Woensdag: niet meer gehackt dag
Het kost alleen maar geld en het levert alleen maar gezeur op, toch? Security, misschien wel het meest genegeerde onderwerp op internet. Want we hebben allemaal dat ene password uit 1998 wat we nog ergens voor gebruiken, toch?
Hoe gaan we daar bij DIJ mee om? Ik vraag het aan Derk, backend developer maar ook Certified Ethical Hacker en onze veiligheidsexpert.
Wat is precies jouw functie?
Naast back-end developer ben ik binnen DIJ verantwoordelijk voor security. In overleg met onze klanten breng ik de belangrijkste componenten van hun software in kaart en worden hierop pentesten en code audits uitgevoerd.
Sorry, pentesten?
Dat staat voor penetration test, dus we kijken hoe en waar we de beveiliging kunnen doorbreken, op plekken waar een aanvaller dat ook zou doen. Hiervoor hebben we verschillende mogelijkheden. We kunnen een project automatisch laten scannen op kwetsbaarheden en de resultaten hiervan beoordelen en reproduceren, maar we kunnen ook een volledige code audit uitvoeren waarbij we de code en applicatie doorlopen om te controleren of de code zelf veilig is en of de geïmplementeerde logica en rechten kloppen.
Heb je dan bepaalde tools en technieken die je daarvoor gebruikt?
Natuurlijk hebben we die, er zijn veel tools beschikbaar die periodiek op bekende kwetsbaarheden, die al op internet gepubliceerd zijn en al door hackers worden gebruikt te testen. Daarbij kun je denken aan paden die toegankelijk zijn op een server terwijl die eigenlijk afgeschermd zouden moeten zijn, of bestanden waar je eigenlijk geen toegang toe wil verlenen. Om die tools optimaal te kunnen inzetten en de resultaten correct te interpreteren heb je natuurlijk flinke inhoudelijke kennis van een project nodig, dus we zorgen ook altijd dat we in de code kunnen kijken. Zo weten we welke logica in de code wordt gevolgd zodat we ook die goed kunnen testen.
En wat gebeurt er dan als we iets vinden?
We maken altijd direct een inschatting: als het een ernstige kwetsbaarheid of risico is dan zetten we direct het ontwikkelteam aan het werk om dit op te lossen, en we informeren natuurlijk onze klant. Verder maken we een uitgebreide rapportage met alle bevindingen en aanbevelingen. Soms zijn dingen niet direct uit te voeren, zoals een flinke upgrade of een wijziging in de architectuur van een platform. In overleg met onze klanten nemen we dan soms tijdelijke maatregelen om de risico's te minimaliseren. Even tijdelijk een rijstrook afsluiten als er iets op de weg ligt, zeg maar. En het dan natuurlijk op een veilige manier opruimen.
Heb je nog een advies voor organisaties die twijfelen of hun software wel veilig is?
Ja, dat kunnen we altijd op een nette manier samen onderzoeken. Het is altijd goed om een expert te laten kijken naar je project, en het resultaat is altijd positief: of je vindt iets wat je kunt verbeteren, of je krijgt de bevestiging dat alles in orde is, dat is ook een fijn gevoel!
Wil je meer weten over wat we voor jou kunnen doen op veiligheidsgebied? Loop eens binnen, we tekenen je non-disclosure-agreement en je kunt onze Ethical Hacker geheel anoniem in een café je code laten zien!