Kruip voor je organisatie in het hoofd van een hacker!
Organisaties verzamelen, verwerken en delen steeds meer data. En cybercriminelen proberen iedere dag toegang te krijgen tot al die gevoelige gegevens. Eén van de manieren om je organisatie hiertegen te beschermen? Denk eens als een hacker.
Organisaties hebben steeds meer mogelijkheden om cybercriminelen tegen te werken: van keurmerken en beleid tot technische bescherming en detectiemogelijkheden. Denk bijvoorbeeld aan ISO-norm 27001 – de internationaal erkende standaard voor informatiebeveiligingsmanagement – of het laten uitvoeren van een pentest. Het probleem is natuurlijk dat cybercriminelen ook niet stilzitten, en iedere dag met nieuwe technieken bij organisaties naar kwetsbaarheden speuren.
Out-of-the-box denken
Nu heeft de term ‘hacker’ vanwege cybercrime (toolbox) vooral negatieve associaties. Maar in de kern is een hacker iemand die de randen van de mogelijkheden opzoekt en een (fysiek of digitaal) product anders gebruikt dan hoe de maker het bedoeld heeft. Een hacker probeert bovenal out-of-the-box te denken. Zo bestaan er ook lifehacks die het dagelijks leven verbeteren. Een bekend voorbeeld is tandpasta, dat door toevallig experimenteren naast stralende tanden ook voor stralende badkamervoegen bleek te zorgen.
Geldige, handige oplossing
Eenzelfde manier van experimenteel denken past een hacker met goede bedoelingen toe op de digitale wereld. Stel dat je organisatie met een lijvig online CMS werkt, maar het systeem is zo ontworpen dat je telkens slechts één pagina vooruit en achteruit in de database kunt. Prima wat betreft de meest recente toevoegingen, maar onhandig als je snel de oudste toevoegingen in de database wilt bekijken. Dan valt je plots iets op: de URL van de webpagina bevat aan het einde telkens een waarde, bijvoorbeeld ‘start=100’ of ‘start=500’. Wat als je deze waarde nu eens verandert in ‘start=1’? Het werkt, je bent in één keer ‘aan de andere kant’ van de database! Het is niet hoe de database ontworpen is en ook niet de officiële werkwijze van je organisatie, maar het is wél een geldige oplossing, en nog een verdraaid handige ook.
Kwetsbaarheden rapporteren
Precies op deze manier zou je organisatie eens kunnen kijken naar alle softwaresystemen en applicaties die ze op regelmatige basis gebruikt. De werkwijze is meestal vastgelegd en helder, maar wat als een werknemer dit pad níet volgt en onverwachte acties probeert uit te voeren? Blijft het systeem dan werken zoals bedoeld, of steekt er een kwetsbaarheid de kop op? Als deze kwetsbaarheden dan ook nog eens netjes gerapporteerd worden aan de IT-verantwoordelijken binnen de organisatie, kunnen zij aan de slag en mogelijk zelfs verbeteringen doorvoeren. Veel kwetsbaarheden zijn te voorkomen door nieuwsgierig te zijn en soms een klein beetje buiten de lijntjes te kleuren.
Dit nieuwsartikel is geschreven door Jorn Heibrink, pentester bij Surelock.