Leren van ethical hackers Wesley en Rik: "Wat wij doen is geen magie"

Toegegeven, als ethical hacker zit je vaak lang naar een scherm te staren. Toch gebeurt er van alles. Wesley Neelen en Rik van Duijn, ethical hackers bij KPN Security, geven op de Tweakers Meet-up XL Privacy & Security een kijkje in hun bestaan. "Hacken is soms heel gemakkelijk."

Vorig jaar verzorgde het duo Neelen en Van Duijn ook al een presentatie tijdens de Tweakers Meet-up XL Privacy & Security. Er werd destijds flink wat afgelachen; bizarre anekdotes waarin it-gebruikers en systeembeheerders figureren, passeerden de revue. Bijvoorbeeld over die ene keer dat ze per ongeluk een voip-gesprek afluisterden tussen een directeur en zijn secretaresse. Of over hoe de pentester bij de klant altijd de schuld krijgt als daar iets misgaat. "Zelfs als de prullenbak in de fik vliegt, heb jij het gedaan." Dit jaar keren de twee hackers terug op hetzelfde evenement met een nieuw verhaal, waarbij ze meer de techniek in duiken en hun ervaringen als onderzoeker gaan delen.

Oeps, het ziekenhuis ligt plat

Wat de verhalen van Neelen en Van Duijn zo onweerstaanbaar maakt, is dat ze ook hun fouten durven toe te geven. Fouten waar ze ook weer van leren. Met de nodige zelfspot vertelt Neelen bijvoorbeeld over hoe hij eens een dictionary attack inzette met een lijst van vijf verschillende wachtwoorden - "het grove geschut, want op een gegeven moment wil je gewoon binnenkomen" - maar daarbij even vergat dat accounts bij een klant na drie foutieve inlogpogingen blokkeerden. Hierdoor werden belangrijke applicaties van de klant onbereikbaar. En Van Duijn maakte eens mee dat alle servers in een ziekenhuis anderhalve minuut offline gingen en hij het even flink benauwd kreeg. "Ik wel, de systeembeheerders bleven juist heel relaxed. Die hadden gelukkig de fail-over heel goed ingericht."

'Offensieve dienstverlening' is in grote lijnen de omschrijving van het werk van de ethical hackers. Klanten huren hen in om inzicht te krijgen in hun kwetsbaarheden, waarbij Neelen en Van Duijn onder meer pentests uitvoeren, maar ook kijken naar social engineering. Dat laatste kan betekenen dat ze bijvoorbeeld een phishingmail sturen naar de organisatie om medewerkers te verleiden tot het klikken op een bepaalde pagina of het openen van een backdoor. De resultaten worden meegenomen in een presentatie. Dit is niet alleen leerzaam voor de medewerkers van een klantorganisatie, maar meer dan eens ook voor de hackers zelf.

Gebruikers kunnen je laten schrikken

Van Duijn noemt een presentatie waarbij een medewerkster vroeg: "Het bedrijfsnetwerk is toch supergoed beveiligd?" Waarop zij een bevestigend antwoord kreeg van de systeembeheerder van het bedrijf. "Dat is mooi, want ik stuur altijd alle mails die ik thuis krijg en die ik niet vertrouw naar mijn werk om ze daar te openen, want hier is het superveilig!" Van Duijn: "Eigenlijk best een logische gedachte. Ze dacht gewoon: ik heb maar een thuiscomputertje, ik stuur gewoon alles door, want op mijn werk hebben ze het veilig geregeld. Voor de systeembeheerder was het echter even schrikken toen hij dit hoorde, haha."

Tijdens de Tweakers Meet-up XL Privacy & Security op 2 november aanstaande komen meer van dit soort verhalen voorbij, maar de sprekers laten ook zien waarmee zij in het afgelopen jaar bezig zijn geweest. Neelen: "We hebben onder meer onderzoek gedaan naar betaalverzoekfraude, bijvoorbeeld met Tikkie en Marktplaats. Daarvan hebben we veel geleerd. We weten inmiddels welke tools de fraudeurs gebruiken en wat hun trucjes zijn. Ze gaan ook steeds verder. Als klant kun je inmiddels zelfs complete online cursussen kopen waarin je krijgt uitgelegd hoe je betaalfraude pleegt en hoe je er geld mee verdient.”

Een kiosk is zo gehackt

Iets waarover de sprekers ook willen vertellen, is de kwetsbaarheid van kiosken in publieke ruimtes, zoals kaartjesautomaten en snackautomaten. Op het kantoor van KPN Security is het overigens een populaire sport geworden. Van Duijn: "Toen ik terugkwam van mijn vakantie hadden mijn collega's de koffieautomaat gehackt. Je kunt er tegenwoordig een Rik special kiezen op het touchscreen. En mijn foto staat op het scherm." Een onschuldige grap natuurlijk, maar het onderstreept volgens hem wel dat uitbaters zich bewuster moeten zijn van de bescherming van deze automaten. "Ze draaien vaak op oude software, en het is heel gemakkelijk om in deze systemen te komen en er interessante informatie uit te halen."

Alle details over hoe zij te werk gaan, willen de ethical hackers niet direct kwijt. "Dat bewaren we liever voor onze presentatie", zegt Neelen. Tegelijk is het geen magie wat hackers, ethische en niet-ethische, doen, al bestaat dit idee soms bij het grote publiek. Van Duijn: "We willen een kijkje in onze keuken geven en laten zien hoe je dit soort dingen kunt onderzoeken. Ook voor ons is het een continu proces van iets niet snappen naar steeds een beetje meer. Achteraf hoor je veelal alleen de verhalen over het laatste stadium wanneer een ethical hacker succes boekt, maar daarvoor zitten ook veel momenten dat we iets totaal niet snappen. Juist dat verhaal willen we ook vertellen."

Benieuwd naar de laatste ontwikkelingen op het gebied van privacy en security? Kom dan naar de Tweakers Meet-up XL Privacy & Security op zaterdag 2 november in Hilversum.