Bestaat je wachtwoord uit de naam van je echtgenoot of kind, aangevuld met zijn of haar geboortedatum? Denk daar nog eens goed over na, want het brengt niet alleen je eigen privacy in gevaar. Kwaadwillenden kunnen er wellicht ook mee in de systemen van je werkgever inbreken. Niels Loozekoot, ethical hacker en wachtwoord-expert bij PwC: “Ook al heb je een ijzersterk wachtwoord, je hebt er niks aan als je het ook gebruikt in de sportschool die net gehackt is.”
Soms is het net als in de film. Het offensive team van PwC, waarvan Niels één van de leden is, is druk met het hacken van allerlei bedrijfssystemen. Dat doet het, anders dan in Hollywood, uiteraard niet om bedrijfsgevoelige informatie te stelen, maar om bedrijven te tonen waar de kwetsbaarheden in hun beveiliging zitten. Dat is niet alleen spannend werk, het dient ook een maatschappelijke functie, stelt Niels.
Cybersecurity krijgt te weinig aandacht
Grote ondernemingen komen niet voor niets naar het team toe. Ze werken proactief aan hun veiligheid, of zijn door schade en schande wijs geworden. Hoewel zowel de publieke als de private sector veel meer aandacht heeft voor cybersecurity dan pakweg drie jaar geleden, vinden er nog altijd veel schadelijke inbraken en aanvallen plaats, vaak met flinke (imago)schade. Niels: “Er is vaak te weinig aandacht voor security. Bedrijven zijn zich niet altijd bewust van de risico’s. Ze leven in de veronderstelling dat ze goede, ervaren programmeurs hebben ingehuurd om een applicatie te bouwen, en daar vertrouwen ze op. Als wij dan binnen tien minuten al drie lekken hebben gevonden, is dat heel teleurstellend voor ze. Maar dat komt louter doordat er geen aandacht aan is geschonken. Security moet onderdeel van het proces zijn, vanaf het begin van het ontwerp. Die erkenning ontbreekt nog weleens.”
‘Offensive team’ klinkt net zo aanvallend als de term bedoeld is, bevestigt Niels. “Ons team probeert“We escaleren onze privileges. Het enige dat we niet doen, is data stelen, versleutelen of verwijderen."
kwetsbaarheden te vinden, net zoals een hacker dat zou doen. Na onze acties geven we vervolgens advies om de systemen veiliger te maken.” De acties van het team zijn inderdaad prima te vergelijken met die van een hacker. “We escaleren onze privileges. Het enige dat we niet doen, is data stelen, versleutelen of verwijderen. Daarbij houden we ons aan richtlijnen en blijven we binnen de norm van wat normaal wordt gevonden. Als we bijvoorbeeld bij paspoortgegevens kunnen, zullen we er hooguit eentje ophalen om te bewijzen dat het kan. Alle paspoorten eruit halen, zou onethisch zijn.”
Gaan wachtwoorden verdwijnen?
Niels is van jongs af aan geïnteresseerd in hoe techniek in elkaar steekt. Als je de werking ervan onderzoekt, kom je vanzelf tegen wat er niet aan het ontwerp deugt. Op z’n elfde begon hij al met programmeren, voornamelijk van kleine spelletjes. “Dan werd ik gewezen op de gevoeligheid van die applicaties. Dat hield me wel bezig. Ik ben er steeds dieper in gedoken en mijn ambitie groeide verder. Daarbij keek ik vooral naar hoe ik anderen kon helpen om applicaties veilig te houden.”
De voorliefde voor cybersecurity richt zich bij Niels vooral op het gebruik van wachtwoorden. “Wachtwoorden gaan iedereen aan, want iedereen heeft ze. De zwakste schakel in het systeem is de mens, en met hem zijn wachtwoorden. Via een wachtwoord inbreken in een systeem is vaak de makkelijkste manier. Mensen zijn logische wezens; een wachtwoord moet goed te onthouden zijn, vinden we. We zijn geneigd om cijfers een betekenis te geven; geboortedata, jaartallen, postcodes, dat soort cijfers.”
Het inmiddels gangbare systeem van automatisch gegenereerde wachtwoorden is een hele verbetering, vindt ook Niels. “Maar idealiter willen we naar een wereld waar we geen wachtwoorden gebruiken, want in de kern vormen ze geen ideale oplossing.”
Als wachtwoorden verdwijnen, hoe ziet de beveiliging van je gegevens er dan uit? Daarvoor is er tweefactor-authenticatie. Je kunt ook een soort USB-stick in de computer zetten die willekeurige wachtwoorden genereert. Niels: “Een wachtwoord is iets dat we kennen, maar een mobieltje is iets dat we hébben. Het is voor een inbreker makkelijker om allerlei wachtwoorden te proberen, dan om fysiek in te breken en een USB-stick te stelen. Als je zo’n beveiliging combineert met een pincode, ben je al een stuk veiliger.”
QR-codes zijn kwetsbaar
Niels geeft een voorbeeld. “Neem een applicatie waarbij je een QR-code kunt scannen om met je mobiel te linken. Als iemand die url onderschept, is hij in staat om via die gestolen code in te loggen onder de naam van die persoon, en hoeft hij geen authenticatie te gebruiken. Dat doen aanvallers via een cross site scripting-aanval: iemand opent een website en daarbij wordt een stukje malafide code geladen. Het verzoek om de QR-code op te halen wordt vervolgens doorgestuurd naar de server van de aanvaller.”
Een dergelijk geval kwamen Niels en collega’s onlangs tegen. “Via zo’n QR-code, van een extern account, waren we in staat om de webserver over te nemen. We konden via het internet toegang krijgen tot het interne netwerk van het bedrijf. Dat is heel schadelijk, dus we waren er best trots op dat we dat gat hadden gevonden.”
Dat de kwetsbaarheden op de meest onverwachte plekken zitten, heeft het offensive team wel geleerd. Maar hoe gaat het team te werk bij een opdracht? Het begint allemaal met oriëntatie, benadrukt Niels. “Waar kijken we nu naar? Is het een webapplicatie? Draait het op Linux of Windows? Heeft het softwarepakket al eerder kwetsbaarheden laten zien? Binnen applicaties kunnen bepaalde velden of functionaliteiten gevoelig zijn, bijvoorbeeld bij het uploaden van bestanden. We wijzen natuurlijk op deze kwetsbaarheden, en het gaat ook de goede kant op. Maar we komen nog altijd grote fouten tegen.”
Hacktivisten in Rusland
Het team is zich ook bewust van zijn maatschappelijke taak. Dat fabrieken en industriële ondernemingen achterlopen op het gebied van cybersecurity is een publiek geheim, maar het wordt pas echt gevaarlijk als hackers verder kijken. “In het begin van de oorlog werden Russische banken platgelegd door hacktivisten. In de VS is al een oliemaatschappij stilgelegd door een ransomware-aanval, zodat in de grote delen van het land mensen niet konden tanken. Dat zijn serieuze problemen, net als de Stuxnet-aanvallen op nucleaire installaties.” “Kennis over cybersecurity is overal op het web te vinden. Als je je daarin verdiept, kun je als jongere veel ervaren mensen te slim af zijn. Maar ik wil ze altijd waarschuwen. Je komt gewoon voor de rechter, als je gepakt wordt.”
Om een vinger aan de pols te houden, is Niels actief op allerlei fora. Daar ziet hij ze langskomen: jonge jongens die manieren zoeken om op de server van hun school cijfers te veranderen, of die voor de grap een site hacken. “Kennis over cybersecurity is overal op het web te vinden. Als je je daarin verdiept, kun je als jongere veel ervaren mensen te slim af zijn. Maar ik wil ze altijd waarschuwen. Je komt gewoon voor de rechter, als je gepakt wordt.”
Het team voert ook audits uit voor organisaties die DigiD willen gebruiken. Daarbij vinden Niels en collega’s regelmatig lekken. “Dat vind ik een goede motivatie om dit werk te doen. Het is mooi werk, met maatschappelijke impact.”
Iedereen is technisch geschoold
Het cybersecurityteam van PwC, dat naast het offensive team nog een aantal afdelingen telt, is een goede omgeving om in te werken, zegt Niels. “Het is een fijn team. Dat komt ook omdat niet alleen de medewerkers, maar ook het management technisch geschoold is. Zelfs onze HR-manager heeft een breed technisch examen gedaan, zodat hij weet waar hij naar zoekt. Dat zorgt ervoor dat je hier erg goed wordt begrepen.”
Heb je ook een voorliefde voor cybersecurity? En ben je benieuwd welke kansen werken bij PwC biedt? Dan komen we graag met je in contact. Kijk ook eens op www.pwc.nl/nl/carriere
Dit artikel is geen redactioneel artikel, maar gesponsord en tot stand gekomen dankzij PwC en Tweakers Partners. Dit is de afdeling binnen Tweakers die verantwoordelijk is voor commerciële samenwerkingen, winacties en Tweakers events zoals meet-ups, Developers Summit, Testfest en meer. Kijk hier voor een overzicht van alle acties en events. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen].
:strip_icc():strip_exif()/u/523465/crop56fab1f161b64_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/122141/ic.tweakimg.net2.jpg?f=community){kind=small}
:strip_exif()/u/54579/Static.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/307988/crop5d386ba3e3a93_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/71414/images.jpg?f=community){kind=small}
:strip_exif()/u/467778/crop5d7a5dd1f296a.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/321031/crop572f5527b6acf_cropped.jpeg?f=community){kind=small}
/u/57387/claimedavatar-70.png?f=community){kind=avatar}
:strip_icc():strip_exif()/u/32282/ik0n.jpg?f=community){kind=small}