Ethisch hacker doet boekje open: zo eenvoudig hack je een computersysteem

We ontmoeten Wouter van Dongen op zijn kantoor in Leiden, waar hij een IT-bedrijf leidt dat websites en systemen scant op kwetsbaarheden. Hij vertelt dat hij op jonge leeftijd al de wachtwoorden achterhaalde van klasgenootjes of een virus installeerde op het schoolsysteem.

"Internet was net in opkomst. Het bleek eenvoudig om wachtwoorden gewoon te raden", zegt van Dongen. "En eigenlijk gebeurt dat nu nog steeds. Door het achterhalen van wachtwoorden is het soms eenvoudig om een systeem binnen te komen."

Via ethische hack-platforms drong hij jaren geleden de top tien van beste ethische hackers van de wereld binnen. Nu leidt hij het IT bedrijf DongIT dat websites en systemen van bedrijven, instellingen en overheden controleert en onderzoekt door ze op een ethische manier te hacken.

Een hacker begint eerst met het verzamelen van publiek beschikbare informatie. “Hierbij kun je denken aan welke mensen werken bij de gemeente en welke functie ze hebben. Dat is handige informatie als je accountnamen wilt bepalen en welke accounts het interessantst zijn. Ook wil je zo snel mogelijk een overzicht van waar welke software en versies worden gebruikt.

Als je erachter komt dat een kwetsbare oude versie van bepaalde software gebruikt wordt, is inbreken soms heel eenvoudig. Er bestaat dan soms namelijk kant-en-klare code die je zo van het internet kunt downloaden om in te breken.”, zegt Van Dongen.

Van Dongen toont een tool die een deel van dit werk automatiseert. Na vijf minuten trekt een aantal systemen al zijn aandacht. “Dit lijken testsystemen en die zijn vaak minder goed beveiligd dan de live systemen.”

De zwakste schakel in de beveiliging is vaak de mens. "Er worden veel te vaak makkelijke en jaren oude wachtwoorden gebruikt. Ook via oude databases met uitgelekte wachtwoorden kun je een eind komen. Bijvoorbeeld door eenvoudigweg een LinkedIn-profiel van een werknemer te bekijken en vervolgens de uitgelekte lijst erbij te pakken. Heel vaak hebben deze mensen overal hetzelfde wachtwoord voor gebruikt en niet aangepast", zegt van Dongen.

Een ander voorbeeld is phishing. “Bij de Universiteit Maastricht zijn de hackers bijvoorbeeld binnengekomen doordat medewerkers op een link in een (verdachte) e-mail klikten. Het systeem waarop ze dat deden was ook nog niet up-to-date en het uiteindelijke gevolg was een universiteitsbrede gijzeling van bestanden.”

Bij de gemeente Hof van Twente zijn het geen pubers die op de zolderkamer wat aan het proberen zijn. "Dit zijn echt professionele criminelen die hier maanden de tijd voor nemen. Eenmaal binnen gaan ze rustig bekijken welke systemen er werken en waar de zwakheden zitten. Vervolgens maken ze een plan om zoveel mogelijk geld te kunnen verdienen. Als ze besluiten om bestanden te gijzelen, kijken ze bijvoorbeeld ook naar de back-upsystemen, zodat de gemeente niet eenvoudig een back-up terug kan zetten.", zegt Van Dongen.

De beste manier om aanvallen te weren, is te doen alsof ze al binnen zijn. In het systeem kun je allerlei vertragende zaken bouwen, zodat de alarmbellen op tijd opgemerkt worden. Ook het bewustzijn bij werknemers, managers en politici moet aanwezig zijn. "Een usb-stick die je van huis meeneemt en inplugt op je werk, kan al een virus installeren', zegt van Dongen.

"IT-beheerders doen hun uiterste best en zijn van goede wil, maar lopen vaak tegen te weinig tijd en geld aan. Bovendien moet het allemaal gebruiksvriendelijk gemaakt worden. Het is ingewikkelde materie en daarom vertrouwen politici op een jaarlijks rapport waaruit blijkt dat het in orde is met de veiligheid. Maar dat is geen garantie", zegt van Dongen.

Ethische hackers inhuren is een mogelijkheid om je systeem te laten testen op aanvallen. Dit is een goede mogelijkheid om je weerbaarder te maken. Steeds meer gemeenten en overheden doen dat.

Daarnaast kun je er ook voor kiezen ze niet in te huren, maar een beloning uitloven voor elke nieuw gemelde kwetsbaarheid. Grote bedrijven als Facebook en Google hebben daar zogenaamde 'Bug Bounty'-programma's voor.

Van Dongen denkt dat dergelijke programma’s een goed idee zijn, maar dat je er niet op moet gaan vertrouwen. Ethische hackers zijn in die programma’s aan regels gebonden. Ze mogen bijvoorbeeld geen wachtwoorden van werknemers ontfutselen. Criminele hackers hebben die belemmeringen natuurlijk niet.