Als securityspecialist bij Computest houd ik me dagelijks bezig met alle technische aspecten van digitale beveiliging. Zo help ik klanten onder meer bij hun securityvraagstukken, voer ik security tests, assessments en code audits uit en participeer ik in ‘red teaming’-opdrachten. Maar ook ben ik een hacker die op een creatieve manier de beperkingen van hard- en software probeert te omzeilen. Op het werk hack ik (met toestemming) dagelijks bedrijfsnetwerken en software en in mijn vrije tijd verdiep ik mij in nieuwe technologieën, ontwikkel ik veilige software en participeer ik in ‘Capture The Flag’-wedstrijden.
Als mensen me op een verjaardag vragen wat ik doe gebruik ik meestal de omschrijving van hacker. Simpelweg omdat iedereen dan snapt waar je het over hebt. Bovendien zijn hackers spannend en mysterieus. Hackers kunnen dingen manipuleren en kraken, hackers zijn gevaarlijk. Een goede binnenkomer dus. Wel krijg ik dan vaak ook direct de vraag hoe ik in dit vakgebied terecht ben gekomen. Daarnaast zijn er mensen die zelf ook geïnteresseerd zijn om hacker te worden, maar eigenlijk niet weten waar ze moeten beginnen. Daarom geef ik in deze blog 6 tips die antwoord geven op de vraag: Hoe word je een hacker?
1. Bepaal of je de juiste hacker mindset hebt
Natuurlijk kunnen we geen simpel antwoord geven op de vraag ‘hoe word je een hacker’. Als je niet de mindset hebt om te willen weten hoe alles werkt, en de bouwers van systemen te slim af te zijn, dan ga je dat niet leren door een blogpost. Maar als je al een eindje op weg bent, zijn er wel degelijk een paar handvatten die we je kunnen geven.
Als hacker kijk ik net even iets anders naar IT-oplossingen dan de maker of gebruiker. Waar een maker ervan uitgaat dat software op een bepaalde manier wordt gebruikt, probeert een hacker altijd om onbedoelde manieren van gebruik te vinden. Dat is het doel, dat is de sport. Deze mindset is belangrijk voor een hacker, maar ook voor iemand die zich probeert te verdedigen tegen hackers. Door net even iets anders te kijken naar functionaliteiten kunnen vaak snel de interessante ingangspunten voor hackers worden geïdentificeerd.
Een hacker mindset is deels aangeboren, maar komt ook met ervaring. Een goed beginpunt is het oplossen van challenges op websites als Certified Secure of Netforce. Iedere challenge is gebaseerd op een specifiek beveiligingsprobleem, de challenge kan worden behaald door het beveiligingsprobleem te misbruiken. Een heel goede andere manier is kwetsbaarheden vinden in open source software door de broncode te onderzoeken en die aan de bouwers te rapporteren.
2. Verkrijg kennis van computers en netwerken
Wellicht ten overvloede, maar handig zijn met computers helpt erg in dit vakgebied. Leer werken met verschillende besturingssystemen als Windows, Linux en Mac OSX. Zorg dat je hierin kunt werken, maar weet ook hoe ze onder de motorkap werken. Richt eens een eigen server in en hang deze aan het internet (maar zet er geen belangrijke data op tot je ‘m ook goed kunt beveiligen). Als dat gelukt is, kan je een stap verder gaan in het uitzoeken hoe het besturingssysteem in elkaar steekt door complexere setups te maken, andere besturingssystemen te gebruiken en uiteindelijk de broncode te lezen om te begrijpen hoe ze echt werken.
Ook is grondige kennis op het gebied van netwerken en het internet een must. Als hacker moet je weten hoe digitale communicatie werkt. Richt zelf een netwerk in, raak bekend met veelvoorkomende netwerktechnieken zoals routing en VPNs. Maar let wel: zoals de volgende paragraaf ook laat zien is security is al lang niet meer puur schuiven met firewalls en tweaken van configuraties.
3. Leer programmeren
Om kwetsbaarheden te kunnen vinden in software moet je weten hoe software werkt. Ik zeg altijd: “om iets te kunnen slopen moet je eerst weten hoe je het is gemaakt”. Kennis van diverse programmeertalen en technologieën is daarom essentieel. Je moet niet alleen software in het algemeen snappen, maar ook in staat zijn om je een ‘mentaal model’ of beeld te kunnen vormen van hoe het systeem dat je aan het onderzoeken bent, van binnen in elkaar zit. Je kruipt in de huid van de programmeur en de systeembeheerder, bedenkt wat ze gedaan hebben en waar ze wellicht iets over het hoofd hebben gezien. Om hier goed in te worden helpt het erg om heel veel broncode te lezen en te controleren op security-fouten.
Naast het achterhalen hoe iets in elkaar steekt, komt een hacker regelmatig in situaties waarin bestaande tools niet afdoende zijn en er dus zelf een tool gebouwd moet worden om een kwetsbaarheid aan te tonen. Ook hier helpt het als je minstens één programmeertaal beheerst waarin je snel iets kunt scripten.
4. Wees nieuws- en leergierig
De wereld van security staat nooit stil, dat maakt dit vakgebied ook zo leuk! Je raakt nooit uitgeleerd, maar moet er wel voor zorgen dat je je kennis up-to-date houdt. De wedloop tussen makers en hackers zorgt ervoor dat software steeds veiliger wordt, maar hackers ook steeds slimmere trucjes weten te verzinnen om de beveiliging toch te omzeilen. Blijf actief het securitynieuws en publicaties rond conferenties volgen en volg Twitter accounts van bekende securitybedrijven en -personen.
5. Volg opleidingen
Een opleiding voor hackers bestaat (helaas) nog niet maar (technische) informatica-opleidingen gelukkig wel. Een dergelijke opleiding geeft je een solide IT-basis en is zeker nuttig. Als je de maker van een systeem te slim af wil zijn, moet je er evenveel van weten als hijzelf. Dat betekent een heel grondige kennis van software, netwerken en computers in het algemeen. Een IT-opleiding is daar een prima start voor, maar ook niet meer dan een start.
Enkele hogescholen bieden specialisaties aan als ICT en Cyber Security en Cyber Security. Sommige universiteiten bieden bachelor en master opleidingen aan op het gebied van security. Zo is er een bachelor opleiding Cyber Security en master opleidingen Information Security Technology.
Er zijn verder een aantal certificeringen voor pentesting en information security. Die hebben elk hun plek, maar bij geen enkele leer je van A tot Z hoe je een pentester of hacker wordt. OSCP is een vrij specifieke technische certificering waarin je wat ervaring opdoet met het binnendringen van netwerken en toepassen van exploits. CISSP is juist weer een heel brede certificering waar je een helikopterview van het securityvakgebied krijgt. Uiteindelijk gaat het echter toch om de mindset en de kennis die je hebt, en zeggen certificeringen daar niet zoveel over.
Bij Computest bieden we ook een aantal securitytrainingen aan die gericht zijn op IT-professionals - zoals developers en testers - die graag die hackermindset willen ontwikkelen en willen leren security testen. Bijvoorbeeld onze Secure Development Training of de driedaagse Introduction into Security Testing. Deze trainingen geef ik zelf of een van mijn andere collega hackers.
6. Word actief onderdeel van de subcultuur
Techneuten zoeken elkaar op bij conferenties en in gemeenschappelijke ruimtes zoals Hacker spaces. Op semi-anarchistische conferenties als Defcon, Hack-in-the-Box en CCC wordt de hacker-cultuur uitgedragen. Voor hackers een goede gelegenheid om kennis op te doen van nieuwe zaken, workshops te volgen en sociale contacten op te doen met mede-hackers. Want hoewel je ook in je eentje op je zolderkamer de beste hacker ter wereld kan worden, helpt het erg om te leren van de ervaringen van anderen en je passie te delen.
Werken bij Computest
Ik hoop dat ik een aantal nuttige tips heb kunnen geven. Bij Computest zijn we altijd op zoek naar goede hackers en leuke collega’s. Deze blog zou een beeld moeten geven van waar we naar zoeken. Heb je interesse? Neem dan vooral eens contact met ons op!
