Gepubliceerd: 9 juni 2020, Rémon Verkerk

Het fenomeen van ‘de perfecte moord’ is veel besproken en levert alleen al op Google meer dan een half miljoen Engelstalige hits op. Documentairemakers, scriptschrijvers en zelfs mensen zoals jij en ik, hebben stiekem weleens gefantaseerd over hoe de perfecte moord eruit zou kunnen zien. De perfecte moord is zo volmaakt dat er niet eens wordt gedacht aan een misdrijf. Hoewel minder tot de verbeelding sprekend, kunnen we dit concept ook toepassen op andere misdrijven, zoals bijvoorbeeld een inbraak.

Een hypothese

Stel je het volgende scenario eens voor. Een inbreker boort het cilinderslot uit van één van de toegangsdeuren van een woning, waarna deze een duur horloge of ander kostbaar item buit maakt. De goed voorbereide inbreker vervangt het door hem vernielde cilinderslot, alsmede alle overige overeenkomstige cilindersloten van deze woning, met door hemzelf meegebrachte cilinders. Om zijn ongewenste bezoek onopgemerkt te laten, vervangt de inbreker de oude sleutels met de nieuwe op de aangetroffen sleutelbossen. Het is duidelijk dat er aan deze hypothese in de praktijk nogal wat haken en ogen zitten, maar dit laten we even voor wat het is.

Persistentie

In een van de daaropvolgende dagen bemerkt de bewoner dat hij een item mist. Hij of zij heeft echter geen reden om aan te nemen dat er is ingebroken en gaat er vanuit dat hij het betreffende item misplaatst heeft of verloren. Kostbare goederen worden veelal verzekerd tegen verlies of diefstal en zijn veelal goed verzekerd of de rechtmatige eigenaar is dusdanig vermogend dat deze het item vervangt door een nieuw exemplaar. Nu onze fictieve inbreker beschikt over de sleutels van het huis, is het een koud kunstje om nogmaals onopgemerkt een huisbezoek te brengen en opnieuw zijn slag te slaan.

Dit niet-realistische scenario is in het geval van een digitale inbraak (‘hacking’) echter wel degelijk realistisch. Het repareren van toegebrachte schade of het verhelpen van kwetsbaarheden is in het geval van een doelgerichte hack, de de facto-werkwijze. Het doel van de hacker is niet alleen zolang mogelijk onopgemerkt toegang te behouden tot het gecompromitteerde systeem, ook beoogt hij hiermee te voorkomen dat zijn ‘concullegae’ zich toegang verschaffen en hij de digitale buit moet delen.

“Het uitvoeren van een penetratietest heeft weinig nut…”

De ethical hackers van PSG worden met regelmaat gevraagd een zogeheten penetratietest (‘pentest’) uit te voeren op een bedrijfsnetwerk of webapplicatie. Hoewel wij wel degelijk de meerwaarde van een dergelijke exercitie zien, stellen wij onze klanten altijd de vraag: “Waarom wil je een pentest laten uitvoeren?” Het voor de hand liggende antwoord is, dat men kwetsbaarheden tijdig wil detecteren om de bedrijfscontinuïteit zoveel mogelijk te kunnen garanderen.

Nut en noodzaak

Terugkomend op de metafoor van de inbraak. Alvorens over te gaan tot het uitvoeren van een pentest, is het noodzakelijk vast te stellen of de originele ‘sloten’ nog intact zijn en er zich geen inbreker onder het ‘bed’ schuilhoudt. Het uitvoeren van een penetratietest heeft weinig nut, als de (digitale) inbreker al binnen is. Toch is het voor veel organisaties al een noodzaak om dergelijke assessments uit te voeren, omdat zij dit bij wet of andere normering verplicht zijn te doen. In een dergelijk geval is de insteek vanuit het oogpunt van compliance. Voldoen aan wet- en regelgeving biedt uiteraard geen garantie op veiligheid, maar is slechts een minimale vereiste – het startpunt.

PSG helpt haar klanten risico’s van binnenuit inzichtelijk te maken. Deze risico’s kunnen bestaan uit een hacker die zich verschanst heeft in uw netwerk, een interne medewerker die probeert de securitymaatregelen te omzeilen of het tijdig onderkennen van een onbedoeld datalek.

Vanzelfsprekend helpen wij u ook graag met in kaart brengen van kwetsbaarheden van buitenaf!