- Dagens utviklere gjentar de samme feilene som utviklere gjorde for 15 til 20 år siden, sier Edwin van Andel, etisk hacker, CTO i sikkerhetsselskapet Zerocopter og medlem av The Guild of Grumpy Old Hackers (GGOH), til kode24.
Vi møtte ham på forrige ukes Paranoia-konferanse i Oslo.
Med sine 51 år er van Andel en veteran fra den nederlandske hackerscenen. Men han ble kanskje særlig kjent sammen med andre medlemmer i GGOH, da nyheten slapp om at de hadde kommet seg inn på Donald Trumps Twitter-konto.
Som de også har fortalt om på den populære podkasten Darknet Diaries.
Mattis har vært på sikkerhetskonferansen Paranoia: - På tide å se til Nederland?
Ble forsøkt saksøkt
Interessen for hacking startet med farens jobb-PC da van Andel var rundt 13 år, og han traff etter hvert andre hackere på BBS-er.
Han nevner også det nederlandske hackermagasinet Hack-Tic (1989-1994) som en viktig plattform for å møte andre hackere. I magasinet kunne du ikke bare lese om hacking, men du fikk også informasjon om leirer du kunne bli med på.
- Etter hvert som jeg ble eldre gjorde jeg mye som er ulovlig nå, men på den tiden visste jeg ikke bedre, og det fantes ingen lover, sier van Andel til kode24.
van Andel forteller om en gang han gikk inn på hjemmesiden til et av de store nederlandske forsikringsselskapene og fant ut at han hadde tilgang til databasen over alle klientene.
- Jeg rapporterte det til dem, og de forsøkte å saksøke meg. Dette syntes jeg var rart, ettersom at jeg faktisk forsøkte å hjelpe dem å bli sikrere, sier han.
«Alle land har flere flinke etiske hackere. De er kanskje unge, eller sitter i en kjeller en eller annen plass. Men de kan hjelpe deg, hvis du lar dem.»
Etisk hacking for et sikrere nett
Etter hvert slo van Andel seg sammen med flere andre i det nederlandske hackersamfunnet, forsøkte å finne måter på å beskytte etiske hackere bedre.
Mot slutten av 2013 lagde de sammen med det nederlandske nasjonale cybersikkerhets-senteret NCSC, lokale myndigheter og påtalemyndigheten retningslinjene for såkalt Responsible Disclosure (RD).
Enkelt sagt er dette en serie med retningslinjer for etisk hacking, og har blitt en del av nederlandsk rettspraksis.
- Hvis du overholder alle disse reglene kan du ikke bli straffeforfulgt. Dette er awesome, og betyr at dersom vi som etiske hackere finner noe, så kan vi rapportere det uten å bli fengslet, sier van Andel.
I 2018 kom det nye retningslinjer kalt Coordinated Vulnerability Disclosure (CVD), som stiller selskapene ansvarlige for å gjøre noe med sårbarhetene som blir rapportert inn.
- Nå har også USA gått inn for å ikke straffeforfølge etiske hackere, noe som er kjempebra. Sammen kan vi jobbe mot et sikrere internett, sier van Andel.
Ifølge den etiske hackeren er det USA og Nederland som topper listen over de landene som tilbyr flest RD-programmer, da han Googlet alle nettsidene gjennom de siste fire årene.
- Norge finnes ikke en gang på listen. Man burde få dette i gang her også. Alle land har flere flinke etiske hackere. De er kanskje unge, eller sitter i en kjeller en eller annen plass. Men de kan hjelpe deg, hvis du lar dem, sier van Andel.
"Pentesting er noe fra gamledager"
Hackerveteranens store drøm er å få alle hackerne han kjenner, som ifølge 52-åringen er mange, sammen i ett rom og få inn biler, vaskemaskiner og nettsider.
De skal gjerne komme ut av rommet ødelagt, men da vet selskapene hvor problemene ligger.
- Det er det jeg har forsøkt å bygge med Zerocopter. Vi har rundt 300 hackere, spredt over hele verden, som ser på feil hos klientene våre på fritiden for så så rapportere dem. De får ikke betalt per time, men for verdien til feilene de finner, sier han.
van Andel mener at dette er en måte for å sikre selskaper kontinuerlig, noe han mener ofte ikke er tilfellet hos mange bedrifter.
- Jeg har vært på en del foredrag på Paranoia som legger mye vekt på penetrasjonstesting. Det er fin-fint det, men jeg mener at pentesting er noe fra gamledager. Da du utviklet programvaren, testet og solgte den. Etter ett år lanserte du en oppdatering og gjorde en ny pentest.
I dag gjør folk gjerne pentester hvert halvår samtidig som det blir sluppet nye oppdateringer annenhver uke, legger van Andel til.
- Så tester de kanskje ikke før et halvt år senere. Da har du bare et bilde av hvordan sikkerheten var på det tidspunktet. Men alt forandrer seg etter dette. Du vet aldri om du er sikker.
«Mange av utviklerne lener seg på verktøyene de har for å luke ut feil.»
Forskjell på utviklere og hackere
- Er det en forskjell mellom hvordan hackere og utviklere tenker?
- Ja. En utvikler er skolert til å tenke: Vi har måter å løse problemet på, og fine verktøy som kan lage en vakker interface, så vi kan bruke dette og alt er ferdig. Hackere har en tendens til å tenke helt utenfor boksen.
van Andel anbefaler utviklere å sjekke ut ulike "hack me"-nettsider.
- Da vil de se at hacking er ganske enkelt å lære. Det jeg også ser, er at mange utviklere lener seg for mye på verktøyene de har for å luke ut feil, sier han.
van Andel legger til at selv om du bruker alle tilgjengelige verktøy, vil du kanskje bare klare å ta bort 50 prosent av feilene.
- Grunnen? Et verktøy kan ikke tenke som et menneske. Logikk-feilene hackere kan finne blir ikke funnet av verktøyene utviklerne har. Det er derfor hackere burde bli invitert av selskaper til å hjelpe dem. Ikke bare når produktet er ferdig, men også i design og utviklingsfasen.
- Det er følelsen man får når man finner en kritisk sårbarhet som driver meg
Den store fienden: Leveringspress
Ifølge van Andel er den store fienden leveringspresset som ligger på utviklerne. Mange produkter havner på markedet der kjapp konkurransefordel og kjapp lansering har trumfet sikkerhet.
- Utviklere må ha sikkerhet inne allerede i designfasen av produktet. Sluttproduktet vil kanskje være mer komplisert å kode, men du vinner på det på lang sikt. Men dette blir ofte glemt, sier han.
van Andel forteller at han ser de samme feilene nå som da han hacket som 18-åring.
- Det er jo forståelig: Utviklere må kode, sikre at alt ser kult ut og sende ut produktet raskt. Men hvis du bare bruker fem minutter hver time på å tenke over hvordan du kan implementere sikkerhet, så er du "fixed", sier han.
Hackerveteranen trekker for eksempel fram open source-verktøyet OWASP Security Knowledge Framevork, som et godt hjelpeverktøy.
- Det er enkelt å gjøre. Men du må gjøre det.