Ethische hacker Inti De Ceucelaire vertelt vanwaar de grootste dreigingen zullen komen de volgende 5 jaar , wat de beste tips zijn voor jouw securityteam en wat je moet doen als je (nog niet) gehackt bent.
Wanneer een Belg - die Google, Yahoo, Facebook, Playstation en zélfs de Twitteraccount van President Trump hackt - de Most Valuable Hacker prijs wint op de HackerOne conferentie, dan denken wij dat het hoog tijd is voor een interview over online veiligheid!
Copyright: HackerOne
Hoe staan we ervoor?
Hallo Inti, als ethische hacker ken jij de online veiligheidssituatie in België als de beste. Hoe staan onze bedrijven ervoor?
De securitysituatie in ons land is een pak minder triest dan vijf jaar geleden. We zijn er de laatste jaren enorm op vooruit gegaan en dat kan ik alleen maar toejuichen. Ook op juridisch vlak bijvoorbeeld: GDPR dwingt bedrijven tot veilige opslag van persoonsgegevens en ethical hacking is eindelijk legaal. Grote belgische banken en winkelketens werken intussen samen met ethische hackers. Het werk zal nooit volledig gedaan zijn, maar we zijn op de goede weg en dat is wat telt.
Nu je het hebt over GDPR, maakt die nieuwe privacywet het moeilijker voor jou om te opereren?
Net niet. Bedrijven willen hun persoonlijke gegevens beter gaan beschermen en schakelen daardoor net vaker ethische hackers in. Zelf beperkt je de persoonlijke gegevens die je als hacker mogelijk kan tegenkomen tot een strict minimum. Bovendien zijn er steeds duidelijke afspraken tussen de ethische hackers en bedrijven over wat wel en niet kan. Zo hoeven klanten van bedrijven die samenwerken met ethische hackers niets te vrezen.
Over bedreigingen, nu en morgen
Welke sectoren zijn het meest vatbaar voor securityproblemen?
Securityproblemen komen voor in elke sector. Financiële instellingen krijgen altijd meer aandacht van hackers omdat kwetsbaarheden in die sector extra gegeerd zijn. Anderzijds hebben die instellingen natuurlijk een groot budget voor veiligheidstesten. In tegenstelling tot lokale handelaars of sportclubs. Puur cijfermatig merk je dan ook dat sectoren die minder gegeerd zijn bij hackers nét meer met veiligheidsproblemen kampen, maar dat de impact bij hen veel kleiner is in het geval van een hack.
Kunnen bedrijven vandaag voldoende inschatten wat de gevolgen zijn van een hackaanval op hun bedrijf?
Ik merk dat heel veel bedrijven vooral focussen op hun reputatie in het geval van een hack. Vaak vergeten ze dat er ook een sterk kostplaatje aan kan verbonden zijn: de hackers kunnen data verwijderd of onbruikbaar hebben gemaakt. Daarnaast kunnen ook de boetes in geval van ernstige nalatigheid sterk oplopen. Internationaal is dat anders: ik heb bedrijven al honderd euro zien uitbetalen voor een lek dat hun gemakkelijk een paar miljoen euro kon hebben gekost.
Welke dreigen komen het meest voor - en zal dat in de toekomst veranderen?
Hackers kiezen vrijwel altijd de gemakkelijkste weg. Kwetsbaarheden in je systeem zijn vaak gemakkelijk op te sporen, maar zelfs al is dat waterdicht. Mensen zijn veelal de zwakke schakels. De hacking van de Amerikaanse presidentsverkiezingen in 2016 is begonnen met een door Russische hackers verzonden phishingmail waar één onoplettend partijlid is ingetrapt...
Van wie komt de grootste dreiging? Belgische cybercriminelen of buitenlandse?
Buitenlandse, simpelweg omdat ze met veel meer zijn. In veel gevallen richten hackers zich niet op specifieke targets. Ze kiezen er vaak niet expliciet voor om Belgische websites te gaan hacken. Ze zoeken gewoon heel gericht naar kwetsbare applicaties en daar duiken dan Belgische in op.
Wat is volgens jou de kans dat een Belgisch bedrijf wordt gehackt?
Ga er maar van uit dat er bij praktisch elk bedrijf minstens al pogingen zijn geweest. In elk bedrijf zitten kwetsbaarheden, de vraag is niet of ze misbruikt zullen worden, de vraag is wanneer. Het is vooral de impact van zo’n hack die er toe doet. Bij goed beveiligde bedrijven zullen hackers hopelijk niet al te ver geraken.
Kunnen grote bedrijven zichzelf nog beveiligen zonder hulp van externe partners?
Niets is onhackbaar. Ik wil gerust geloven dat er bedrijven zijn die keihard hun best doen om zonder externe hulp de aanvallers te lijf te gaan, maar volledig veilig zullen ze nooit zijn. En zelfs al waren ze dat, ze zullen hoogstwaarschijnlijk nog altijd toolsets en services gebruiken die wél kwetsbaarheden kunnen bevatten.
"IT-studenten die vandaag afstuderen
weten te weinig over securityproblemen.
In de meeste vakken besteden ze
er hoogstens enkele lessen aan."
Is software beveiligen een fulltime job?
Ja. Software security is enorm moeilijk. De IT’ers die vandaag afstuderen, zijn naar mijn mening ook onvoldoende ingelicht over veiligheidsproblemen. In de meeste vakken wordt daar hoogstens enkele lessen aan besteed. Wie echt op de hoogte wilt zijn over hoe je iets waterdicht moet maken, moet daar vrijwel elke dag mee bezig zijn. En zelfs dan lukt het soms niet: zo ontdekte ik vorige week nog een ernstig beveiligingslek in mijn eigen code. Gelukkig heb ik dat zelf ontdekt. Fouten maken is menselijk, maar het vergt extra inspanningen om ze actief op te sporen en te verbeteren.
De tips
Als er 3 dingen zijn waar je als bedrijf niet op mag falen – securitygewijs. Welke zijn dat dan?
Één: Persoonsgegevens boven alles. Als klant vertrouw je je gegevens toe aan een bedrijf en verwacht je dat daar veilig mee wordt omgesprongen. Twee: Duidelijke communicatie wanneer er toch iets fout gaat. Het PR team zal steeds proberen zaken mooier voor te stellen dan ze zijn. Ga daar tegenin en wees eerlijk. Drie: elk bedrijf moet voldoende sensibilisatie en best practices doorvoeren bij de eigen werknemers. Je systeem mag nog zo waterdicht zijn, ik heb maar één onoplettende werknemer nodig om binnen te dringen.
Wat is de grootste bedreiging voor bedrijven de volgende vijf jaar?
Dat is heel moeilijk te voorspellen omdat het security landschap elke dag kan worden omgeploegd. Neem nu vorig jaar toen we plots met een ransomware epidemie zaten. Maar het zijn vooral nieuwe technologieën die nieuwe bedreigingen introduceren: denk maar aan de cloud en the internet of things, om even met buzzwords te strooien.
Heb je een tip voor bedrijven die nog niet gehackt zijn?
Die bedrijven bestaan niet, volgende vraag.
Heb je een tip voor bedrijven die al wel gehackt zijn?
Breng je beveiliging op orde. Start met een bug bounty programma. Zo kan je ethische hackers aantrekken die de slechterikken voor kunnen zijn.
Hoe kan je weten of je bedrijf is gehackt?
Ga er maar van uit dat je bedrijf gehackt is geweest. Stel jezelf de vraag hoe groot de schade zou zijn en wat je er aan kan doen om die schade te verkleinen of de hackers beter op te sporen, bijvoorbeeld door extra logging.
Heb je een tip voor wie werkt als IT-securitymedewerker (of hun baas)?
Laat je software regelmatig bekijken door externen. Vaak liggen veiligheidsproblemen voor je neus maar zie je ze niet, nét omdat je al zo gewend bent aan het bedrijf en de workflow.
Over jou
Voor hackers met slechte bedoelingen is geld meestal de drijfveer. Hoe zit dat jij jou?
Geloof het of niet, maar geld is ook een van mijn drijfveren. Met ethisch hacken kan je veel geld verdienen op een legale manier, omdat grote bedrijven premies uitkeren aan hackers die kwetsbaarheden op een verantwoorde manier melden. Natuurlijk vind ik het ook heel plezant, dat primeert.
Copyright: HackerOne
Hoeveel van je tijd spendeer je nog aan ethisch hacken voor bedrijven?
Sinds ik voor de VRT werk, heb ik niet zo veel tijd om aan hacking te spenderen. Momenteel hack ik alleen nog op hacking events: elke maand worden we met een groep hackers door bedrijven overal ter wereld uitgenodigd om hun software te testen. Volgende maand gaat het door in Buenos Aires. Ik werk vooral toe naar die evenementen.
Welke technieken gebruik jij vaak om te hacken?
Moeilijk te zeggen. Moest er een gids zijn over hoe je alles moet hacken, kon elke software volledig veilig zijn. Maar dat is dus niet het geval. Elke hacker is anders en heeft andere skills, maar goed of slecht: uiteindelijk hebben we alletwee hetzelfde doel: binnendringen. Er zijn natuurlijk wel technieken, maar meestal komt er ook een grote portie creativiteit bij kijken. Dat is één van mijn troeven, over het technische luik.
Zijn samenwerkingen tussen bedrijven en ethische hackers intussen al ingeburgerd in ons land?
De meeste samenwerkingen starten via een bug bounty platform zoals Intigriti. Elke week komen er wel een paar nieuwe klanten bij. Ik kan me voorstellen dat de meeste bedrijven op z’n minst al op de hoogte zijn van het bestaan van dergelijke samenwerkingen.
Hoe leer je bij en blijf je de hackers voor?
Ikzelf probeer gewoon mijn eigen ding te doen. Er is nog heel veel om ontdekt te worden. Ik blijf vooral prutsen met dingen en af en toe draait dat prutsen uit in de ontdekking van een nieuwe kwetsbaarheid. Dan deel ik die met de andere ethische hackers zodat zij hun klanten kunnen inlichten, en vice versa.
Hebben we in België genoeg ethische hackers?
Mijn mailbox verklapt dat er enorm veel interesse is in jongeren om ethisch te gaan hacken. Helaas zijn de resources om het te leren eerder beperkt, al zal ik daar binnenkort misschien verandering in brengen.
We hebben je nog niet gefelicteerd met je prijs van Most Valuable Hacker die je ontving op de HackerOne conferentie, toch de meest prestigieuze prijs die je kan krijgen. Zijn er nog andere ethische hackers waar jij naar op kijkt?
Ja, absoluut. Ook al heb ik die titel gewonnen. Ik blijf me soms wel klein vinden tegenover andere – legendarische – hackers die toen ook aanwezig waren. Het leuke aan de hacker community is dat we allemaal een beetje naar elkaar opkijken. Iedereen is wel goed in iets. We helpen elkaar vaak als we ergens vast zitten en dat is heel fijn.
Copyright: HackerOne
Laatste vraag. Je hebt Google, Yahoo, Facebook, Playstation – de Twitter van Trump al gehackt. Staat er nog iets op je verlanglijstje?
EASI. Nodig me gerust uit via Intigriti en ik kom een kijkje nemen!
Uh ow... ;-) Bedankt voor dat genereuze aanbod en om je inzichten te delen!
