Waarom ethische hackers de Sherlock Holmes’ van cyberbeveiliging zijn

Heb je je ooit afgevraagd hoe het zou zijn om een cybercrimineel te zijn? Wel, als ethische hacker wordt die fantasie werkelijkheid en mag je in de schoenen van een echte hacker gaan staan.

Niet alle hackers zijn per definitie slecht. Maar ze hebben hun slechte reputatie te danken aan de mainstream media. Hoewel ze dezelfde vaardigheden, opleiding en creatieve manier van denken hebben, hebben malafide hackers de titel “hacker” opgeëist. Gelukkig is de perceptie aan het veranderen.

Vandaag worden ethische hackers, ook wel ‘white hat’ hackers genoemd, door velen gezien als een onmisbare schakel bij het testen van IT-beveiligingssystemen. Door 24/7 aanwezig te zijn, kunnen bedrijven hun digitale activa continu en op grote schaal beschermen. Ethische hackers zijn in feite de Sherlock Holmes’ van de cyberbeveiliging, met dit verschil dat ze de zaak al oplossen nog voor iets gebeurd is.

Maar wie zijn deze zogenaamde Sherlock Holmes’? En waarom zetten ze hun expertise in voor de goede zaak? Om daar achter te komen, sprak DutchCowboys met GangsterSquad (@StanFaas), een ethische hacker die bug bounty-platforms gebruikt om in opdracht van bedrijven naar beveiligingslekken te speuren.

Vertel ons eens hoe je bij hacken terechtkwam?

Hacken heeft me altijd al geïnteresseerd. In 2011 ontdekte ik de Capture the Flag-wedstrijden (CTF) en later koos ik voor een carrière als ontwikkelaar. Via een collega kwam ik uiteindelijk bij PicoCTF terecht, een gratis opleidingsprogramma over computerbeveiliging, en Hack the Box. In 2020 ontdekte ik ‘bug bounty’, waarbij een geldelijke beloning wordt uitgeloofd aan de persoon die een fout of kwetsbaarheid in hun computerprogramma of -systeem vindt en een bedrijf daarop attent maakt. Ik verspilde geen tijd meer aan CTF en sprong meteen in de bug bounty-scene.

Wat was de meest opmerkelijke kwetsbaarheid die je hebt gevonden?

Ik heb een aantal echt coole kwetsbaarheden gevonden, maar de meest opmerkelijke is die waar ik het hele beveiligingscamerasysteem overnam van het hoofdkwartier van een van mijn doelwitten in 2020.

Ik had toegang tot maar liefst acht camera’s die de hele binnenkant van hun kantoor bestreken. Ik nam snel een screenshot van wat ik zag, bewerkte de foto door er “SMILE” op te schrijven en meldde het probleem op het platform van Intigriti. Ik meldde het rond 2 uur ’s nachts en de volgende ochtend was mijn melding al geaccepteerd en betaald. Het was echt een geweldige ervaring!

Denk je dat er vandaag de dag nog steeds misvattingen bestaan over de rol van ethische hackers? Zo ja, hoe denk je dat daar verandering in kan komen?

Ja, behoorlijk wat. Veel mensen begrijpen ethisch hacken niet of willen het niet begrijpen. Een hacker wordt vaak erg negatief bekeken door het beeld dat ervan wordt geschetst in de mainstream media. Ik denk dat we als community voor IT-beveiliging meer bewustzijn en bezorgdheid moeten verspreiden en het taboe op hackers moeten doorbreken.

Welke tips zou je bedrijven kunnen geven om zich te beschermen tegen cyberdreigingen?

Ik zou hier eindeloos veel tips kunnen geven! Als ik er dan toch enkele zou moeten kiezen, zou ik zeggen:

1. Zorg ervoor dat je toegewijde mensen hebt die zich bezighouden met cyberbeveiliging. Zelfs als je een klein bedrijf bent, zorg er dan voor dat één persoon wat tijd besteedt aan de bescherming van de bedrijfsactiva.
2. Maak je werknemers ervan bewust dat phishing een van de meest voorkomende manieren is om gehackt te worden. Leer hen om geen e-mailbijlagen van onbekende bronnen te openen, en om altijd driedubbel te controleren voor ze op een link klikken en hun inloggegevens invoeren.
3. Houd je software up-to-date. Software-updates bevatten niet alleen nieuwe functies en mogelijkheden, maar ook vaak beveiligingspatches en nieuwe beveiligingsfuncties.
4. Tot slot, gebruik zo min mogelijk verschillende platforms. Hoe meer platforms je moet beheren, hoe meer inspanningen je moet leveren om alles goed te beheren, dus het is beter om waar mogelijk te centraliseren.

Verwelkomen bedrijven vandaag bug bounty-programma’s anders dan, laten we zeggen, een jaar of vijf geleden?

Het aantal bedrijven dat op de bug bounty-trein springt groeit snel, en dat kan ik alleen maar toejuichen. Volgens mij is dat een ideale manier om de online activa van je bedrijf zeker te stellen. In tegenstelling tot pentests kunnen bedrijven met een bug bounty-programma duizenden ethische hackers inschakelen. Deze beveiligingsexperts moeten dan actief op zoek gaan naar de zwakke plekken in je programma’s en infrastructuur, en ze worden gestimuleerd met premies die gebaseerd zijn op impact en kwaliteit. Er zit ook geen tijdslimiet op, dus je kan je bug bounty-programma het hele jaar door laten lopen.

Welke tip heb je voor iemand die nieuw is in de wereld van InfoSec?

De beste tip die ik kan geven is vooral om geduldig te zijn. Niemand rolt op één dag de InfoSec-scene binnen om meteen aan de top te staan. Het is een proces dat een tijdje kan duren. Het hangt er allemaal vanaf hoe gemotiveerd en toegewijd je bent. Probeer zoveel mogelijk te lezen en te leren. Test wat nieuwe dingen uit en wees niet bang als het niet lukt – je komt er uiteindelijk wel!

Geweldig advies!

Nu de online wereld zich razendsnel uitbreidt, groeit ook het belang van ethische hackers navenant. Bedrijven kunnen een doeltreffende beveiliging niet langer helemaal alleen garanderen als ze willen blijven groeien, het tekort aan vaardigheden willen opvangen en binnen de toegewezen budgetten willen blijven.

[Fotocredits – ako photography © Adobe Stock]