211service.com
Inbreken met een goede reden
Niet alle hackers die bedrijven aanvallen zijn slechteriken; sommigen worden hiervoor betaald door hun doelwit. In een dienst die penetratietesten wordt genoemd, probeert een beveiligingsbedrijf toegang te krijgen tot de systemen van een klant of deze te controleren om zwakke punten te ontdekken die door een echte aanvaller kunnen worden uitgebuit.

Op zoek naar problemen: Brian Holyfield, medeoprichter van Gotham Digital
Bepaalde soorten bedrijven zijn wettelijk verplicht om penetratietests te ondergaan, maar vele anderen kiezen er ook voor, zegt Brian Holyfield, medeoprichter van Gotham Digitale Wetenschap , een bedrijf gevestigd in New York dat gespecialiseerd is in deze service. Holyfield vertelde Tom Simonite, Technologie beoordeling ’s IT-editor voor hardware en software, dat Gotham tijdens sommige grote taken wekenlang drie van zijn hackers tegen een bedrijf inzet.
KINDEREN : Waarom zijn penetratietesten nodig? Kun je een bedrijf niet gewoon vertellen naar welke kwetsbaarheden een aanvaller zou zoeken?
Holyfield: We zijn niet op zoek naar standaard kwetsbaarheden. Meestal zijn we op zoek naar kwetsbaarheden op codeniveau in aangepaste applicaties. Iedereen heeft nu web-apps en de realiteit is dat de firewall weinig doet om ze te beschermen.
Met wat voor soort bedrijven werkt u samen?
We werken voornamelijk met leveranciers van banken en financiën, gezondheidszorg en software. Van alle sites en systemen die creditcards accepteren, wordt verwacht dat ze tests uitvoeren als ze meer dan een bepaald aantal transacties per jaar uitvoeren. Maar veel bedrijven zijn niet verplicht dit te doen. De grootste markt die we bedienen zijn bedrijven die software als een service leveren. Ze worden door klanten gevraagd wat ze doen om ervoor te zorgen dat het veilig is.
Zijn klanten bang om vrijwillig gehackt te worden?
De eerste keer dat iemand dit meemaakt, is er een niveau van nervositeit en zelfs paranoia. We moeten eraan werken om ervoor te zorgen dat ze hun ego opzij zetten en begrijpen dat het geen wij-tegen-zij-oefening is; we proberen niemand er slecht uit te laten zien. Wanneer een pentest voorbij is, zijn klanten over het algemeen blij dat we het probleem eerder hebben gevonden dan de slechterik.
Wat is een goed voorbeeld van kwetsbaarheden die je hebt gevonden?
Bij een recente opdracht hebben we een marketingwebsite voor een grote financiële instelling gecompromitteerd die op een niet-gepatchte webserver draaide. Die server werd gebruikt als springplank om door de firewall te gaan en verbinding te maken met systemen op hun interne netwerk.
We ontdekten dat een van de accounts [afgenomen van] de webserver (we hadden het wachtwoord gekraakt) ook een beheerder van de kluis was die ieders wachtwoorden voor dat netwerk opslaat. We konden als iedereen inloggen. Een goede les hier is dat alleen omdat een systeem niet kritiek is, dit niet betekent dat de server kan worden afgeschreven vanuit een beveiligingsperspectief. Zodra u toegang krijgt tot de perimeterbox, heeft u doorgaans veel meer mogelijkheden om belangrijkere systemen aan te vallen, aangezien u zich nu achter de firewall bevindt. De andere les is hoe belangrijk het is om niet hetzelfde wachtwoord op verschillende systemen te gebruiken.
Wat presenteer je aan de klant nadat je aanval voorbij is?
We hebben altijd een schriftelijk rapport en stapsgewijze screenshots en instructies die we aan een ontwikkelaar kunnen overhandigen en zeggen: Zo doe je het. Na de penetratietest voegen we waarde toe door duidelijk te maken wat er precies moet gebeuren. Dat is te vergelijken met een klassieke beveiligingsaudit die de neiging heeft zwaar te worden gewogen in de richting van best practices.
Zijn de mensen die dit voor de goeden doen anders dan de slechteriken?
Het vereist niet alleen gespecialiseerde vaardigheden, maar ook een bepaald type persoon. Het is niet zo dat mensen goed zijn in hun werk, maar het is hun hobby, wat ze leven en ademen. Ze hebben niet alleen de wens om erachter te komen hoe iets werkt, maar ook om erachter te komen hoe iets [voor een doel] kan worden gebruikt waarvoor het niet bedoeld is.
Het is een dunne lijn tussen iemand met die passie alleen omwille van interesse en kennis en iemand die schade zal berokkenen of geld probeert te verdienen. Wanneer we op zoek zijn naar talent, is een deel van ons wervingsproces een zeer strikte achtergrondcontrole om naar een duistere kant te zoeken. Er zijn veel gevallen geweest waarin we zeer getalenteerde mensen kennen die we gewoon niet kunnen aannemen.
Wordt penetratietesten steeds gebruikelijker?
Ja, het begint steeds meer mainstream te worden. Een teken hiervan is dat het voor mensen gemakkelijker wordt om toestemming te krijgen van hun internetprovider, die dit moet weten zodat ze kunnen begrijpen dat het geen echte aanval is. Tegenwoordig maken infrastructuurbedrijven zoals Amazon het heel gemakkelijk. Als je wordt gehost in de cloud van Amazon, is het verkrijgen van toestemming voor een penetratietest net zo eenvoudig als het invullen van een eenvoudig webformulier.
Hadden penetratietests Sony kunnen voorbereiden op de recente aanvallen waarbij gebruikersgegevens werden gestolen?
Een penetratietest richt zich meestal op de voordeur, maar er zijn een heleboel ramen. Ik denk dat Sony eigenlijk specifiek het doelwit was. Social engineering en spear phishing [het opstellen van berichten om een bepaalde persoon te misleiden om gevoelige gegevens te onthullen] zouden kunnen zijn gebruikt tegen personen die toegang hebben tot de gegevens. Het testen van social engineering-aanvallen is een optie voor een pentest, maar de meeste mensen gaan er niet voor. Ze kennen de risico's al.