Jacco van Tuijl, security specialist en ethisch hacker bij Sogeti:

“We toetsen ieders alertheid op informatiebeveiliging”

Zogeheten ‘ethische’ hackers zijn nog altijd strafbaar. “De omgekeerde wereld”, aldus Jacco van Tuijl die als ethisch hacker zijn brood verdient  bij IT Dienstverlener Sogeti. “Als ik bij een organisatie kwetsbare software ontdek en daar wat van zeg, kan ik worden vervolgd. Terwijl niet ik maar degene die slechte software ontwikkelt een organisatie in gevaar brengt.”

                                                                                                                                     Tekst: René Schellingerhout
                                                                                                                                   Fotografie: Esther van Lemmen

36 37 38 en 39 Jacco van Tuijl Sogeti 1Van Tuijl is geen onbekende in de gemeenschap van ethische hackers én daarbuiten. Faam verwierf hij onder meer door in meerdere overheidswebsites zwakke plekken in het netwerksysteem bloot te leggen. En vorig jaar won hij een wedstrijd van de gemeente Eindhoven die ethische hackers had uitgenodigd om gaten te schieten in hun ICT-systemen. Zijn reputatie bracht hem ook in menig radio- en tv-programma. Van Tuijl: “Soms onherkenbaar, want als ethisch hacker ben je strafbaar als je een kwetsbaarheid in een website ontdekt. Als ik als softwareontwikkelaar zie dat iemand anders ondeugdelijke software maakt, mag ik daar niks van zeggen. Ik ben dan zogenaamd een inbreker. Dat is vreemd.”

Responsable Disclosure
Toch zijn er ontwikkelingen die de Brabander hoopvol stemmen. “Steeds meer bedrijven en overheidsorganisaties plaatsen een Responsable Disclosure, RD, op hun website. Met deze verklaring garanderen ze dat ze hackers die een kwetsbaarheid in de software melden niet strafrechtelijk zullen vervolgen, mits ze zich houden aan de regels die in de RD staan. Een vuistregel is dat je als hacker het bedrijf eerst de tijd geeft om de fout te herstellen voordat je het al dan niet publiek maakt. Veel overheden hebben al een RD, maar ook grotere bedrijven als KPN.” Van Tuijl constateert ook dat de politiek meer oog krijgt voor de kwetsbare positie van ethische hackers. “Zo pleit PvdA Tweede Kamerlid Astrid Oosenbrug al langere tijd voor wetgeving om ethische hackers te beschermen.”

Een andere ontwikkeling is dat bedrijven en organisaties ethische hackers in dienst nemen. Van Tuijl is daar zelf een voorbeeld van. “Bij Sogeti adviseren we onze klanten om hun software te laten testen in een zogeheten pentest. Hierin proberen onze ethische hackers om de functionaliteiten van de applicatie onderuit te halen. Een pentest is geen functionele test. In een functionele test kijk je of de software de gevraagde functionaliteiten bevat. In een pentest kijk je of de niet-gewenste functionaliteiten er ook niet in zitten. Je gaat bewust op zoek naar fouten en kwetsbaarheden.” Van Tuijl voert voor klanten van Sogeti veel pentesten uit. Hij adviseert hen om al tijdens de softwareontwerpfase regelmatig pentesten uit te voeren. “Dan kun je al maatregelen treffen tegen kwetsbaarheden. Bijvoorbeeld tegen een abuse-case waarin een klant die niet is ingelogd bij een bank toch geld kan overmaken. In de pentest test je dan of die maatregelen ook werken voordat je de software op de markt brengt.”

Mystery Guest
De drie bekende pijlers van informatiebeveiliging zijn de techniek, de organisatie en de mens. Sogeti is op alle drie deze terreinen actief. “Je techniek en organisatie kunnen nog zo goed zijn, als een medewerker in een telefoongesprek vertrouwelijke informatie weggeeft, heb je niets aan alle technische en organisatorische beveiligingsmaatregelen”, aldus Van Tuijl. “Medewerkers moeten weten wat ze moeten doen en laten. Sluiten ze hun computer af als ze van hun werkplek afgaan, laten ze hun toegangspas niet rondslingeren? Doen ze vertrouwelijke documenten in de papierversnipperaar of in een gewone prullenbak en klikken ze niet op linkjes in e-mails die er verdacht uitzien?”

Met verschillende campagnes maakt Sogeti medewerkers bij de klant alert op deze risico’s. “Zo bezoek ik de klant waarbij ik me voordoe als medewerker of als mystery guest”, vertelt Van Tuijl. “We toetsen dan of medewerkers zich houden aan de bedrijfsafspraken over informatiebeveiliging. Soms benaderen we hiervoor medewerkers actief om te proberen hen informatie te ontfutselen, bijvoorbeeld via social media. Regelmatig simuleren we een phishing-aanval met e-mails die ogenschijnlijk van een collega, een klant of een bank afkomstig zijn. Daarin vragen we om in te loggen op een bepaalde website. Zo testen we hoe alert iedereen is op informatiebeveiliging.”

Sogeti maakt over al deze acties duidelijke afspraken met de werkgever. Van Tuijl: “Alles gebeurt op verzoek van de klant. Wij ontvangen hiervoor een opdracht en zijn gevrijwaard van strafrechtelijke vervolging. We speuren alleen in openbare, publiek toegankelijke bronnen. Het is ons expliciet verboden om jassen, tassen of andere privébezittingen te doorzoeken.”

In organisaties waar medewerkers nooit oefenen op informatiebeveiliging en waar zich zelden of nooit incidenten voordoen worden de mensen laks, zo is de ervaring van Van Tuijl. “Hun houding is van ‘hier kan toch niets gebeuren’. Maar zeg je als werkgever tegen je medewerkers dat een ingehuurde professionele organisatie een paar keer per jaar op slinkse wijze zal proberen om informatie en producten van je te verkrijgen, is iedereen waakzaam. Sommige klanten geven medewerkers die een mystery guest ontmaskeren zelfs een halve dag vrij. Je wilt niet weten hoe alert iedereen dan is. Persoonlijk breng ik altijd een taart mee als ik ontmaskerd ben. Ik ben eens met vijf taarten naar een klant gegaan… Soms worden we ontmaskerd, maar we laten ons ook bewust ontmaskeren om de procedures rond incidentafhandeling te testen. Want processen kunnen keurig op papier staan, je moet het testen om te weten of het in de praktijk ook werkt.”

“We laten ons vaak ook bewust ontmaskeren om de incidentenafhandeling te testen”

Verantwoordelijkheid
36 37 38 en 39 Jacco van Tuijl Sogeti 3
Tot slot geeft Van Tuijl zijn visie op de meldplicht datalekken. “Ik vind het goed dat de meldplicht  verder wordt uitgebreid. Het is alleen merkwaardig dat mensen van wie mogelijk  gegevens zijn gelekt hierover nog steeds niet geïnformeerd hoeven te worden. Dat is echt een lacune in de wet. Zo heb ik als ethisch hacker recentelijk een ernstige kwetsbaarheid gevonden die 58.000 domeinnamen trof. Deze is gemeld bij de organisatie. Die organisatie heeft de kwetsbaarheid waarschijnlijk gemeld bij de Autoriteit Consument en Markt en dat was het dan. Ik vind dat de organisatie hier zijn verantwoordelijkheid had moeten nemen door mensen van wie de privacy mogelijk is geschonden te informeren. Bij dit incident zijn van 58.000 websites de gebruikersnamen en wachtwoorden gelekt. Die websites hebben ook nog allemaal databases van bezoekers van de website, wat betekent dat bijna iedere Nederlander hierdoor getroffen is. Toch hebben we er niks over gehoord. Er is niet aangetoond dat kwaadwillenden die gegevens in bezit hebben, maar ook niet dat ze die niet hebben. De mogelijkheid is er in elk geval geweest. Dan heb je als organisatie de plicht iedereen erop te attenderen om het wachtwoord te wijzigen en om niet hetzelfde wachtwoord te gebruiken voor verschillende websites. Doe je dat niet, dan ben je in mijn ogen nalatig. We hebben gezien hoe dat is afgelopen bij Diginotar met het lekken van certificaten.”

 

Software security aanbevelingen Jacco van Tuijl

  • Werk in de softwareontwerpfase naast use-cases ook een aantal abuse-cases uit
  • Voorkom lekken in je standaardsoftware door tijdig en regelmatig updates te draaien
  • Vraag je softwareleverancier welke beveiligingsmaatregelen in de softwareontwerpfase zijn genomen
  • Voer al in de softwareontwerpfase code reviews en pentesten uit.