Elke organisatie is uiteindelijk wel op de een of andere manier te hacken. Dat kun je dan maar beter laten doen door iemand die wil helpen de beveiliging te verbeteren. Je kunt een Responsible Disclosure pagina openen, in de hoop dat hackers hun bevindingen vrijwillig bij je komen melden. Je kunt ook prijzen uitloven voor gevonden kwetsbaarheden, oftewel bug bounties. Grote IT bedrijven als Microsoft, Google en Apple doen dat al jaren, maar ook steeds meer kleine bedrijven en zelfs overheden loven bug bounties uit.
De bughunt en beoordeling van de gevonden kwetsbaarheden wordt inmiddels meer overgenomen door platformen als HackerOne, Zerocopter en Bugcrowd. Wie komen daarop af? Wie zijn die onderzoekers die net dat vinden wat anderen over het hoofd zien? Hoe gaan ze te werk? En wat levert dat op, zo'n baan zonder baas? We hadden deze avond vijf Bug Hunters, voorgedragen door Chantal Stekelenburg. De foto's zijn weer van Tabitha.
Onze eerste bug hunter aan tafel is Wietse Boonstra. Als ik heb in de voorbereiding voor dit programma bel, zit hij met zijn dochtertje in het ziekenhuis. Ik vraag hem of het wel uitkomt. Wietse: “Ja hoor, ik zat me hier toch te vervelen. Heb daarom hun site gehackt. Ik kon sollicitatiebrieven inzien en via de webcam naar couveusekindjes kijken. Maar dat heb ik niet gedaan. Ik ken de systeembeheerder inmiddels goed en heb het meteen gemeld. Ik meld altijd alles netjes.” Hij hackt dus niet alleen voor geld, maar ook als vrijwilliger, onder de regels van responsible disclosure. We praten wat verder over zijn achtergrond. Hij heeft net als ik LTS Elektrotechniek gedaan. We zijn het erover eens dat die opleiding wel de beste manier is om alle plezier in techniek eruit te rammen. Wietse heeft meer geleerd van vader, met wie hij radio’s maakte, maar vooral door alles zelf uit te proberen. “Als kind wilde ik al alles binnenste buiten keren. Slopen, om te kijken hoe het werkt en dan zelf iets beters bouwen.”
Tijdens Hack Talk gaan we dieper in op hoe hij in IT-security terecht is gekomen. Hoe ging zijn eerste hack? Wietse: “Het begon met een single quotje in een url, achter een ID plaatsen, om te kijken of ik een foutmelding in SQL kreeg. Uit die foutmelding kun je al afleiden of je zelf commando’s naar de MySQL database kunt sturen, zonder dat te doen. Zo ben ik er eigenlijk in gerold, vanuit webhosting kant, door zelf te testen.” Waar ligt volgens hem de grens tussen wat je nog wel en niet kunt doen? “In dit geval ligt de grens bij die foutmelding. Je gaat geen tabellen bekijken of downloaden.”
Sinds 2017 werkt hij als Senior Security Tester bij Isatis Cyber Security. Daarvoor was hij security engineer bij I-Real en systeembeheerder bij TotaalNet. Zijn werk als pentester doet hij als zelfstandige onder de naam WBsec. Wietse: “Ik werkte bij een hostingbedrijf, waar de server om de haverklap werd gehackt. Ik dacht: ‘Hoe kan dat nou?’ en ging op onderzoek uit. Daarna werkte ik bij een bedrijf dat SCADA-systemen heeft. Die moeten natuurlijk echt veilig zijn. Ze zeiden: ‘Laten we Wietse maar op training sturen.’ Dat beviel me erg. Je leert niet alleen breken, maar ook van je eigen fouten als systeembeheerder. Dingen die ik toen gewoon vond, daarvan denk ik nu: ‘Moet je niet doen’. Nu doe ik alleen breekkant. Alles wat kapot kan, gaat kapot. Eerlijkheid duurt het langs: meld altijd, ook als ze geen RD hebben. Heb ik tot nu toe altijd goed gegaan.”
De trainingen waar Wietse het over heeft zijn CAST 611 Advanced Penetration Testing, Certified Ethical Hacker van de Europese Commissie en die van Offensive Security: OSCP (Offensive Security Certified Professional, zowel Prof als Advanced level) en de OSCE (Certified Expert). Wietse: “Die van Offensive Security is volgens mij wel het hoogst aangeschreven wat ik kon halen. Echt een uitdaging. Bij OSCP krijgt je drie urls die je moet hacken en succes ermee. Daar heb je 24 uur de tijd voor. Vooral de tijdsdruk is grootste probleem. Ik ga nu ook de OSWE (Web Expert) doen, dan moet je exploits schrijven. Echt next level.”
Naast zijn werk als pentester en de vrijwillige RDs is Wietse nu dus ook bughunter, onder de naam WBsec. Hoe ontdekte hij dat hij ook geld kon krijgen voor zijn meldingen? Wietse: “Twee jaar gelden deed ik een melding bij een bedrijf. Ze vroegen me of ik een rapport kon opstellen en ik kreeg daar 50 Euro voor. Het bleek dat ze een bug bounty programma hadden lopen via Zerocopter. Ik mailde of ik mee mocht doen aan dat programma en zo ben ik erin gerold. Inmiddels heb ik al meer dan honderd rapportages gedaan.” Verdient dat nog een beetje? “Ja hoor, je hebt een lekkere 13e maand. Of een 14e, of 15e…. Nou OK, ik heb er in totaal 13.000 Euro mee verdiend.”
Wat vindt hij de leukste hacks? Wietse: “Vooral webapplicaties. Je drukt op allerlei knopjes en kijkt wat er misgaat. Laatst nog eentje, die ineens allemaal Sms’jes genereerde. Maar ik weet niet of ik daarover mag vertellen…” Hij kijkt naar Chantal van Zerocopter, die vanuit de zaal roept: “Je mag het wel vertellen, als je de naam maar niet noemt.” Wietse: “OK. Ik was stiekem een beetje automatisch aan het testen. Daardoor werd meerdere malen een url aangeroepen. Die stuurde een token via SMS. Die persoon kreeg dus 500 Sms’jes, midden in de nacht. Die heeft niet lekker geslapen.”
Wat is zijn advies aan beginnende hackers? Wietse: “Je moet een natuurlijke aanleg hebben, vooral in nieuwsgierigheid. En doe het responsible. Wie goed doet, die goed ontmoet. Ga niet zomaar melden: ‘Ik heb jullie gehackt en doe eens effe geld.’ Je moet je netjes voorstellen: wie je bent, waarom je dit doet en precies aangeven wat je op welk IP-adres hebt gevonden.”
Later won Wietse bij de 2019 editie van Hack The Hague 2019 de eerste prijs voor Most Sophisticated Hack. Wat hij vond kan hij niet vertellen, maar het was blijkbaar iets heel bijzonders. Het leverde hem in ieder geval 2.000 euro op. Na de media-aandacht rondom dit event, kreeg hij ook nog eens een interessante onderzoeksopdracht voor Dienst Justitiële Inrichtingen.
Erik van Oosbree is pentester bij Sinserus en heeft de afgelopen vijf jaar aan bug hunting gedaan via Bugcrowd. Erik: “Bugcrowd kwam toen net op. Ik zat na twintig meldingen al in de top honderd van de ranking.” Zijn naam prijkt ook in vele Hall of Fames, onder ander van Gamma, Yahoo, Sony, Deutsche Telekom, Erasmus Universiteit, NCSC en de dating site OKcupid. Wat is zijn drijfveer om aan bug hunting te doen? Erik: ”Het is een perfecte combi van vrijheid om te doen en er ook wat geld mee verdienen. Toen ik ermee begon, wist ik natuurlijk nog niet wat ik allemaal kon. Het gaf me ook een playground om dingen te proberen en te kijken wat allemaal kan. Het is een tool om te groeien, door meer applicaties te zien en te testen. In die tijd waren ook de banken net begonnen met responsible disclosure. Daar heb ik veel van geleerd.”
Ik ken Erik nog van onze eigen hack competitie Lord of the Things in 2017. Hij nam toen deel met zijn team van de Leidse Hogeschool, richting Forensische IT. Erik: “Dat was toen best uniek, want we hadden nog nooit als school zo meegedaan aan een hackwedstrijd. Zij waren ouderejaars en ik 2e-jaars. Ik had op een oproep gereageerd en we hebben elkaar hier, bij Hack Talk eigenlijk pas voor het eerst ontmoet.” Zijn team won de prijs van Most Techy Hack. Wat hadden ze gevonden? “We hadden een scenario waarbij we van de ene kwetsbaarheid naar de andere gingen. Het begon met een configuratiescherm dat publiekelijk toegankelijk was. We bezochten die pagina via ons eigen wifi-access point, dat we als naam een stukje Javascript hadden gegeven. Die code werd toen uitgevoerd op die pagina. Je kon niet iemands sessie overnemen, maar je kon je wel voordoen als iemand anders en bijvoorbeeld voor een fishing campagne.” Het valt me op dat ik vaak studenten van zijn vakgroep zie winnen bij hack events. Wat is zijn verklaring? “Bij forensische IT leer je sporen analyseren, hoe hackers ergens binnekomen. Dan leer je tegelijk ook hoe je dat zelf kunt doen.”
Ook bij Hack The Hague 2018 sleepte Erik een prijs in de wacht: 2e prijs Most Techy Hack. Dit keer op eigen titel. Erik: “Ja, die was eigenlijk een beetje van het padje af. Ik had binnen een subdomein van de gemeente gezocht naar een specifieke applicatie waarvan ik wist dat die kwetsbaar was en kwam uit bij een reserveringssysteem van een sportlocatie. Toen ik die meldde bleek de applicatie van een andere gemeente te zijn.” Niettemin kreeg Erik toch de prijs en heeft de gemeente Den Haag de melding netjes doorgegeven aan die andere gemeente en daar uiteraard niet over gepubliceerd.
Voordat hij naar de Leidse Hogeschool ging, had hij eerst vmbo Techniek gedaan en daarna mbo Computer Networking and Security. Daar leerde hij Olivier Beg kennen, de hacker die al op jonge leeftijd veel bug bounties binnenhaalde en nu Head of Researchers is bij Zerocopter. Erik: “We waren klasgenoten en toen hij vertelde over hacken vond ik dat meteen interessant. Dat was 2012 en ik was dus zestien toen ik ermee begon. Ik heb toen geloof ik alle banken wel gehad. Zo ben ik ook aan mijn stage gekomen. Via een responsible disclosure kon ik aan de slag bij het SOC van ABN Amro. Ik vond toen ook een lek in onze online studieomgeving. Een docent zei: ‘Laat mij eens zien’. Ik heb het toen tijdens de les voorgedaan. Die docent heeft mijn melding niet doorgegeven, maar ik moest wel later op gesprek komen bij de opleidingsmanager. Die zei dat ze gezien hadden dat ik probeerde in te breken… Het was nog allemaal nieuw in die tijd.”
Wat vindt hij zo leuk aan hacken? “Je wilt weten hoe het werkt en laten zien dat iets niet klopt. Ik vind het leuk als ik naar een klant ga en toegang krijg tot een netwerk, waarvan de dan zeggen: ‘Succes ermee’. Dan ga ik kijken en vind ik bijvoorbeeld een open account en werk ik van daaruit verder. Eind van de week lever ik een rapport op, waarin ik laat zien dat ik de hoogste rechten gekregen vanuit niks. De week erna kom ik op gesprek en zeggen ze: ‘We hebben dit systeem al zoveel jaren en jij krijgt binnen een dag hoogste rechten!’. Ik ben puur met de beveiliging bezig, terwijl zij vooral hun organisatie draaiende moeten houden. Voor hun is security niet de hoogste prioriteit. Ze maken foutjes en slordigheden waar ze overheen kijken want ze moeten snel releasen. Of ze hebben het uitbesteed aan een serviceorganisatie die hun eigen bedrijfsnaam als wachtwoord instelt. Lekker makkelijk. Nog een tip voor domeinbeheerders: zet alsjeblieft niet het wachtwoord in de gebruikersomschrijving. Dat komt nog te veel voor.”
Jorik Berkepas heeft hbo Technische Informatica gedaan, is certified scrum master en werkt nu acht jaar als ontwikkelaar bij Embrace Social Business Software. Toen zijn werkgever een bug bounty-programma startte via Zerocopter, zag Jorik hoe hackers allerlei fouten ontdekten in hun programma’s. Hij dacht: “Dat kan ik ook”, schreef zich in bij de Kamer van Koophandel als zelfstandige en ging naast zijn baan bug hunten. Niet alleen bij Zerocopter maar ook via andere platforms. In twee jaar tijd heeft hij al behoorlijk veel meldingen op zijn naam staan: 200 via Zerocopter, 35 via Intigriti (Belgie) en nog enkele meldingen via HackerOne en Yogosha (Frans). Ziet hij verschillen tussen de Nederlandse en Belgische bug bounty-programma’s? Nederland is immers voorloper in responsible disclosure. Jorik: “Nee hoor. De Belgen doen het net zo goed, zo niet beter. Ze hebben er goed over nagedacht hoe je meldingen afhandelt en begrijpen ook dat je daar ook capaciteit voor moet reserveren.”
Hij ziet namelijk in de praktijk dat meldingen niet altijd goed afgehandeld worden. Jorik: “Bug hunting is voor je vertrouwen in de mensheid niet bemoedigend, maar voor je motivatie wel. Je ziet gewoon heel veel kleine foutjes. Bijvoorbeeld XSS. Is makkelijk op te lossen, maar er glipt er altijd wel een tussendoor. Dan kun je code in Javascript invoeren op de site, de gebruikerskant overnemen en code uitvoeren als ander gebruiker. Afhankelijk van hoe creatief je bent en hoeveel tijd je hebt, kun je daar best veel mee doen. Maar het zijn geen losse probleempjes, meer categorieën aan problemen. Bij alles in software hangt de ernst van de kwetsbaarheid af van waar het zit. Het is toch elke keer weer net iets anders en daar leer je weer van. Het is niet bam erop afvuren, je moet echt gerichter op zoek gaan. Die bedrijven hebben meestal wel al pentesten laten uitvoeren over het geheel, maar lossen de problemen op bij twee plekken en vergeten de ander twintig. Er zijn ook organisaties bij die gewoon hopen dat je niks vindt en er helemaal niet op ingesteld zijn iets te fixen. Dan vind je een half jaar later nog die bug.”
Wat is zijn favoriete hacktechniek? Jorik: “Je doet als eerste de veelvoorkomende kwetsbaarheden waar de hoogste bounties tegenover staan. Dus niet die van 50 euro, maar die van 1.000. In veel sites zit een IDOR (Insecure Direct Object Reference). Als je bijvoorbeeld een nummertje wijzigt in de url van jouw factuur of offerte, dan kom je in die van je buurman. Dan liggen er ineens best veel gevoelige gegevens op straat. Vaak download ik ook de javascript code die een site meestuurt en ga ik daarin neuzen of er interessante dingen inzitten. Ik heb het voordeel dat ik die code dagelijks lees en daarom vind ik sneller iets.”
Is bug hunting goed te combineren met zijn baan als developer? Jorik: “Nou, mijn vriendin is er niet zo blij mee. Dan begin ik om acht uur ’s avonds en denk ik dat ik die bug bijna heb gevonden, maar wordt het toch weer twaalf uur. Maar het schuift best goed. Findings variëren meestal van 50 tot 1.000 euro. De hoogste die ik heb gehad was 2.500, voor een half uurtje werk. Dat is best lekker. Maar je zit ook wel eens een hele dag aan een programma en vind je niks. Of dat je een bug meldt die net door iemand anders is gevonden. Ik kon een keer op de site van een vliegmaatschappij met wat trucjes de identiteitskaarten van passagiers achterhalen. Daar stond een dikke bounty op. Maar die was dus net al gemeld. Twee dagen werk voor niks.” Ook bij Hack The Hague 2019 sleepte hij prijzen in de wacht: de derde prijs in de categorie Most Impactful Hack (500 euro) de tweede van Most Sophisticated Hack (1.000 euro).
De grootste beloning is wellicht nog dat Jorik veel leert van bug hunting voor zijn werk als ontwikkelaar. “Door de bug bounties is mijn algemene gevoel en niveau qua security in softwareontwikkeling flink gestegen. Hierdoor kan ik mogelijke beveiligingsproblemen in nieuwe delen van onze software vrijwel direct zien. Andersom werkt het ook. Door mijn ervaring als ontwikkelaar kan ik delen van code lezen, vanuit daar problemen beredeneren, ze eerder vinden en preventief optreden. Zo hou ik ook mijn collega’s scherp. Dus softwareontwikkelaars: ga dit ook doen.”
Dat je ook binnen de wereld van de bug hunters kunt opklimmen, laat Daniel Bakker zien (midden). Na maar liefst 584 bugs te hebben gerapporteerd via HackerOne, is hij daar nu security analyst en beoordeelt hij de rapportages van andere hackers. Triage, heet dat in het jargon. Net als de andere bug hunters, heeft Daniel een achtergrond als softwareontwikkelaar. Als Lead Engineer bij Topic Embedded Products werkte hij 11 jaar voor grote namen als Oce en Philips. En net als de andere hunters werd hij in 2013 getriggered door de Nederlandse banken die aan responsible disclosure gingen doen en kwam hij via dit vrijwilligerswerk in aanraking met de bug bounty-programma’s. Hij staat in de Hall of Fame van AOL, Microsoft, Netflix en de OV-chipkaart.
Tijdens het gesprek haakt Shriraj Datar aan. Hij was zelf ooit ook pentester en is nu Cyber Security Analyst bij Booking.com, waar hij de rapportages beoordeeld die bug hunters insturen via HackerOne. Hij was erg blij met de meldingen van Daniel. Maar wat er precies gefixeerd moest worden, dat vertelt hij natuurlijk niet.
Hoe Daniel bij HackerOne heeft gescoord als bug hunter is te zien op hun dashboard met ranking. Daarop prijken maar liefst 300.000 hackers van over de hele wereld, veelal onder pseudoniem. Deze ranglijst is een mooie introductie in hoe het werk van bug hunters wordt beoordeeld. Daniel heeft een Signal van 5.41. Dat is een gemiddelde van de kwaliteit van zijn rapportages op een schaal van -5 tot 7. Hij zit op een Percentiel van 91. Dat betekent dat hij op de 91ste plek staat als het gaat om de hoogte van zijn bounties. Daniel’s impact is 18.75. Die score zegt iets over hoe zwaar de kwetsbaarheden zijn die hij vindt. Dit alles telt op tot een Reputation van 14.220, waarmee hij in de overal ranking op de 16e plek staat. Best een zware jongen dus.
Echter, hoe kun je bug hunter zijn en tegelijkertijd rapporten van andere hunters beoordelen? Spelen daar conflicterende belangen? Daniel: “Jazeker. Als analist kan ik geen zero days of bijzondere hacktechnieken die ik beoordeel ook zelf gebruiken, alleen de dingen die ik al ken en wat je publiek op internet ziet. Ik kan natuurlijk niet meedoen aan de programma’s die ik zelf beoordeel. Maar het kan dus wel dat collega’s hacken binnen elkaars programma’s.” Zakt hij daardoor in de ranking? “Ja. Ik kan minder hacken nu. Maar die 16e plek is ook maar gewoon een nummer. Je Signal is belangrijker. Dat zegt iets over de kwaliteit van je werk.”
Wat vond hij zelf zijn leukste hack? Daniel: “Dat was een grote online winkel, waar ik de creditcard gegevens van andere klanten kon gebruiken om bestellingen te doen. Had iets te maken met de cashing van de site. Best moeilijk te reproduceren. Dus na heel veel heen en weer schrijven, zei die man van die webshop: ‘Ik heb net een order geplaatst, kom maar op met mijn creditcardnummer.’ Die had ik na vijf minuten en hij reageerde met het bekende F-woord.”
Heeft Daniel nog advies aan beginnende hackers? “Ja. Kijk eerst goed naar het bedrijf dat je hackt en schat in wat voor hun echt belangrijk is. Is dat bijvoorbeeld hun gebruikersdata? Veel hackers kijken naar een techniek, bijvoorbeeld XSS of SQL. Combineer die technieken om echt impact te hebben. Dat moet je ook in je rapport beschrijven.”
Later won Daniel bij Hack The Hague 2019 de tweede prijs in de categorie Most Surprising Hack en werd hij bij HackerOne de Triage Team Lead. Dit zal niet bevorderlijk zijn voor zijn overal score…
Wouter van Rooij (midden) is sinds 2017 Business Unit Leader Cyber Security Netherlands bij IT-dienstverlener Onepoint. Daarvoor zat hij vier jaar bij Sogeti, eerst als pentester, daarna als operational manager van het Security Center of Excellence. Ook hij heeft zijn OSCP. Als zelfstandige testte hij verschillende versies van iOS. Sinds een half jaar doet hij ook bug bounties. Onder andere bij het Havenbedrijf Rotterdam. We praten daarom ook met hun security officer Rob de Charro. Maar eerst Wouter, want hij laat ook zien hoe bij hackers de neiging om van alles uit te testen al jong begint.
Wouters eerste hack deed hij toen hij elf was. “Mijn ouders vonden dat ik te veel op de computer zat, dus toen stelde mijn vader een wachtwoord in. Niet voor Windows, maar voor de BIOS, het opstart programma. Dat vond ik heel vervelend, dus ik zocht allerlei manieren om dat te omzeilen. Eerst ontdekte ik dat ik dat kon door de batterij er even uit te halen. Maar toen ontdekte mijn vader natuurlijk zelf ook dat er ineens geen wachtwoord meer nodig was. Uiteindelijk vond ik een programmaatje waarmee ik het BIOS-wachtwoord kon uitlezen. Daar kwam hij pas drie maanden later achter toen hij thuiskwam en mij achter de computer aantrof. Hij baalde, maar vond ook wel dat ik het knap had gedaan.”
Zijn vader blijkt namelijk zelf ook hacker te zijn en was een van de oprichters van het securitybedrijf Madison Gurkha. Hij nam Wouter al op zijn 13e mee naar hackersevents, zoals HAL2001, Hackers At Large, de voorloper van SHA. Wouter: “Ik zag veel langharig mannen met baarden. Een soort LAN partij keer honderd. Er werden hele kasten naartoe gezeuld, met oude computers. Nu zie je ook veel kinderen op die hackerkampen. Die kunnen met LEGO spelen enzo. Dat zag je toen nog niet.”
In 2010 was Wouter de eerste die Whatsapp hackte. De chatapp was het jaar ervoor gelanceerd en beschikbaar op mobiele telefoons. Wouter installeerde de app op zijn iPhone4, maar kon hem niet op zijn iPad zetten. Na wat puzzelen en lukte het hem alsnog en ontdekte hij een beveiligingslek. “Als je WhatsApp installeert, moet je je telefoonnummer invullen. Daar sturen ze een SMS naartoe met een code die je moet invullen. Zo weten ze dat je eigenaar bent van dat nummer. Ik kon die code al uitlezen in de property list file, dus voordat ze je die sturen. Dus heb ik het telefoonnummer van mijn moeder gebruikt. Ze kreeg die SMS dus niet, maar ik kon wel als haar appen, terwijl ze toen gewoon een oude Nokia had. Ik appte mijn vader, die verbaasd reageerde met: ‘Wie is dit?’. Ik antwoorde: ‘Je zoon. Ik heb iets gevonden wat niet de bedoeling is.’”
Wouter meldde zijn vondst bij info@whatsapp.com en kreeg een reactie van Jan Koum, de oprichter van Whatsapp. “Ik vroeg of ik er nog wat voor kreeg, want ik heb er toch tijd en moeite in gestoken. Bug bounties bestonden nog niet, dus we gingen nog wat onderhandelen over het bedrag. Prompt kreeg ik een brief van een advocaat, zo een die grote zaken had gedaan. Daar ga je als student natuurlijk niet op in. De kwetsbaarheid was twee weken erna gefixed.” Hij heeft veel geleerd van dit incident en ging zijn meldingen doen onder responsible disclosure en bug bounty programma’s.
In zijn huidige rol als businessunit leader doet hij steeds minder techniek en moet hij vooral deals verkopen. Dan mist hij het hacken wel en zijn de bug bounty programma’s een prettige uitlaatklep. “Het gaat me niet zozeer om het financiële gewin, maar meer dat ik daar los mag gaan. Ik zie het vooral als een competitie tegen mezelf.” Hij deed ook mee aan Hack The Hague, waar hij in de 2018 editie twee keer een derde prijs won. En via Zerocopter deed hij een melding bij het Havenbedrijf Rotterdam.
Daar is Rob de Charro Information Security Officer. Beide heren blijken elkaar nog te kennen van hun tijd bij DICTU. Rob deed daar eerst de helpdesk , daarna technisch beheer en werd uiteindelijk onderdeel van het SOC team van Dictu. Nu bij het Havenbedrijf zit hij vooral op het Security Operations Center om de digitale omgeving te monitoren. Rob: “Ze hadden bij het Havenbedrijf al een sterke safety mindset. Daar komt nu security bij. Ik kan zelf best aardig wat kwetsbaarheden vinden, maar het echte pentesten laat ik liever aan de jongeren over. Het is een sfeer van samen die puzzels oplossen.”
Toch ziet hij het pentesten slechts als een deel van de oplossing. Ze moeten ook open staan voor bevindingen die buiten de scope van de tests vallen. Hiervoor zette hij een responsible disclosure programma op en bracht dat onder bij Zerocopter. Ze krijgen dan ook wel eens meldingen voor andere bedrijven die via hun site te benaderen zijn. “We zijn in principe alleen verantwoordelijk voor portofrotterdam.com en wat online producten die daaronder hangen, maar helpen die andere bedrijven wel door meldingen door te zetten. Het gaat ook om de naam van Rotterdam.”
Het responsible disclosure programma draait continue en op gezette tijden openen ze ook een bug bounty programma. Rob: “We krijgen meerdere meldingen per maand. Bij triage valt er vaak al een af, bijvoorbeeld omdat de hack niet reproduceerbaar is. De overige geven we door aan de ontwikkelaar. Die kan ook via het platform contact op te nemen met melder. De hacker krijgt pas uitbetaald als wij ook echt wat kunnen met de melding.”
Het bug bounty programma van het Havenbedrijf houdt ook de pentesters scherp. Rob: “Ik zeg wel eens tegen pentesters: ‘Let wel, er komt een bug bounty programma achteraan, dus ik zou wel erg teleurgesteld zijn als daar wat uitkomt.’ Dan jaag je elkaar aan de producten goed vorm te geven. Het programma loopt nu anderhalf jaar en ik merk dat we de hackers steeds eerder inzetten. Zo kunnen we dingen nog makkelijk aanpassen. De plan do check act cyclus wordt korter. Ik hou ook van ontwikkelaars die kunnen hacken en van hackers die kunnen ontwikkelen. Leuk om hier te zien hoe ze het als een spelletje ervaren, de wereld op een next level te krijgen..”
Maar, wat voor kwetsbaarheid heeft Wouter nou gevonden bij het Havenbedrijf? Dat kan hij nog niet vertellen, want het moet nog gefixed worden. Wel ziet hij het Havenbedrijf als een goed voorbeeld hoe je een bug bounty programma opzet. “Als je aan bug bounties wil gaan doen, dan moet je eerst goed nadenken wat er op je afkomt. Het kan veel werk en tijd kosten en het moet wel wat opleveren. Begin dus net als hun met één site en bouw dat uit. Maak gebruik van kennis die er al is en omarm iedereen die wil helpen.”
Heeft hij tot slot nog een tip voor hackers? “Ja: focus op de niet-standaarddingen. Er zijn al grote groepen Indiërs die vanuit een financiële drijfveer veel standaard kwetsbaarheden eruit halen. Kijk meer naar de flow in de applicaties: kun je stappen overslaan of stappen dubbel doen. Onlogische keuzes maken, daar zijn hackers goed in.”
Wil je op de hoogte blijven? Meld je dan aan voor onze nieuwsbrief. Heb je suggesties voor ons programma? Mail ons. Toegang was gratis. Dat kan omdat we gesteund worden door organisaties die net als wij graag kennis delen over cyber security. Dus, met dank aan:
