Kat-en-muisspel tussen IT Security en hackers
Hacken (is niet) voor dummies
Hackers worden steeds slimmer en gebruiken geavanceerdere technieken, waardoor het ook steeds moeilijker wordt om je als bedrijf hiertegen te wapenen. Joey van den Heuvel van het team IT Security vergelijkt de ‘verdediging’ van a.s.r. weleens met het beveiligen van je huis. ‘Je laat je ramen en deuren niet openstaan als je weg bent en je legt je sleutel niet onder de deurmat.’
Door Sandra Meijer
Hoe opereren hackers eigenlijk? Als je hun technieken begrijpt, dan kun je je er ook beter tegen wapenen. Daarom heeft a.s.r. voor medewerkers de training Hacken voor dummies. En daarom geeft Joey van den Heuvel op verzoek demo’s om te laten zien hoe een hacker opereert. Hij is zelf avonden ‘aan het hacken’, vooral om bij te blijven met de nieuwste technieken. Vaak gebeurt dit in gesimuleerde omgevingen zodat nooit een echt bedrijf wordt geraakt; soms kijkt hij wel op websites rond en als hij iets vindt waarmee een hacker verder zou kunnen, dan meldt hij dit aan het bedrijf.
Grotendeels hanteren hackers dezelfde aanvalstactieken, vertelt Joey: ‘Ze maken gebruik van heel veel scans om te kijken welke informatie potentieel beschikbaar is. Zoals: kan ik versienummers vinden? Welke mappen kan ik online vinden? Zijn gebruikersnamen of zelfs wachtwoorden vindbaar?’ Hij maakt de vergelijking met een huis: hoe zit het met je deuren en sloten? ‘Niemand laat zijn deur openstaan als ie weggaat, en een sleutel onder de deurmat is als een te makkelijk te raden wachtwoord. Je moet dus opletten dat je dit online ook niet doet.’
Joey noemt als voorbeeld WordPress, een contentmanagementsysteem voor websites. Met een scan is volgens hem betrekkelijk snel te vinden of een website dit systeem gebruikt en wat de loginlink is. Dan kan zo’n inlogveld gebruikt worden om gebruikersnamen te testen. ‘En heb je eenmaal een gebruikersnaam, dan kun je een wachtwoord proberen te achterhalen. Online zijn er veel verschillende woordenlijsten om veelgebruikte wachtwoorden te testen.’ In een demo aan NeXus-leden liet hij bijvoorbeeld zien dat bij het invoeren van een verkeerde gebruikersnaam de website zelf aangaf wat wel een juiste gebruikersnaam was. ‘Dan geeft zo’n website dus al te veel informatie prijs, waarmee een hacker verder kan gaan puzzelen.’
En zo gaat het dan verder. Vindt een hacker een wachtwoord bij een gebruiker, dan geeft die mogelijk toegang tot een portaal waar ie geen toegang tot zou mogen hebben. En dan kan iemand bijvoorbeeld content posten of juist proberen een ingang te vinden om op de daadwerkelijke server te komen. ‘Je snapt wel hoe onwenselijk dat is, want dan kan de server platgelegd worden, of data worden gelekt.’
Leer denken en werken als een hacker
In deze online training van nog geen dag, leer je op een laagdrempelige manier denken en werken als een hacker. Je ontdekt wat de waarde is van data en hoe je deze kunt beschermen. Je probeert toegang te krijgen tot gesimuleerde, beveiligde omgevingen. Daarbij maak je gebruik van hacking tools en kwetsbaarheden in systemen. Technische kennis is een pre maar niet noodzakelijk om de training te doorlopen. Aanmelden kan via de a.s.r. academy (via Infonet).
Verdediging a.s.r. Daarom heeft a.s.r. meerdere tools om veelvoorkomende kwetsbaarheden te detecteren en de negatieve gevolgen daarvan zoveel mogelijk te beperken. ‘Zo voorkomen we dat we informatie prijsgeven die zou kunnen worden misbruikt.’
Verder houdt IT&C ook het netwerk in de gaten om te checken of het interne verkeer ook veilig en legitiem is. ‘Als er dan iets aan de hand is, kunnen we snel reageren.’ Daarbij steunt IT&C op het principe van ‘Security in Depth’: op meerdere lagen in de organisatie en in hetnetwerk zijn maatregelen genomen om zaken te detecteren en te voorkomen. ‘Het blijft een kat-en-muisspel. De hacker wordt slimmer, wij nemen maatregelen daartegen en de hacker probeert daar weer omheen te werken.’
Hoe belangrijk het is dat de websites van a.s.r. en de data van onze klanten goed beschermd zijn, behoeft geen uitleg, denkt Joey. En de meesten weten ook wel dat medewerkers zelf helaas de zwakste schakel in het hele systeem zijn. ‘Met meer kennis over hacken, ben je hopelijk nog voorzichtiger. En daarmee maak je a.s.r. veiliger!’