Ethical Hacking

Hacks, ransomware, datalekken. Het is helaas inmiddels aan de orde van de dag. Het lijkt niet alleen vaker voor te komen, ook de cijfers laten zien dat het steeds vaker gebeurt. Het is daarom erg belangrijk om je goed te beveiligen. Daarvoor is het ook nodig om te weten hoe hackers werken.

Daarom heb ik een aantal jaar geleden mijn “Certified Ethical Hacker”-certificering behaald. Sindsdien probeer ik mijn werkgever, mijn klanten en mijn software veilig te houden én mijn collega’s security aware te maken.

Hoe hackers werken

Om te begrijpen hoe je beveiliging kunt verbeteren, helpt het om te kijken hoe hackers doorgaans te werk gaan. Hun aanpak bestaat meestal uit vijf fasen.

Fase 1: Verkenning (Reconnaissance)
Een hacker, vaak samen met anderen, verzamelt zoveel mogelijk informatie over het doelwit. Denk aan welke systemen en netwerken worden gebruikt, wie er bij de organisatie werken, wie de klanten zijn en meer. Veel van deze informatie is eenvoudig online te vinden. Dit proces noemen we Open Source Intelligence (OSINT).

Fase 2: Scannen (Scanning)
In deze fase gaat de hacker actief op zoek naar kwetsbaarheden in de systemen die eerder zijn geïdentificeerd.

Fase 3: Toegang verkrijgen (Gaining access)
Wanneer een kwetsbaarheid wordt gevonden, probeert de hacker deze te misbruiken om toegang te krijgen tot het doelsysteem.

Fase 4: Toegang behouden (Maintaining access)
Het binnendringen van een systeem kan lastig zijn. Daarom laten hackers vaak iets achter waarmee ze toegang kunnen behouden, zelfs wanneer een systeem opnieuw wordt opgestart.

Fase 5: Sporen wissen (Covering tracks)
Hackers willen niet opgemerkt worden en al helemaal niet persoonlijk geïdentificeerd worden. Daarom proberen ze beveiligingssystemen niet te triggeren en zorgen ze dat er geen sporen achterblijven in logbestanden.

Kwetsbaarheden

Hackers zijn dus op zoek naar kwetsbaarheden in een systeem. Vaak wordt dan gedacht aan een fout in de software, maar dat is zeker niet de enige manier. Sterker nog, waarschijnlijk zit het probleem vaak tussen het toetsenbord en de stoel (ook wel: “PEBKAC”).

Wanneer je om je heen kijkt met een hacker mindset zie je waarschijnlijk kwetsbaarheden die je eerder nooit zijn opgevallen.

Bijvoorbeeld de wifi. Wat gebeurt er als je van je telefoon een hotspot maakt met dezelfde naam en hetzelfde wachtwoord als het bedrijfsnetwerk? Waarschijnlijk zie je al snel laptops en telefoons die verbinden met jouw hotspot in plaats van met het bedrijfsnetwerk.

Of de USB-hub die ingebouwd is in monitoren. Je collega’s weten waarschijnlijk dat ze niet zomaar een onbekende USB-stick in hun laptop moeten stoppen. Maar wat als iemand die USB-stick in de achterkant van de monitor stopt? De monitor wordt blind vertrouwd.

Social Engineering

De mens is waarschijnlijk de grootste kwetsbaarheid. Dat hebben we ook gezien bij de grote hack op een telecomprovider begin 2026.

Waarom trappen mensen nog steeds in phishing, vishing (via de telefoon) of andere social engineering-aanvallen?

Dat komt omdat mensen ook geprogrammeerd zijn en dat programma misbruikt kan worden. Wat bedoel ik daarmee? Mensen zijn op een bepaalde manier opgevoed. Ons wordt geleerd dat we anderen moeten helpen, dat we aardig gevonden moeten worden, dat we op tijd moeten zijn, enzovoort.

Daar spelen hackers slim op in. Daarnaast werken angst en urgentie erg goed om mensen acties uit te laten voeren die ze normaal niet zouden doen.

En voor de duidelijkheid: ik zeg niet dat we elkaar niet moeten helpen of aardig voor elkaar moeten zijn. Integendeel. Laten we dat juist meer proberen. Maar het moet wel duidelijk zijn wanneer je een collega helpt en wanneer je een hacker helpt.

Goede training en veel herhaling zijn hierbij erg belangrijk.

OWASP Top 10

We kunnen natuurlijk niet alles op menselijk falen schuiven. Onze software moet ook zo goed mogelijk in elkaar zitten en zo veilig mogelijk zijn. 100 procent bestaat helaas niet.

Een goed begin is de OWASP Top 10. OWASP is een open-sourceproject dat zich richt op de beveiliging van webapplicaties door middel van conferenties, trainingen en het delen van informatie. Elke vier jaar stellen zij een Top 10 op van de grootste kwetsbaarheden.

Dit is belangrijk voor softwareontwikkelaars om goed te kennen, maar ook voor hackers is dit natuurlijk een lijst waar ze mee aan de slag gaan om een kwetsbaarheid te vinden.

In deze Top 10 staan de bekende problemen zoals Injection, maar ook onderwerpen waar we de laatste jaren steeds vaker mee te maken krijgen, zoals kwetsbaarheden in de software supply chain.

In een aparte blog duik ik dieper in de OWASP Top 10.

Oefenen

Theorie is belangrijk. Maar door zelf je software aan te vallen merk je veel beter waar potentiële problemen zich voordoen en leer je kwetsbaarheden sneller herkennen.

Ik raad daarom altijd aan om zelf te oefenen met pentestingtools. Dit zijn tools die gemaakt zijn om kwetsbaarheden op te sporen en uit te buiten.

Om een ruime verzameling tools te hebben die ook nog te vertrouwen zijn, kun je gebruikmaken van bekende omgevingen die deze tools bundelen. De bekendste is Kali Linux. Kali is zelfs via de Microsoft Store te downloaden en biedt een zeer uitgebreide omgeving om applicaties mee te scannen en te compromitteren, net zoals hackers dat zouden doen. 

Let wel op. Deze tools kunnen serieuze schade aanrichten. Begin daarom altijd met oefenen op kleine applicaties die speciaal bedoeld zijn om gebroken te worden. Deze kun je zelf bouwen of bijvoorbeeld gebruikmaken van speciale Docker-images met kwetsbare testapplicaties.

Pas daarna ga je over op het testen van de applicatie die je echt wilt testen, en dan op een test- of acceptatieomgeving. Pas wanneer je de tools helemaal onder de knie hebt, kun je deze op productieomgevingen gebruiken.

Zijn deze tools niet verboden? Deze vraag krijg ik vaak en het antwoord is nee.

Bij een bouwmarkt kun je ook een koevoet kopen en bij een wintersportwinkel een bivakmuts. Niets illegaals aan. Ook niet als je je eigen voordeur openbreekt. Doe je hetzelfde bij een ander huis, dan is het een ander verhaal. Zo is het ook met deze tools.

Ethisch

Voor mij zit het “ethische” in de beweegreden om organisaties en software veilig te houden.

Regel nummer één is daarbij: schriftelijke toestemming.

Wat er ook gebeurt, je gaat nooit een systeem of gebruiker ethisch hacken zonder dat je vooraf toestemming hebt gekregen. Ten eerste omdat het strafbaar is. Ten tweede omdat er schade kan ontstaan die je vooraf niet had ingeschat. Iemand met zeggenschap moet dat risico erkennen en toestaan.

Mocht je verder kijken dan je eigen systemen en ook andere organisaties op de hoogte brengen van kwetsbaarheden wanneer je deze tegenkomt, dan is het goed om te weten dat er een soort nieuwe standaard aan het ontstaan is: de security.txt.

Dit is een tekstbestand dat op een website geplaatst kan worden (vergelijkbaar met een robots.txt) waarin, in een vast formaat, gegevens worden gedeeld die je kunt gebruiken wanneer je een kwetsbaarheid hebt gevonden.

Meer informatie hierover vind je bij het Nationaal Cyber Security Centrum.

Open deur

Om maar eens een open deur in te trappen: hacken is niet legaal. Ook met de beste intenties een systeem binnendringen om te kijken hoever je kunt komen, is zonder toestemming niet illegaal.

Om binnen de deur-analogie te blijven: als je op straat loopt en ergens een voordeur open staat, dan mag je vanaf de straat naar binnen kijken. Je mag ook aanbellen om te waarschuwen dat de deur open staat. Je mag zeker niet naar binnen lopen.

Betabit biedt trainingen waarin de basisbeginselen van ethisch hacken worden uitgelegd, met als doel je applicaties beter te beveiligen.

Wil je meer weten? neem dan gerust contact met ons op.