Beheer

Security

Zoek, zoek het lek!

13 april 2012

‘De gegevens van honderden klanten van KPN op straat.’ ‘Hackers kraken internetbankieren Rabobank.’ ‘Nu.nl verspreidt virus na hack.’ Dit zijn maar enkele van de berichten die de afgelopen maanden het nieuws beheersten. Organisaties die met privacygevoelige gegevens omgaan, zoals banken, verzekeraars en de overheid, zijn beducht voor de imagoschade die dergelijke incidenten veroorzaken. Ethical hacken kan daarbij helpen.

Wat onderscheidt een ethical hacker?
Ethical hacking is eigenlijk een verdieping van het vakgebied beveiliging, zegt Rob Faber. Hij is IT Enterprise Security Architect bij Achmea en naast allround IT-beveiligingsspecialist ook een gecertificeerd ethical hacker. Hij test de systemen van de verzekeraar, soms met een groepje IT-beveiligers van Achmea zelf, soms samen met externe ethical hackers. Voor het certificaat ethical hacker moet een vergaande beroepscode worden onderschreven. Volgens Faber gaat het om een dunne scheidslijn in een grijs gebied. “Mensen die echt kwaad willen met de technieken die ze zich eigen maken tijdens de opleiding, kunnen daar toch mee aan de slag. Daarentegen is het wel een klein wereldje waarbij mensen elkaar in de gaten houden. Ga je over de schreef en raak je bekend, dan wordt je het certificaat ontnomen.”

Jaarlijks krijgen ruim 5000 mensen wereldwijd het Certified Ethical Hacker (CEH)-certificaat van het EC-Council (www.eccouncil.org), schat International Management Forum (IMF) dat sinds anderhalf jaar de opleiding Certified Ethical Hacking aanbiedt. Om het CEH-certificaat te mogen behouden, verplichten de ethical hackers zich hun kennis en vaardigheden op peil te houden. EC-Council hanteert daarvoor een puntensysteem. De ethical hacker kan punten verdienen door aanvullende trainingen te volgen, maar ook door bijdragen te leveren aan de kennisontwikkeling rond de nieuwste aanvalsmethodieken die malafide hackers toepassen.

Het bijhouden van de kennis is een tijdrovende klus. De schattingen van ethical hackers over deze tijdsinvestering lopen uiteen van 10 tot wel 50 procent van hun werktijd. Harm van Beek bijvoorbeeld, gecertificeerd ethical hacker bij het Nederlands Forensisch Instituut (NFI), zegt de helft van zijn tijd aan kennisvergaring te besteden. Een deel van zijn taak bestaat uit het vervaardigen van softwaregereedschap voor digitale rechercheurs bij politie en opsporingsdiensten. De kennis die hij opdoet kan hij gelijk in die software verwerken. Zijn tijdsinvestering betaalt zich dus vele malen terug door het gebruik van het gereedschap.

Het vakgebied is zo complex en dynamisch dat geen enkele ethical hacker het hele spectrum aan technieken en veiligheidsgebieden volledig beheerst. Een goede ethical hacker specialiseert zich, bijvoorbeeld op Linux-systemen, firewalls of Intrusion Detection Systems.

Wanneer komen ethical hackers in actie?
Henk-Jan Angerman is oprichter en technisch directeur van SECWATCH, een bureau dat in opdracht systemen van klanten ‘kraakt’. Hij schat in dat in ongeveer de helft van de opdrachten systemen vlak voor de oplevering worden getest. Zijn bedrijf voert verder veel tests uit op systemen die al in productie zijn. Het liefst is Angerman betrokken gedurende de hele ontwerp- en ontwikkelingsfase. Vaak valt dat voordeliger uit voor de opdrachtgever omdat beveiligingsadvies kan worden gegeven in de ontwerpfase en eventuele fouten eerder in het ontwikkeltraject aan het licht komen. De noodzakelijke wijzigingen zijn doorgaans makkelijker en dus goedkoper in een vroeg stadium van het ontwikkeltraject aan te brengen dan wanneer het systeem terug moet naar de tekentafel op een moment dat het eigenlijk al in productie moet draaien. Toch neemt nog geen 10 procent van de bedrijven al in de ontwerpfase een beveiligingsspecialist in de arm.

De beroepscode van de ethical hackers schrijft voor dat zij altijd volgens een nauwkeurig omschreven plan te werk gaan en dat alle betrokkenen daarvan op de hoogte zijn. Bedrijven kunnen bijvoorbeeld niet de systemen van hun toeleveranciers scannen om te voorkomen dat er een achterdeur ontstaat. “Zij kunnen hooguit eisen dat een toeleverancier de veiligheid zelf test en inzicht geeft in de rapportages”, zegt Faber.

Geeft een test zekerheid over de veiligheid?
Geen enkele test en geen enkele beveiligingsmethode levert 100 procent garantie dat er niet ingebroken kan worden, luidt het adagium in elke tak van beveiliging. Dat geldt ook voor ethical hacking. Een scan kan op zijn best een risico-inschatting geven voor het moment van afronding van de test. Daarna kunnen er elders nieuwe kwetsbaarheden worden ontdekt die niet in de test zijn meegenomen. Faber: “Je kunt miljoenen euro’s investeren, maar er blijft altijd een restrisico over.” Zeker tegen zero day, of zelfs zero hour exploits - de lekken die pas enkele uren in de hackersgemeenschap bekend zijn - is het uitermate lastig een verdedigingswal op te werpen. “Het komt er dan op neer dat je een goed beleid en goede monitoring van de systemen hebt, zodat een beveiligingsincident snel wordt opgemerkt en er adequaat op kan worden gehandeld”, zegt Faber.

Angerman vertelt zijn klanten dat zij bij een incident ook gelijk open naar hun eigen klanten moeten zijn. Ze moeten laten zien wat zij hebben gedaan om het incident te voorkomen en hoe zij hebben gehandeld om schade te voorkomen. “Daar moet je wel ballen voor hebben, maar imagoschade kan aanzienlijk worden beperkt als je kunt aantonen dat je er werkelijk alles aan hebt gedaan om het incident te voorkomen”, is de ervaring van Angerman.

Wat kost ethical hacking?
Ethical hacking, en zeker wanneer het gaat om een blackboxscenario [zie kader], is een dure aangelegenheid. Hoog aangeschreven specialisten rekenen uurtarieven van 200 tot 300 euro per uur. Een tarief van 90 tot 140 euro is de gangbare marktprijs. Het hangt van de belangen van de opdrachtgever af hoeveel budget er beschikbaar komt om het restrisico zo klein mogelijk te maken.

De speciale cases die het NFI zelf uitvoert kunnen afhankelijk van het belang dat een rechter hecht aan het bewijs, wel maanden in beslag nemen. De medewerkers van het NFI zoeken vooral naar sporen die hackers hebben achtergelaten doordat zij gebruik hebben gemaakt van tools en methoden. Hoewel de meeste onderzoeken door de digitale rechercheurs bij de politie worden uitgevoerd, schakelt de rechter het NFI zelf wel eens in voor een second opinion, of bij een zeer complexe case. Van Beek: “Dat kan bijvoorbeeld zijn het openen van een versleuteld bestand of onderzoek naar het gedrag van een virus.”

De tijd die hij kan besteden wordt vaak eerder beperkt door de voortgang van de rechtszaak dan het budget. De ervaring die met zo’n case wordt opgedaan, kan het NFI immers weer verwerken in de gereedschappen voor de digitale rechercheurs.

Volgens Faber mag de IT-beveiliging bij Achmea ook wel wat kosten, maar er zit een grens aan. “Het blijft elke keer weer een afweging.” Hij maakt zich wel zorgen over de snelle toename van de dreiging. “Vanuit de criminele hoek, maar ook vanuit overheden komen steeds vaker zeer gerichte aanvallen op bedrijven. Het probleem is dat daar heel veel kennis en geld achter zit. Het is een hele nieuwe wereld en het is de vraag hoe daar een verdedigingslinie tegen kan worden opgeworpen. Ik weet dat banken en verzekeraars daar stappen in zetten, maar het blijft een enorme uitdaging.”

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!