BrightNight recap - Dingen die gebeuren op het web

We komen allemaal wel eens bugs tegen op websites en webapplicaties. Meestal zijn die bugs functioneel. Maar soms stuit je al eens op een beveiligingslek. Laten we een voorbeeld nemen van vroeger op het internet, toen de meeste webwinkels nog niet zo ontwikkeld waren als nu. Je kon wegkomen met kleine trucjes zoals het invullen van een negatieve producthoeveelheid in het tekstveld van je winkelmandje om het product gratis te krijgen. Wie houdt er immers niet van gratis spullen?

We zijn allemaal hackers

Dat was het eerste voorbeeld in een boeiende sessie van Stijn Jans, CEO en oprichter van Intigriti. Hij toonde aan dat we in zekere zin allemaal hackers zijn. Als je hacking definieert als “iets op een andere en creatieve manier gebruiken om een doel te bereiken waarvoor het oorspronkelijk niet bedoeld was,” dan doen we het allemaal. Denk aan life hacks in het dagelijkse leven. Dit kan gaan van het manipuleren van een webapplicatie zoals het voorbeeld hierboven, tot scenario’s uit het echte leven waarbij je een elastiekje spant over een open verfblik zodat je overtollige verf van het elastiekje kunt vegen. Dit houdt het blik schoon en zo kun je het gemakkelijk opnieuw sluiten. Niet de bedoeling van elastiekjes, dat is zeker.

Penetratietesten vs. crowd hacking

Stijn legde verder het verschil uit tussen penetratietesten en crowd hacking. Intigriti biedt een platform voor bedrijven om een bug bounty programma te starten, waarbij ze ethische hackers van over de hele wereld hun webapplicaties laten testen, in ruil voor een bounty als er een beveiligingsprobleem wordt gevonden. Dit is anders dan een eenmalige penetratietest, omdat bug bounties continu zijn. Dit zorgt er onder andere voor dat de geteste applicatie altijd de laatste productieversie is, terwijl een conventionele penetratietest een momentopname is. Als er direct na de test nieuwe functionaliteiten worden toegevoegd, moet je de test in theorie opnieuw uitvoeren. Beide soorten testen moeten echter hand in hand gaan. Voordat je als bedrijf meedoet aan een bug bounty-programma, is het raadzaam om eerst een penetratietest uit te voeren. Zowel met geautomatiseerde scanning als met handmatige tests, om gemakkelijk detecteerbare kwetsbaarheden op te sporen die je niet in productie wilt hebben. Als je deze stap overslaat en direct naar een bug bounty platform gaat, is de kans groot dat je bug bounty budget binnen de kortste keren op is. Geld dat je net zo goed had kunnen uitgeven aan een penetratietest door een professional.

Geautomatiseerd scannen vs. handmatig testen

Dit brengt ons bij een laatste, interessant onderscheid: geautomatiseerd scannen versus handmatig testen. Je zou kunnen zeggen, we voeren gewoon een geautomatiseerde scan uit en dan is alles in orde. Maar scans komen meestal nauwelijks aan de oppervlakte. Ze zijn goed voor het plukken van “low-hanging fruit”, maar het vinden van meer exotische kwetsbaarheden of ketens van kwetsbaarheden vereist enige creativiteit van een mens. Artificial Intelligence zou hier een rol in kunnen gaan spelen, maar dit vereist substantiële hoeveelheden gegevens, waar een enkele cybersecurityprofessional of bug bounty hunter meestal geen toegang toe heeft. Bedrijven als Intigriti beschikken natuurlijk wel over grote hoeveelheden data, dus het is waarschijnlijk slechts een kwestie van tijd voordat AI een grotere rol gaat spelen in de wereld van cybersecurity. Maar voor nu blijft handmatig testen onmisbaar bij het beveiligen van je applicaties, of het nu gaat om een penetratietest of een bug bounty-programma.

Dus veel plezier met hacken!