en treffen ze meer maatregelen. Is er ergens een vonk? Dan is er vast een brandmelder in de buurt, waardoor ze er op tijd bij zijn met de brandblusser.
 

Bij elke organisatie kan een hacker binnen komen

Organisaties die doorgaans zeggen geen doelwit te zijn van hackers, zijn te vergelijken met de huiseigenaren met pannen op hun dak. Ze denken geen risico te lopen en nemen geen of minder beschermende maatregelen.

Dat terwijl elke organisatie gegarandeerd te maken krijgt met programmeerfouten, misconfiguraties of phishingacties. Het kan 9x goed gaan. Maar ja, die ene keer dat het mis gaat…

Veel cyber security maatregelen zijn dus niet alleen gebaseerd op het voorkomen van dit soort gebeurtenissen, maar ook het beperken van schade wanneer het gebeurt.
 

Waarom hackers bepalen

Maar nu even terug naar onze eerste uitspraak: dat hackers zelf degenen zijn die bepalen of uw cyber security voldoende bescherming biedt. Waarschijnlijk begrijpt u al waar we naartoe willen. Of u nu zelf de normen bepaalt of zich houdt aan ISO- of NEN-richtlijnen: uiteindelijk is het aan de aanvaller een eindoordeel te geven.

Want zelfs wanneer u alles op papier perfect in orde heeft, is er geen garantie. 1 onopgemerkte misconfiguratie en 1 hacker die het toevallig wél opmerkt kan al genoeg zijn voor een succesvolle cyberaanval.

Dat wil niet zeggen dat al die maatregelen geen zin hebben, in tegendeel. De richtlijnen zijn er niet voor niets. We willen vooral aangeven dat cyber security nooit een kwestie van “Alle vakjes zijn afgevinkt, dus nu kunnen we achterover leunen” is.
 

Geen lijstjes afvinken, maar werken vanuit inzicht

Met de wetenschap dat veel succesvolle cyberaanvallen leiden tot faillissementen is lijstjes afvinken voor de vorm spelen met vuur. Het zet echt wel wat zoden aan de dijk, maar nogmaals: de hacker geeft het eindoordeel. Eén (nog niet gepatchte) kwetsbaarheid in software kan al voldoende zijn voor – bijvoorbeeld – datadiefstal.

Dus, geen lijstjes afvinken, geen overdreven veel maatregelen. Maar: juist concreet risico’s in kaart brengen, testen (red team) en daar doelgericht op inspelen. En bovenal de schade zo klein mogelijk te houden als er wel iets gebeurt. Want nogmaals: 100% cyberweerbaarheid bestaat niet.
 

Grootste risico’s blijven aanpakken

Het is duidelijk: cyber security die “goed genoeg is” blijft nooit bij implementeren en het op zijn beloop laten. Doeltreffende bescherming is een continu proces. Waar te beginnen met zo’n proces? Een cyber security expert kan u daar het beste gepast advies in geven. We zetten algemeen aanbevolen opties op een rij:
 

1. Pentests: in de huid van de hacker kruipen

Als de hacker bepaalt of uw cyber security voldoende is: waarom zou u dan niet alvast zelf een (gesimuleerde) aanval op uw infrastructuur regelen? Dat geeft een zuiver beeld van kwetsbaarheden die op dat moment aanwezig zijn.

Tijdens een pentest voert een ethisch hacker een aanval uit op uw netwerk of webapplicatie, etc. Is hij/zij in staat een kwetsbaarheid te exploiteren? Dan leest u dat in een uitgebreid rapport waarin alle risico’s die u loopt in kaart zijn gebracht. Uiteraard inclusief de oplossing.
 

2. Kwetsbaarheden verhelpen Vulnerability Management

Een pentest geeft een heel realistisch beeld van de risico’s die u loopt, omdat de aanval precies is zoals een kwaadwillende hacker dat zou doen. Maar het is en blijft een momentopname. Om heel het jaar door actief kwetsbaarheden te verhelpen, is een Vulnerability Management systeem onmisbaar.

InsightVM van Rapid7 is zo ingericht dat het goed te implementeren is in de workflow. Uw security verbetert, zonder dat overweldigende gevoel van een hoop werk.
 

3. Op de hoogte van wat er gebeurt met een SOC

Met de wetenschap dat kwetsbaarheden altijd kunnen ontstaan, is alertheid en inzicht hét wapen om incidenten te voorkomen of te beperken. Een Security Operations Center (SOC) houdt namelijk in de gaten wat er gebeurt op uw netwerk(en). Zijn er verdachte activiteiten? Dan krijgt u op tijd een melding.

Niemand weet wat voor exploits en kwetsbaarheden er morgen weer ontstaan. Dus exploiteert een hacker een kwetsbaarheid waar u (nog) niets vanaf wist? Dan bent u in alsnog in staat op tijd in actie te komen en schade door hackers te beperken.
 

Bescherming tegen hackers

Geef hackers nooit de kans uw security als onvoldoende te bestempelen. Denk niet in normen, ook niet in “hoe meer hoe beter”, maar vertrek altijd vanuit inzicht. Alleen op die manier verkleint u de kans op een succesvolle aanval op een doeltreffende manier. Meer informatie over dit onderwerp? Neem vrijblijvend contact met ons op!

Inmiddels is ethisch hacken geen onbekende term meer. Dat was jaren geleden wel anders: er werd er nogal vreemd bij opgekeken. En eerlijk is eerlijk, bij een hacker denkt niemand zo snel aan een ethisch persoon. Maar niets is minder waar: de wereld kent tegenwoordig een hoop hackers met goede bedoelingen.

Maar wat onderscheidt een ethisch hacker van een kwaadwillende hacker? Wat doet een ethisch hacker (ook wel white hat) precies? En waarom zou elk cyber security bedrijf er minimaal één in dienst moeten hebben? In dit artikel vertellen we alles over white hat hacking.

Wat is ethisch hacken? En waar is het voor bedoeld?

Ethisch hacken verschilt qua handelingen niet veel van kwaadwillende hackpogingen. Het verschil zit hem in de intentie. Een ethisch hacker probeert namelijk beveiligingsproblemen, kwetsbaarheden en lekken te achterhalen om ze te verhelpen. Niet om deze te misbruiken. Het doel van een ethisch hacker is juist kwetsbaarheden vinden voordat een kwaadwillende ermee aan de haal gaat.

Doordat een ethisch hacker (onder andere) netwerken actief aanvalt, weet een organisatie precies hoe ze de kwaadwillende hackers buiten moeten houden. Dit alles is terug te vinden in een rapportage van de ethisch hacker.

Het grootste verschil met kwaadwillend hacken

Een ethisch hacker heeft altijd het doel een organisatie te helpen met het verbeteren van de IT-security. Sterker nog: een ethisch hacker handelt alleen met toestemming van de organisatie. Dit moet schriftelijk zijn vastgelegd. Is dat niet het geval? Dan is het hacken niet toegestaan en is de hacker zelfs in overtreding van de wet.

White hats, Black hats en Grey hats

Eerder noemden we de term “white hat hacking”. Waarschijnlijk had u de rekensom al gemaakt: we bedoelen daarmee ethisch hacken. Een ethisch hacker wordt namelijk ook wel white hat genoemd in de hackers wereld. Dat duidt meteen helder het contrast aan met hackers die minder goede bedoelingen hebben. Zij hebben de naam “black hats”.

Black hats

De motieven van black hats? Die lopen uiteen, maar vaak is geld verdienen de grootste motivatie. Zo stelen ze data om door te verkopen of manipuleren of gijzelen ze bestanden in de hoop dat een organisatie losgeld betaalt. Sommige black hat hackers handelen enkel uit wraak. Of ze worden betaald een (concurrerend) bedrijf reputatie schade aan te brengen.

Waarom elk cybersecurity bedrijf een ethisch hacker moet hebben

Frank Abagnale Jr had ooit de bekende uitspraak: “Think like a criminal to beat them at their own game”. Dat is precies de reden waarom een ethisch hacker onmisbaar is in elk cybersecurity bedrijf. Een gat is tenslotte pas te dichten wanneer u weet dat het er zit. White hats zijn in staat in de huid van een black hat te duiken en daarmee verrassende ingangen in de IT-infrastructuur te achterhalen. En te sluiten.

Welke situatie  u een ethisch hacker ook voorlegt: ze gaan altijd op zoek naar het zwakke punt. En testen hoe gevaarlijk die is. “Wat kan ik ermee? Wat gebeurt er als ik dit ermee doe? En welke impact heeft deze actie?” Deze werkwijze geeft een heel realistisch beeld van de gevaren.

Een gemengd team is een dreamteam

De werkwijze van een ethisch hacker complimenteert daarmee sterk met de mindset van een typische blue teamer. Die analyseren vooral welke potentiële risico’s er zijn. Aan de hand daarvan dragen ze oplossingen aan. Een combinatie van die mindsets vormt al snel een dreamteam.

Zeker voor een cybersecuritybedrijf met veel verschillende dienstverleningen is het wenselijk om een paarse opstelling te hebben. Blue en red gecombineerd dus. Hun specialismen komen namelijk goed in elkaars proces van pas.

Uw IT-omgeving laten testen door een ethisch hacker?

Neem vrijblijvend contact met ons op voor meer informatie of een afspraak. Meer lezen over de werkwijze van een ethisch hacker? Lees hier artikelen over pentests.

De pentest, vulnerability scan, en de security audit: er zijn een hoop tests die de staat van uw cybersecurity onder de loep nemen. In de praktijk zien we het regelmatig gebeuren dat er om een vulnerability scan wordt gevraagd, terwijl een pentest nodig is. Maar wanneer vraagt u dan naar een pentest? En wanneer een vulnerability scan?

Pentests en vulnerability scans: het begint met de vraag

Uiteindelijk maakt het natuurlijk niet veel uit of u vraagt om een vulnerability scan of een pentest. U mag ervan uit gaan dat het bedrijf waar u uw securityvraagstuk neerlegt altijd doorvraagt naar de onderliggende behoeften. Zo krijgt u als het goed is altijd de test die uw organisatie verder helpt. Toch ervaren we dat velen het interessant vinden meer over de verschillen te weten: daar gaan we in dit artikel dus dieper op in! Want wat is een vulnerability scan precies? En wat doet een pentest?

Wat is een vulnerability scan?

Zoals de naam al doet vermoeden, testen we met een geautomatiseerde vulnerability scan de kwetsbaarheden binnen uw bedrijf. We inventariseren hoe (een onderdeel van) de IT-infrastructuur in elkaar zit en welke doelwitten – binnen de context van uw organisatie – mogelijk interessant zijn voor hackers. Denk hierbij aan servers, systemen en laptops. Waar zitten de zwakke plekken? Wat zijn voor aanvallers potentiële mogelijkheden om binnen te komen en schade aan te richten? Een vulnerability scan geeft hier zicht op.

Inzicht in de risico’s

Security experts interpreteren de bevindingen van de vulnerability scan en prioriteren de meest kritieke kwetsbaarheden. Dit alles is terug te vinden in een uitgebreid rapport. Daarin leest u welke systemen of servers het meest gevaar lopen. En waarom. Lopen ze risico om beschadigd of ontoegankelijk te raken? Of liggen er datalekken met belangrijke persoonsgegevens op de loer?

De vulnerability scan geeft een breed beeld van de veiligheid van uw IT. In het rapport ziet u welke kwetsbaarheden als eerste aandacht nodig hebben en hoe u eventuele problemen verhelpt. Erg handig dus om in de grote lijnen grote stappen te zetten.

Wat is een pentest?

Tijdens een pentest valt een ethisch hacker handmatig – en binnen een veilige omgeving – uw IT-infrastructuur aan. Met verschillende technieken probeert hij kwetsbaarheden te vinden en uit te buiten. Hij gaat gericht op zoek naar kwetsbaarheden en valt aan. Daarnaast zet de pentester ook tools in om als het ware met hagel te schieten op uw infrastructuur. Zo komen vaak uiteenlopende kwetsbaarheden naar voren.

Waarom een pentester daadwerkelijk aanvalt? Sommige kwetsbaarheden lijken op het eerste oog relatief onschuldig, maar blijken in de praktijk een stuk gevaarlijker. Andere kwetsbaarheden lijken groot, maar zijn uiteindelijk lastiger uit te buiten dan gedacht. Ook haalt deze aanpak de meest geraffineerde kwetsbaarheden boven water. Op die manier kan de pentester heel secuur de gevonden kwetsbaarheden kwalificeren en gericht oplossingen aanbieden.

De verschillen tussen pentests en vulnerability scans

De pentest en de vulnerability scan hebben als doel kwetsbaarheden in kaart te brengen, te kwalificeren en u te helpen ze op te lossen. Maar wat is dan het grote verschil? Dat zit hem in de aanpak en de kosten. Een vulnerability scan kan hoofdzakelijk geautomatiseerd, waardoor deze een stuk goedkoper is. Daarnaast is hij wat algemener van aard: een vulnerability scan behandelt elke klant ongeveer hetzelfde.

Waar we bij een vulnerability scan vooral algemeen analyseren, gaan we bij een pentest een stap verder. Daarbij probeert de ethisch hacker handmatig als een echte aanvaller uw systeem of netwerk binnen te dringen en de kwetsbaarheden uit te buiten. Dit alles binnen een bijbehorende scope en context.

Een pentest is dus niet alleen een scan, maar een simulering van een echte aanval. Een pentester zou zelfs misbruik kunnen maken van slecht getraind personeel en via hen proberen binnen te komen. Daardoor weet u nog net iets beter hoe goed de digitale omheining van uw bedrijf is. En bent u nog beter in staat gerichte verbeteringen aan te brengen die hackers daadwerkelijk buiten gaan houden.

Wanneer is een vulnerability scan nodig?

Een vulnerability scan is vooral handig als u in grote lijnen inzicht wil krijgen in de kwetsbaarheden binnen uw IT-infrastructuur. Bijvoorbeeld wanneer u net de eerste stappen zet naar een beter securitybeleid. Het geeft een mooie algemene eerste indruk en helpt u om de opvallendste problemen direct op te lossen en in grote lijnen up-to-date te blijven van de stand van zaken. U plukt dus vooral het laaghangende fruit.

Ideaal laat u een vulnerability scan meerdere keren per jaar uitvoeren. Een ander – vaak beter – alternatief is actieve vulnerability management. Hierbij blijft u heel het jaar op de hoogte van actuele kwetsbaarheden.

Wanneer is een pentest geschikt?

Een pentest is vooral geschikt wanneer u binnen een bepaalde scope tot in detailniveau de cyberweerbaarheid van (een deel van) uw organisatie wil laten testen. Doordat een pentester daadwerkelijk aanvalt zoals een hacker dat zou doen, weet u precies waar de meest kritieke kwetsbaarheden liggen. Of niet:

Een pentest is ook heel handig om aan klanten te bewijzen hoe goed u alles op orde hebt. Als een ethisch hacker niet binnen kan komen, kan een aanvaller dat ook niet zomaar.

Over het algemeen is het raadzaam een pentest één of twee keer per jaar uit te laten voeren.

Welke keuze is voor u het beste?

Een combinatie van zowel een pentest als een vulnerability scan is de veiligste keuze: daarmee bent u in staat uw IT-infrastructuur zo veilig mogelijk in te richten. Nog beter is vulnerability management in combinatie met een pentest. Daarmee bent u heel het jaar door op de hoogte van kwetsbaarheden. Dan loopt u nooit tegen vervelende verrassingen aan en zijn kwetsbaarheden altijd direct opgelost, voordat een hacker ermee aan de haal kan gaan.

Laat een onafhankelijk expert uw security testen

Een onafhankelijke cyber security expert kijkt altijd met hele andere ogen naar uw digitale infrastructuur. Of u nu kiest voor een vulnerability scan, vulnerability management of een pentest: het is altijd goed om uw kop uit het zand te trekken en écht op de hoogte te zijn van kwetsbaarheden. Alleen dan plukt u de vruchten van al uw andere cyber security maatregelen.

Inzicht krijgen in de kwetsbaarheden binnen uw organisatie? Neem dan contact met ons op.

Goed beschermd zijn tegen hackers begint met het begrijpen van hun werkwijze. Hoe kiezen ze slachtoffers uit? Via welke weg proberen ze binnen te komen? Met kennis van de stappen die hackers nemen, is het mogelijk ze in deze stappen te ondermijnen en dus buiten te houden.

Let op: in dit artikel geven we een idee van een veelvoorkomende hackersaanpak. Het is dus niet de enige werkwijze. Dat maakt het niet minder leerzaam: kennis hiervan helpt met het gericht aanbrengen van verbeteringen in uw digitale beveiliging. We geven onderaan in dit blogartikel nog een aantal tips.
 

1. Wie ga ik aanvallen?

Hacken start met het kiezen van een doelwit. Het uitzoeken van doelwitten gaat vaak anders dan de meesten denken. “Onze organisatie is niet interessant voor hackers” is een veelgehoord argument om niet bezig te hoeven zijn met cyber security. Maar wist u dat de meeste hackers vaak duizenden bedrijven tegelijk aanvallen? Zo ook kleinere organisaties.
 

Geautomatiseerd schieten met hagel

Hoe efficiënter hackers te werk gaan, hoe meer er voor ze te halen valt. Daarom maken ze gebruik van software die geautomatiseerd hacken mogelijk maakt. Daarmee schieten ze op een enorme hoeveelheid bedrijven. En hebben ze (bijna) altijd raak. Dat zijn dan de doelwitten waar ze verder bij binnendringen. Eigenlijk is deze werkwijze vergelijkbaar met die van gelegenheidsinbrekers.
 

Grote vissen aanvallen via de buitenste schil

Daarnaast zijn er natuurlijk ook hackers die ervoor kiezen zich enkel te richten op de grote vissen. Op de écht interessante bedrijven. Maar vinden ze geen ingangen bij deze grote vissen? Dan zijn de stakeholders van deze bedrijven hun nieuwe doelwit. Het doel? Via hen toch bij de grote vis binnendringen. Zeker sinds het afgelopen jaar valt het op dat cybercriminelen zich om die reden steeds meer richten op MKB’ers.
 

2. Met wat voor bedrijf heb ik te maken?

Elke organisatie steekt (digitaal) weer anders in elkaar. Zeker wanneer een hacker één grote vis aan wil vallen, is het exploreren van de organisatie een onmisbare stap. Wat ze dan zoal onderzoeken? Dat is heel breed: denk aan de KvK-inschrijving, het adres, werknemers en hun data, etc.

Alles om een idee te krijgen van hoe de organisatie eruit ziet. En het belangrijkste: wat het aanvalsoppervlak is. Ook de (digitale) beveiliging wordt grondig onder de loep genomen. Zijn alle beveiligingsupdates van software of OS’en bijvoorbeeld doorgevoerd? Het doel is alle aanvalskansen en ook de potentiële dreigingen in kaart te brengen.
 

3. De eerste stap naar binnen zetten

Heeft de hacker een idee van het aanvallersoppervlak? En zijn alle aanvalskansen zoals beveiligingslekken in kaart gebracht? Dan is het tijd om voorzichtig de eerste stap naar binnen te zetten. Een veelvoorkomende techniek is inloggegevens van medewerkers aftroggelen met een phishing-actie. Denk hierbij aan CFO’s of personen met admin-rechten. Het is daarom belangrijk goed bewapend te zijn tegen phishing-acties via nepmails en malafide linkjes. Hoe oplettend medewerkers ook zijn: vroeg of laat trapt er altijd iemand in de val.
 

4. …En ondertussen niet opvallen

Het doel van de hacker is eigenlijk altijd ongezien te werk gaan: daarmee loopt hij het minst risico. Steeds meer bedrijven maken tegenwoordig gebruik van een SIEM (met SOC), waardoor ze actueel op de hoogte blijven van de digitale activiteit op netwerken. Dat maakt onzichtbaar blijven een grote uitdaging voor de hacker.

Hackers blijven daarnaast zo anoniem mogelijk. Een enigszins ervaren hacker zal nooit vanuit zijn privé netwerkverbinding gaan hacken, maar juist vanaf een openbaar netwerk. Zo is zijn of haar identiteit en locatie een stuk lastiger te achterhalen door autoriteiten.
 

5. Op onderzoek in het netwerk

Is de phishing-actie geslaagd? En is er toegang tot het account (of zelfs de computer) van één van de medewerkers? Dan gaat het onderzoeken verder. Want geeft dit account wel voldoende rechten? Wat is er nodig om volledig controle te krijgen over de meest belangrijke systemen? Waar staan de belangrijke bestanden opgeslagen?

Vaak is het mogelijk met de inloggegevens van één persoon toegang te krijgen tot meer systeemonderdelen. Puur omdat wachtwoorden worden hergebruikt. Ook komt het vaak voor dat systeembeheerders voordehand liggende inloggegevens als “admin” gebruiken. Daar maken hackers gretig gebruik van. Daarmee veroveren ze langzaam het digitale domein van hun doelwit.
 

6. Permanent toegang krijgen

Hacken is vaak geen actie van één dag. Daarom zorgen de meeste hackers ervoor dat ze permanent toegang hebben tot een computer of netwerk. Het liefst maken ze van binnenuit een achterdeurtje die ervoor zorgt dat ze op elk gewenst moment ongezien binnen kunnen komen. Dat doen ze met speciale “backdoor” software. Soms hebben slachtoffers van cybercrime maanden lang zo’n achterdeur die open is gezet door een hacker, maar komen ze niet achter het bestaan.
 

7. Ravage maken

In de tijd dat hackers ongezien toegang hebben tot de digitale omgeving van een organisatie, zijn er een tal aan mogelijkheden. Misschien willen ze wel gevoelige data stelen? Misschien willen ze wel geld verdienen door bestanden te gijzelen? Misschien willen ze het bedrijf wel platleggen met ransomware? Wat de aanpak van een hacker ook is: het gevolg van een geslaagde hackeractie is altijd een ravage. Zo niet digitaal, dan wel imago technisch of financieel. Of alle drie tegelijk.
 

8. Geen sporen achterlaten

Ook wanneer de hackactie geslaagd is, is het doel van de hacker nog steeds ongezien blijven. Dat doen ze door heel slim logs te wissen. Alles data die naar de hackactie verwijst moet verwijderd worden. Zo zijn ze in het gunstigste geval niet meer te traceren.
 

Deze informatie gebruiken: zo beschermt u uw organisatie

We benoemden het al aan het begin van dit artikel: inzicht hebben in de werkwijze van een hacker is op cybersecurity niveau goud waard. Wat zijn de lessen die we uit bovenstaande informatie kunnen trekken? En hoe zetten we die lessen in om organisaties te beschermen tegen cybercrime? We hebben een aantal adviezen kort op een rijtje gezet:
 

Voorkomen dat hackers kwetsbaarheden kunnen misbruiken

Verborgen kwetsbaarheden – waaronder software die niet up-to-date is – zijn enorme kansen voor hackers. Om ervoor te zorgen dat hackers geen misbruik kunnen maken van kwetsbaarheden, is het belangrijk er continu bovenop te zitten. Er is speciale software op de markt die u actueel op de hoogte houdt van de meest riskante kwetsbaarheden in uw digitale omgeving. Met deze software lost u vulnerabilities snel, effectief en efficiënt op.
 

Voorkomen dat inloggegevens gestolen worden

Ook account takeovers wilt u zoveel mogelijk – of eigenlijk helemaal – tegengaan. Met phishing awareness campagnes maakt u medewerkers al een stuk alerter. Maar ze helemaal beschermen tegen phishing-acties gaat nog beter met software die mails, linkjes en attachments automatisch controleert en schoonmaakt.

Daarnaast is het ook van belang dat collega’s hun wachtwoorden regelmatig veranderen en niet hergebruiken op andere accounts. Een 2FA of MFA oplossing in gebruik nemen is al helemaal verstandig.
 

Voorkomen dat een hacker ongezien blijft (door logs te verwijderen)

Tot slot start cyberveiligheid met op de hoogte zijn van alle acties en wijzigingen in de digitale omgeving van uw organisatie. Die worden bijgehouden in logs. Met SIEM software houdt u deze logs overzichtelijk in de gaten. Nog handiger is samenwerken met een SOC: zij monitoren alle securitymeldingen die uit de logs komen, halen false positives eruit én komen in actie wanneer er nood aan de man is.
 

Meer hulp bij het cyberveilig maken van uw organisatie?

Neem dan vrijblijvend contact op met een van onze security-experts.

Hoe een hacker eruit ziet? Als we de plaatjes op het internet moeten geloven, draagt elke hacker een zwarte hoodie, een masker én leren handschoenen om het achterlaten van vingerafdrukken te voorkomen. En hun favoriete werkplek? Dat is een donkere ruimte, omringd door flitsende eentjes en nulletjes. De internethacker: het is een spannend stereotype.

Als het goed is, weten we allemaal wel te bedenken dat dit stereotype een beetje overdreven is. Dat het meer aannemelijk is dat een hacker niet dit soort afgesproken “werkkleding” draagt en gaat voor zijn eigen kloffie. Maar als die plaatjes zo onrealistisch zijn: waarom duiken ze dan steeds op boven artikelen over cybercrime? Hoe is dit het boegbeeld van de hackers geworden? Waar komt dit stereotype vandaan?

Hacken: de mystieke superkracht van de 21^e eeuw

Toen we onszelf deze vragen stelden, kwamen we er al snel achter dat we het antwoord eigenlijk niet zo goed wisten. Ja, de media zal vast veel invloed hebben gehad. Een onguur type met een donkere hoodie en een masker is tenslotte veel spannender dan de buurman achter een laptop.

Daarnaast hangt er veel mystiek rondom de hackerswereld. Het wordt door velen haast gezien als een soort on(be)grijpbare moderne superkracht. Logisch dat de stockfoto’s op het internet eer willen doen aan deze mysterieuze wereld met plaatjes zoals deze:

Toch moet er iemand zijn geweest die dit populaire beeld van een hacker ooit heeft bedacht. Want waarom specifiek die hoodie? We gingen kort op onderzoek uit.

Hackers bestaan al langer, maar het stereotype is een stuk jonger

We kwamen er al snel achter dat dit hackerstereotype nog niet eens zo oud is. Een senior security research van Kaspersky, Brian Bartholomew, gaf namelijk ooit eens aan dat rond het jaar 2000 de hoodiehacker zoals we hem nu kennen nog niet bestond. En dat terwijl hackers toen ook al wat jaren actief waren: denk maar aan het “phreaking”-tijdperk in de jaren 80.

Ook op het bekende hackersevenement DEF CON (sinds 1993) zag de algemene klederdracht er een stuk anders uit.  Daar voerde de “cyberpunk”-kledingstijl de boventoon. Volgens Marc Rogers – een security expert die heeft meegewerkt aan Mr. Robot – benadrukt dat leren jasjes en handschoenen zonder vingers toen populair waren.

Nu valt het natuurlijk te betwisten of de bezoekers van Def Con de hele hackercommunity representeren. Vooral White Hats (ethisch hackers) laten hun gezicht zien op een evenement, maar het is maar de vraag hoeveel Black Hats (kwaadwillende hackers) op Def Con af komen. En juist die Black Hats zijn de ongure types op stockfoto’s.

De invloed van de film “Hackers”

Toch maakt DEF CON de shift naar hoodiehackers wel tastbaar. Het viel Rogers namelijk op dat na het uitkomen van de film “Hackers” – waarin de hackers skateboard rebellen waren – de hoodie steeds populairder werd. Rogers benadrukt dat deze shift vooral te wijten is aan nieuwe hackers die door deze film geïnspireerd zijn geraakt zelf ook te gaan hacken en de skaterhoodie daarom hebben geadopteerd. De “oude garde” neigt nog steeds naar cyberpunkkleding.

Anno 2020 is er nog weinig te zeggen over de gemiddelde kledingstijl van een white/grey/black hat hacker. En eerlijk? Het uitpluizen van de laatste tech fashiontrends is ook zeker niet de moeite waard. Maar deze analyse van de kledingstijlen die door de jaren heen te zien waren op DEF CON geeft ons wel de mogelijkheid voorzichtig te concluderen dat de film “Hackers” een grote bijdrage heeft gehad aan het stereotype beeld dat we nu kennen.

En die donkere ruimte met eentjes en nulletjes? Die is natuurlijk veel spannender dan een rommelige slaapkamer. En enger. Dat past goed bij de boodschap die de media wil overbrengen: dat we op moeten passen voor hackers.

De stereotype hacker: overdreven of passend?

Nu zijn White Hats alles behalve gevaarlijk, maar een voorzichtigheid tegenover Black Hats is zeker op zijn plaats. De zwarte kelders zijn wat overdreven, maar de onderliggende boodschap van de stereotype plaatjes is zeker niet onrealistisch. Cybercrime is geen zuivere koffie.

Zeker nu de wereld meer en meer techdriven is, zijn cybercriminelen een serieuze bedreiging voor particulieren, bedrijven en eigenlijk heel de samenleving. Niet alleen vanwege het stelen van data of betaal- en persoonsgegevens, maar ook hun vermogen om complete systemen waar (overheids)instanties afhankelijk van zijn te ontwrichten. Er zijn niet voor niets steeds meer samenwerkingen in het belang van de algemene cyberveiligheid.

Wat ons betreft mogen de cliché hackerplaatjes de ijskast in (ook al dragen we onze eigen hoodies met veel plezier). Maar de voorzichtigheid tegenover cybercrime? Die mag blijven!

De penetratietest: is dat hetzelfde als een security audit? En is er bij het laten uitvoeren van een pentest risico dat systemen kapot gaan? Nu de penetratietest steeds meer bekendheid krijgt, zijn er ook een aantal misvattingen de wereld in geholpen. In dit artikel gaan we er dieper op in en brengen we wat nuance aan.

Wat is een penetratietest?

Allereerst: wat is een penetratietest/pentest ook alweer? Tijdens een penetratietest probeert een ethisch hacker met verschillende technieken toegang te krijgen tot uw digitale omgeving: precies zoals een cyberaanvaller dat ook zou doen.

Alle bevindingen worden opgenomen in een pentest-rapport. Zo krijgt u inzicht in de belangrijke risico’s die uw organisatie loopt. Daarnaast bent u in staat om onopgemerkte kwetsbaarheden die kunnen leiden tot datalekken gericht en tijdig op te lossen. Zeker wanneer uw organisatie veel data verwerkt, is een penetratietest een aanrader. Please Payrolling liet precies om die reden een penetratietest uitvoeren.

De misvattingen over penetratietests

Er valt nog veel meer te vertellen over wat een penetreatietest precies is. Nieuwsgierig? In dit artikel gaat onze ethisch hacker dieper in op het pentesten van webapplicaties. Hieronder de meest voorkomende misvattingen en onze kijk erop:

1. Een Vulnerabiliy Assessment en een pentest zijn ook hetzelfde

Net als een penetratietest dat doet, richt een Vulnerability Assessment zich op het achterhalen en classificeren van kwetsbaarheden. Security experts zetten een uitgebreide toolset in om een rapportage te maken.

Hierbij hoeft het daadwerkelijk aanvallen van de infrastructuur niet bij aan bod te komen, wat bij een pentest wel altijd het geval is. Een pentest verifieert daarmee altijd de kwetsbaarheid, terwijl een Vulnerability Assessment inschat dat de kwetsbaarheid er waarschijnlijk is.

2. Penetratietesten en Security Audits zijn hetzelfde

Ja, zowel een pentest als een security audit heeft het doel inzicht te geven in de veiligheid van uw systemen. Daar houden de gelijkenissen echter al op. Waar een pentester de activiteiten van een hacker actief nabootst om kwetsbaarheden te achterhalen, is een security audit een theoretische rapportage aan de hand van een checklist. Beiden op een andere manier handig dus.

3. Een pentest is altijd preventief

In een ideale wereld is een pentest inderdaad altijd preventief. Het geeft tenslotte de mogelijkheid hackers een stap voor te zijn door kwetsbaarheden op te lossen voordat iemand ze kan misbruiken. Maar wist u dat een penetratietest ook handig is ná een datalek? Door te snappen wat er mis is gegaan, is het mogelijk de kwetsbaarheid die heeft geleid tot een datalek te verhelpen. Zo voorkomt u dat u vaker de dupe bent van cyberaanvallen.

4. Penetratietests richten zich alleen op de techniek

Vaak ligt de focus op techniek bij een pentest, dat klopt. Maar wist u dat social engineering net zo goed binnen de scope van een penetratietest kan vallen? Zoals we eerder benoemden, kruipt een ethisch hacker tijdens een pentest in de huid van een aanvaller. Hackers zetten regelmatig phishing-acties in bij een aanval. Het opzetten van een nep-phishingacties om nieuwe wegen naar binnen te ontdekken, kan dus ook binnen de werkzaamheden van een pentester vallen.

5. Een pentest kan alleen op een netwerk

Een pentest is meer een mindset dan een harde opdracht. Alles met hardware en software is te pentesten. Zo testen wij in de praktijk niet alleen netwerken, maar ook webapplicaties, websites, apps, etc.

6. Een geautomatiseerde pentest is een volwaardig alternatief

Het is niets nieuws dat automatisering in sommige gevallen sneller, efficiënter en consistenter is dan het handmatige alternatief. Dat geldt voor een penetratietest niet. Natuurlijk, een geautomatiseerde test/scan levert altijd wat op.  Het ontbreken van een specifieke scope, maakt echter dat belangrijke kwetsbaarheden niet altijd bovenwater komen bij een automatische scan.

Zo is een pentest tool niet in staat strategisch te denken zoals een ethisch hacker (en dus ook een aanvaller) dat kan. Daarnaast houdt een tool ook geen rekening met de context van de infrastructuur. We geven hier meer informatie over in dit artikel over pentest tools.

7. Er is een risico dat penetratietests systemen kapot maken

Er zijn organisaties die liever geen pentest laten uitvoeren omdat ze bang zijn dat het schade oplevert. Deze angst is deels terecht. Wanneer iemand niet voldoende verstand heeft van het uitvoeren van een penetratietest loopt u zeker een risico. Experts zijn gewend altijd verantwoordelijk te werk te gaan. Zo testen ze enkel in testomgevingen. Gaat er iets stuk? Dan blijft dat binnen de testomgeving en heeft het geen invloed op de daadwerkelijke infrastructuur. Mits die testomgeving goed ingeregeld is, uiteraard.

8. Een penetratietest is alleen voor grote bedrijven met veel budget

Omvangrijke organisaties die veel data verwerken hebben vaker te maken met klanten die bewijs willen dat hun data veilig is, dan kleinere bedrijven. Daardoor kan het lijken dat pentests vooral worden afgenomen door bedrijven met een flinke jaarlijkse omzet. Toch is een pentest ook interessant en haalbaar voor kleinere organisaties. Zo liet Tech2B recent nog hun webapplicatie testen door ons.

Ook het argument “Bij ons is niets te halen” gaat tegenwoordig helaas niet meer op. Aanvallers richten zich steeds vaker op middelgrote organisaties om via hen bij de grote bedrijven binnen te komen. Des te meer reden om altijd op de hoogte te zijn van de cybergezondheid van uw onderneming dus.

Meer informatie over penetratietests?

Een penetratietest stelt u in staat kwetsbaarheden gericht aan te pakken, nog voordat aanvallers er misbruik van hebben gemaakt. U krijgt zodanig inzicht in beveiligingsproblemen, dat met hagel schieten nooit meer nodig is. Met een pentest weet u dat uw cybersecurity budgetten doeltreffend worden besteed. Daarnaast zijn de kosten van een pentest een stuk lager dan die van het verhelpen van de schade na een cyberaanval.

Heeft u zelf nog vragen over het laten uitvoeren van een pentest? Neem vrijblijvend contact met ons op voor al uw vragen, ook wanneer u enkel nieuwsgierig bent!

Al sinds 2010 maken USB Rubber Ducky’s mensen het leven zuur. Maar is het einde van de Rubber Ducky nu toch echt eindelijk in zicht? Als het aan Google ligt wel: zij ontwikkelden een tool die de weerbaarheid tegen deze “keystroke injection tools” aanzienlijk verhoogt.

Helaas is de tool van Google voorlopig alleen nog beschikbaar voor Linux-gebruikers. Toch is het een ontzettend positief gegeven dat in die 10 jaar er eindelijk iets tegen Keystroke Injection aanvallen zoals USB Rubber Ducky is ontwikkeld. De kans dat een dergelijke tool in de toekomst ook beschikbaar gaat zijn voor andere operating systems is tenslotte reëel.
 

Wat is een USB Rubber Ducky?

Allereerst: wat is een USB Rubber Ducky precies? Waar komt het vandaan? En hoe zetten aanvallers ze in? Een Rubber Ducky is een “keystroke injection tool” dat vermomd is als een USB-stick. Deze normaal uitziende USB-stick is voorzien van een speciale chipset waarmee hij zich voor doet als een toetsenbord die “toetsaanslagen” kan invoeren wanneer de USB-stick is ingeplugd.

Dat invoeren gaat geheel automatisch. De chipset in de USB is namelijk voorzien van een Micro SD-slot waar de aanvaller van te voren payload/code op kan zetten. Stopt iemand de Rubber Ducky in een PC? Dan typt deze de vooraf ingestelde commando’s in alsof het een echt toetsenbord is. Dat is meteen ook de reden waarom USB Rubber Ducky’s zo gevaarlijk zijn: antivirusprogramma’s herkennen ze niet.
 

Hoe het kan dat antivirusprogramma’s Rubber Ducky’s niet herkennen?

Antivirus software gaat ervan uit dat de Rubber Ducky gewoon een toetsenbord is waar iemand achter zit. Ondanks de schadelijke commando’s die een Rubber Ducky in een recordtempo weet in te voeren, zijn antivirussen nooit in staat geweest ze tegen te houden. Waarom? Omdat antivirus software toetsenborden altijd toestaat. Een computer kan nog wel zonder een muis, maar zonder toetsenbord is het onbedienbaar, tenslotte.
 

Scripts die wachtwoorden stelen

De mogelijkheid om ongestoord schadelijke commando’s in te voeren is voor aanvallers natuurlijk ontzettend interessant. USB Rubber Ducky’s worden dan ook op verschillende manieren ingezet. Tenslotte is er via deze weg een hoop mogelijk. Denk bijvoorbeeld aan het invoeren van een script dat wachtwoorden steelt. U kunt zich voorstellen: USB Rubber Ducky’s zijn krachtig in de handen van kwaadwillenden.

Overigens is de Rubber Ducky waarschijnlijk ontwikkeld door een IT’er met goede intenties. Hij wilde het leed van IT’ers die steeds dezelfde commando’s in moeten typen namelijk verzachten. De USB-stick die hij daarvoor gebruikte, had de vorm van een rubberen eend. Vandaar de naam “Rubber Ducky”. Ze zijn nog steeds voor een paar tientjes online te bestellen, puur doordat ze ook ontzettend functioneel zijn voor IT’ers.
 

Hoe Rubber Ducky’s in computers terecht komen

U bent vast al eens gewaarschuwd dat het beter is onbekende USB-sticks niet te vertrouwen. Toch blijven aanvallen via deze methode veelvoorkomend. Soms doordat iemand toch per ongeluk zonder het te weten een Rubber Ducky inplugt, maar ook doordat de kwaadwillende dat gewoon zelf doet.

Het sterke aan een USB Rubber Ducky is namelijk dat hij “In & Out” werkt. Het weet de commando’s razendsnel (meer dan 1000 woorden per minuut) in te toetsen, waardoor binnen 1 minuut het werk geklaard is.  Iemand hoeft dus maar 60 seconden in de buurt van een PC te komen om een Rubber Ducky zijn werk te laten doen.
 

Leer derden buiten te houden met een inlooptest

Het is daarom belangrijk dat onbevoegden nooit in de buurt van uw systemen kunnen komen. Met een inlooptest – ook wel fysieke penetratietest – is goed te achterhalen hoe derden binnen uw pand kunnen komen. Zo’n test legt alle kwetsbaarheden bloot en geeft inzicht in hoe u uw pand nog beter kunt beveiligen.

Ook verwachten we dat bedrijven zich in de toekomst dus extra kunnen weren tegen USB Rubber Ducky’s via de tool die Google heeft ontwikkeld. Zoals we al eerder benoemden is deze tot op heden enkel voor Linux beschikbaar.
 

De USB Keystroke Injection Protection tool van Google

Hoe de tool van Google precies werkt? Zoals u inmiddels weet, zijn Rubber Ducky’s in staat razendsnel “keystrokes” in te voeren. Die 1000 woorden per minuut zijn onmenselijk en dat is precies waar Google op inspeelt. De tool herkent verdachte invoersnelheden en blokkeert automatisch kwaadaardige apparaten die een normale snelheid overschrijden.

In 2016 is er door Beamgun een tool ontwikkeld met hetzelfde doel. Echter bleek deze niet heel succesvol omdat het wel beschermde tegen aanvallen zoals USB Rubber Ducky’s, maar wel ten koste van gebruiksvriendelijkheid.
 

Geen silver bullet tegen USB Rubber Ducky’s

Google maakt daarbij wel de kanttekening dat de tool geen “silver bullet” tegen USB-aanvallen en Keystroke Injection Attacks is. Tenslotte kunnen aanvallers nog veel meer wanneer ze toegang hebben tot een computer. Wel is de oplossing een extra beschermingslaag die het uitvoeren van een succesvolle aanval weer een stukje moeilijker maakt.

Goed om te weten: de tool kent twee modes: “Monitor” en “Hardening”. Die eerste blokkeert niets, maar geeft informatie over de Rubber Ducky die is ingeplugd via syslog. De “Hardening” mode blokkeert wel direct apparaten die volgens de tool kwaadaardig zijn. De USB Keystroke Injection Protection tool wordt standaard geleverd met “Hardening” mode ingeschakeld.

Google maakt met deze USB Keystroke Injection Protection tool een mooie stap op het gebied van cybersecurity. We zijn benieuwd hoe snel een dergelijke oplossing ook beschikbaar gaat zijn voor andere OS’en als Windows en Apple.

Pentest tools sporen kwetsbaarheden in een website, applicatie, netwerk of systeem op. Hoe? Een pentest tool “valt” uw systeem aan. Naderhand krijgt u een overzicht van de gedetecteerde problemen. Zo bent u in vogelvlucht op de hoogte van potentiële gevaren en weet u welke lekken u moet dichten.

Zelf pentest tools gebruiken

Een pentest is onmisbaar wanneer u streeft naar een waterdicht systeem of platform. Maar is het zelf inzetten van pentest tools de beste manier om achter kwetsbaarheden te komen? Het gebruik van een pentest tool kan klinken als een interessante snelle oplossing. Toch zijn er 5 zaken waar we u adviseren rekening mee te houden.
 

1. Is de pentest tool up-to-date?

Wanneer u een pentest laat uitvoeren, wilt u – als het goed is – er zeker van zijn dat het eindrapport betrouwbaar is. De wereld van de cybersecurity verandert snel, dus het is enorm belangrijk dat zo’n tool volledig up-to-date is wanneer u deze gebruikt.
 

2. Houdt de tool rekening met uw sector-specifieke kwetsbaarheden?

Toch garandeert een up-to-date pentest tool niet dat u optimale resultaten krijgt. Elke organisatie loopt weer andere gevaren. Een algemene penetratietest kan oppervlakkig inzicht geven in de stand van zaken. Toch legt een ethische hacker met een sector-specifieke scope vaak veel urgentere kwetsbaarheden bloot.
 

3. Pentest tools kunnen niet denken als een hacker

Hackers zijn zodanig vindingrijk, dat het maar de vraag is of een pentest tool tot de kern komt. De beste ethische hackers durven te denken als een hacker. Zij gaan onder anderen met logisch redeneren op zoek naar de meest uiteenlopende manieren om binnen te komen. Of een pentest tool dat op zichzelf kan, is te betwijfelen.
 

4. False negatives & false positives

Bij het inzetten van een pentest tool is het belangrijk dat een expert altijd kijkt naar de resultaten. Waarom? Bij pentest tools ligt het risico van false negatives en false positives op de loer: de mogelijkheid dat een tool kwetsbaarheden niet herkent of juist kwetsbaarheden die niet bestaan detecteert.
 

5. Pas op voor ransomware

Helaas komt het vrij vaak voor dat mensen en organisaties die zich willen weren tegen cybercriminelen, alsnog ransomware binnen halen via gratis cybersecurity-tools. Is een pentest tool gratis? Zet dan altijd voor de zekerheid vraagtekens bij de intentie van de ontwikkelaars. Daarbij is het ook te betwijfelen dat gratis versies van pentest tools volledige resultaten geven.

Pentest tools: handig, maar gebruik ze liever niet zelf en laat het aan een expert over!
 

Liever een goed betrouwbare penetratietest?

Laat in dat geval een ervaren ethisch hacker pentesten, dan bent u altijd zeker van de beste resultaten. Zeker wanneer uw organisatie te maken heeft met kwetsbare data of om een andere reden absoluut geen risico op een aanval mag lopen.

Een ethisch hacker gebruikt zelf de meest betrouwbare tools en kijkt daarnaast nog veel verder dan de uitkomsten van de tools. De ethisch hacker voert daar bovenop zelf aanvallen uit en maakt een risico-inventarisatie die naadloos aansluit op de behoeften van uw organisatie. Lees hier meer over samenwerken met een pentest bedrijf.
 

Experts leveren een bruikbare rapportage en helpen bij kwetsbaarheden

Daarnaast hebt u ook het voordeel dat u één aanspreekpunt hebt. Het team van IP4Sure zorgt voor een rapportage die helder en bruikbaar is. En is er toch iets niet duidelijk? Of is er hulp nodig bij het verhelpen van bepaalde kwetsbaarheden die boven water zijn gekomen? Dan staan we altijd voor u klaar om u te helpen of het volledig voor u op te lossen.

Lees in dit artikel meer over pentesten. 

Advies over cybersecurity nodig?

Bel of mail gerust voor een vrijblijvende afspraak, zodat we samen kunnen kijken hoe uw bedrijf veilig verder kan online.