Jarno hackt met permissie

Jarno Baselier rolde ruim 10 jaar geleden in de ‘offensive security’. Tijdens ‘pentesten’ dimt hij het licht, zet zijn hoodie op en kruipt in de huid van een hacker. Hij kan zich geen mooier vak voorstellen. 

Jarno Baselier

Met regelmaat speurt Jarno Baselier naar gaten in de digitale verdediging: waar zit een zwakke plek in een netwerk, systeem of programma. Hacken vraagt veel technische kennis en bij het specialistisch werk past geen 9 tot 5 mentaliteit.

Meevaller: Jarno werkt voor het programma Informatieveiligheid & Privacy (IV&P) van het Waterschapshuis (hWh). Hij is operationeel verantwoordelijk voor het CERT-WM (Water Management). Vanuit het programma, de samenwerking met Rijkswaterstaat en zijn passie voert hij vaak ‘pentesten’ uit ofwel een ‘Penetratie Test’.

Tijdens een pentest zoekt Jarno naar zwakheden die iemand met slechte bedoelingen kan misbruiken. ‘Jarno: Het is fantastisch om ‘met goedkeuring’ te kijken of een product of configuratie voor malafide doeleinden gebruikt kan worden en zo bij te dragen aan een sterker veiliger netwerk.’

Hoodie

Jarno: ‘Tijdens het uitvoeren van een pentest dim ik het licht in de kamer, zet ik een hoodie op en kruip ik in de huid van een potentiële aanvaller. Het is beter dat ik een zwakheid ontdek, dan een werkelijke aanvaller. De laatste kan in dat geval toegang krijgen tot het systeem, de data of in het ergste geval het hele netwerk. Een simpele zwakheid kan verstrekkende gevolgen hebben. Een ransomware besmetting kan bijvoorbeeld grote financiële of andere nadelige gevolgen hebben, zoals reputatieschade.’

Pentest als dienst

Het CERT-WM onderzoekt of pentesten als dienst aangeboden kunnen worden aan de waterschappen. Jarno voert nu al pentesten uit voor programma’s van het Waterschapshuis zoals Z-Info, de Perceelwijzer en Meteobase. Jarno: ‘We denken vaak dat een modern product automatisch veilig is. Door het gebruik van moderne frameworks en standaarden is het eindproduct weliswaar veel veiliger, maar er is maar één programmeer- of configuratiefoutje nodig om een zwakheid in het systeem te krijgen.’

Onlangs zorgde een relatief simpele instelling ervoor dat er code-execution mogelijk was op het systeem (server) waar de programmatuur op draaide, ontdekte Jarno. ‘Code-execution betekent dat er commando’s mogelijk zijn op het onderliggende operating system. Als een kwaadwillende gebruiker deze zwakheid had ontdekt, kon de hacker controle krijgen over het onderliggende systeem. Dat systeem is weer onderdeel van een groter netwerk. Mogelijk kan de hacker dan ook het netwerk bekijken, nieuwe zwakheden ontdekken en meer systemen overnemen, met alle gevolgen van dien.’

Kat-en-muisspelletje

Jarno is daarom enorm blij dat digitale veiligheid tegenwoordig steeds meer aandacht krijgt. ‘Het zorgt voor een beter eindproduct. Een product dient tijdens de ontwikkeling, voor ingebruikname en tijdens zijn lifecycle geregeld getest te worden. Als dat gebeurt, zoals bij Z-Info, dan zorgt dit bij live-gang al voor een veel beter en veiliger product. Dan zijn meteen restrisico’s in kaart gebracht, zodat op basis daarvan diverse beslissingen genomen kunnen worden.

Het blijft een kat-en-muisspel tegen malafide aanvallers, zegt Jarno. ‘Volledig veilig is een illusie’, geeft hij als winstwaarschuwing mee. Jarno: ‘Maar het blijft geweldig om het hackers zo moeilijk te maken dat 99 procent afhaakt en we uiteindelijk samen in een veilige omgeving kunnen werken!’

Heb je vragen? Neem gerust contact met Jarno.