Het aantal organisaties dat via het internet informatie aanbied aan hun medewerkers, klanten en volstrekt onbekenden is de afgelopen jaren flink toegenomen. Waar deze informatie vroeger alleen bereikbaar was vanaf computers die waren aangesloten op het interne bedrijfsnetwerk van deze organisaties, wordt deze tegenwoordig vaak via een website of webapplicatie gepubliceerd. Behalve de vele voordelen die websites en webapplicaties een organisatie kunnen bieden, zoals het bereiken van meer potentiële klanten en het verbeteren van de informatievoorziening aan bestaande klanten, brengen zij ook nadelen met zich mee.

Hoewel de meeste organisaties hun bedrijfsnetwerk op netwerkniveau hebben dichtgetimmerd door het inzetten van firewalls en Intrusion Detection Systems, en daarnaast gebruik maken van scanners en analysesoftware om potentiële lekken te detecteren, blijkt vaak dat zij onvoldoende bekend zijn met de veiligheidsrisico’s die websites en webapplicaties met zich meebrengen. In een nieuwe reeks van artikelen zal ik deze veiligheidsrisico’s nader onder de loep nemen. Om goed te kunnen begrijpen waarom een optimale beveiliging van websites en webapplicaties zo belangrijk is, is het van belang om eerst te begrijpen wie er überhaupt probeert binnen te dringen, en vooral ook waarom zij dat proberen. Daarom staat in dit eerste artikel de “hacker” centraal.

Pardon? Webapplicaties een veiligheidsrisico ?

Jazeker, webapplicaties vormen een veiligheidsrisico, en veelal een nog groter risico dan het bedrijfsnetwerk zelf. Van oudsher staat de hacker erom bekend dat hij netwerken afspeurt naar openstaande poorten waardoor hij het systeem binnen kan dringen, zoals poort 21 voor FTP, 23 voor Telnet of 25 voor SMTP. De meeste organisaties hebben in de loop der jaren deze poorten afgeschermd voor onbevoegden door het plaatsen van bijvoorbeeld een firewall of het aanleggen van een VPN. Om echter mensen van buitenaf toegang te kunnen geven tot een webapplicatie, moet er toch minimaal 1 poort open staan (poort 80 voor HTTP) waarlangs de bezoeker de website of applicatie kan bereiken.

Zodra een willekeurige bezoeker (dus ook kwaadwillenden) van buiten een website of webapplicatie kan bereiken die op een server achter de firewall wordt gehost, is hij of zij de firewall al gepasseerd via de openstaande poort, zonder daar enige moeite voor te hoeven doen. De beveiliging hangt nu af van de wijze waarop de server en het netwerk zijn ingericht en geconfigureerd, maar ook van de website of de webapplicatie die bezocht wordt. Indien er in de applicatie een veiligheidslek zit, kan de bezoeker deze gebruiken om zichzelf met de juiste kennis mogelijk toegang te verschaffen tot gegevens die niet voor publicatie bedoeld zijn.

Potentiële veiligheidsrisico’s

Een hacker kan zichzelf op een flink aantal manieren toegang proberen te verschaffen tot een website of webapplicatie. Omdat mijn ervaring vooral ligt op het gebied van applicatieontwikkeling, zal ik alleen dieper ingaan op de mogelijkheden die een slecht geprogrammeerde of geconfigureerde webapplicatie een hacker biedt.

Vrijwel alle aanvallen die gedaan kunnen worden op een webapplicatie hebben betrekking tot het invoeren en laten uitvoeren van aangepaste code in de applicatie of op de webserver. Deze aangepaste code heeft meestal tot doel om de aanvaller toegang te geven tot gegevens op de webserver. Mogelijke manieren om deze aangepaste code naar de webapplicatie te sturen zijn:

• Door het invoeren van de code in een invoerveld op een invoerformulier
• Door het aanpassen van de parameters van de request URL
• Door het aanpassen van de veldnamen en waarden van (verborgen) velden van een formulier
• Door het aanpassen van de gegevens in een coockie van de applicatie

Ieder bovengenoemd punt zal in een toekomstig artikel nader uitgediept worden.

Hackers: Wat zijn dat eigenlijk ?

Voor het woord “hacker” bestaan tientallen, zo niet honderden verschillende definities. De meeste mensen associëren het woord hacker met een verveelde bleke nerd, die zijn dagen slijt in de kelder van het huis van zijn ouders, levend van pizza en cola, terwijl hij probeert een geheim systeem van de overheid binnen te dringen door het invoeren van honderden verschillende wachtwoorden. Uiteraard zullen er hackers zijn die aan deze omschrijving voldoen, maar het overgrote deel van de hackers bestaat uit “normale” mensen, met een normaal gezinsleven, een normale baan en een eetpatroon dat voldoet aan de schijf van vijf.

Hackers zijn grofweg onder te verdelen in vier groepen, met ieder hun eigen motieven en doelen. De eerste drie zijn de black-hat, white-hat en gray-hat hackers die over het algemeen bestaan uit professionals met jarenlange ervaring met computers. Hierbij geldt: hoe donkerder de “hat”, des te twijfelachtiger de legaliteit en ethische verantwoordelijkheid van zijn werkwijze. Daarnaast is er ook nog een groep die wordt aangeduid als “Script kiddies”.

Black-hat hackers

De black-hat hacker is de meest bekende soort hacker, aangezien deze de meeste aandacht krijgt in de media vanwege de vaak negatieve gevolgen van zijn werkwijze. Deze gebruikt alles wat binnen zijn mogelijkheden ligt om zijn gestelde doelen te bereiken, die veelal bij wet verboden zijn. De black-hat hacker deinst er niet voor terug om zijn beoogde doelgroep schade toe te brengen, en doet zijn werk om daar persoonlijk beter van te worden.

Het persoonlijk voordeel kan de hacker behalen op verschillende gebieden. Belangrijk binnen de hackers cultuur is de status van een hacker. Door het hacken van organisaties, applicaties of andersoortige soft- en hardware die door andere hackers als “lastig te kraken” is bestempelt, kan een hacker zijn aanzien ten opzichte van zijn mede hackers verhogen. Voor een hacker met een hoger aanzien is het eenvoudiger om te communiceren met andere hackers van een vergelijkbaar hoog aanzien, die meestal niet graag met beginnelingen praten over hun werkwijze en werkzaamheden.

Daarnaast kan de black-hat hacker een financieel voordeel halen uit zijn werkzaamheden. Nadat hij een systeem is binnengedrongen, kan hij een aantal soorten gegevens verzamelen die doorverkocht kunnen worden voor aanzienlijke geldsommen. Voorbeelden van deze gegevens zijn:

• Creditcard / bankgegevens
• Identiteitsgegevens
• E-mail adressen
• Vertrouwelijke documenten

Behalve deze doelen heeft iedere hacker zijn eigen doelen, die vaak afhankelijk zijn van de huidige situatie in de wereld, de vraag van zijn afnemers, of zelfs van zijn eigen humeur. Een veel gehoorde verklaring van hackers op de vraag waarom zij eigenlijk hacken is dan ook: “Ik verveelde me”.

Naast het verzamelen van gegevens, het verhogen van status of het behalen van persoonlijke winst, kan een hacker ook uit politieke of ideologische overtuigingen werken. Dit wordt veelal gedaan door websites van “tegenstanders” aan te vallen. Deze aanvallen kunnen op verschillende manieren plaatsvinden:

Het plaatsen van kwetsende / ongepaste teksten en afbeeldingen op de website.
Het onherkenbaar maken of beschadigen (defacen) van een website
Het onbereikbaar maken van de website
White-hat hackers

De white-hat hacker is in principe de tegenpool van de black-hat hacker. Deze streeft er juist naar de systemen te beschermen tegen de black-hat of andersoortige hackers. De white-hat hacker gebruikt dezelfde kennis en hulpmiddelen als de black-hat hacker, en voert vaak ook dezelfde werkzaamheden uit, met als grote verschil dat hij veelal wordt ingehuurd door bedrijven of makers van soft- en hardware om de veiligheid van hun producten te testen. In plaats van het uitbaten van gevonden lekken en eventueel doorverkopen van gevonden gegevens voor persoonlijk gewin, doen deze hackers verslag aan de organisatie die hen heeft ingehuurd, om zo de onderzochte producten beter te kunnen beveiligen tegen de overige hackers.

Gray-hat hackers

Een gray-hat hacker is een persoon die zich niet strikt wil verbinden aan één van de andere twee groepen hackers. Over het algemeen probeert deze hacker zijn doelen op een zo legaal (white) mogelijke manier te bereiken. Mocht een iets minder legale (black) werkwijze noodzakelijk blijken om zijn doel te behalen, zal hij hier niet voor terugdeinzen.

Script kiddies

Script kiddies zijn een aparte groep, die mensen uit alle drie de bovengenoemde gebieden bevat. Zoals de naam al doet vermoeden, zijn dit vaak nog zeer jongen mensen met weinig tot matige computerkennis, die een leven als hacker ambiëren. Voor het uitvoeren van hun werkzaamheden maken ze vrijwel altijd gebruik van de kennis en ervaring van professionele hackers die zij op het internet verzamelen, meestal in de vorm van “hackers tookits”. Dat zijn kant-en-klare applicaties waarmee eenvoudig veelgebruikte hacks kunnen worden uitgevoerd.

Potentieel doelwit van een hacker

Het idee dat hackers alleen uit zijn op de systemen van grote bedrijven en overheden is niet juist. Zodra u een website of webapplicatie heeft die via het internet te benaderen is, bent u al een potentieel doelwit voor een hacker of script kiddy. Hoewel u misschien denkt dat er voor hen niets te halen valt, zien zij het misschien wel als oefening of tijdverdrijf om uw systemen te doorgronden, manipuleren of zelfs beschadigen. Daarom is beveiliging een belangrijk aspect voor iedere website of applicatie!

Meer weten over dit onderwerp?

Helaas is het niet mogelijk om een onderwerp als deze goed tot zijn recht te laten komen in een beknopt artikel. Mocht u na het lezen van dit artikel meer informatie willen hebben over de verschillende definities van hackers, de groepen waarin zij zijn onder te verdelen, hun motivaties en werkwijzen, verwijs ik u graag door naar een zeer uitgebreid artikel op de Engelstalige Wikipedia: http://en.wikipedia.org/wiki/Hacker_%28computing%29

De artikelen in deze reeks zullen zich voornamelijk richten op de Computer Security Hacker. Ook hierover heeft Wikipedia een uitgebreid artikel: http://en.wikipedia.org/wiki/Hacker_(computer_security)