“Je moet een oneindige nieuwsgierigheid hebben”
Verhalen uit de praktijk
Hidde is senior securityconsultant en pentester. Oftewel: ethisch hacker. Hij maakt onderdeel uit van het team Security Testing en Advies. In de praktijk gaat het bij pentesten meestal om kleinere problemen, maar er zijn uitzonderingen. Zo wordt Hidde ook wel eens vergeleken met een hacker uit Oceans' Eleven. “Ik probeer altijd de beste te zijn.”
Altijd nieuwsgierig
Als student kreeg Hidde Smit (32) het voor elkaar het facilitymanagementsysteem van zijn school binnen te dringen en per ongeluk meubilair te bestellen. “Ja, toen kwam ik bijna in de problemen. Maar ik was gewoon nieuwsgierig en zat altijd al met computers te klooien.”
Hidde begon aan een studie IT, maar maakte die uiteindelijk niet af, voornamelijk omdat hij als jonkie het tempo niet kon bijbenen. Hij stapte over naar de opleiding integrale veiligheidskunde en leerde hier risicoanalyses te maken. Nu werkt Hidde al ruim vier jaar bij de Justitiële ICT Organisatie als senior securityconsultant en pentester. “Pen’ komt van ‘penetratie’, dus een IT-systeem binnendringen. Een pentester staat in de volksmond bekend als ’ethisch hacker’”, legt Hidde uit.
Team Security Testing en Advies
Hidde is lid van het team Security Testing en Advies dat bestaat uit vier pentesters en iemand die de communicatie en planning ondersteunt. De teamleden, allemaal man, spreken elkaar bijna altijd online, want thuiswerken is de norm - afgezien van maandelijks of tweemaandelijks een bezoek aan kantoor om iets te doen of te regelen, een etentje of andere sociale activiteit. “We zijn een klein team en dat betekent dat iedereen echt zijn steentje moet bijdragen.” Ook moet je geduld hebben bij een overheidsbedrijf zoals JIO, vindt Hidde. “Alle nieuwe systemen worden bijvoorbeeld wel getest, maar de bestaande nog niet allemaal, terwijl dat wel zou moeten. Als security hameren we daarop.” Maar de werksfeer is prima, de vrijheid prettig en de werkdruk goed te doen. Hidde houdt zelfs energie over om ook in zijn vrije tijd security research te doen. “Of gamen natuurlijk, of chillen met mijn vriendin.”
Risicoanalyses en pentesten
Ongeveer een kwart van zijn werktijd besteedt Hidde aan adviseren. Dat komt vooral neer op risico’s inschatten. Een vraag die vaak gesteld wordt is: we lezen dat onze software kwetsbaar is voor dit of dat, wat vinden jullie daarvan? Hidde: “Meestal zien systeemontwerpers zelf al risico’s en willen ze die bevestigd zien. Dan kunnen ze hun klant gemotiveerd een alternatief voorstellen.” De overige werktijd is bestemd voor pentesten van bijvoorbeeld een applicatie of netwerk, bij JIO zelf, een ministerie of een andere opdrachtgever. Een pentest gaat stap voor stap, legt Hidde uit. “Eerst kijken we wat we kunnen met meerdere accounts met verschillende rechten. Krijgen we toegang tot die applicatie, zonder in te loggen? Nee? Dan loggen we in met standaardrechten en gaan we na of we zo bijvoorbeeld toegang kunnen krijgen tot administratieve functionaliteiten. We testen dus zonder en met inloggegevens en dat doen we voor elke laag van de applicatie. We checken ook de hele lijst aan kwetsbaarheden per soort, zoals SQL-injectie of onveilige bestandsupload.”
‘Een hacker uit Ocean’s Eleven’
In de praktijk gaat het bij pentesten meestal om kleinere problemen. Een uitzondering is de pentest van een rijksroosterapplicatie, gebouwd door een extern bedrijf. Hidde en zijn collega Wietse Boonstra slaagden erin de broncode van de applicatie te achterhalen. “En dan heb je gewoon de hele applicatie en is de server op meerdere manieren over te nemen. Het werd een enorm rapport en men was diep onder de indruk. Dat zijn de mooie dingen! Ik probeer altijd de beste te zijn.” Daarom houdt Hidde zijn vakkennis ook goed bij. Met als voorlopig hoogtepunt het OSCE³-certificaat dat hij recent behaalde. “Het bestaat uit 3 examens waarin je beperkte tijd hebt om een kwetsbaarheid te vinden of het hele netwerk over te nemen. Onder kenners geldt OSCE³ als hoogste in de markt. Het is hondsmoeilijk.” Om de moeilijkheidsgraad aan te geven: er zijn in Nederland maar 20 mensen die OSCE³ hebben en wereldwijd maar 400. Hidde is er dan ook terecht trots op. “Iemand zei laatst tegen me: ‘Jij bent echt zo’n hacker uit Oceans’ Eleven, jij kunt alles!’ Dat is natuurlijk niet waar, het is vaak een struggle omdat je wordt geconfronteerd met dingen die je nog niet weet. Vaak zit je urenlang op je pc te kijken totdat ineens het kwartje valt. Die drive, die oneindige nieuwsgierigheid, die moet je wel hebben om een goede hacker te zijn.”