Blog over editie: You will be hacked and you know it!

Sprekers: Jobert Abma (HackerOne) en Erik Rutkens (Insite Security)

Een bijdrage namens Henk Bethlehem; advocaat op het gebied van ICT/IE bij Bout Advocaten.

Inleiding

Hacken, het woord heeft een negatieve lading. Is dat wel terecht? Gezien het nieuws over WannaCry en de alsmaar toenemende digitalisering wil ik er graag meer over weten. In deze editie nemen Erik en Jobert ons mee in een voor velen onbekende wereld.

 


Erik Rutkens


Zijn eerste zinnen hakken er meteen in. ‘De mens is de maat van alle dingen’ en ‘hoe WannaCry de ransomware-industrie om zeep hielp.’ Hoeven we ransomware nu niet meer te vrezen? In spanning luisterde ik naar wat Erik te vertellen had. Hij lichtte eerst de achtergrond van ransomware toe. Zo vertelde hij dat ransomware het businessmodel bij uitstek is voor cybercriminelen. Het is makkelijk te maken, heel schaalbaar, heeft een minimale pakkans en je kunt er veel geld mee verdienen (miljoenen, zo hebben we ons laten vertellen).

 
Ransomware is een soort computervirus (in de vorm van malware), waarmee je besmet kunt worden door bijvoorbeeld een ‘phishing mail’ te openen of op een foute link te klikken. Het virus zoekt vervolgens bestanden met een bepaalde extensie en versleutelt deze. De criminelen hopen dat je je bestanden zó graag terug wilt dat je hun losgeld betaalt.

 
De recente WannaCry-uitbraak bleef niet onbesproken. Erik vertelde dat het een ingenieus stukje software is dat gebruikmaakte van een lek in Windows. Dit lek was al eerder ontdekt door de NSA en werd lang door hen geheim gehouden. Een slim aspect van de software was dat het geen ‘kill switch’ had. Door een niet bestaande domeinnaam op te roepen controleerde de software of er sprake was van een sandbox (een afgescheiden gedeelte op je computer). Wanneer er geen foutmelding kwam en er sprake was van een sandbox, werd de software niet uitgevoerd, aldus Erik. Het bijzondere van WannaCry was dat de software zich niet via e-mail verspreid, maar via het netwerk.

 
Doorgaans krijg je als je computer gegijzeld wordt – na betaling van het losgeld – een ontsleutelcode, waarmee je je bestanden terug kunt krijgen. Bij WannaCry niet. Na betaling kreeg je niets. Erik vertelde ons dat de ‘ransomware-community’ hier niet blij mee is, omdat gevreesd wordt dat niemand meer zal betalen

 
WannaCry is volgens Erik nog maar het begin. Straks zijn al onze apparaten zijn verbonden met het internet, van auto’s tot koffiezetapparaten tot matrassen. (Die situatie wordt ook wel ‘internet of things’ genoemd.) Bijna al die dingen zijn dramatisch slecht beveiligd en de ‘mens is de maat van alle dingen’.

 
Erik vertelde ons dat we het normaal vinden dat software fouten bevat, terwijl het de achilleshiel is van alles wat we doen. Een goede programmeur maakt 10 fouten per 1000 regels code, aldus Erik. Om ons hierbij een idee te geven, zei hij dat de software van een Tesla bestaat uit meer dan 100 miljoen regels code. Veel van die softwarefouten kunnen door hackers worden misbruikt.

 
Daarom moedigt hij de ‘nieuwe helden’ aan. Hackers die het anders willen doen en bedrijven wijzen op fouten. Een van die meest prominente helden is Jobert Abma van HackerOne.

 


Jobert Abma


Technologie gaat sneller dan dat wij in de ‘security’ kunnen bijbenen, aldus Jobert. Dit jaar zijn er 20 miljard ‘connected devices’ en over drie jaar zijn er 50 miljard ‘connected devices’. Tegen die tijd zijn het niet alleen mobiele telefoons meer, maar ook deurknoppen, koelkasten, matrassen en deurbellen. Dat heeft tot gevolg dat er 111 miljard nieuwe regels code worden geschreven. Zoals Erik ook al zei, herhaalt Jobert dat in elke 1000 regels code 10 fouten zitten. Reken het aantal beveiligingsfouten nu maar uit.

 
Wat Jobert interessant en eng vond is ‘dat je niet weet wat je niet vindt’. Jobert legde (net als Erik) uit dat de NSA al op de hoogte was van het lek in Windows dat WannaCry veroorzaakte en Windows daar niet vanaf wist . De NSA benutte dat lek om bij consumenten en organisaties in te breken. Een interessante gedachte die hij opperde, is dat de overheid de functie heeft om ons te beschermen, maar er doelbewust voor koos om de fout niet te rapporteren en deze voor eigen gewin te benutten. We worden dus niet beschermd door onze eigen overheid, aldus Jobert.

 
De oplossing hiervoor ligt niet bij consumenten, maar bij de ‘developers’, zoals de ‘Microsofts’ van deze wereld. Dat heeft te maken met hoe software wordt gebouwd. Vroeger werd software ontwikkeld met de ‘waterfall’- methode. Dan deed je een zogenoemde ‘penetratietest’ aan het einde van de ontwikkeling om te kijken hoe kwetsbaar de software was. Dat werkte niet heel goed, omdat men – ondanks ontdekte fouten – er vaak toch voor koos om ‘life’ te gaan op een voorgenomen datum. Tegenwoordig wordt software ‘Agile’ ontwikkeld. Je werkt daarbij met korte ‘sprints’ (iteraties), waarbij je bruikbare stukjes software oplevert. Al die kleine sprints vormen uiteindelijk samen het totale programma en bij de ‘sprints’ zit geen moment dat ‘penetratietesten’ worden uitgevoerd. Dat kost teveel tijd en geld, aldus Jobert, en dat is waar hackers in het zicht komen.

 
Als Jobert het over een hacker heeft, dan heeft hij het over iemand die een intellectuele ‘challenge’ wenst aan te gaan. Het kunnen gebruiken van kwetsbaarheden in software is een vak apart. Dat is niet perse crimineel of een criminele activiteit, aldus Jobert. Bij HackerOne hebben ze verschillende specialisten met allemaal hun eigen achtergrond. Wat ik leuk vond is de anekdote van Jobert over de hackers die bijeenkomen om 8 uur lang in teams aan één target te werken. Zo individueel als hacken doorgaans is, zo heeft iedereen op die momenten een eigen rol en expertise.

 
Jobert legde uit dat de drijfveer van hackers bestaat uit meesterschap, waarmee je veel geld kunt verdienen door deel te nemen aan bug bounty’s. Bedrijven loven beloningen uit voor het ontdekken van bepaalde ‘bugs’. Die beloningen variëren van een t-shirt tot 200.000 dollar. Binnenkort heeft HackerOne de eerste “hacker-miljonair” die met hacken via HackerOne in twee jaar tijd miljonair is geworden.

 
Verder is het een motivatie voor hackers om een altruïstisch doel te hebben. Zij zien dat het internet dit nodig heeft en pakken de handschoen (of het keyboard) op. Een anekdote die ik interessant vond, was dat de Amerikaanse Defensie een klant is van HackerOne en dat het Pentagon hackers uitnodigt om te kijken naar hun beveiliging. HackerOne heeft hackers in landen over de hele wereld, waaronder Irak, Iran en Pakistan. Deze laatstgenoemde landen stonden in de top 5 van landen die het meeste toevoegen aan het Amerikaanse Ministerie van Defensie (DOD). Dat had zelfs Jobert niet verwacht. De meeste van die hackers zijn jonger dan 34 jaar. Jobert ziet een verschuiving van een jonge generatie die niet kijkt naar afkomst, maar wil samenwerken om ervoor te zorgen dat we in een veilige omgeving wonen.

 
Jobert sloot zijn verhaal af met een citaat van Keren Elazari:
“Hackers are the immune system of the internet.”
“So embrace hackers.” – voegde hij daaraan toe.

 


Concluderend

Het is ironisch dat ‘ransomware-hackers’, die mensen kwaad willen doen, voor hun inkomsten, afhankelijk zijn van onze ‘goodwill’. Wat mij verder bijblijft, is de statistiek dat een goede programmeur 10 fouten maakt per 1000 regels code. Ik kan mij dat wel goed voorstellen, met al die duizelingwekkende regels code. Maar is die foutmarge onvermijdelijk? Kan er niet een soort ‘spellingscontrole’ komen voor programmeurs waarmee ze tijdens het programmeren kunnen zien of ze een fout maken? In ieder geval vind ik het een goede zaak dat er ethische hackers zijn die fouten zien als uitdagingen en streven naar meesterschap. Nu we steeds meer ‘connected’ zullen raken, is het te hopen dat de ethische hackers die menselijke maat voortzetten.

 

Geschreven door Henk Bethlehem; advocaat op het gebied van ICT/IE bij Bout Advocaten.