Stilte voor de storm
Ton Verheijen | 09.01.2018 14.53 uur CET | Security
Op zijn 12e hoorde Sijmen Ruwhof (31) voor het eerst over computers hacken. Dat vond hij zó machtig interessant dat het hem nooit meer losliet. Sinds enkele jaren verdient hij zijn brood als professioneel hacker. De klanten, waaronder SAP-gebruikers, staan inmiddels in de wachtrij. Ruwhof: “SAP is als niche lang buiten schot gebleven. Verwacht niet dat dat zo blijft.”
“Elke dag ben ik uren kwijt aan het volgen van het laatste nieuws. Bijblijven en alert zijn is nergens zo nodig als in mijn vak. Wat vandaag veilig is, kan morgen achterhaald zijn. SAP-systemen vormen wat dat betreft geen uitzondering. Bedrijfskritische processen, die grote bedrijven vaak runnen met SAP, zijn juist heel aantrekkelijk voor hackers. Ook SAP-systemen lopen risico, weet ik uit eigen onderzoek. Dit zou weleens de stilte voor de storm kunnen zijn, dus zet security vandaag nog op de radar.”
Sijmen Ruwhof heeft gesproken. Ondanks zijn nog jonge leeftijd zit hij aan tafel met directies van veel grote organisaties. Ruwhof werkt voor overheden, banken, verzekeraars en het midden- en kleinbedrijf. Allemaal zitten ze met twijfel. Hoe blijven we veilig? Hoe worden we resistent? Hoe houden we hackers buiten de deur?
Ruwhof: “Het is best eenvoudig om binnen te dringen. En het bizarre is dat alles op internet wordt uitgelegd door de hackers zelf. Bedrijven hebben daar lange tijd niks mee gedaan. Ook IT-opleidingen gaven weinig aandacht aan computerveiligheid. Dat zien we nu wel veranderen. Bedrijven worden zich bewust van de risico’s. Maar goed ook, want niemand is meer veilig. De grootste bankovervallen ooit vinden plaats door computers te hacken. Dat overkwam de centrale bank van Bangladesh vorig jaar. Waarschijnlijk is hun software met malware geïnfecteerd. Zo konden criminelen grote bedragen overschrijven naar Filipijnse rekeningen.”
Kroonjuwelen in kaart
Op de middelbare school bleek Sijmen Ruwhof een opmerkelijke gave te bezitten. Zomaar even kraakte hij het computersysteem van de school. “Ik meldde het netjes, en toch was niet iedereen blij.” Ruwhof had de smaak te pakken. Hij volgde de opleiding Information Engineering aan de HvA (specialisatie: security) en sinds 2005 is hij professioneel hacker. Over het aanbod van werk heeft hij niets te klagen.
Ruwhof: “Ze vertrouwen me en laten zich graag door mij adviseren. Het is heel logisch dat ze er nu voor open staan want cybercrime richt enorme schade aan. Het bedrijfsleven heeft zichzelf ontzettend kwetsbaar gemaakt door digitalisering en centralisering van processen en datasystemen. De databases met persoonsgegevens worden steeds groter. De belangen worden dus ook groter. Het geeft mij veel voldoening om bedrijven te helpen de veiligheidsrisico’s in kaart te brengen.”
Zijn aanpak is analytisch en relatief simpel. Eerst gaat hij gesprekken voeren om de ‘kroonjuwelen’ van het bedrijf boven water te krijgen. Zijn het klantgegevens? Medische gegevens? Is het de boekhouding? Het archief? Digitaal geld? Een datawarehouse? Als dat duidelijk is, gaat hij kijken hoe het kroonjuweel beveiligd is. Hoe zit het met binnenhalen van updates? Hoe veilig is de configuratie afgesteld? Zijn er veiligheidslekken te vinden? Tot slot schrijft hij een rapport met aanbevelingen en gaat hij met de directie in gesprek over de risico’s die het bedrijf daadwerkelijk loopt.
Boze systeembeheerder
Hacken is volgens Wikipedia ‘het vinden van toepassingen die niet door de maker zijn bedoeld’. Complexiteit speelt daarbij geen rol. Simpele, snelle oplossingen hebben de voorkeur. ‘Ook het gebruik van een wasknijper om te voorkomen dat je broekspijp tussen de fietsketting komt is in principe een hack’, schrijft Wikipedia.
De huidige generatie hackers richt zich volgens Ruwhof met name op ransomware, key loggers, het kopiëren van vertrouwelijke gegevens, afpersing en bedrijfsspionage. Speciale vermelding verdient de boze systeembeheerder. Hij leek uitgestorven maar niets is minder waar als we Sijmen Ruwhof mogen geloven. “Ik kom ze nog steeds tegen, beheerders die alle servers kapotmaken.”
Maar ingewikkeld hoeft hacken dus niet te zijn. Voor sommige hacks heb je zelfs niet eens computerkennis nodig. Zo had een webshop onlangs een actie: ‘Gratis printer bij een nieuwe laptop’. Wat gebeurde er? Een slimmerik plaatste eerst de laptop in het winkelmandje en daarna de gratis printer. Het systeem berekende het totaalbedrag. Vervolgens werd de laptop verwijderd. De printer bleef staan en… werd gratis bezorgd. Ander voorbeeld. Ook een webshop. Een klant bestelde drie lampen en kwam op het lumineuze idee een minnetje voor zijn bestelling te plaatsen. Het systeem maakte een bestelling aan van -3 lampen. Voor een negatief aantal lampen kon het totaalbedrag niet hoger zijn dan nul, vond de computer. De klant kreeg drie lampen gratis geleverd.
“IT-beheer en SAP
zijn twee aparte eilanden.
Ze zoeken elkaar niet op.”
Veilige set-up
Spannende verhalen over hackers doen het goed bij de koffieautomaat. Maar wat is Ruwhof’s boodschap aan bedrijven met SAP-systemen? Ruwhof: “Wat mij opvalt is dat standaard wachtwoorden vaak niet gewijzigd zijn. Nou, dat is wat hackers als eerste uitproberen. Een veel voorkomend probleem is ook dat de autorisaties te ruim staan ingesteld en medewerkers veel meer rechten hebben dan strikt noodzakelijk voor hun werk. Verder zie ik teveel beheeraccounts die niet worden gebruikt.”
Volgens Ruwhof zijn SAP-systemen minder goed beveiligd dan andere computersystemen. Zijn verklaring daarvoor is simpel. Het is complexe software die vaak intensief wordt gebruikt. Jaar in jaar uit blijft het systeem ratelen. De technologie raakt langzaam verouderd en wordt kwetsbaar voor aanvallen. Ook hebben SAP-beheerders volgens Ruwhof weinig kennis van beveiliging en hebben systeembeheerders weinig kennis van SAP. “IT-beheer en SAP zijn twee aparte eilanden. Ze zoeken elkaar niet op.”
Dit zou niet moeten gebeuren, vindt Ruwhof. De kroonjuwelen van SAP-gebruikende bedrijven zijn er te belangrijk en te kostbaar voor. Denk aan al die financiële gegevens en persoonsgegevens die met SAP worden beheerd en bedrijfskritische processen die ermee worden gerund. Miljarden euro’s zijn ermee gemoeid. En nog iets. Het feit dat SAP-systemen vaak op interne netwerken draaien, maakt ze niet minder kwetsbaar. Interne netwerken zijn net zo makkelijk te bereiken via internet, stelt Ruwhof: “De SAP-systemen die ik ken, moesten grote inhaalslagen maken wat betreft beveiliging. Mijn advies aan VNSG-leden? Ga er vanuit dat je systeem onveilig is en werk toe naar een veilige set-up. Betrek ook de interne IT-beveiliging erbij. En huur echte experts in. Er zijn specialisten die veel meer van SAP weten dan ik.”