Hoe wij onze kennis opdoen en bijhouden

In dit inzicht vertelt een security consultant over het kennismanagement bij Madison Gurkha.

Een vraag die ons als security consultants van Madison Gurkha regelmatig gesteld wordt, is: “Waar halen jullie je kennis vandaan?” De IT-beveiligingsonderzoeken die je als security consultant uitvoert, zijn immers erg divers. De ene week onderzoek je een ASP.NET-applicatie, de week erna doe je een WiFi-onderzoek en de week daarna een penetratietest van een intern netwerk.

De security mindset
Het belangrijkste is dat security een ‘mindset’ is. Security consultants zien de wereld anders dan anderen. Ze zijn altijd op zoek naar hoe iets ‘stuk’ gemaakt kan worden. Het oog van een security consultant valt meteen op dat toegangs- poortje waar je ‘toch zeker met zijn tweeën door kunt’. Een onbeheerde netwerkpoort waar je zo je laptop op in kan prikken is een kwelling voor een security consultant. Menig security consultant zal zich afvragen wat de applicatie zou doen als hij per ongeluk zijn telefoonnummer afsluit met een aanhalingsteken. Een goede security consultant hoeft daarom niet alle techni- sche details van de te onderzoeken technologie, applicatie of systeem te kennen. Hij gebruikt zijn creativiteit om zo snel mogelijk uit te vinden wat de meest zinvolle aanvalspaden zijn. Hiervoor is het nodig om te kunnen denken als een tegenstander of aanvaller; als iemand die er alles aan doet om jouw systeem te laten doen waarvoor het niet bedoeld is. Het creëren van een security mindset is makkelijker gezegd dan gedaan. Van kleins af aan worden we getraind om dingen te maken; niet stuk te maken. We leren hoe we een toren van blokken maken, hoe we een band plakken en hoe we een applicatie ontwikkelen die zowel op Android als op iOS draait. We leren niet hoe we zonder sleutel het huis van de buren in kunnen, hoe we negatieve bedragen over kunnen boeken, of hoe we zonder te betalen aan boodschappen kunnen komen. Als security consultant zul je ervoor moeten zorgen dat je je security mindset traint. Dit doe je voornamelijk door je kennis van aanvalstechnieken, verdedigingstechnieken, kwetsbaarheden en (nieuwe) technologieën op peil te houden. Je leert dan immers van de fouten die anderen gemaakt hebben en zult daarom sneller mogelijke aanvalspaden kunnen identificeren.

 Een belangrijke bron van kennisvergaring is onze NERD-tijd

NERD: Never Ending Research and Development
Als security consultants bij Madison Gurkha zorgen we er op een aantal manieren voor dat onze technische kennis up-to- date blijft. Een belangrijke bron van kennisvergaring is onze NERD-tijd. De (vermoedelijk niet toevallig gekozen) afkorting NERD staat voor ‘Never Ending Research and Development’. Als consultant worden we één dag per week als NERD vrijge- roosterd om technische kennis op te doen. Deze tijd gebruiken we voor het bijlezen van security blogs, mailinglijsten en forums. Verder kunnen we in deze tijd software- en hardware- tools ter ondersteuning van onze onderzoekswerkzaamheden uitproberen. Als laatste houdt een grote groep zich bezig met het schrijven van software voor het automatiseren van een gedeelte van onze werkzaamheden. Verder hanteren we het vier-ogen-principe. Dit houdt in dat nagenoeg alle onderzoeken worden uitgevoerd door minimaal twee personen in doorgaans roulerende teams.  Noodzakelijkerwijs werken consultants hierdoor samen met verschillende achtergronden, kennisniveaus en creatieve vermogens. Het samenwerken met verschillende consultants zorgt ervoor dat we scherp blijven en dat kennis niet geconcentreerd blijft, maar zich juist verspreidt. Hoewel het vier-ogen-principe garandeert dat kennis ten minste op één persoon overgedragen wordt, verdient in som- mige gevallen kennisdeling met alle consultants de voorkeur. Hiervoor hebben we een halve dag per maand kennisdelingssessies. Hierbij geven maandelijks enkele security consultants een presentatie of workshop. In een dergelijke sessie presenteert een security consultant een uitgevoerde aanval, een nieuwe tool, een gebruikte techniek, of ieder ander on- derwerp dat voor technische consultants van belang kan zijn. Als laatste bron van kennisvergaring gebruiken we als consultants cursussen en hackerconferenties. Op hackerconferen- ties is veel te leren over state-of-the-art aanvallen. Relevante cursussen zijn er in allerlei soorten en maten. Afhankelijk van interesse bepaalt de consultant welke cursus en welk onderwerp geschikt is. Naast de vele online cursussen die er de laatste jaren zijn verschenen op het gebied van IT security, zijn er ook een aantal trainingsinstituten die bewezen hebben hoogwaardige IT security cursussen te kunnen verzorgen.

SANS SEC660
De officiële titel van SEC660 is “Advanced Penetration Testing, Exploits, and Ethical Hacking”, ofwel “penetration testing voor gevorderden”.  SEC660 is een zesdaagse cursus die doorgaat in de avonduren en ‘propvol’ genoemd mag worden. De cursus biedt een gezonde mix van theorie, demo’s en hands-on oefeningen. Het gaat te ver om de volledige inhoud van de cursus te bespreken, maar een kleine greep uit het cursusmateriaal: manipulatie van netwerkprotocollen, het omzeilen van network admission control, aanvallen op cryptografische implementaties, tools en technieken voor fuzzing, uitbreken uit dichtgetimmerde omgevingen en het schrijven van exploits voor Linux, Windows XP, 7 en 8.

Twee onderwerpen waren voor mij persoonlijk bijzonder interessant. Als eerste het aanvallen van routing- en switchingprotocollen. De inrichtingen van netwerken wordt namelijk vaak veilig geacht. Echter, in de praktijk wordt in bedrijfsnetwerken erg veel gebruikgemaakt van verouderde protocollen en onveilige standaardconfiguraties. Hierdoor is het regelmatig mogelijk om je als aanvaller naar een ander VLAN te verplaatsen en soms is het zelfs mogelijk om routeringsinformatie te injecteren. Het tweede hoogtepunt van de cursus was voor mij het vinden van beveiligingslekken door middel van fuzzing en het uitbuiten hiervan door het schrijven van exploits. Met fuzzing wordt getracht op een intelligente manier incorrecte data naar een applicatie te sturen. Het doel hiervan is te achterhalen op welke punten de invoervalidatie tekortschiet. Wanneer een dergelijke kwetsbaarheid gevonden is, kan hiervoor een ex- ploit geschreven worden om uitgebreide toegang te krijgen. In moderne besturingssystemen wordt dit echter bemoeilijkt door beveiligingsmaatregelen als DEP en ASLR. Een groot deel van de cursus was erop gericht om technieken te leren om deze beveiligingsmaatregelen te omzeilen. De laatste dag van SEC660 was gereserveerd voor een capture-the-flag. Tijdens deze zes uur durende challenge moest zoveel mogelijk van de opgedane kennis in de praktijk gebracht worden om vlaggen te verzamelen. Afhankelijk van de moeilijkheidsgraad van de challenges konden punten verzameld worden en de prijs voor de winnaar van de capture-the- flag was de felbegeerde SEC660- medaille. Met twee uitstekende medecursisten vormden Matthijs en ik een team om zoveel mogelijk vlaggen te verzamelen. En zoals het echte Gurkhas betaamt, prijkt de medaille nu in de trofeeënkast in Eindhoven.

@Secura 2018
Webdesign Studio HB / webdevelopment Medusa