Hacken doe je zo!

Hacken doe je zo!

Geschreven op 4 april 2018.
Door Bart Cornel.

Een belangrijk onderdeel van het traineeship bij EVG Start zijn de EVG Fridays. Elke eerste vrijdag van de maand komen we bij elkaar om van, en met elkaar te leren. Een vast item op die dag is de ‘meet the pro’. Dan komt er een expert langs om zijn of haar ervaring met ons te delen. Dit keer was Vincent Berg ‘the pro’. Vincent is een ervaren consultant met een eigen bedrijf. Hij heeft onder andere opdrachten gedaan voor grote jongens als Microsoft en Amazon. Hij moet dan ook regelmatig voor zijn werk naar de VS. En nu was hij in Nederland bij EVG Start… Vincent nam ons mee in de wereld van de ‘hacker for hire’. Het werd een leuke, maar vooral ook interessante sessie. Ik zal je wat kleine takeaways geven.

Ethisch hacken, wat is dat?

Bij ethisch hacken gaat een IT specialist jouw systemen hacken, op zoek naar beveiligingsfouten. Een hacker zonder goede bedoelingen kan deze beveiligingsfouten gebruiken om jouw bedrijf binnen te dringen, om dan bijvoorbeeld klantdata te stelen.
Ik was toch wel benieuwd waar precies de grens ligt tussen ethisch en onethish hacken. Zou het voor Vincent niet verleidelijk zijn om af en toe iets voor hemzelf te hacken? Vincent zei hierover: “Ik kan zelf goed het verschil zien tussen wat wel en wat niet mag. Maar heb ook genoeg jonge jongens gekend die dat niet konden. En dan merk je dat er toch ook een grijs gebied is tussen wat wel en wat niet mag. Dit blijft lastig”

Hoe krijg ik het kapot?

Als ik een spelletje op mijn telefoon download, dan doe ik dat ter afleiding of ontspanning. Meer niet. Maar Vincent’s gedachten zijn anders. Zijn eerste gedachte bij veel IT programma’s is “hoe krijg ik het kapot?”. Als voorbeeld haalde hij een app aan waar je andere spelers kunt uitdagen voor een quiz. Door punten te verzamelen kwam je in de app steeds hoger in de ranking. Via de zogenaamde ‘man in the middle’ techniek had hij de app binnen een half uur gehackt. Op die manier kon hij een fictieve speler creëren die continue spelletjes won en steeds meer antwoorden wist. Binnen een paar dagen stond hij op nr 1 van de highscore lijst. Supersimpel eigenlijk dat hacken, als je maar weet hoe het moet ;-)
Nu was het in dit geval heel erg onschuldig omdat je er verder geen geld, prijzen of wat dan ook mee kon winnen. Maar het zette me wel aan het denken. Is het echt zo makkelijk om een onschuldige app binnen te komen? En wat is er eigenlijk nog meer zo makkelijk te hacken?

War on IT talent

Als je een beetje bij de tijd bent, dan weet je dat er een flinke ‘war on IT talent’ in Nederland gaande is. Goede mensen vinden is lastig, en de vraag is enorm. Dat biedt dus mooie perspectieven voor mijn generatie. Maar Vincent drukte ons nog even met de neus op de feiten: “In Nederland doen we wel ons best, maar het echte talent gaat toch naar Amerika want daar is het echte geld te verdienen.” En dat is misschien wel te merken. Want zelf werk ik bij ABN AMRO en waren wij de laatste tijd vaak slachtoffer van een DDOS aanval. Met de kennis die we hebben doen we ons best om ons hiertegen te weren. Maar als iemand met de juiste ‘verkeerde skills’ binnen wil komen, blijkt het toch nog te lukken. En dat heeft dan meteen een grote impact, zoals je in de media hebt kunnen lezen.
In Nederland doen we het best goed op security gebied. En dat moet ook wel. Maar de echte technisch knappe koppen gaan niet voor de corporates hier in Nederland werken. Die beginnen voor zichzelf of worden aangetrokken om in Silicon Valley aan de slag te gaan. De ‘war on IT talent’ gaat dus meer dan alleen om het binnenhalen van jong talent. Het gaat dus uiteindelijk ook om het beveiligen van onze applicaties en systemen. Maar hoe zorgen we ervoor dat we, in een klein landje als Nederland, die ‘war on IT talent’ gaan winnen?

Wat doe ik nu anders?

Het verhaal van Vincent was super interessant en heeft me aan het denken gezet. Maar wat doe ik nu eigenlijk anders? Om heel eerlijk te zijn, niet zoveel. Maar het is goed om je te blijven beseffen dat je veilig om moet gaan met je eigen data, wachtwoorden, etc. Want het lijkt voor iemand met slechte bedoelingen een koud kunstje om ze te bemachtigen. Kijk maar eens de hele #deletefacebook actie. Dat is de reactie op het feit dat facebookdata door Cambridge Analytica gebruikt zou zijn om de verkiezingen van Amerika (en wie weet nog veel meer) te beïnvloeden. Zonder dat je het echt door hebt, stel je dus je eigen data ter beschikking aan andere partijen. Het is dus goed om bij je online activiteiten te blijven nagaan wat je allemaal prijs geeft aan de buitenwereld.

En mocht ik nu weer eens besluiten een leuk spelletje op m’n mobiel te downloaden, en er gebeuren verdachte dingen op de ranglijst…  dan ga ik toch maar eens met Vincent ga bellen om te vragen of hij alsjeblieft wil ophouden mijn highscore te verbeteren.