Blog
Interview met ethical hacker Remko Hartlief over wachtwoorden, ransomware en de zwakste schakels
Remko is naast netwerkconsultant ook gecertificeerd ethisch hacker. Maar wat houdt dit nu in en hoe kan dit voor jouw organisatie van pas komen? Hoog tijd om hier meer over te weten te komen.
Wat doet een ethical hacker?
"Een ethical hacker is een hacker die op een nette en verantwoorde manier kijkt of hij/zij kan inbreken op een IT-omgeving. Dit doet hij met als achterliggende gedachte dat de veiligheid van de IT-omgeving beter wordt. Als ik iets vind mag ik die situatie ook nooit misbruiken. Daarnaast hack ik altijd op een verantwoorde manier met bijbehorende tools."
Jij bent een certified ethical hacker. Wat betekent dit?
"Dit betekent dat ik weet hoe het zit met de wet- en regelgeving omtrent hacken, dus wat je wel mag doen en wat je niet mag doen. Over deze onderwerpen heb ik examen gedaan en als certified ethical hacker ken ik dus de regels aan welke ik mij moet houden als ik inbreek bij organisaties en kwetsbaarheden vind."
Wat doe je als je bij een organisatie als ethical hacker aan de slag gaat?
"Dat is afhankelijk van de opdracht van een organisatie. In principe kijk ik altijd of de IT–systemen veilig zijn en als ik inbreek wat de zwakke punten zijn van de organisatie. Je kunt het vergelijken met een standaard rondje om je huis lopen, rammelen aan alle ramen en deuren om te kijken of alles wel goed dicht zit of dat er toch één met je bankpas open is te wippen."
"Sommige organisaties willen meer focus op een specifiek onderdeel, zoals werkstations of een bepaalde applicatie. Als hacker hoef ik maar één gaatje te vinden. De meeste organisaties huren mij in voor een preventieve test, maar ook voor een second opinion als ze twijfelen over de veiligheid van IT – systemen."
Waarom zou je als MKB-organisatie een ethical hacker willen inzetten?
"Eén dag plat liggen is voor een MKB-organisatie financieel behoorlijk zwaar. Dat wil ik graag voorkomen. Als ethical hacker kan ik organisaties helpen dit te voorkomen. En als het toch mis gaat de impact van een hack een stuk kleiner te maken."
"Eigenlijk zou je als MKB-organisatie bij elke significante wijziging in de IT–omgeving een nieuwe scan moeten doen. Eigenlijk is het aan te raden om ieder jaar een check te doen. Het is niet zo dat als je één keer een scan hebt laten uitvoeren je voor de komende 5 jaar goed zit. Het is echt verstandig om regelmatig te kijken of het nog wel veilig is."
"Ik merk dat ze in het MKB niet veel bezig zijn met beveiliging, dit is vaak een kostenkwestie. MKB-organisaties weten niet wat een hack kost, tot ze een keer echt gehackt worden."
Wat gebeurt er nadat een klant zich laat hacken door je?
"Nadat ik een Security Scan heb gedaan dan kom ik met een rapport waarin staat wat ik heb gevonden en dat probeer ik zo onpartijdig mogelijk op te stellen. In het rapport leg ik uit hoe de zaken ervoor staan, ook geef ik een advies hoe het kan worden opgelost."
Wat is het grappigste dat je tegen komt?
"Waar ik altijd wel een beetje om moet glimlachen is dat er nog steeds organisaties zijn die wachtwoorden verzamelen in een excelsheet, die vervolgens ook nog eens wachtwoord(en) heet. Dan maak je het mij als hacker wel heel makkelijk, en ook voor echte hackers."
Waarom zijn medewerkers meestal de zwakste schakel?
"Veel hacks slagen omdat medewerkers binnen een organisatie nonchalant met zaken zoals wachtwoorden, e-mails en linkjes omgaan. Zij hebben geen idee wat de risico’s zijn. Daarom is medewerkers bewust maken van de risico’s en gevolgen zo belangrijk."
"Neem bijvoorbeeld een phishingmail. Elke keer als ik bij een organisatie een phishingcampagne uitvoer, stinken er mensen volledig in. Het maakt niet uit waar ze zitten in de hiërarchie van een organisatie. Tot nu toe is er altijd wel iemand met open ogen ingetrapt."
Heb je een voorbeeld van een (bijna) geslaagde hack?
"Ja, ik heb er drie die ik wel het benoemen waard vind."
Voorbeeld: Het gebruik van standaard gebruikersnaam en wachtwoord
Veel applicaties komen met een standaard gebruikersnaam en wachtwoord als je ze aanschaft. Er zijn organisaties die deze gegevens niet aanpassen waardoor ze makkelijk te hacken zijn. Hackers kennen deze standaard gebruikersnaam en wachtwoord namelijk ook. Zij scannen hier automatisch op. Dit is eenvoudig te hacken.
Voorbeeld: Factuur hack
Er was een gebruiker met een zwakke gebruikersnaam en wachtwoord, waardoor de mailbox eenvoudig te hacken was.
Vervolgens hebben de cybercriminelen net zo lang gewacht tot dat er een aanzienlijke factuur binnenkwam. Die factuur hebben ze snel in een andere folder gezet om vervolgens in de pdf-factuur het bankrekeningnummer te manipuleren en weer terug te zetten. Zo werd het geld niet naar de leverancier maar naar de cybercriminelen overgeboekt."
Voorbeeld: CEO fraude
In dit voorbeeld was de directie met vakantie. In het buitenland werden er nieuwe machines gekocht, daarvan was iedereen op de hoogte. Toen kwam er een email binnen vanuit een directielid dat hij op vakantie was, maar om de voortgang niet tegen te houden moest deze factuur betaald worden.
Gelukkig was er een alerte medewerker die controleerde of de directie inderdaad dit had gemaild.
Tot slot, wat kunnen organisaties doen die hackers een stap voor willen blijven?
"Ik adviseer alle organisaties om minimaal één keer per jaar een security scan te laten uitvoeren en zich vooral te richten op awareness onder de medewerkers."
