Developers die willen weten hoe zij hackers slapeloze nachten kunnen bezorgen, mogen de sessie van ethisch hacker Sanne Maasakkers (Fox-IT) tijdens de Developers Summit zeker niet missen. "Soms komen wij ook ergens niet binnen, omdat iemand zijn werk heel goed heeft gedaan", aldus Maasakkers.
Maasakkers (26) verzorgt haar talk ‘Pentesting war stories’ binnen de track Security tijdens de Developers Summit, op 14 februari in De Fabrique in Utrecht. Al vanaf 11-jarige leeftijd is zij bezig met het bouwen van websites en het maken van games.
Na een studie Technische Bedrijfskunde, waarin zij erachter kwam dat de it-richting haar erg trok, maakte ze de overstap naar een it-opleiding. Na haar studie werkte zij voor een bedrijf dat bezig was met Identity & Access Management, voordat zij als trainee bij Fox-IT terechtkwam. Inmiddels is zij hier cyber security expert en ethisch hacker, en bovendien een bekende ‘Foxer’ die regelmatig in de media verschijnt; Maasakkers is namelijk een van de woordvoersters van het Delftse securitybedrijf.
Pentesten bij Fox-IT
"Bij Fox-IT doen wij verschillende soorten penetratietesten", vertelt Maasakkers. "We kijken onder meer naar webapplicaties van klanten, maar ook naar hun interne netwerken en wat we daar kunnen vinden als we eenmaal binnen zijn." Nog verder gaan de zogeheten ‘red teams’, die over een langere periode uittesten in hoeverre bedrijven bestand zijn tegen eventuele aanvallende hackersorganisaties. De security expert geeft daarnaast trainingen en hackdemo’s aan klanten, waarbij zij onder meer inzichtelijk maakt hoe gemakkelijk het is voor aanvallers om binnen te komen, bijvoorbeeld met behulp van phishingmails en gebruikers die zwakke wachtwoorden hebben ingesteld.
Een achtergrond als developer helpt Maasakkers bij het ontdekken van kwetsbaarheden in applicaties. Tijdens haar studie had zij een bedrijf in web development en programmeren is iets wat zij nog altijd graag doet in haar vrije tijd. "Soms is dat om iets nieuws te leren, bijvoorbeeld een nieuwe taal of ander framework. En door mijn eigen applicaties aan te vallen, leer ik veel over de kwetsbaarheden waar hackers gebruik van maken. Zeker door te kijken naar mijn eigen fouten vergroot ik mijn kennis over hoe zij binnenkomen."
Developers interessant voor aanvallers
In haar sessie tijdens de Developers Summit vertelt ze op welke wijze zij en haar collega’s binnen zijn gekomen via webapplicaties, mobiele applicaties en systemen van klanten. Daarbij bespreekt ze een aantal succesvolle aanvallen, wat hierbij de uitdagingen waren voor pentesters (waar developers dus goed werk hebben afgeleverd) en hoe ethische hackers dan alsnog binnenkomen (waar developers dus beter werk konden leveren). "Developers zijn de spin in het web en daardoor ontzettend belangrijk. Zij maken en configureren de applicaties, en hier ontstaan dus de foutjes in de code waardoor aanvallers binnenkomen. Maar ook is het zo dat zij ontzettend veel rechten hebben in systemen, waardoor zij een ontzettend interessante target zijn voor aanvallers."
Uit een phishingactie door Maasakkers en haar collega’s is gebleken dat ook developers het slachtoffer kunnen worden van deze vorm van aanvallen. "Wij kozen een scenario dat dicht bij ze lag, met een vacaturemail en daarin een behoorlijk hoog geboden salaris. Er waren er toch een aantal die erop gingen klikken." Toch is het niet de meest voorkomende manier waarop aanvallers binnenkomen. "Menselijke fouten vormen maar één van de vier pijlers die ik tijdens de Summit ga bespreken. Maar het is wel tekenend voor hoe hackers te werk gaan: ze verdiepen zich in hun doelwit en bepalen zo op welke manier zij aanvallen."
Leer hackers te frustreren
Wat Maasakkers in Utrecht mee wil geven, is een aantal tips naar aanleiding van de meest gemaakte fouten bij klanten. "Niet alleen op het vlak van programmeren zelf, maar ook door fouten met bijvoorbeeld slechte wachtwoorden of het niet gebruiken van twee-factor-authenticatie." Maar ook belooft ze entertainment. "Door te vertellen over de dingen die wij tegenkomen, laat ik zien hoe developers óns kunnen frustreren, doordat zij hun werk goed doen. Of ons juist heel gemakkelijk maken, doordat zij dat niet doen. Het is belangrijk om zowel de positieve als de negatieve dingen te noemen. Soms lukt het ons ook niet om binnen een vooraf vastgesteld timeframe binnen te komen, omdat iemand zijn werk gewoon heel goed heeft gedaan."
Informatie Event
- Datum: donderdag 14 februari 2019
- Locatie: DeFabrique, Utrecht
- Tijden: 09.00 tot 20.00 uur
- Partners: ABN Amro, Rabobank, Politie, Nedap, Adyen, IBM, ANWB, Inergy, Elect, Centric
- Early birds: uitverkocht
- Reguliere tickets: 275 euro
- 3-voor-2-tickets: 183,33 euro per ticket (550 euro voor 3 tickets)
- Studententicket: 75 euro
- Meer informatie: tweakers.net/developerssummit