Column


Verhaal van een bug-bountyhacker

Binnen één jaar in de top 10

Bugcrowd.com is een platform waar iedereen zijn website of systemen op security kan laten testen door duizenden hackers van over de hele wereld. Op de Researcher Spotlight-pagina’s lezen we over enkele Bug Hunters uit deze crowd, helden die de wereld veiliger maken en onderweg veel prijzen winnen. De nummer tien in de Hall of Fame, de Nederlander Wouter van Dongen, relativeert het succes van het platform en kwam daarom ondanks zijn score niet in de Spotlight. Daarom hier op SecurityVandaag zijn verhaal.

Door Chris van ’t Hof

Wouter van Dongen is als helpende hacker al een paar keren in de media verschenen. Hij was de aftrap van Lektober 2011, toen hij kwetsbaarheden bij gemeenten blootlegde, wat leidde tot een Kamerdebat over ICT en overheid. Ook de kwetsbaarheden die hij vond bij banken in 2015 en 2016 bleven niet onopgemerkt in de media. Daarnaast is hij directeur van webbedrijf DongIT. Lekken jagen via Bugcrowd deed hij daarom vooral in de avonduren, het afgelopen jaar wel drie tot vier avonden in de week.

Wouter vond in één jaar 291 bugs en harkte zo 50.000 dollar aan bounty’s bij elkaar. Toch deed hij het niet voor het geld. Dat verdient hij wel met zijn bedrijf. Hij wilde vooral zichzelf meten met ’s werelds beste pentesters. Daarom stelde hij als doel om binnen een jaar de all-time top 10 te bereiken. Dat is hem gelukt, en het leverde hem een T-shirt op met in het midden een Wordle met 'Wouter' (zie foto). maar het was niet makkelijk. Zeker omdat deze lijst al vier jaar bestond voordat hij begon.

Aristocratisch systeem
Volgens Wouter is Bugcrowd toch een beetje een aristocratisch systeem. “Als nieuwkomer word je niet uitgenodigd voor nieuwe projecten. Je begint dus bij projecten die soms al jaren open staan. Dat zijn sites waar alle bugs al uitgehaald zijn of de eigenaar soms niet eens meer reageert. Word je vervolgens wel uitgenodigd voor een nieuw project, dan is de competitie killing. Je krijgt bijvoorbeeld te horen dat je om 20.00 uur mag beginnen en dan zie je meteen vijftig onderzoekers los gaan. Dan gaat de server plat. Niet echt efficiënt. Bugcrowd heeft vaak zelf al de makkelijkste kwetsbaarheden gevonden en gemeld, dus krijg je een berg aan dubbele meldingen van dingen die nog niet gefixt zijn. Zonde van je tijd en demotiverend.”

De bevindingen van hackers worden door Bugcrowd beoordeeld aan de hand van de Vulnerability Rating Taxonomy waarin het niveau van de kwetsbaarheid de hoogte van je bounty bepaalt. Volgens Wouter doet deze wijze van beoordeling niet altijd recht aan wat hackers vinden: “Beoordelaars zitten vaak gewoon een lijstje af te vinken. Ze kijken niet naar de samenhang en context van kwetsbaarheden. Een XSS-kwetsbaarheid op het hoofddomein van een bank of het onlinebankingdomein heeft bijvoorbeeld een veel grotere impact dan op een subdomein van een onbelangrijk systeem.

“Hierbij gaat het in tegenstelling tot wat veel mensen denken niet alleen om de functionaliteit van het achterliggende systeem maar ook om de ‘waarde’ van het domein”, vervolgt Wouter. “Een phishingaanval via XSS zal vele malen effectiever zijn op bijvoorbeeld ‘www.abnamro.nl’ dan op ‘worldtennistournament.abnamro.com’. Of soms zijn kwetsbaarheden afzonderlijk bijvoorbeeld niet zo interessant, maar hebben ze gecombineerd wel een hoge impact. Vaak worden de kwetsbaarheden dan toch los beoordeeld. Ook zie je een soort XSS-fatigue: Cross Site Scripting komt zo vaak voor dat het minder waard wordt of zelfs compleet buiten de scope van het onderzoek valt, terwijl je er toch een hele site mee kunt overnemen.”

Pijn en moeite
Ook de eigenaren van de systemen miskennen volgens Wouter vaak gevonden kwetsbaarheden. “Ik had bijvoorbeeld een keer een bedrijf dat handelde in authenticatiemiddelen, terwijl ze zelf tokens gebruikten die ook na de sessie geldig bleven. Je kon dus blijven inloggen als het token bekend was. Dat is een veelvoorkomende securityfout, terwijl zij bleven ontkennen dat ze een probleem hadden. Een ander bedrijf beweerde dat ik een automatische scanner gebruikte, wat soms niet mag, terwijl ik de fout toch echt met de hand had gevonden. Ik denk dat in dat soort gevallen ook wel meespeelt dat ze pas hoeven te betalen als ze een kwetsbaarheid ook erkennen. Tevens geldt hoe lager de impact des te lager het bedrag. Een niet erkende bug of een met een volgens hen lage impact krijgt dan de status ‘won’t fix’, maar vervolgens lossen ze het dan wel vaak direct op en de onderzoeker krijgt dan geen credits.”

Wouter verzandde daardoor in veel discussies met de beoordelaars. “Ik had vaak het idee dat ik hen securityles gaf, terwijl zij zo’n houding kregen van ‘daar heb je hem weer’.” Zijn accuratiescore kwam uiteindelijk op 98%, oftewel slechts 2% van zijn bugreports werd afgewezen. Maar juist die 2% kostte hem nog de meeste pijn en moeite. “Vooral als je dan om 3.00 uur ’s nachts iemand voor de zoveelste keer moet uitleggen dat er echt iets aan de hand is of dat een beoordelaar niet de moeite neemt om je onderbouwing te lezen, raakt je geduld toch wel echt op.”

Leven als hacker
Maar, hij zette door, want hij wilde hoe dan ook de top 10 halen. Het werd een soort obsessie. Toen het hem uiteindelijk lukte, werd hij door Bugcrowd benaderd voor een interview. Wouter vertelde daarin eerlijk over zijn leven als hacker: de tegenslagen die hij had bij rapportages, maar ook over de kwajongensstreken die hij als jeugdige hacker had uitgehaald. Dat werd niet echt gewaardeerd. Het interview werd niet gepubliceerd en hij werd minder vaak uitgenodigd voor projecten. Zijn naam verdween uit de top 10 en prijkt nu alleen nog op de Wordle die ze ervan hebben gemaakt.

Heeft hij er achteraf spijt van dat hij zoveel tijd hierin heeft gestoken? Dat niet. “Het is best heel leerzaam om te zien hoe je als hacker presteert vergeleken met anderen. Ik heb vooral ook geleerd om mijn bevindingen veel efficiënter en accurater te rapporteren.” Raadt hij Bugcrowd aan voor jonge onderzoekers? “Jazeker. Het platform is open voor iedereen, je mag legaal pentesten en je kunt zelf bepalen wanneer je werkt. Je moet het alleen niet om het geld doen, want je concurreert toch met mensen uit landen waar de inkomens een stuk lager zijn. Je leert vooral beter rapporteren. Eigenlijk ben je gewoon een automatische scanner voor de klanten van Bugcrowd.”

Chris van 't Hof (@cvthof) is internetsocioloog, schrijver en presentator.

Verder lezen?

Log in en lees verder of maak hier uw persoonlijk profiel aan en ontvang als eerste het laatste securitynieuws. Speciaal voor u geselecteerd!

Dit veld is verplicht
Vul een geldige e-mailadres in
Dit veld is verplicht