The life of an Ethical Hacker

Als we denken aan hacken, denken we vaak aan de negatieve kant ervan. Maar ethisch hackers doen juist het tegenovergestelde: zij breken bewust in systemen van organisaties om kwetsbaarheden op te sporen, zodat die opgelost kunnen worden vóór kwaadwillende hackers ze misbruiken.

In deze blogpost vertelt ethisch hacker Remco je alles over het leven van een ethisch hacker, van zijn dagelijkse werkzaamheden en ontdekte kwetsbaarheden tot hoe jij een ethisch hacker kan worden.

Wat doet een ethisch hacker?

“Als ethical hacker bij Warpnet voer ik wekelijks een nieuwe pentest uit op systemen van verschillende klanten. Dit kan van alles zijn: interne netwerken, webapplicaties, mobiele apps of cloudconfiguraties. Elke test begint met het analyseren van hoe het systeem of applicatie in elkaar steekt. Vervolgens bekijken we of het systeem of de applicatie bekende kwetsbaarheden bevat (denk bijvoorbeeld aan verouderde versies van WordPress), maar zoeken we ook naar onbekende kwetsbaarheden. Juist die laatste vormen onze meerwaarde. Onze werkwijze ziet er als volgt uit:

1. Vooronderzoek: We controleren of systemen up-to-date zijn en zoeken naar bekende kwetsbaarheden die publiekelijk beschikbaar zijn.
2. Zoeken naar onbekende kwetsbaarheden: Hier gaat het grootste deel van onze tijd in zitten. Vooral bij webapplicaties gebruiken we tools zoals Burp Suite, waarmee we al het verkeer tussen de browser van de gebruiker en de server kunnen onderscheppen. Zo krijgen we inzicht in hoe de applicatie werkt.
3. Testen van functionaliteiten: We proberen acties uit te voeren waarvoor het systeem of de applicatie niet bedoeld is en proberen beveiligingsbarrières te overschrijden.
4. Rapporteren: We rapporteren aan de hand van standaard frameworks zoals OWASP en MITRE, waarbij we elke kwetsbaarheid documenteren met het type kwetsbaarheid, een aanbeveling, een referentie en een risicobeoordeling.”

Kwetsbaarheden met grote impact

“Tijdens een pentest die ik uitvoerde voor een klant ontdekte ik een ernstige kwetsbaarheid in een applicatie die gebouwd was met PHP. Omdat het bestandsfilter niet op een juiste manier was geïmplementeerd, bleek het mogelijk om PHP-bestanden te uploaden. Hierdoor kon ik volledige controle kon krijgen over het systeem, ook wel remote code execution genoemd. Dit is één van de meest impactvolle kwetsbaarheden die je kunt vinden.

Buiten werktijd vond ik een kwetsbaarheid in Microsoft Windows. Het ging om een lek waarbij je op afstand een belangrijk proces kon stoppen, waardoor gebruikers niet meer konden inloggen. Denk bijvoorbeeld aan een bedrijfsnetwerk waar al het personeel geen toegang meer zou hebben tot hun Windows account. Daar zou dit enorme impact hebben gehad. Deze bevinding heb ik netjes gemeld bij Microsoft.”

‘Het leukste aan mijn werk vind ik dat ik elke week in een nieuw systeem duik dat ik vaak nog niet eerder heb gezien. Dat is super leerzaam, want die kennis neem je weer mee naar volgende tests.’

Ethiek boven nieuwsgierigheid

“Ik heb wel eens meegemaakt dat ik mijn verantwoordelijkheid moest afwegen tegen mijn nieuwsgierigheid. Bijvoorbeeld toen ik ontdekte dat ik toegang kon krijgen tot een systeem met behoorlijk gevoelige gegevens, gerelateerd aan overheidsinformatie. Op dat moment moest ik een afweging maken: is het feit dat ik toegang heb al voldoende om te melden, of moet ik verder gaan en kijken welke acties ik nog kan uitvoeren?

Ik heb ervoor gekozen om netjes te melden dat ik toegang kon krijgen, zonder verdere acties uit te voeren. In zulke situaties is het belangrijk om ethisch te blijven handelen en verantwoordelijkheid te nemen voor wat je ontdekt.”

Hoe wordt je ethisch hacker?

“Ik heb zelf eerst MBO Netwerk & ICT beheer gestudeerd en vervolgens HBO ICT met een major network & security. Een studie vormt een goede basis, maar om echt te leren hacken kun je tegenwoordig oefenen op verschillende platformen, zoals Hack The Box. Deze platformen bieden challenges aan van verschillende niveaus. Daarnaast is het halen van certificaten belangrijk. Ik heb tijdens mijn studie het OSCP certificaat behaald. Dit is een van de bekendere certificaten die laten zien dat je een goede basis aan kennis hebt en dit kan toepassen onder tijdsdruk.” 

De eigenschappen van een ethisch hacker

“Een goede ethical hacker is niet iemand die alleen maar netjes binnen de lijntjes kleurt. Het zijn juist de mensen die durven af te wijken van het standaard pad, die het verschil maken. Ze zijn nieuwsgierig, creatief en denken in mogelijkheden die anderen misschien over het hoofd zien.

Ethisch hackers zijn vaak ook buiten werktijd bezig met hun vak. Ze doen mee aan Capture The Flag (CTF)-competities, bouwen hun eigen tools, duiken in eerder gevonden kwetsbaarheden en dragen bij aan security-onderzoeken. Dat doen ze omdat ze het leuk vinden, willen leren en ontdekken.”

‘De uitdaging? Die zit in hem hoe snel de wereld van cybersecurity verandert. Denk aan ontwikkelingen als AI, nieuwe tools en steeds geavanceerdere technologie.’

Een blik op de toekomst

“Over tien jaar hoop ik dat ik een waardevolle bijdrage heb geleverd aan het ontdekken van nieuwe kwetsbaarheden, bijvoorbeeld binnen veelgebruikte systemen als Windows. Ik wil tools ontwikkelen die het werk voor andere ethical hackers makkelijker maken, en die we ook kunnen inzetten bij toekomstige pentests bij Warpnet.

Het behalen van relevante certificeringen hoort daar ook bij. En ik wil me verder verdiepen in cloudbeveiliging, zodat ik ook op dat gebied impact kan maken.”