Interview met een Ethisch Hacker
maandag 1 november 2021
Hacken klinkt heel negatief en illegaal. “Maar eigenlijk is hacken gewoon een bredere variant van dingen gebruiken op een andere manier dan waarvoor ze ontworpen zijn. Het gebruiken van functies in systemen en applicaties, waar de systeembeheerder of ontwikkelaar nooit aan heeft gedacht.’’ Aldus Arno Franken, ethisch hacker en expert op het gebied van cybersecurity.
Op donderdag 11 november laten Arno Franken en Albert van Toor, Directeur Marketing & Sales bij VTM, zien wat de ontwikkelingen zijn op het gebied van cybersecurity tijdens de kennissessie IT Security. Tevens wordt er een live demonstratie getoond van een hacksessie. Om alvast in de stemming te komen spraken wij vooraf met Arno Franken over cybersecurity en wat er verwacht kan worden van de kennissessie.
We zien de laatste tijd een stijging van het aantal cyberaanvallen, daarom organiseren we een sessie op het gebied van cybersecurity. Jij bent ethisch hacker, maar kan jij kort uitleggen wat ethisch hacken is?
“Ethisch hacken houdt in dat professionele hackers in opdracht van een organisatie of instantie op zoek gaan naar zwakheden in de beveiliging van de IT, website, mobiele applicaties, Internet of Things- of beveiligingssystemen. Hackers worden hiervoor ingehuurd en krijgen ook toestemming om op zoek te gaan naar deze zwakheden.’’
Naar welke kwetsbaarheden in de IT, website en/of beveiligingssystemen gaan ethisch hackers op zoek?
“Ten eerste zijn het kwetsbaarheden die ervoor zorgen dat systemen niet meer bereikbaar zijn, dat noemen we ook wel continuïteit of beschikbaarheid van het systeem. Ten tweede zijn het kwetsbaarheden die ertoe leiden dat we toegang krijgen tot informatie van systemen, ook wel vertrouwelijkheid genoemd. Als laatste zoeken we naar kwetsbaarheden systemen laten disfunctioneren. Een combinatie van kwetsbaarheden leidt ertoe dat je controle krijgt over het desbetreffende systeem. Daar vandaan kan je – met toestemming- andere systemen binnen het netwerk onderzoeken.”
Hacken heeft best wel een negatief imago, maar zit er nog onderscheid tussen de verschillende soorten hackers?
“Ten eerste heb je white-hat hackers. Die proberen kwetsbaarheden en zwakke plekken bij organisaties aan te tonen, met als doel om de wereld een stukje mooier te maken. Ze melden dat ook netjes aan de organisatie of instantie met advies hoe dit aangepakt kan worden. Nu is het echter wel zo dat een white-hat hacker zonder toestemming van een organisatie werkt en eigenlijk illegaal bezig is. Een uitzondering hierop vormen organisaties die een Coordinated Vulnerability Disclosure (CVD) beleid hebben en white-hat hackers feitelijk uitnodigen om binnen afgesproken kaders kwetsbaarheden te zoeken en op een gecoördineerde wijze te melden. Ik raad iedere organisatie aan een CVD-beleid op haar website te publiceren. Je wilt ook voorkomen dat hackers kwetsbaarheden in jouw systemen aan de media melden of openbaar zetten.’’
“Ten tweede heb je black-hat hackers. Deze hackers proberen echt schade te creëren, het liefst zoveel mogelijk. Zij willen er (vaak) financieel gewin uit halen. De hacks van deze hackers zie je altijd voorbij komen in het nieuws, zoals hacks met ransomware.’’
“Ten derde heb je grey-hat hackers. Die zitten tussen de white-hat hackers en de black-hat hackers in. Soms zijn ze destructief bezig, maar een andere keer niet.’’
Als we het over hacken hebben, komen we veel termen tegen als DDoS en SQL injection. Kan jij kort uitleggen wat deze termen inhouden?
“Het zijn allemaal varianten van zwakke plekken die we tegenkomen in systemen van bedrijven. DDoS klinkt natuurlijk heel populair, en die is ook heel populair. DDoS is niks anders dan een aanval vanuit veel verschillende kanten, vanuit veel verschillende systemen op hetzelfde target. Vergelijk het met een snelweg, er kunnen een x aantal auto’s per minuut over een x aantal rijbanen, op het moment dat er teveel auto’s rijden, ontstaat er een file. Dat is wat in de basis tijdens een DDoS-aanval gebeurt.”
“Daarnaast heb je allerlei andere vormen van kwetsbaarheden die kunnen zitten in de applicatie laag, of in de onderliggende infrastructuur (denk aan de webserver, firewall, databases, etc.). Een voorbeeld van een webapplicatie kwetsbaarheid is SQL-injection waarbij een hacker met een specifiek stukje code de database kan manipuleren. Aan dit rijtje termen kan ik er nog velen aan toevoegen. Het is belangrijk dat organisaties preventieve, detectieve en repressieve maatregelen nemen.”
Wat is het meest voorkomende probleem dat jullie tegenkomen als ethisch hackers?
“Het meest voorkomende probleem wat we tegenkomen, is dat systemen niet goed onderhouden worden. Ze worden weinig gepatcht. Wij krijgen toegang bij 9 van de 10 pentesten die wij doen, omdat systemen verouderd zijn of niet worden onderhouden. Je kan het vergeleken met die pop-up die je krijgt om jouw systeem te updaten. Iedereen blijft maar op uitstellen drukken. En dat gebeurt ook op servergebied. Als we het hebben over infrastructuur is de meest voorkomende kwetsbaarheid verouderde systemen als gevolg van niet goed bijgehouden patches. Op het gebied van web/mobiele applicaties zijn het vaak ontbrekende toegangscontroles, configuratiefouten, design fouten, of problemen in de encryptie van belangrijke informatie.’’
Wat kunnen mensen verwachten van de hacksessie?
“Ik wil live laten zien, aan de hand van een aantal demo’s, hoe een externe hacker nu tegen een organisatie aankijkt. Tevens wil ik laten zien hoe snel zij informatie vinden over een organisatie. Live laat ik zien hoe een systeem, waar we aanvankelijk geen toegang toe hebben, met een aantal eenvoudige tools te breken is. Diezelfde tools staan ook ter beschikking tot black-hat hackers. Het is dus van belang dat je als bedrijf preventieve maatregelen neemt om het te voorkomen, detectieve maatregelen om hacks te detecteren en repressieve maatregelen om adequaat te reageren. Tijdens de hacksessie wil ik meer vertellen en laten zien wat bedrijven op dit vlak kunnen doen.’’
Voor wie is het interessant?
“Als mensen de uitnodiging lezen voor de hacksessie, moeten ze niet denken: wij zijn te klein of wij zijn niet interessant genoeg. Alle organisaties zijn interessant voor een hacker. We hebben genoeg voorbeelden daarvan in de praktijk gezien. Meestal is het te laat, als je er pas over gaat nadenken als het zover is. Dus klein of groot, voor iedereen is het interessant. Het is immers niet de vraag of je word gehackt, maar wanneer en hoe jouw organisatie daar goed uit kan komen.’’
