Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Tweakers Events

Leren van ethical hackers Wesley en Rik: "Wat wij doen is geen magie"

10-10-2019 • 08:00

15 Linkedin

Toegegeven, als ethical hacker zit je vaak lang naar een scherm te staren. Toch gebeurt er van alles. Wesley Neelen en Rik van Duijn, ethical hackers bij KPN Security, geven op de Tweakers Meet-up XL Privacy & Security een kijkje in hun bestaan. "Hacken is soms heel gemakkelijk."

Vorig jaar verzorgde het duo Neelen en Van Duijn ook al een presentatie tijdens de Tweakers Meet-up XL Privacy & Security. Er werd destijds flink wat afgelachen; bizarre anekdotes waarin it-gebruikers en systeembeheerders figureren, passeerden de revue. Bijvoorbeeld over die ene keer dat ze per ongeluk een voip-gesprek afluisterden tussen een directeur en zijn secretaresse. Of over hoe de pentester bij de klant altijd de schuld krijgt als daar iets misgaat. "Zelfs als de prullenbak in de fik vliegt, heb jij het gedaan." Dit jaar keren de twee hackers terug op hetzelfde evenement met een nieuw verhaal, waarbij ze meer de techniek in duiken en hun ervaringen als onderzoeker gaan delen.

Oeps, het ziekenhuis ligt plat

Wat de verhalen van Neelen en Van Duijn zo onweerstaanbaar maakt, is dat ze ook hun fouten durven toe te geven. Fouten waar ze ook weer van leren. Met de nodige zelfspot vertelt Neelen bijvoorbeeld over hoe hij eens een dictionary attack inzette met een lijst van vijf verschillende wachtwoorden - "het grove geschut, want op een gegeven moment wil je gewoon binnenkomen" - maar daarbij even vergat dat accounts bij een klant na drie foutieve inlogpogingen blokkeerden. Hierdoor werden belangrijke applicaties van de klant onbereikbaar. En Van Duijn maakte eens mee dat alle servers in een ziekenhuis anderhalve minuut offline gingen en hij het even flink benauwd kreeg. "Ik wel, de systeembeheerders bleven juist heel relaxed. Die hadden gelukkig de fail-over heel goed ingericht."

'Offensieve dienstverlening' is in grote lijnen de omschrijving van het werk van de ethical hackers. Klanten huren hen in om inzicht te krijgen in hun kwetsbaarheden, waarbij Neelen en Van Duijn onder meer pentests uitvoeren, maar ook kijken naar social engineering. Dat laatste kan betekenen dat ze bijvoorbeeld een phishingmail sturen naar de organisatie om medewerkers te verleiden tot het klikken op een bepaalde pagina of het openen van een backdoor. De resultaten worden meegenomen in een presentatie. Dit is niet alleen leerzaam voor de medewerkers van een klantorganisatie, maar meer dan eens ook voor de hackers zelf.

Gebruikers kunnen je laten schrikken

Van Duijn noemt een presentatie waarbij een medewerkster vroeg: "Het bedrijfsnetwerk is toch supergoed beveiligd?" Waarop zij een bevestigend antwoord kreeg van de systeembeheerder van het bedrijf. "Dat is mooi, want ik stuur altijd alle mails die ik thuis krijg en die ik niet vertrouw naar mijn werk om ze daar te openen, want hier is het superveilig!" Van Duijn: "Eigenlijk best een logische gedachte. Ze dacht gewoon: ik heb maar een thuiscomputertje, ik stuur gewoon alles door, want op mijn werk hebben ze het veilig geregeld. Voor de systeembeheerder was het echter even schrikken toen hij dit hoorde, haha."

Tijdens de Tweakers Meet-up XL Privacy & Security op 2 november aanstaande komen meer van dit soort verhalen voorbij, maar de sprekers laten ook zien waarmee zij in het afgelopen jaar bezig zijn geweest. Neelen: "We hebben onder meer onderzoek gedaan naar betaalverzoekfraude, bijvoorbeeld met Tikkie en Marktplaats. Daarvan hebben we veel geleerd. We weten inmiddels welke tools de fraudeurs gebruiken en wat hun trucjes zijn. Ze gaan ook steeds verder. Als klant kun je inmiddels zelfs complete online cursussen kopen waarin je krijgt uitgelegd hoe je betaalfraude pleegt en hoe je er geld mee verdient.”

Een kiosk is zo gehackt

Iets waarover de sprekers ook willen vertellen, is de kwetsbaarheid van kiosken in publieke ruimtes, zoals kaartjesautomaten en snackautomaten. Op het kantoor van KPN Security is het overigens een populaire sport geworden. Van Duijn: "Toen ik terugkwam van mijn vakantie hadden mijn collega's de koffieautomaat gehackt. Je kunt er tegenwoordig een Rik special kiezen op het touchscreen. En mijn foto staat op het scherm." Een onschuldige grap natuurlijk, maar het onderstreept volgens hem wel dat uitbaters zich bewuster moeten zijn van de bescherming van deze automaten. "Ze draaien vaak op oude software, en het is heel gemakkelijk om in deze systemen te komen en er interessante informatie uit te halen."

Alle details over hoe zij te werk gaan, willen de ethical hackers niet direct kwijt. "Dat bewaren we liever voor onze presentatie", zegt Neelen. Tegelijk is het geen magie wat hackers, ethische en niet-ethische, doen, al bestaat dit idee soms bij het grote publiek. Van Duijn: "We willen een kijkje in onze keuken geven en laten zien hoe je dit soort dingen kunt onderzoeken. Ook voor ons is het een continu proces van iets niet snappen naar steeds een beetje meer. Achteraf hoor je veelal alleen de verhalen over het laatste stadium wanneer een ethical hacker succes boekt, maar daarvoor zitten ook veel momenten dat we iets totaal niet snappen. Juist dat verhaal willen we ook vertellen."

Benieuwd naar de laatste ontwikkelingen op het gebied van privacy en security? Kom dan naar de Tweakers Meet-up XL Privacy & Security op zaterdag 2 november in Hilversum.

Koop je ticket

meer-informatie-transparant

Reacties (15)

Wijzig sortering
"Toen ik terugkwam van mijn vakantie hadden mijn collega's de koffieautomaat gehackt.
Haha, op school hebben wij dezelfde automaten. Als ICT-ers hebben wij hetzelfde gedaan. Echt moeilijk is het niet, het standaard wachtwoord staat gewoon op de downloadbare handleiding 8)7
Liep ik vroeger interessant te doen met de Cola-automaat door op 4 2 1 3 (drinkenvolgorde) de diagnostische info uit te lezen. Staat er blijkbaar tegenwoordig gewoon Windows op dit soort spul :-P.
Ik ben benieuwd of dat bij de snoep automaat op school ook werkt..
Dit moet ik nu wel uitproberen, gratis snoep is altijd toegestaan! _/-\o_
Pas op, er zijn al mensen ontslagen omdat zij slechts 1 reep uit de automaat haalden. :)
Over gehackt- ballen gesproken: nieuws: Gebruikersgegevens Nederlands prostitutieforum zijn via vBulletin-lek...

Ik zeg scheidingsadvocaat... daar valt binnenkort nog wat extra brood te verdienen. :+
Het zijn nooit de hackers die de uiteindelijke legitieme poen verdienen... ;)
Jammer dat de early bird en het regular met boek al zo snel zijn uitverkocht, binnen 2 uur na publicatie.
Was leuk geweest, de regular met boek combi. Nouja, dan maar regular zonder boek :/
Hacken staat vaak gelijk aan RTFM (Read The F___ing Manual).

Hacken === free snacks :)
Ja, ja! Zo’n leuk artikeltje over hacken en dan van die grote buttons onder het artikel "Koop je ticket"...

Dacht het niet! ;)
Hmm jammer. Wat ik wel goed vind is dat dit echt een anti-clickbait-titel is. Bravo, Tweakers! En ik klikte er juist wel op. Veel kranten kunnen hierin nog iets leren van Tweakers.
Vgm bedoeld Stinky9, dat je het op kan vatten als een soort phishing link ;)
leuk stukje niet te zwaar :)
Je kunt ook basic-fit hacken full member schip geven sst want het draait op Windows server.
Jammer dat het op een zaterdag is; dit had ik heel mooi van mijn studiebudget onder werktijd kunnen doen :+

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True