’Hacken’ voor een veilig gevoel

6 april 2000
’Crackers’, de nieuwe computercriminelen, hebben steeds makkelijker toegang tot
systemen en netwerken van bedrijven. De ’ethische hackers’ van Esire bestrijden
de risico’s van de Nieuwe Economie.
De grotere afhankelijkheid van technologie en explosieve groei van handel en communicatie over het Internet, maakt ondernemingen kwetsbaarder voor computercriminaliteit. „Tien jaar geleden”, zegt Ton van der Putte, „had je als hacker diepgaande systeemkennis nodig. Nu kan een scholier met een van Internet geplukte interface een ’Denial of Service’-aanval (Dos) uitvoeren.”
Van der Putte is één van de ’ethische hackers’ van Origin-dochter Esire te Baarn. Hij en zijn collega Guido Crucq hacken ethisch, of: verantwoord. In de voortdurende strijd die gaande is tussen beveiligingsspecialisten en hackers, kiezen ze de kant van de klant. Tot op zekere hoogte is de drijfveer van Esire dezelfde als die van echte hackers of crackers. „Voor zover ze zich ten doel stellen Internet veiliger te maken, tenminste”, zegt Crucq.
Geen enkel systeem of netwerk is waterdicht of onkraakbaar, zeggen beide heren. „Als er maar genoeg tijd en energie in wordt gestoken, kom je overal doorheen”, zegt Crucq. „De onwaarschijnlijk grote hoeveelheid informatie en gebruikersvriendelijke tools die op Internet aanwezig zijn, hebben het hacken van karakter veranderd. Voor elke nieuwe softwarerelease is er binnen de kortste keren een nieuwe tool beschikbaar om er in door te dringen.” Van der Putte: „Hackers hoeven niet meer te weten wat er ’onder water’ gebeurt. Ze geven gewoon de opdracht een bepaalde poort te ’gijzelen’.”

Bedrijven maken het de crackers wel gemakkelijk met de informatie die ze op Internet laten slingeren, menen Van der Putte en Crucq. Van der Putte: „Het is ongelofelijk hoeveel informatie op Internet aanwezig is over de systemen en netwerken waarvan de eigenaren en de beheerders denken dat ze goed zijn afgeschermd. Hackers krijgen die informatie relatief gemakkelijk boven water. Hoe meer informatie de inbrekers verzamelen, hoe kwetsbaarder het netwerk wordt.”
Crucq geeft een voorbeeld. „Een cracker vindt ergens op het systeem of een site de naam van de beheerder. Met die naam gaat hij op Internet verder zoeken en komt erachter dat de beheerder in een nieuwsgroep allerlei vragen heeft ’gepost’ over een bepaald type firewall. Dan zou het weleens kunnen dat hij zelf zo’n firewall gebruikt. Het is één van vele manieren waarop er informatie over de systemen, de servers, het netwerk en de omgeving wordt verzameld.” Van der Putte: „Ze lopen de hele keten af en als er maar ergens een klein uiteindje los zit, trekken ze eraan. Net zolang tot de hele kluwen is ontward.”
De ethische hackers van Esire doen hetzelfde als ’echte’ hackers maar met een ander doel. „Op basis van de informatie die een intensieve aanval van een hacker-team oplevert, kan de klant de afweging maken welke risico’s hij aanvaardbaar vindt en welke niet”, zegt Crucq. „We leggen de zwakke plekken en potentiële lekken bloot. Ook wijzen we klanten bijvoorbeeld op de rondslingerende informatie op Internet.” Een ’aanval’ wordt wel gezien als de lakmoesproef van een (nieuwe) applicatie, product, systeem of netwerk.
Nieuw in de aanpak van Esire is een combinatie van twee bestaande aanvalsmethoden: de Black Box en de Crystal Box. Van der Putte: „Beide methoden worden door hacker-bestrijders toegepast. De Crystal Box-methode houdt in dat de aanvallende partij vooraf uitgebreid wordt geïnformeerd over infrastructuur, systemen en beveiligingsmethoden. Bijna op het niveau van de systeembeheerder wordt er informatie verstrekt, soms met netwerkadressen en al.”
„De Black Box-aanpak lijkt het meest op wat echte hackers doen”, zegt Crucq. „Zonder enige informatie vooraf, gaat men aan de slag. Je krijgt dan een reeël beeld van wat hackers met jouw systemen kunnen beginnen. De Black Box is wel een tijdrovende manier. Met de Crystal Box kunnen de beveiligingsmaatregelen stuk voor stuk op de proef worden gesteld en is dus een stuk efficiënter.”

„Wij hebben een methode opgezet waarin we een mix maken van beide methoden en de sterke kanten combineren”, zegt Van der Putte. „Een zeer ervaren consultant gaat met de klant praten en krijgt alle informatie over de infrastructuur en netwerkomgeving van de klant. Hij krijgt te horen waar de systemen staan, hoe ze zijn beveiligd en welke versies er draaien. Hij is de zogeheten observator. Hij selecteert uit de gelederen van Origin de leider van het aanvalsteam. Deze teamleider krijgt summier te horen wat het doel van de aanval zal zijn. Op basis van die informatie stelt hij een driekoppig team samen uit een poule van 35 deskundigen. De samenstelling van elk team hangt af van wat er bij de klant aan systemen aanwezig is.” Allemaal hebben ze volgens Van der Putte affiniteit met hacken, een ’semi-hacker achtergrond’ noemt hij het.
Voordat het tot een aanval komt, zijn er een strakke planning en uitgebreide afspraken gemaakt. Een Dos-attack zal bijvoorbeeld alleen ’s avonds worden uitgevoerd. Een systeembeheerder die merkt dat er iemand aan het snuffelen is, zal niet de stekker uit het systeem trekken, de gebruikelijke reactie bij een aanval.

Op het Origin-hoofdkantoor in Utrecht wordt een ruimte ingericht met alle voor de aanval relevante apparatuur en voorzieningen. Het team komt samen als er een moment is gevonden waarop alle leden tegelijk beschikbaar zijn. Vervolgens wordt er binnen een vooraf afgesproken tijdsbestek, bijvoorbeeld vijf dagen, intensief geprobeerd binnen te dringen. De observator zit erbij, maar zegt niks. Hij volgt de verrichtingen van het team en maakt aantekeningen.”

Esire heeft inmiddels een tiental aanvallen uitgevoerd. „Echt binnendringen is nog niet gelukt, maar dat komt door de korte beschikbare tijd”, zegt Van der Putte. „Als we een lek identificeren en we weten dat er nog vier dagen programmeren nodig zijn om echt binnen te dringen, dan stoppen we. We geven dan alleen een visitekaartje af en zoeken de volgende zwakke plek.” Zwakke plekken en ingangen worden in bijna alle gevallen gevonden.
„Na afloop van de aanval evalueert het team met de observator het verloop van de actie”, zegt Crucq. „Vervolgens is er een workshop met zoveel mogelijk ter zake deskundigen van de klant. Daar presenteert het team wat ze zijn tegengekomen, de zwakke plekken en de potentiële gevaren. Gezamenlijk wordt er dan naar oplossingen gezocht om de gaten te dichten. Een uitgebreid evaluatierapport vormt de afsluiting.”
De workshop is voor Crucq het leukste onderdeel van het hele proces. „De klant kan niets ontkennen, het zijn de feiten. Na de verbazing gaat men zeer oplossingsgericht aan de slag.” Er ontstaan volgens Van der Putte boeiende discussies, die verschillende groepen bij de klant bij elkaar kunnen brengen.”

„Onze bevindingen aangaande veiligheid en hackerbestendigheid van systemen zijn zeker niet als gemiddelde te beschouwen”, zegt Crucq: „Klanten, van Internet service providers tot banken, hebben allemaal fors geïnvesteerd in en goed nagedacht over de beveiliging van hun systemen. Ze vragen ons de proef op de som te nemen. Ze willen gerust worden gesteld. In veel gevallen is de conclusie inderdaad, dat als er geen nieuwe instrumenten op Internet verschijnen en andere aanvalsmethoden bij komen, het systeem veilig is. Maar het is een continu proces. En één fout bij onderhoud of een implementatie kan de deur weer wagenwijd open zetten.”

Automatisering Gids • cna • 07-04-’00
Guido Crucq (links) en Ton van der Putte hacken ’ethisch’ in dienst van Origin-dochter Esire. FOTO: JAN VAN IJKEN
 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!