Ex-programmeur Joost is nu ethisch hacker en voert dagelijks pentests uit. Een tijdje geleden konden volgers van onze LinkedIn en Twitter vragen over ethisch hacken voor Joost insturen. Die hebben we hem gesteld!
Wat is ethisch hacken?
“Ethisch hacken is het proberen kwetsbaarheden in systemen bloot te leggen. En dan echt alle systemen: websites, computer netwerken, auto’s, hardware. In de breedste zin van het woord. Maar ook kwetsbaarheden in de fysieke beveiliging: denk aan sloten en toegangsbadges. Software die je installeert op je computer en apps. Je kan het zo gek niet verzinnen.”
Wat is het nut van ethisch hacken?
“Als ik een kwetsbaarheid kan vinden in het systeem van de klant, dan kunnen anderen dat ook. Ik ben tenslotte niet de enige (ethisch) hacker op de wereld. Doordat een klant het mij laat testen, voorkom je dat een andere hacker ze gaat misbruiken om er – gemeen – geld mee te verdienen. Want ik help de klant het op te lossen.
Wat ik doe is dus het ethische gedeelte van het hacken: een kwetsbaarheid vinden vind ik leuk, maar misbruik maken voor persoonlijk gewin interesseert me echt niets. Het is gewoon kwestie van een crimineel zijn of niet.”
Wat doe je op een werkdag?
“Het hangt er een beetje vanaf in welke stage van een pentest ik zit. In het geval van een webapplicatie probeer ik de applicatie te bekijken op een manier waarop ontwikkelaars er niet naar kijken. Ik gebruik hem ook niet per se zoals een gewone gebruiker dat doet. Sterker nog: ik heb wel eens dat ik de applicatie zelf amper gebruik, maar het allemaal met mijn eigen tooling doe.
Je vind als ethisch hacker nogal eens zaken die ontwikkelaars over het hoofd hebben gezien. Bijvoorbeeld omdat ze misschien niet securityminded werken. Dat is goed te begrijpen: tenslotte willen ze vooral een gave applicatie maken die goed werkt voor de klant. Security is dan een vervelend en minder zichtbaar stukje dat erbij komt.”
Hoe ben je ethisch hacker geworden?
“Ik heb security altijd interessant gevonden in de breedste zin van het woord: zowel offensief en defensief. En ik ben super nieuwsgierig! Ik wil het allemaal weten. Een beetje problematisch af en toe, want je kan niet alles weten. Je blijft dingen uitzoeken en dan kom je weer andere dingen tegen die óók weer interessant zijn.
Uiteindelijk kwam ik erachter dat ik dit kwijt kon in ethisch hacken. Toen was het einde zoek. Al mijn (vrije) tijd ging erin zitten. Het was precies de combinatie van de dingen die ik zocht om te doen: grote technische uitdagingen, zonder illegaal bezig te zijn. De switch naar ethisch hacker was snel gemaakt.”
Waarom ben je ethisch hacker en geen programmeur?
“Programmeren vond ik super vet. Je hebt een idee en die kan je dan helemaal bouwen en uitwerken. Je ziet het voor je ogen groeien. Maar ethisch hacken en pentesten is wat breder.
Meerdere domeinen binnen de ICT komen samen. En dat maakt ethisch hacken voor mij uitdagend. Binnen programmeren heb je veel mogelijkheden, maar bij hacking heb je nog veel meer kanten die je op kan. Het is echt een eindeloze leerweg. Dat is superfijn.
Dat ik zelf programmeer helpt overigens wel in mijn werk als ethisch hacker: want je kan makkelijk in de mindset van de programmeur duiken. En op die manier kan je alles testen.
Op het moment dat ik in een situatie kom dat ik een leerplafond heb bereikt, ben ik niet meer blij. Maar binnen ethisch hacken gebeurt dat niet: want het verandert allemaal continu. Ik moet uitgedaagd worden. En dan ben ik ook op mijn best.”
Waarom is ethisch hacken legaal?
“Het verschilt per land, afhankelijk van wetgeving. Maar los daarvan denk ik dat hetgeen dat het ethisch maakt dat je aan het einde van de rit het doel hebt om de beveiliging te verbeteren. Ethisch hacken is altijd in samenspraak met de klant.
Het fundamentele verschil tussen illegaal hacken en ethisch hacken is voor mij dus het doel wat je voor ogen hebt. Een boef heeft zeker niet als doel om de organisatie beter te maken. Die zijn vaak self-centered en willen – bijvoorbeeld – geld verdienen.”
Is een pentest ook geschikt voor kleinere organisaties?
“Zeker. Of je nou een grote of kleine organisatie bent: je hebt bijna altijd iets van een IT-infrastructuur. Dus ook kleinere bedrijven hebben data om te beschermen. Dat is vaak veel geld waard. Dan is het belangrijk om af te vragen wat de schade is als het gestolen wordt. Meestal is dat behoorlijk. Het is dus logisch dat je het wil beveiligen.
Een voorbeeld: ik ben maar een simpele ‘boeren’ jongen, maar ik heb thuis wel een slot op mijn deur. Want ik wil niet dat ze mijn TV meenemen. Dus alles wat voor jou van waarde is, wil je niet gestolen hebben. Dat wil je beschermen. En een ethisch hacker brengt kwetsbaarheden aan het licht.
…Maar misschien was dat van de TV niet zo’n goed voorbeeld. Ik heb een hele oude TV namelijk.”
Wat is het meest bizarre wat je ooit tegen bent gekomen?
“Een keer testte ik een webapplicatie en kwam ik binnen met een wachtwoord dat in een publiek datalek zat. En door drie of vier kwetsbaarheden aan elkaar te knopen had ik volledige toegang tot de database. Dat was ook heel vet natuurlijk omdat je een aanvalsketting krijgt n.a.v. inloggegevens die je online hebt gevonden. Iedereen op internet zou dit in theorie dus kunnen doen.
Wat voor mij leuk eraan is, is dat je een webapplicatie test en dat je ineens door het hele interne netwerk van een organisatie heen rolt. Dat verwacht je van te voren niet!”
Welke kwetsbaarheden zie je het vaakst?
“Kwetsbaarheid voor brute force aanvallen: die lukken tijdens een pentest bijna altijd. En het is niet eens heel moeilijk om jezelf er tegen te verdedigen. Er zijn verschillende maatregelen om jezelf ervoor te beschermen. Maar op de een of andere manier lukken brute forces echt heel erg vaak.
Een ander voorbeeld is officieel geen echte kwetsbaarheid maar een aanvullende maatregel die mist. Het gaat om de CSP (content security policy) bij webapps. Dat is een extra aanvullende maatregel die helpt tegen exploitatie. En die is er bijna nooit. Terwijl die voor een hacker – en ook voor een ethisch hacker dus – écht irritant en vertragend is als het er wel is.”
Heb je nog een security tip voor organisaties?
“Het is moeilijk om met een universele tip die altijd goed werkt te komen. Want bij een webapplicatie heb je een heel ander speelveld dan bij een netwerk. Maar als ik dan iets universeels moet zeggen, dan is het MFA. Dat werkt altijd. En ook echt heel goed.
En een andere tip is jezelf kritische vragen stellen: want heb je enig idee je of je applicatie of netwerk veilig is? En weet je dat echt zeker? Hoe weet je dat? Vaak zijn webapplicaties gebouwd en wordt er gezegd dat het veilig is. Maar dat hoeft niet zo te zijn. Het stellen van die kritische vragen kan uitdagend zijn. Dus mijn laatste tip is vast geen verrassende: in dat geval kan samenwerken met een ethisch hacker erg helpen!”
