Om de weerbaarheid van de informatieveiligheid in je organisatie te controleren kun je een security assessment uit laten voeren of je webapplicaties laten pentesten. Deze onderzoeken worden uitgevoerd door een gespecialiseerde securityconsultant, ook wel een ethisch hacker genoemd. Met de scope voor een greyboxtest, een vrijwaringsovereenkomst en een geheimhoudingsverklaring op zak kan de consultant aan de slag.
In deze blog nemen we je mee achter de schermen en laten we zien hoe een dag in het leven van een ethisch hacker bij Acknowledge eruitziet. Van het uitvoeren van penetratietests tot het analyseren van beveiligingsrapporten en het samenwerken met ICT-teams om oplossingen te implementeren. Ontdek de fascinerende en dynamische wereld van de ethisch hacker en leer hoe hun werk niet alleen technische vaardigheden vereist, maar ook vertrouwen en respect van de mensen om hen heen.
Het laatste nieuws
De wekker gaat om 6:00 uur. Al bij het ontbijt pak ik de telefoon erbij om de laatste ontwikkelingen te lezen over gepubliceerde kwetsbaarheden op officiële kanalen van leveranciers, bij websites waar zero-day-aanvallen worden gemeld en op verschillende nieuwskanalen. Twee kwetsbaarheden vallen op, beiden met een kritische CVSS-score (Common Vulnerability Scoring System) tussen de 9.0 en de 10. De getroffen software laat een belletje rinkelen en is mogelijk in gebruik bij een of meerdere klanten. Ik stuur meteen een appje naar het chatkanaal van het Acknowledge Security Emergency Response Team (ASERT). Deze dienst van Acknowledge onderzoekt doorlopend nieuwe kwetsbaarheden, beoordeelt ze en zet zo nodig een actie uit bij onze ServiceDesk.
Open source intelligence
Nadat ik rond 8:00 uur op kantoor ben aangekomen bespreek ik direct de twee kwetsbaarheden met mijn collega’s. Een andere collega heeft ook een bijzondere kwetsbaarheid gemeld. We brengen de ServiceDesk op de hoogte en vanwege de urgentie lichten we de wijzigingscoördinator en servicemanagers in. Om half negen spring ik in de auto op weg naar een klant. De afgelopen dagen heb ik open source intelligence (OSINT) opgehaald van deze klant. Ik zocht online naar wie ze zijn, wat ze doen en waar ze zitten. Met die informatie krijg ik een beeld van de klant. Buiten de website om is er genoeg over de organisatie te vinden. Handige informatie die vandaag misschien van pas komt. Zo heb ik gisteren een lijst gemaakt met woorden van hun website. Hier zitten veel eigennamen in, zoals productnamen en afdelingsinformatie.
Kijkje in de keuken
Ik heb afgesproken met de IT-coördinator van de klant, mijn belangrijkste aanspreekpunt. Het onderzoek begint nu echt, dus deze eerste dag op locatie is best spannende voor ons beiden! Als ethisch hacker kom je toch even in de keuken kijken. Na een korte rondleiding en kennismaking met andere collega’s richt ik mijn werkplek in. Voor het uitvoeren van een security assessment gebruik ik een battlestation. Dit is een stevig uitgeruste laptop waar mijn toolset op staat. Ik start diverse virtuele machines voor verschillende doeleinden op en sluit de laptop aan op het bedrijfsnetwerk. Omdat ik nog niet precies weet hoe de infrastructuur eruitziet begin ik met het scannen van het netwerk. Op de achtergrond laat ik een sniffer draaien, die zich tussen het netwerkverkeer nestelt en gegevens die worden uitgewisseld onderschept (man-in-the-middle).
Kwetsbaarhedenscanner
Rond 11:00 uur heb ik het overzicht van de diverse onderdelen binnen de infrastructuur. Door mijn scans weet ik waar de Active Directory en file- en applicatieservers staan. Deze organisatie heeft vorig jaar de stap gemaakt naar Azure. Het blijkt een hybride omgeving, met op locatie nog een aantal applicatieservers en een domain controller. Nu heb ik een afgesproken scope en een beter beeld van de infrastructuur, waarmee ik een kwetsbaarhedenscanner inricht. Deze helpt het patchniveau van applicaties te beoordelen. Misschien komen kwetsbaarheden naar boven die ik later kan uitbuiten (exploiteren). Terwijl ik druk bezig ben met het inrichten van de kwetsbaarhedenscanner trekt de rode tekst van de sniffer mijn aandacht. Ik heb een gehashed wachtwoord gevonden met de gebruikersnaam ‘antoine01’. Mijn sniffer heeft een gebruikerscomputer kunnen verleiden om via een verouderd protocol authenticatiegegevens te onderscheppen. Hebbes! Ook een ethical hacker is blij wanneer een puzzelstukje wordt gevonden.
Nog een puzzelstuk
Het gevonden wachtwoord is voor mij niet leesbaar en als het een sterk wachtwoord is kom ik er niet snel achter, misschien nooit. Ik gok het erop. De woordenlijst van gisteren komt nu van pas. Deze combineer ik met andere woordenlijsten met gecompromitteerde wachtwoorden die op internet te vinden zijn. Een wachtwoordkraker leest de wachtwoorden uit de lijsten, vult deze aan met extra letters, tekens en cijfers en maakt er hashes van. Een gehashed wachtwoord is een wachtwoord dat is omgezet in een reeks tekens, waardoor het oorspronkelijke wachtwoord moeilijk te achterhalen is. De wachtwoordkraker vergelijkt de hash met de wachtwoord-hash die ik eerder vond. Het kan uren duren, soms zelfs dagen of maanden. Maar nu heb ik binnen twee minuten beet. Weer een stuk van de puzzel erbij: een gebruiker met de gebruikersnaam ‘antoine01’ en het wachtwoord ‘Zomervakantie24’. De beheerder heeft een sterk wachtwoordbeleid ingericht, maar ook dan is het mogelijk een simpel wachtwoord te kiezen.
Op onderzoek uit
Het is inmiddels twee uur ’s middags. De kwetsbaarhedenscanner is nog volop bezig, maar heeft al wel wat gevonden: een stokoude applicatieserver. Het besturingssysteem wordt niet meer ondersteund door Microsoft. Dit verklaart waarom een gebruikerscomputer dat oude authenticatieprotocol nog nodig heeft. Het oude besturingssysteem weet niet beter. Intussen ben ik met het account en wachtwoord van ‘antoine01’ op onderzoek gegaan op de Active Directory. Met een regulier gebruikersaccount kan ik de inhoud daarvan inzien. Andere gebruikers, groepen en computers kan ik allemaal bekijken. Notitievelden bekijk ik ook altijd. Soms laten beheerders daar wachtwoorden in achter, niet slim natuurlijk. Maar gelukkig vind ik deze keer geen wachtwoorden. Wat ik wel vind is een admin-groep met drie leden, waaronder ‘guus01’.
Toegang verkregen
Intussen heb ik ontdekt dat er ook een Active Directory Certificate Service draait voor het uitgeven en beheren van PKI-certificaten. De templates waarmee deze certificaten worden aangemaakt bevatten regelmatig configuratiefouten. Uit mijn toolset gebruik ik een script dat de templates analyseert op kwetsbaarheden. Ik zie een certificaattemplate met de kwetsbaarheid ‘ESC1’. Deze escalation of privilege – ofwel het ophogen van mijn rechten – is de volgende uitdaging. ESC1 maakt het mogelijk met het account van ‘antoine01’ een certificaat aan te vragen voor iemand die meer mag op de infrastructuur. Het is even puzzelen, maar het is gelukt! Via het account van antoine01 heb ik een certificaat aangevraagd voor guus01. Dat certificaat is goud waard! Met een aantal extra commando’s is het gelukt om via remote desktop met guus01 in te loggen op de domain controller met daarop de Active Directory. Door het gebrek aan netwerksegmentatie kom ik zo direct op de server.
Afsluiting van de dag
Vandaag heb ik flink wat resultaten kunnen boeken. Ik loop nog even naar het bureau van de ICT-coördinator, want ik wil hem niet laten wachten op het rapport voor het melden van zo’n kritische bevinding. Ik heb binnen een paar uur de hoogste rechten kunnen bemachtigen. De mogelijkheden van een kwaadwillende zouden bijna eindeloos zijn. Ik laat de ICT-coördinator weten dat hij zijn besturingssystemen up-to-date moet houden, alert moet zijn op de configuratie van de Active Directory en zijn infrastructuur veiliger in moet richten. Als ik terug kom op kantoor blijkt dat de kwetsbaarheden van deze ochtend zijn omzeild (gemitigeerd). Het was weer een vruchtbare dag. Nu naar huis, even eten, een eindje fietsen en een serie op Netflix kijken. Of toch nog even de securityfeeds checken?
Ethisch hacken in jouw organisatie
Het werk van een ethisch hacker is van onschatbare waarde in onze steeds digitaler wordende wereld. Door hun expertise en toewijding helpen ze organisaties om veilig te blijven en cyberdreigingen een stap voor te zijn. Wil je weten hoe jouw organisatie kan profiteren van de diensten van ethische hackers? Ontdek hoe wij je helpen om je digitale beveiliging te versterken.