Skip to main content
Blog

Een persoonlijke geschiedenis met security

By 2 juli 2015januari 30th, 2017No Comments

Deze maanden vertellen we in de First8 Friday video’s “iets” over security. Dit is een heel breed onderwerp, dus voor de filmpjes is er voor een flinke beperking gekozen. In een blogpost is meer ruimte, dus vandaar hier een persoonlijke geschiedenis van ruim 20 jaar interesse in computerbeveiliging. Opa Merijn vertelt.

…hoe deed ze dat, waar kwamen de gegevens vandaan, wat betekent dat groene scherm…

Ik zal zes jaar geweest zijn toen ik voor het eerste een computer gebruikt zag worden, in 1981.  Een mevrouw in het ziekenhuis drukte op wat magische knopjes en even later was er een etiket uitgeprint en gestickerd op een kaartje. Op dat moment was mijn interesse gewekt: hoe deed ze dat, waar kwamen de gegevens vandaan, wat betekent dat groene scherm en hoe stuurt dat die printer aan. Vijf jaar later was ik de trotse eigenaar van een commodore 64…

Drijfveren

Heel graag willen weten hoe alles werkt. Die spirit is nog steeds onveranderd en leidt vanzelf tot nadenken over mogelijkheden die buiten de oorspronkelijke scope vallen. In de jaren 90 was er het tijdschrift Hacktic. Het was lichtjes subversief, anti-autoritair en er stonden hele interessante weetjes in over computers, de telefonienetwerken, de AIVD/BVD en electronica. Ook las ik boeken als “the Cuckoo’s egg” van Clifford Stoll, en interesseerde me tijdens mijn studie voor computernetwerken en hun beveiliging. In 2000 was ik vrijwilliger op een unix-conferentie: Merijn op Sane 2000.

…mijn eerste klus bij First8 behelsde gelijk de meest gevoelige persoonsgegevens die je onderhanden kunt hebben…

In 2003 kwam ik bij First8 te werken. Mijn eerste klus behelsde gelijk de meest gevoelige persoonsgegevens die je onderhanden kunt hebben: de gegevens van kinderen die worden aangemeld voor het speciaal onderwijs. Deze gevoelige gegevens waren de verantwoordelijkheid van onze opdrachtgever en wij als First8 waren zeer bepalend in de security-aspecten van die applicatie. De “hoe houd ik het veilig” houding vergeet je niet gauw en is onderdeel van het First8-DNA geworden.

 

Mindset

Het is een mindset, die van de hacker. Deze mindset denkt heel sterk in mogeljkheden, (vooral) ook buiten het “doosje”. Mijn brein gaat in veel gevallen automatisch aan de wandel, niet altijd een zegen. Dit soort breinen analyseert protocollen, procedures en ziet de mogelijkheden die ze eigenlijk niet zouden moeten bieden. Er staan heel veel video’s op Youtube van conferenties zoals Defcon en het jaarlijkse CCC-congres waar de professionele security onderzoekers en  hun verhalen vertellen. Uitermate boeiend en prima vermaak als ik een uur op een hometrainer ga zitten.

Je ziet een foutmelding in de logs.. je ziet in de broncode waar die fout onstaat… je weet welk pad er door de code gelopen is… maar, waarom!?

Bij het oplossen van een probleem moet je op priegelige details geconcentreerd zijn en tegelijk kunnen bedenken dat het aan iets totaal anders kan liggen.

Mijn kracht zit hem in het naspeuren van het pad, detectivewerk. Weten hoe computers, netwerken, de JVM, java-bibliotheken en databases met elkaar samenwerken. Uiteraard ook hoe dat fout gaat.

In een Devops-team heb ik vaak collega’s de nobele taak gegeven zich op een detail te storten of een fout beter af te handelen, terwijl ik zelf bleef zoeken naar andere verklaringen en een manier om de brand te blussen. Als een applicatie (in productie) aan de ene kant in brand lijkt te staan, vergeet niet om je heen te blijven kijken, soms is de brand ergens anders veel groter…

 .. een account had aangemaakt met usernamer/password gelijk aan de pakketnaam…

En, hackers?

Ja, zij grijpen hun (vaak geautomatiseerde) kans. Eenmaal maakte ik mee dat een pakket zichzelf had geinstalleerd op een server en daarbij een account had aangemaakt met usernamer/password gelijk aan de pakketnaam… De hosting-provider zei dat die machine verdacht veel verkeer had gegenereerd: een 20Gb spamrun, de machine draaide een rootkit…

Tijdens een cursus bij een externe partij werkten we met virtuele machines in een open cloud. De cursus-VMs hadden een default gebruikersnaam en wachtwoord dat hoogstwaarschijnlijk op het lijstje staat van geautomatiseerde hacktoolkits. Tijdens een dag van de cursus werd bij zeker twee van mijn mede-cursisten hun VM gehackt (“o, waren ze daarom zo langzaam”)

…een hack die een collega meemaakte gebruikte een gat in de standaardconfiguratie van JBoss…

Java en in het bijzonder applicatieservers zoals JBoss en Tomcat gaan ook niet altijd vrijuit. Een hack die een collega meemaakte gebruikte een gat in een standaardconfiguratie, waardoor via de JVM, via JNI een stuk shellcode werd uitgevoerd. De “grens” tussen JVM en linux werd overgestoken in een paar kilobyte aan .jar-file. Dat dit in praktijk verschillende disciplines raakt (java/jvm-kennis en netwerk/beheerkennis)  zal de hackers niet deren, integendeel!