Gemeente blijkt simpel te hacken

Op pad met ethisch hacker Wouter van Dongen

Een man met twee volle koppen koffie staat bij het toegangspoortje in het gemeentehuis. Een medewerker komt aanlopen, ziet dat de man niet bij zijn broekzak kan. Hij zegt: ik piep je er wel even doorheen. Zo komt Wouter van Dongen binnen. ‘Er is altijd wel iemand die me er even doorheen piept’, zegt Van Dongen. ‘Of ik loop mee met de mensenmassa’s tijdens lunchtijd en ga aan een drukke tafel erbij zitten. Het is een sociaalpsychologisch effect, ik ben dan een van de mensen. Als verhaal vertel ik bijvoorbeeld dat ik extern ben en kom werken aan het versterken van het wifisignaal, want daar zijn altijd klachten over.’

Al tientallen jaren test de ethische hacker met zijn bedrijf DongIT in opdracht organisaties als ziekenhuizen, ministeries, waterschappen en gemeenten. ‘Eigenlijk ben ik overal binnengekomen. Het is nooit niet gelukt.’ Gemeenten schrikken meestal van het gemak waarmee hij binnenkomt. Sommige reageren daar goed op, sommige niet. Qua mentaliteit en qua techniek moet er nog een hoop gebeuren aan de informatiebeveiliging voordat mensen als Van Dongen kunnen worden buitengehouden. En zelfs dan zijn er geen garanties, want criminele hackers hebben geen grenzen en kunnen veel langer hun tijd nemen, zoals bleek bij de hack van Hof van Twente.

Rustig
Ook Van Dongen gaat rustig te werk. ‘Mijn eerste stap is om van een afstandje te kijken. Dan zie ik soms al dat er verouderde software wordt gebruikt of dat er systemen uit het oog zijn verloren. Dat kunnen makkelijke ingangen zijn tot de rest van het netwerk. De tweede stap is de fysieke mogelijkheid om binnen te komen. Als de netwerkpoorten in de publieke ruimte of de vergaderruimtes niet goed beveiligd zijn, kan ik binnenkomen door een apparaatje aan een computer vast te koppelen. Als die wel goed beveiligd zijn dan moet ik de afgesloten werkvloer op.’

Hier komen de koppen koffie van pas. ‘Gemeenten hebben vaak een open karakter, maar zo is de wereld niet meer. Wie binnen zou willen komen, moet een toegangspas hebben en die zichtbaar dragen.’ Eenmaal binnen probeert Van Dongen uit te vogelen waar de ict-afdeling zit. ‘Daar ga ik zitten met een laptop en extra apparatuur met kabels eruit. Ik verberg helemaal niets. Mensen denken: daar zit iemand met allemaal kabels, dat zal wel in orde zijn. Soms, als er een onbeveiligde netwerkaansluiting in de muur zit, heb ik voldoende aan een netwerkkabel om gelijk bij opgeslagen persoonsgegevens van inwoners te komen.’

Hoe kinderachtig het ook klinkt: gemeenten moeten hun basisbeveiliging op orde hebben om dit te voorkomen. Het netwerk goed inrichten, virusscanners installeren, de software patchen en ‘penetratietesten’ oftewel ‘pentesten’ laten uitvoeren. De gedachte is vaak dat er niets van buiten naar binnen komt, dus wordt alleen de toegang vanaf het internet bekeken. Maar er moet juist worden gezorgd dat hackers vertraagd worden als ze eenmaal binnen zijn. Mensen blijven een kwetsbare schakel. ‘Ze gebruiken zwakke wachtwoorden en ze zijn vatbaar voor phishing, ondanks alle bewustwordingscampagnes.’

Kinderachtig
Daar kunnen procedures bij helpen, al worden die niet altijd gevolgd. ‘Is er iemand uit dienst? Trek dan gelijk het account in. Nogmaals, het klinkt kinderachtig, maar in de praktijk blijkt telkens weer dat die opdracht ergens op een briefje wordt opgeschreven en twee weken later pas wordt gedaan als je het geluk dat het briefje wordt gevonden.’

En dan zijn er de softwareleveranciers. Gemeenten verwachten vaak dat leveranciers zelf iets aan beveiliging doen, maar volgens Van Dongen zijn die afspraken voor een heleboel producten onduidelijk of afwezig. En zelfs al test de leverancier de beveiliging van de software, dan kan een verkeerde mentaliteit de veiligheid ondermijnen. ‘Het is een probleem als leveranciers een test opzetten voor iemand zoals ik, maar vervolgens alles eraan doen om een groenevinkjesrapport te krijgen. Bijvoorbeeld door functionaliteiten uit te zetten. Zo test je niet of je applicatie goed is. Wij worden regelmatig gebeld om te checken of iets in orde is. Soms blijkt het verre van in orde te zijn, maar zijn ze voornemens het te maken - of we het dus alvast op groen kunnen zetten. Dat doen we niet, maar dat is wel wat er gebeurt. De term voor dit gedrag is check box security. Ik heb het heel vaak gezien, maar het is zo verkeerd als het maar kan.’

Die mentaliteit bestaat ook bij overheden. ‘We kregen een opdracht van een rekenkamer om de beveiliging van een waterschap te checken, maar bij het waterschap vonden ze dat onzin. Ze voldeden immers aan de BIWA. Het is beleid, er komt een auditor, elk jaar wordt die certificering gecontroleerd en er worden er verbeterpunten genoemd, maar in de praktijk klopt er helemaal niets van. Bij overheden wordt er veel te veel vertrouwd op certificering als de BIWA en de ISO.’ Het probleem is dat dergelijke lijsten misschien wel belangrijke punten aflopen, maar dat ze niet zoals een hacker zoeken naar zwakke plekken. ‘Wij als techneuten hechten nul komma nul waarde aan die bureaucratie, want een echte hacker probeert dingetjes met de hand. Wij zeggen: combineer nou beleidsonderzoek met praktijkonderzoek.’

Ruimte
Nog een tip: beperk de reikwijdte van de pentest niet te veel. ‘Ik krijg verzoeken als: kun je naar de beveiliging van het sociaal domein kijken? Heel veel organisaties vinden het eng om ethische hackers de ruimte te geven, want ze hebben het idee dat je zomaar wat gaat zitten doen. Maar criminelen beperken zichzelf ook niet. Kies dus een gerenommeerde partij en geef die de ruimte. Dat is hoe hacken werkt, dat moet je testen. De beveiliging van de organisatie moet je zien als een geheel.’

Combineer bewustwording met het resultaat van de pentest. ‘Laat mensen zien wat de gevolgen zijn, wat het watervaleffect is. Soms toon ik screenshots van geopende e-mails van de burgemeester, met de belangrijke info uiteraard vervaagd. In een gemeente vond ik alle interne e-mails die over de zwartepietendiscussie gingen. Dat soort voorbeelden maakt vaak veel indruk op niet-technische mensen.’ Het spreekt niet aan als er alleen aantallen worden genoemd. Dat er bijvoorbeeld drie van de twintig mensen zijn ingetrapt. ‘Dan trekt men de conclusie dat er drie stomme mensen zijn.’ In het algemeen hangt er schaamte om zo’n rapport heen en het management wil het wellicht stilhouden. ‘Dat moet heel anders. Het is goed dat testen worden uitgevoerd. Als er grote risico’s worden gevonden is dat jammer, maar neem de stap.’

Overal toegang
Hij noemt Oss als een gemeente waar zijn bevindingen werden opgepakt zoals het hoort. Allereerst zijn werkwijze: ‘De avond ervoor had ik een inventarisatie van de medewerkers gemaakt via Linked-In. De organisatie had een automatische identificatie van de medewerkers ingesteld, maar een aantal had dit niet gedaan en de tokens waarmee zij hun identiteit konden verifiëren verliepen niet.’ Met een van die accounts wist hij in te loggen. ‘Vervolgens heb ik met mezelf een afspraak gemaakt: Wouter van Dongen komt op locatie werken ter ondersteuning van ict. Laat de heer Van Dongen overal binnen en geef hem overal toegang toe.’

‘Het eerste zwakke punt was dat de accounts die niet binnen een week waren geactiveerd, gedeactiveerd hadden moeten worden. Hetzelfde geldt voor de tokens. De derde fout is dat de baliemedewerkster mij nooit door had mogen laten gaan zonder aanwezigheid van de medewerker die de afspraak had gemaakt. De vierde fout was dat ik een pas in handen kreeg met alle rechten. Dat had iemand moeten controleren.’ De boodschap landde hard.

‘Door het inzetten van een hacker heeft de rekenkamer op een innovatieve manier een onderzoek gepleegd, dat ons ruw wakker heeft geschud’, reageerde de gemeente. De online kwetsbaarheden kwamen op de politieke agenda – toevalligerwijs voor de allereerste digitale vergadering in verband met de coronacrisis. Steeds meer zou vanwege de crisis digitaal gebeuren, wat goede beveiliging extra belangrijk maakt. Oss nam maatregelen. ‘Ze hebben het als team opgepakt en extra middelen ingezet en het is goedgekomen’, zegt Van Dongen.

Bij sommige organisaties ontaardde zijn rapport in politieke spelletjes. ‘Men ging vingerwijzen en uiteindelijk kwam het erop neer dat de CISO dan maar een andere plek moest krijgen. In plaats van mijn actielijst uit de rapportage hadden ze een eigen actielijst uitgevoerd. Bij de hertest enkele maanden later toen ik dezelfde acties probeerde, kwam ik gelijk weer binnen. Ik snap dat ze geïrriteerd zijn, dat het lijkt alsof ze hun werk niet goed doen, maar daar gaat het niet om.’

Lektober
Ziet Van Dongen verbetering? Doen overheden het beter sinds Lektober, toen in 2011 een maand lang elke dag gevoelige gegevens van een vereniging, bedrijfsnetwerk of overheidsdienst openbaar werden gemaakt? Het eerste lek van Lektober was overigens bij DigiD en werd door Van Dongen gevonden. ‘Ik kwam erachter dat de twee voorwaarden voor aansluiting tot DigiD waren dat de naam goed werd gespeld en dat het logootje goed werd geplaatst. Er werden dus aan afnemers geen beveiligingseisen gesteld.’ Er hebben volgens hem zeker verbeteringen plaats gevonden. ‘zoals DigiD-certificering. En de oprichting van het National Cyber Security Center en de komst van Cyber veilig Nederland.’

Maar de ontwikkelingen gaan snel. Elke medewerker en elk netwerk onderdeel is een potentieel zwakke plek. Criminelen kunnen nog veel meer tijd voor hacks nemen dan ethische hackers, die al makkelijk binnenkomen. Maken overheden volgens Van Dongen eigenlijk wel een kans?

‘Het gaat inderdaad soms echt heel makkelijk. Het scheelt al heel veel als de basisbeveiliging op orde is, maar vaak ontbreekt er één stukje waardoor alles instort. Neem Hof van Twente, waar de backups toegankelijk waren via het netwerk. Doe dat altijd fysiek offsite. Het was een configuratiefout en dit had niet hoeven gebeuren. Ik begrijp ook heel goed hoe dat gaat bij de beheerders, want die willen dat backups snel kunnen worden teruggezet. Soms zijn er medewerkers bij organisaties die heel hard schreeuwen. Ik heb bijvoorbeeld heel vaak gezien dat two-factor authorisation tot irritatie leidde en dat het werd teruggedraaid. Dat mag gewoon niet meer. Er is veel verbeterd, maar ook nog een lange weg te gaan. Echt.’