Weblogbericht | 01-10-2024 | Justitiële ICT Organisatie

Team Security Testing en Advies

Hidde is lid van het team Security Testing en Advies dat bestaat uit vier pentesters en iemand die de communicatie en planning ondersteunt. De teamleden, allemaal man, spreken elkaar bijna altijd online, want thuiswerken is de norm - afgezien van maandelijks of tweemaandelijks een bezoek aan kantoor om iets te doen of te regelen, een etentje of andere sociale activiteit. “We zijn een klein team en dat betekent dat iedereen echt zijn steentje moet bijdragen.” Ook moet je geduld hebben bij een overheidsbedrijf zoals JIO, vindt Hidde. “Alle nieuwe systemen worden bijvoorbeeld wel getest, maar de bestaande nog niet allemaal, terwijl dat wel zou moeten. Als security hameren we daarop.” Maar de werksfeer is prima, de vrijheid prettig en de werkdruk goed te doen. Hidde houdt zelfs energie over om ook in zijn vrije tijd security research te doen. “Of gamen natuurlijk, of chillen met mijn vriendin.”

Risicoanalyses en pentesten

Ongeveer een kwart van zijn werktijd besteedt Hidde aan adviseren. Dat komt vooral neer op risico’s inschatten. Een vraag die vaak gesteld wordt is: we lezen dat onze software kwetsbaar is voor dit of dat, wat vinden jullie daarvan? Hidde: “Meestal zien systeemontwerpers zelf al risico’s en willen ze die bevestigd zien. Dan kunnen ze hun klant gemotiveerd een alternatief voorstellen.” De overige werktijd is bestemd voor pentesten van bijvoorbeeld een applicatie of netwerk, bij JIO zelf, een ministerie of een andere opdrachtgever. Een pentest gaat stap voor stap, legt Hidde uit. “Eerst kijken we wat we kunnen met meerdere accounts met verschillende rechten. Krijgen we toegang tot die applicatie,  zonder in te loggen? Nee? Dan loggen we in met standaardrechten en gaan we na of we zo bijvoorbeeld toegang kunnen krijgen tot administratieve functionaliteiten. We testen dus zonder en met inloggegevens en dat doen we voor elke laag van de applicatie. We checken ook de hele lijst aan kwetsbaarheden per soort, zoals SQL-injectie of onveilige bestandsupload.”

‘Een hacker uit Ocean’s Eleven’

In de praktijk gaat het bij pentesten meestal om kleinere problemen. Een uitzondering is de pentest van een rijksroosterapplicatie, gebouwd door een extern bedrijf. Hidde en zijn collega Wietse Boonstra slaagden erin de broncode van de applicatie te achterhalen. “En dan heb je gewoon de hele applicatie en is de server op meerdere manieren over te nemen. Het werd een enorm rapport en men was diep onder de indruk. Dat zijn de mooie dingen! Ik probeer altijd de beste te zijn.” Daarom houdt Hidde zijn vakkennis ook goed bij. Met als voorlopig hoogtepunt het OSCE³-certificaat dat hij recent behaalde. “Het bestaat uit 3 examens waarin je beperkte tijd hebt om een kwetsbaarheid te vinden of het hele netwerk over te nemen. Onder kenners geldt OSCE³ als hoogste in de markt. Het is hondsmoeilijk.” Om de moeilijkheidsgraad aan te geven: er zijn in Nederland maar 20 mensen die OSCE³ hebben en wereldwijd maar 400. Hidde is er dan ook terecht trots op. “Iemand zei laatst tegen me: ‘Jij bent echt zo’n hacker uit Oceans’ Eleven, jij kunt alles!’ Dat is natuurlijk niet waar, het is vaak een struggle omdat je wordt geconfronteerd met dingen die je nog niet weet. Vaak zit je urenlang op je pc te kijken totdat ineens het kwartje valt. Die drive, die oneindige nieuwsgierigheid, die moet je wel hebben om een goede hacker te zijn.”