Houd je software veilig: laat je hacken door een ethical hacker

Het gebruik van digitale software heeft altijd veiligheidsrisico’s. Veiligheidsbugs maken het hackers mogelijk om binnen te dringen in IT systemen. Als een hacker foute bedoelingen heeft, kan dit grote gevolgen hebben voor een persoon of bedrijf. Dit kun je voor zijn door te testen waar de gaten in de software zitten. Dit heet een penetratietest, ofwel een pentest. Deze test wordt ook uitgevoerd door een hacker, maar dan eentje met goede bedoelingen: een ethical hacker.

Waarom slechte hackers hacken

Het is niet de bedoeling om paniek te zaaien, maar met kwetsbare software kunnen hackers een hoop vervelende acties verrichten met desastreuse gevolgen. Veel mensen zijn hier niet van bewust. Om in kaart te brengen welke risico’s er zijn, is het belangrijk om te kijken door de bril van een hacker. Waarom wil een hacker iemand hacken?

Hacken voor geld
Veel hackers hebben financiële doeleinden. Er zijn veel manieren om geld te stelen. De meest voor de hand liggende is het bemachtigen van rekeninggegevens en geld overmaken. Daarnaast kunnen hackers ook iets installeren dat je systeem volledig blokkeert. Dit heet ransomware. Vervolgens kunnen de hackers geld eisen om de blokkering op te heffen. Ook kunnen ze andere gevoelige informatie vinden die als chantagemiddel gebruikt kunnen worden of kan worden verkocht aan derden. Iets dat de laatste tijd steeds meer plaatsvindt, is het in gebruik nemen van andermans server of computer voor cryptomining. Zo zetten hackers de kracht van je computer in om bitcoins te maken. Zonder dat je het weet!

Hacken voor aandacht
Hacken wordt ook vaak ingezet om aandacht te krijgen voor een politieke boodschap. Een hacker bemachtigd dan toegang tot zo veel webpagina’s, emailadressen en social media accounts om hier een politieke boodschap op te delen. Een voorbeeld hiervan is een deface. Dat betekent dat de voorkant van meerdere websites worden veranderd door een hacker. Dit is onlangs nog gebeurd bij Google Maleisie.

Hackers kunnen ook een computer of server toevoegen in een botnet. Dit is een netwerk van gehackte systemen die ze met een simpel commando iets kunnen laten doen. Deze kunnen ze inzetten om digitale infrastructuren plat te gooien. Zogeheten DDoS-aanvallen. Een voorbeeld hiervan is het ‘Mirai Botnet’ dat bijna het hele internet heeft platgelegd.

Hacken voor de lol

Hacken is een spannende hobby en als het lukt, geeft dat de hacker een goed gevoel. Veel hackers raken verslaafd aan dit gevoel en worden adrenaline-junkies. Ze gaan op zoek naar willekeurige slachtoffers voor de hun adrenalinerush. Wat voor de hacker een leuke hobby is, kan voor een ander grote gevolgen hebben.

Doe een penetratietest

Voor bedrijven die op een verantwoorde manier IT systemen gebruiken is het van groot belang dat de beveiliging goed is. Daarom is het aanbevolen om een pentest te doen. De beveiliging van de software wordt dan getoetst op reële situaties door een ervaren ethical hacker. De beveiligingsfouten, datalekken en bugs worden in kaart gebracht en gerapporteerd. Met deze waardevolle informatie kunnen de developers en systeembeheerders er vervolgens voor zorgen dat de veiligheid van het systeem waterdicht gemaakt kan worden.

Er zijn drie gradaties van pentesten. White box, oftewel hacken met al alle toegang tot de software om eventueel direct te debuggen. Grey Box, oftewel een pentest met beperkte toegang en informatie. Tot slot is er nog de Black Box waarbij de hacker alles zelf moet uitzoeken. Bij 7Lab voeren we deze pentest uit in de volgende 7 stappen.

  1. Information Gathering
    Een hacker begint eerst met informatie verzamelen, zowel technisch als niet-technische informatie.
  2. Enumeration
    Dit is de fase waarbij de ethical hacker een lijst opstelt van alle beveiligingskwetsbaarheden. Dit gebeurt door handmatige tests en automatische tools.
  3. Exploitation
    Hier kijkt de hacker op welke manier hij de beveiligingskwetsbaarheden kan misbruiken om toegang te verkrijgen of data te stelen.
  4. Privilege Escalation
    Binnen de server voert de ethical hacker de voorgaande stappen opnieuw uit om te kijken of hij administratieve rechten kan hacken.
  5. Post Exploitation
    Nadat een systeem volledig is overgenomen wordt er verder gekeken of er gevoelige informatie gestolen kan worden. Hier wordt ook gekeken wat verder nog met de computer of server kan worden gedaan.
  6. House Cleanup
    In deze fase maakt de ethical hacker alles schoon. Hiermee bedoelen we niet dat hij zijn bureau opruimt en de resten chips wegveegt, maar dat hij bijvoorbeeld in de server alle achtergelaten malware of aangemaakte accounts verwijdert.
  7. Reporting
    Alle veiligheidsrisico’s worden uitgebreid gerapporteerd, zodat deze opgelost kunnen worden door een programmeur of systeembeheerder.

Software blijft mensenwerk. Door vermoeidheid of krappe deadlines kunnen developers hier en daar een steekje laten vallen. Daarom zijn bugs onvermijdelijk en heeft elk IT-systeem veiligheidsrisico’s. Dit geldt zelfs voor grote bedrijven als Google, Apple, Microsoft, Facebook of Linkedin. Laat daarom niks aan het toeval over voor jouw bedrijf. Hou je software veilig: laat je hacken door onze ethical hacker.


Meer informatie over een pentest van onze ethical hacker of geinteresseerd naar onze andere services?

Wij helpen je graag via onze chat! ➡️

BLOG

Meer weten over de laatste trends op het gebied van software development?

Klaar voor de volgende stap?

Benieuwd wat er mogelijk is of wil je gewoon even sparren? Als IT-accelerator én ondernemer kan ik je vaak al snel een stap verder helpen. Chat, bel +31 20 705 1010 of stuur me een mail.

Chat direct Stuur een e-mail
Bas Alderding
THE PEOPLE BEHIND THE STORIES