Leren hacken in college

De studenten Informatiekunde leren bij het vak ‘Organisaties en ICT’ welke kwetsbaarheden informatiesystemen kennen. Hebben ze genoeg kennis verzameld om Facebook te hacken?

Naam vakOrganisaties en ICT
Niveau, hoeveelstejaarsvakNiveau 1, eerstejaarsvak
StudieInformatiekunde
WaarRuppert Paars
Datum en duur10 december, 15:15 – 17:00
DocentFabiano Dalpiaz
Aantal studenten die vak volgen145
Aantal aanwezige studenten80
VoertaalEngels

 

Drie miljoen creditcardgegevens van Adobe zijn gestolen en twee miljoen gebruikersnamen en wachtwoorden van LinkedIN. Facebook wordt aan de lopende band gehackt. Dit college van het vak Organisaties en ICT gaat over het beveiligen van informatiesystemen. Een urgent onderwerp, blijkt uit de hoeveelheid voorbeelden van hack-acties die docent Fabiano Dalpiaz in de eerste tien minuten oplepelt. Hoe kan het toch dat er zoveel gehackt wordt? “Bedrijven denken bij ontwikkeling en lancering van een product nauwelijks na over veiligheid. Over veiligheid wordt pas nagedacht als er een veiligheidsprobleem opduikt.”

 

De toon van het college is gezet. De wereld van informatiesystemen zit vol valkuilen en veiligheidslekken. Gelukkig zitten wij vandaag knus in Ruppert Paars waar de gordijnen automatisch dichtgaan, de stoelen paars met roze zijn en er bij elke collegestoel een oplaadpunt voor laptop of smartphone is. Het hippe lokaaltje kan honderd leerlingen kwijt, terwijl er toch 145 studenten op de lijst staan. Deze colleges zijn echter niet verplicht en de PowerPoint van Dalpiaz is helder en informatief: met thuis doorlezen kom je een eind. Vandaag zijn er ongeveer tachtig studenten, van wie 10 procent vrouw.   

Na het probleem te hebben gedefinieerd, gaat Dalpiaz verder in op alle mogelijke manieren waarop een systeem aangevallen kan worden. Virussen, wormen, Trojaanse paarden, SQL-injecties, spyware, spoofing - de mogelijkheden zijn legio. Naast deze technische bedreigingen is er nog een veiligheidsbedreiging van betekenis: de mens. Nietsvermoedende, goedgelovige mensen worden overgehaald hun gegevens af te geven, zogenaamd aan de Belastingdienst of hun bank. Ook op de werkvloer zorgen werknemers voor een veiligheidsrisico, aldus de docent: “Organisaties denken na over veiligheid, maar werknemers worden hier vaak niet in getraind.”

Hackers in spé
Dit college is smullen voor hackers in spé. Dalpiaz gaat er al vanuit dat zijn studenten niet alleen de theorie tot zich nemen maar het ook op de praktijk toepassen. “Wie van jullie heeft wel eens een SQL-injectie gebruikt?”,vraagt Dalpiaz aan de studenten van wie een aantal na zijn vraag de hand opsteekt. “Heb je er ook gebruikersnamen en wachtwoorden mee verkregen? Of wil je dat niet zeggen?” De studenten houden zich stil.

Ik begin dit college ook de passie voor het hacken te voelen. Het geeft toch een kick als je een groot bedrijf als Facebook te slim af bent. En zolang je een hacker blijft, is er niks aan het handje, legt Dalpiaz uit: “Hackers maken bedrijven bewust van kwetsbaarheden. Ze sporen een veiligheidslek op en communiceren dat naar het bedrijf.” De evil bastards in dit verhaal zijn de crackers, die de kwetsbaarheid van systemen uitbuiten.

Na de pauze komen we eindelijk aan bij de oplossingen voor alle veiligheidsproblemen met eerst: een risicoanalyse. Ja, een risicoanalyse. Want het is niet mogelijk alle veiligheidslekken te voorkomen. “Met grote softwareprogramma’s is volledig testen nooit mogelijk”, aldus de opwekkende boodschap van Dalpiaz. Hoeveel geld geïnvesteerd wordt in voorkomen van problemen, is afhankelijk van de waarde van de data, de impact (financieel, imagoschade, eigendomsdiefstal etc.) als het misgaat en de kans dat dit systeem wordt aangevallen. Dit zal altijd een inschatting van de risico’s zijn, je weet namelijk nooit zeker wat de precieze impact is en óf er een aanval komt, aldus de docent: “Dus als je een consultant treft die jou de exacte monetaire schade kan voorrekenen die je loopt zonder beveiliging, vertrouw die persoon dan niet. Zo’n inschatting maken is niet mogelijk.”

Het college eindigt hoopvoller dan het begint als Dalpiaz uitlegt welke vormen van beveiliging gebruikt kunnen worden. Gebruik van authenticatie  zoals wachtwoorden, tokens en biometrische gegevens, versleuteling, antivirussoftware etc.  Ondanks de veiligheidsmaatregelen die genomen kunnen worden, blijft bij mij vooral hangen dat informatiesystemen enorm veel kwetsbaarheden hebben en het feit dat bedrijven veiligheid blijkbaar pas een belangrijk issue vinden als het misgaat. De studenten in deze zaal zijn in elk geval geïnspireerd die bedrijven flink wakker te schudden met  geslaagde hackacties. Misschien is het daarnaast een goed idee als werknemers en andere bedrijfshotemetoten de colleges van dit vak ook volgen. Maar dan wél verplicht.


Dit was de laatste collegetoer van Inge Razenberg. Inge gaat fultime aan de slag als onderzoeker .

Advertentie