Steeds meer bedrijven en instellingen schakelen ethical hackers in om hun datasecurity te testen en netwerken te beveiligen. Ethisch hacken wordt gedaan door de good guys van het internet: de white hats. Hoe word je dat en waar moet je op letten?
White hats vs black hats
Naarmate de wereld digitaler wordt, groeit het fenomeen cybercriminaliteit. Criminelen die de toegang tot miljoenen bankrekeningen willen blokkeren. Cyberspionnen die verkiezingen beïnvloeden. Inbrekers die vanachter hun laptop de systemen van energiecentrales binnendringen. Gijzelsoftware die medische procedures in ziekenhuizen ontregelt. Ethisch hacken hacken (ook wel ethical hacking) is een wapen in die strijd, een wedloop tussen goed en kwaad, waarbij IT-professionals “collega’s” met kwade bedoelingen de voet dwars zetten. Good guys tegen bad guys of white hats tegen black hats.
Ethisch hacken klinkt spannend
Ethisch hacken klinkt spannender dan het vaak is, zegt Thomas van der Berg, die zelf als ethical hacker werkt via Yacht. “Ik zie mezelf meer als een securityonderzoeker.” Ethische hackers testen hoe veilig de IT-omgeving is en stellen vast wat er beter kan of anders moet. White hat hackers gebruiken vaak dezelfde technieken om in te breken op computers en netwerken als black hat hackers. Het grote verschil zit in de intenties die partijen hebben. De white hats doen aan responsible disclosure, waarbij ze controleren of (voorgenomen) beveiligingsmaatregelen hun werk doen en eventuele kwetsbaarheden opsporen. En, hoe organisaties reageren als er cybervandalen huishouden.
White hat hackers gebruiken vaak dezelfde technieken om in te breken als black hat hackers.
Penetratietests en red teaming
Ethical hackers hanteren verschillende testmethoden: penetratietests (‘pentests’) en red teaming. Bij penetratietests sporen de hackers technische kwetsbaarheden op en mogelijkheden om delen van de IT-omgeving te ‘misbruiken’, bijvoorbeeld een webapplicatie of onbeveiligde databases. Het doel wordt bij red teaming van tevoren vastgesteld: bijvoorbeeld het bereiken van gevoelige data of de controle overnemen over het financiële systeem van een organisatie. Eigenlijk is het een realistische simulatie van een echte aanval, legt Thomas uit. “Het red team neemt het in het geheim op tegen een blue team, de verdedigende partij. Zo wordt getest of de organisatie doorheeft dat zij wordt aangevallen. En zo ja, of zij zich er voldoende tegen kan weren en hoe lang het duurt voordat zij kwetsbaarheden kan oplossen.”
Leren in de praktijk
Zelf heeft Thomas red teaming nog niet bij de hand gehad. “Ik houd me bezig met de technische kant, om voor organisaties problemen te fixen voordat ze worden gehackt." Maar red teaming lijkt hem wel een mooie uitdaging. En iets wat hij in de toekomst ook best zou kunnen gaan doen. Net als veel van zijn collega’s in ethical hacking leerde hij het vak in de praktijk. Zijn carrière begon nadat hij na zijn opleiding Communicatie en Multimedia Design aan de slag ging als trainee Development namens arbeidsbemiddelaar Yacht. Het beveiligingsteam van een grote bank had ruimte voor een jonge professional met zijn achtergrond. Zo sloeg Thomas een nieuwe richting in.
Maximale vrijheid
Terug naar red teaming en waarom dat zo geweldig is. "Je krijgt dan maximale vrijheid; bijna alle middelen zijn geoorloofd. Zo kun je social engineering toepassen, gericht op de factor mens, die je bijvoorbeeld valse mails kunt sturen om onveilig gedrag van op te sporen. Veel grote hacks waren mogelijk omdat medewerkers laks waren met wachtwoorden of op phishinglinks klikten en zo malware installeerden.”
Je moet vasthoudend en nieuwsgierig zijn, en, zoals de functienaam al zegt, ethisch.
Thomas van der Berg, ethical hacker
Ethical hacking: werken als een black hat
Precies zoals black hats doen, want binnenkomen gebeurt volgens Thomas hem vaker door gebruik te maken van naïviteit of laksheid, dan door het kraken van beveiligingssleutels. “Dat de mens de zwakste schakel is, is bekend, maar ook nu nog blijkt tijdens assessments vaak dat het meestal daar mis gaat.” Zo stuurden de Russen spearfishing mails naar 300 hooggeplaatste Amerikaanse Democraten, waarna ze tientallen computers wisten te infecteren. Zo konden ze computeractiviteiten monitoren, wachtwoorden stelen, screenshots nemen, toetsaanslagen bijhouden en documenten wegsluizen."
Cyberaanval: blessing in disguise
Voor black hats kan Thomas geen bewondering opbrengen. Toch vindt hij achteraf de Wannacry- en NotPetya- ransomware aanvallen een blessing in disguise. “Als je ziekenhuizen aanvalt en mensenlevens in gevaar brengt, ben je onethisch bezig. Er is bij die aanvallen schade aangericht, waardoor er systemen fysiek moesten worden vervangen, tegen enorme kosten. Maar het gevolg is wel geweest dat er binnen organisaties veel meer bewustzijn is gekomen van het belang van cybersecurity. Het ‘mooie’ van een hack met ransomware is dat de organisatie direct weet dat zij gehackt is, waarna ze alles kan afdichten wat misbruikt is. Altijd nog beter dan dat een aanvaller zich in het systeem nestelt.”
Carrière maken als software developer? Word lid van onze IT community
Cybercrime is here to stay
De wedloop van ethisch hacken tegen cybercriminelen is nooit gewonnen, hoogstens telkens opnieuw een veldslag, volgens Thomas. “Computercriminaliteit is redelijk moeilijk, want je moet over behoorlijk veel technische kennis beschikken. Vaak zijn de mensen die deze kennis hebben niet geïnteresseerd in criminaliteit, en zijn degenen die geïnteresseerd zijn in criminaliteit niet geïnteresseerd in de technische kennis. Wat we nu zien is dat mensen met technische kennis services en software verkopen die door criminelen gebruikt kunnen worden. Zo wordt de drempel voor computercriminaliteit lager. Voor een paar tientjes kun je tegenwoordig DDoS-services inhuren, of ransomware-software inkopen. Hierdoor kunnen niet alleen georganiseerde criminelen, maar ook cyberpunks flink schade aanrichten, zonder dat ze er zelf veel verstand van hebben."
'Leer constant nieuwe dingen'
Juist het gegeven dat zijn werkveld altijd in beweging is, en dat slimmeriken voortdurend andere slimmeriken te vlug af proberen te zijn, maakt dat Thomas zijn baan als ethical hacker uitdagend vindt. “Ethical hacking is echt dynamisch werk en je leert constant nieuwe dingen. Veelal in de praktijk, maar ik doe nu ook een gecertificeerde hacking-cursus. In het virtuele lab van deze cursus heb ik al 30 machines overgenomen. Tijdens het examen moet je binnen een etmaal vijf machines overnemen. En ik zit echt niet alleen maar naar schermpjes te staren. Er is veel interactie met collega’s, vooral developers. Je moet veel kennis van systemen hebben en die voortdurend bijhouden. Verder moet je vasthoudend en nieuwsgierig zijn, en, zoals de functienaam al zegt, ethisch. Je grenzen kennen en voortdurend oppassen dat je verantwoord handelt. Het is niet de bedoeling dat je dingen kapot maakt. Je gaat niet verder dan nodig is om je punt te maken.”