Ethische hacker Inti De Ceucelaire vertelt vanwaar de grootste dreigingen zullen komen de volgende 5 jaar , wat de beste tips zijn voor jouw securityteam en wat je moet doen als je (nog niet) gehackt bent.
Wanneer een Belg - die Google, Yahoo, Facebook, Playstation en zélfs de Twitteraccount van President Trump hackt - de Most Valuable Hacker prijs wint op de HackerOne conferentie, dan denken wij dat het hoog tijd is voor een interview over online veiligheid!
Copyright: HackerOne
De securitysituatie in ons land is een pak minder triest dan vijf jaar geleden. We zijn er de laatste jaren enorm op vooruit gegaan en dat kan ik alleen maar toejuichen. Ook op juridisch vlak bijvoorbeeld: GDPR dwingt bedrijven tot veilige opslag van persoonsgegevens en ethical hacking is eindelijk legaal. Grote belgische banken en winkelketens werken intussen samen met ethische hackers. Het werk zal nooit volledig gedaan zijn, maar we zijn op de goede weg en dat is wat telt.
Net niet. Bedrijven willen hun persoonlijke gegevens beter gaan beschermen en schakelen daardoor net vaker ethische hackers in. Zelf beperkt je de persoonlijke gegevens die je als hacker mogelijk kan tegenkomen tot een strict minimum. Bovendien zijn er steeds duidelijke afspraken tussen de ethische hackers en bedrijven over wat wel en niet kan. Zo hoeven klanten van bedrijven die samenwerken met ethische hackers niets te vrezen.
Securityproblemen komen voor in elke sector. Financiële instellingen krijgen altijd meer aandacht van hackers omdat kwetsbaarheden in die sector extra gegeerd zijn. Anderzijds hebben die instellingen natuurlijk een groot budget voor veiligheidstesten. In tegenstelling tot lokale handelaars of sportclubs. Puur cijfermatig merk je dan ook dat sectoren die minder gegeerd zijn bij hackers nét meer met veiligheidsproblemen kampen, maar dat de impact bij hen veel kleiner is in het geval van een hack.
Ik merk dat heel veel bedrijven vooral focussen op hun reputatie in het geval van een hack. Vaak vergeten ze dat er ook een sterk kostplaatje aan kan verbonden zijn: de hackers kunnen data verwijderd of onbruikbaar hebben gemaakt. Daarnaast kunnen ook de boetes in geval van ernstige nalatigheid sterk oplopen. Internationaal is dat anders: ik heb bedrijven al honderd euro zien uitbetalen voor een lek dat hun gemakkelijk een paar miljoen euro kon hebben gekost.
Hackers kiezen vrijwel altijd de gemakkelijkste weg. Kwetsbaarheden in je systeem zijn vaak gemakkelijk op te sporen, maar zelfs al is dat waterdicht. Mensen zijn veelal de zwakke schakels. De hacking van de Amerikaanse presidentsverkiezingen in 2016 is begonnen met een door Russische hackers verzonden phishingmail waar één onoplettend partijlid is ingetrapt...
Buitenlandse, simpelweg omdat ze met veel meer zijn. In veel gevallen richten hackers zich niet op specifieke targets. Ze kiezen er vaak niet expliciet voor om Belgische websites te gaan hacken. Ze zoeken gewoon heel gericht naar kwetsbare applicaties en daar duiken dan Belgische in op.
Ga er maar van uit dat er bij praktisch elk bedrijf minstens al pogingen zijn geweest. In elk bedrijf zitten kwetsbaarheden, de vraag is niet of ze misbruikt zullen worden, de vraag is wanneer. Het is vooral de impact van zo’n hack die er toe doet. Bij goed beveiligde bedrijven zullen hackers hopelijk niet al te ver geraken.
Niets is onhackbaar. Ik wil gerust geloven dat er bedrijven zijn die keihard hun best doen om zonder externe hulp de aanvallers te lijf te gaan, maar volledig veilig zullen ze nooit zijn. En zelfs al waren ze dat, ze zullen hoogstwaarschijnlijk nog altijd toolsets en services gebruiken die wél kwetsbaarheden kunnen bevatten.
"IT-studenten die vandaag afstuderen
weten te weinig over securityproblemen.
In de meeste vakken besteden ze
er hoogstens enkele lessen aan."
Ja. Software security is enorm moeilijk. De IT’ers die vandaag afstuderen, zijn naar mijn mening ook onvoldoende ingelicht over veiligheidsproblemen. In de meeste vakken wordt daar hoogstens enkele lessen aan besteed. Wie echt op de hoogte wilt zijn over hoe je iets waterdicht moet maken, moet daar vrijwel elke dag mee bezig zijn. En zelfs dan lukt het soms niet: zo ontdekte ik vorige week nog een ernstig beveiligingslek in mijn eigen code. Gelukkig heb ik dat zelf ontdekt. Fouten maken is menselijk, maar het vergt extra inspanningen om ze actief op te sporen en te verbeteren.
Één: Persoonsgegevens boven alles. Als klant vertrouw je je gegevens toe aan een bedrijf en verwacht je dat daar veilig mee wordt omgesprongen. Twee: Duidelijke communicatie wanneer er toch iets fout gaat. Het PR team zal steeds proberen zaken mooier voor te stellen dan ze zijn. Ga daar tegenin en wees eerlijk. Drie: elk bedrijf moet voldoende sensibilisatie en best practices doorvoeren bij de eigen werknemers. Je systeem mag nog zo waterdicht zijn, ik heb maar één onoplettende werknemer nodig om binnen te dringen.
Dat is heel moeilijk te voorspellen omdat het security landschap elke dag kan worden omgeploegd. Neem nu vorig jaar toen we plots met een ransomware epidemie zaten. Maar het zijn vooral nieuwe technologieën die nieuwe bedreigingen introduceren: denk maar aan de cloud en the internet of things, om even met buzzwords te strooien.
Die bedrijven bestaan niet, volgende vraag.
Breng je beveiliging op orde. Start met een bug bounty programma. Zo kan je ethische hackers aantrekken die de slechterikken voor kunnen zijn.
Ga er maar van uit dat je bedrijf gehackt is geweest. Stel jezelf de vraag hoe groot de schade zou zijn en wat je er aan kan doen om die schade te verkleinen of de hackers beter op te sporen, bijvoorbeeld door extra logging.
Laat je software regelmatig bekijken door externen. Vaak liggen veiligheidsproblemen voor je neus maar zie je ze niet, nét omdat je al zo gewend bent aan het bedrijf en de workflow.
Geloof het of niet, maar geld is ook een van mijn drijfveren. Met ethisch hacken kan je veel geld verdienen op een legale manier, omdat grote bedrijven premies uitkeren aan hackers die kwetsbaarheden op een verantwoorde manier melden. Natuurlijk vind ik het ook heel plezant, dat primeert.
Sinds ik voor de VRT werk, heb ik niet zo veel tijd om aan hacking te spenderen. Momenteel hack ik alleen nog op hacking events: elke maand worden we met een groep hackers door bedrijven overal ter wereld uitgenodigd om hun software te testen. Volgende maand gaat het door in Buenos Aires. Ik werk vooral toe naar die evenementen.
Moeilijk te zeggen. Moest er een gids zijn over hoe je alles moet hacken, kon elke software volledig veilig zijn. Maar dat is dus niet het geval. Elke hacker is anders en heeft andere skills, maar goed of slecht: uiteindelijk hebben we alletwee hetzelfde doel: binnendringen. Er zijn natuurlijk wel technieken, maar meestal komt er ook een grote portie creativiteit bij kijken. Dat is één van mijn troeven, over het technische luik.
De meeste samenwerkingen starten via een bug bounty platform zoals Intigriti. Elke week komen er wel een paar nieuwe klanten bij. Ik kan me voorstellen dat de meeste bedrijven op z’n minst al op de hoogte zijn van het bestaan van dergelijke samenwerkingen.
Ikzelf probeer gewoon mijn eigen ding te doen. Er is nog heel veel om ontdekt te worden. Ik blijf vooral prutsen met dingen en af en toe draait dat prutsen uit in de ontdekking van een nieuwe kwetsbaarheid. Dan deel ik die met de andere ethische hackers zodat zij hun klanten kunnen inlichten, en vice versa.
Mijn mailbox verklapt dat er enorm veel interesse is in jongeren om ethisch te gaan hacken. Helaas zijn de resources om het te leren eerder beperkt, al zal ik daar binnenkort misschien verandering in brengen.
Ja, absoluut. Ook al heb ik die titel gewonnen. Ik blijf me soms wel klein vinden tegenover andere – legendarische – hackers die toen ook aanwezig waren. Het leuke aan de hacker community is dat we allemaal een beetje naar elkaar opkijken. Iedereen is wel goed in iets. We helpen elkaar vaak als we ergens vast zitten en dat is heel fijn.
EASI. Nodig me gerust uit via Intigriti en ik kom een kijkje nemen!