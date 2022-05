Toen tweaker SchizoDuckie vorige maand de private keys van een Azure-adminomgeving van de Belastingdienst ontdekte in een openbare GitHub-repo, stond hij daar al een beetje van te kijken. Toen hij echter probeerde in te loggen én een fiscusmedewerker vervolgens de door hem opgevraagde mfa-prompt bevestigde, was dat toch wel een van de opvallendste keren dat hij bij bedrijven wist binnen te dringen. En dat lukt hem regelmatig. SchizoDuckie is van origine helemaal geen ethisch hacker. Toch doet hij regelmatig aan responsible disclosures op een whitehat-manier, alleen met heel simpele methoden. Het enige wat hij daarvoor doet, is in GitHub-repo's inloggegevens opzoeken die hem veel controle over systemen, netwerken, mailboxen en hele bedrijven kunnen geven. Hij noemt zichzelf daarom ook wel 'the lamest hacker you know'. Hoe lame hij ook zegt te zijn, hij komt opvallend vaak ergens binnen.

Je bent geen professionele hacker. Wat voor werk doe je?

"Ik werk bij een klein bedrijf in Delft dat automatisering doet voor het midden- en kleinbedrijf. Officieel ben ik daar programmeur, maar ik doe onder andere ook devops en alles wat daarbij komt kijken. Systeembeheer laat ik tegenwoordig vooral aan collega's over, maar als er webservers moeten worden ingericht, dan doe ik dat er soms ook nog bij. En ik monitor ons serverpark, zodat alle collega's lekker kunnen doorwerken."

Dat klinkt niet alsof je een specifieke infosec -achtergrond hebt of daar veel mee bezig bent. Hoe begin je dan toch met het zoeken van wachtwoorden?

"Dat begon een paar jaar geleden. Eigenlijk was het heel simpel. Als programmeur en nerd zit je veel op GitHub en kijk je op Twitter rond of je neust door wat forums. Toen zag ik een tweet voorbijkomen waarin iemand zei: 'Als je op deze en deze zoektermen zoekt, dan vind je zomaar wachtwoorden'. Dat ben ik toen gaan proberen, heel eenvoudig: ik zoek op GitHub naar 'bedrijfsnaam+wachtwoord'. Je slaat soms steil achterover van wat je dan tegenkomt en hoe snel je dat vindt. Ik wist eens bij Philips Medical binnen te dringen toen ik op de wc zat en even op GitHub een zoekopdracht deed. In de afgelopen jaren ben ik op die manier blijven werken. Ik heb zo inmiddels van meer dan 500 bedrijven de credentials gevonden om mee te kunnen inloggen."

Informatie over een (verlopen) certificaat dat SchizoDuckie online vond.

Heb je je werkwijze door de jaren heen ook veranderd?

"Nee, eigenlijk niet zo heel veel. Het blijft zoeken in zoekmachines en kijken of je ergens kunt inloggen. Ik ben er denk ik wel beter in geworden, ik vind steeds grotere dingen omdat ik nieuwe trucjes heb bedacht. Ik probeer bijvoorbeeld uit te zoeken waar de interne hostnames van bedrijven staan. Waar staan hun Jira-instance of GitLab-servers? Als je daarop gaat zoeken, kom je in negen van de tien gevallen interessante dingen tegen. Dan kun je bijvoorbeeld een netwerkmap van een hele infrastructuur maken. Of nog beter, die vind je soms gewoon ergens kant-en-klaar."

Dit blijft een 'hobby' voor je. Hoeveel tijd ben je er ongeveer aan kwijt?

"Dat hangt er heel erg vanaf. Soms heb ik een avond niets te doen en zit ik op de bank een beetje op m'n laptop rond te klikken, maar ik heb er verder geen tijdslimiet op zitten. In sommige periodes ben ik er keihard mee bezig, andere keren probeer ik even wat meer op mezelf te letten. Het gaat met ups and downs.

Ik zie wel veel verschillen in hoe lang bedrijven met responsible disclosure bezig zijn. Je hebt bedrijfjes die een probleem drie uur nadat je ze belt al hebben gefixt, maar het komt vaker voor dat bedrijven helemaal niet te bereiken zijn. Dat is vooral zo bij Amerikaanse bedrijven waar je als iemand van overzee ineens naartoe belt. En met grotere bedrijven heb je soms ook de grootste problemen. Met Philips Medical ben ik wel een paar weken bezig geweest met over en weer mailen. Daarbij ging het ook om medische gegevens, dat maakt het lastig, maar dat was wel de meest dramatische procedure die ik heb meegemaakt."

Wat is het gekste dat je bent tegengekomen in die zoektocht?

"Even denken, ik ben de tel inmiddels kwijt, maar het gaat inmiddels al om meer dan 500 bedrijven waarbij ik iets heb gevonden. Het zijn vaak ook grote bedrijven; die herken je al aan de logo's. Het lijkt soms wel dat hoe groter het bedrijf is, hoe groter de kans dat ze ergens op internet hun gegevens laten uitlekken. En je kunt veel vinden. Persoonsgegevens, bankrekeningnummers, vpn-credentials: je kunt het zo gek niet bedenken.

Wat er onlangs bij de Belastingdienst gebeurde, was wel erg apart. Ik heb daarover getweet. Het kwam erop neer dat een medewerker admincredentials van Azure in een private GitLab-repo had staan. Toen ik ze probeerde, kon ik daar niet zomaar in omdat het systeem om multifactorauthenticatie vroeg. Maar toen ik dat aanvroeg, klikte de medewerker erop en kwam ik daadwerkelijk binnen in zijn systeem.

Ook wel apart: een van de repo's waarin ik iets heb gevonden, is mogelijk in de GitHub Arctic Code Vault terechtgekomen. Het ging om repo's waar een ontwikkelaar duizenden bestanden met medische diagnoses en persoonsgegevens in had laten staan. Ik kan dat alleen niet 100 procent verifiëren, want GitHub geeft die officiële lijst niet vrij."

Is het zo slecht gesteld met basic opsec? Waarom denk je dat het zo makkelijk is wachtwoorden zomaar online te vinden?

"Er zitten veel verschillen tussen incidenten. Soms gaat er iets mis door individuele gebruikers die een klein foutje maken, maar je komt ook medewerkers tegen die complete lijsten met wachtwoorden online zetten, of wachtwoorden waarmee je via Ansible hun hele serverpark kunt overnemen.

Toen ik in het vak begon, wist je dat je nooit wachtwoorden moest hardcoden in scripts. Niet dat dat toen nooit gebeurde, maar het lijkt soms alsof een grote groep programmeurs die lessen is vergeten.

Ik vind het heel lastig om te verklaren waar dat door komt. Wat ik inmiddels wel heb gezien, is dat hoe meer bedrijven restricties proberen af te dwingen met tools, hoe makkelijker medewerkers op zoek gaan naar een zijweg om hun werk toch te kunnen doen. Neem dat voorbeeld van de Belastingdienst. Dat was echt geen domme jongen, maar die zet gewoon even snel iets in een privérepository omdat hij verder wil met zijn dag. Trouwens, op GitHub is standaard iedere nieuwe repo publiek dus je moet heel bewust een vinkje zetten. Iedere kleine fout wordt anno 2022 bovendien keihard afgestraft door gasten als ik."

Wat doe je als je zo'n lek vindt? Ga je dan door het uitgebreide responsibledisclosurebeleid heen?

"Meestal begin ik met een mail opstellen. Dat is een concept waarin ik screenshots en logging opneem en beschrijf wat er aan de hand is. Ik probeer wel altijd te samplen wat ik in handen heb, dus hoe serieus een lek is. Het is belangrijk om te weten wat de dreiging is voordat je naar een bedrijf stapt. Als ik bijvoorbeeld een wachtwoord vind dat al is verlopen, dan ga ik dat niet melden. Daarmee verspil je ieders tijd en moeite. Hetzelfde geldt als je ergens binnenkomt, maar een foutmelding krijgt. Dat is minder serieus dan wanneer je een wachtwoord vindt waarmee je in Teams kunt inloggen.

Als ik iets meld, probeer ik altijd iemand aan de telefoon te krijgen. Ik wil niet iets in een inbox droppen en het daarbij laten. Als ik binnenkom in je systeem, is het ook serieus. Dan heb je niet te maken met een xss 'je of zo, maar met iemand die in je servers kan. Dat brengt ook een bepaalde verantwoordelijkheid met zich mee. Als ik bijvoorbeeld in een SFTP-server kan, is het belangrijk dat een bedrijf mijn IP-adres weet en welke bestanden ik heb gedownload. Zo kunnen ze me uitsluiten uit hun logfiles."

Hoever ga je als je een lek zoekt?

"Voor mij houdt het op op het moment dat ik Metasploit of een andere hackingtool zou moeten installeren om verder te komen. Als ik ergens niet uit kom met mijn standaardwebbrowser of mijn FTP-client, ga ik het niet doen. Niet voor niets noem ik mezelf 'the lamest hacker you know'.

Dat is voor mij ook een goede beperking om geen grens over te gaan. Het is een grens voor mezelf; als je een goede, diepgaande scan uitvoert, kun je onbedoeld iets veranderen op een systeem. Ik ga niet op een server kijken of ik via RDP door een netwerk kan navigeren, omdat ik daar geen zin in heb, maar ook wel vanwege die grens. Je kunt er juridische problemen mee krijgen, omdat je dan met meer bezig bent dan alleen een probleem aanduiden. Kijk, als ik een FTP-server vind met daarop twee bestandjes van 2kB of 2MB, dan kijk ik wat er in dat laatste staat, dat is vaak toch interessanter. Ik ga niet die hele server leegtrekken, want dat gaat veel te ver.

Tot nu toe heb ik nog nooit een advocaat achter me aan gehad - even afkloppen. Ik heb wel met ze te maken gehad, maar dat was meer omdat ze wilden verifiëren dat ik data echt verwijderd had vanuit een compliance-standpunt. Als Europeaan heb je in het algemeen meer rechten dan Amerikanen hebben. Ik heb Amerikaanse vrienden die iets soortgelijks doen. Die raken medische gegevens echt niet aan, want dan worden ze helemaal kapotgemaakt met een aanklacht."

Je probeert het dus wel altijd zo 'responsible' mogelijk op te lossen.

Sommige bedrijven moet je heel simpel benaderen met 'hier is je probleem, dit is de oplossing' "Ja, maar dat doe ik niet altijd op dezelfde manier als wanneer ik het via een officieel programma als HackerOne zou laten lopen. Ik leg bedrijven geen eisen op, zoals dat ze een probleem binnen een bepaalde periode oplossen. Ik geef ze advies: zet deze servers dicht, haal deze repo's offline. Dat is vaak ook nodig; ik kom veel bedrijven tegen die nu en ook in de komende vijftien jaar geen responsibledisclosurebeleid hebben. Die moet je simpel benaderen: 'Hoi, hier is jullie probleem, dit is de oplossing.' Het heeft wel een paar jaar geduurd voordat ik daar de juiste toon in heb weten te vinden. Om diezelfde reden vraag ik ook nooit om een beloning. Ik zeg er altijd bij dat een bedankje fijn is om te krijgen, maar dat hoeft niet."

En dat enorme geldbedrag als beloning krijg je natuurlijk regelmatig, toch?

"Nadat ik laatst bij Philips Medical binnendrong, had ik echt veel gevonden. Als ik geen witte pet op had gehad, had hun hele broncode op het dark web kunnen staan. In ruil daarvoor kreeg ik een vermelding op de website. Nou, grote blij hoor! Meestal reageren bedrijven heel dankbaar. Soms krijg je ook rare verhalen te horen. Er was eens een bedrijf dat zich afvroeg waarom ze ineens zo'n hoge rekening hadden gekregen. Bleek er iemand allemaal server instances te hebben gestart in hun serverpark. 'Goed dat je belt; we snapten al niet waar dat vandaan kwam', zeiden ze toen.

Heel soms gaat het ook de andere kant op. Dan bel je een bedrijf en geloven ze je niet als je vertelt wat er aan de hand is. Of ze hangen boos de telefoon op. "Dat is niet van ons", zeggen ze dan als ik ze confronteer met m'n bevindingen. En het komt ook vaak voor dat bedrijven beloven iets leuks op te sturen, maar dat nooit doen."

Wil je dit ooit als werk gaan doen?

"Ik heb er weleens over getwijfeld; het speelt weleens door m'n hoofd. Als je dit echter professioneel gaat doen, moet je heel veel rapporten gaan schrijven en ik heb er al een hekel aan om documentatie voor m'n code te schrijven. Nu kun je dat wel automatiseren, maar ik weet het nog niet. Ik ben nu tegen de veertig en heb nog een kleine 25 jaar te gaan in m'n carrière; ik weet nog niet waar ik terecht ga komen."