Achtergrondartikel


Game of Toons-trilogie, deel 1:

The Fellowship of those Things

Op 11 oktober gingen tien teams van vier hackers los op de slimme thermostaat Toon van Eneco. Drie ervan kregen tijdens de Tek Tok late night van die avond een prijs: most techy, weirdest en most dangerous hack. Welke kwetsbaarheden precies zijn gevonden, wordt onthuld in het slot van deze trilogie, want ze moeten eerst nog gefixt worden. In deze eerste aflevering introduceer ik ‘the Fellowship of those Things’. Onderweg leren we vijf lessen voor wie ook op zo’n open manier wil werken aan responsible disclosure.

Door Chris van ’t Hof

Het is alweer bijna een jaar geleden dat ik Eneco’s security-officer Luisella ten Pierik voor het eerst ontmoette. Ze vertelde dat het energiebedrijf ook graag een meldpunt voor gevonden kwetsbaarheden wilde openen. “Maar ik weet niet of men hier intern daar wel klaar voor is.”

Inderdaad, als zomaar iemand binnen een organisatie een meldpunt opent, dan zal je zien dat er van alles misgaat in de back-office. Althans, dat is mijn ervaring. Begin met een proefmelding, kijk wie reageert, maak de melding zwaarder, verbeter het proces en open je meldpunt pas als de hele back-office er klaar voor is. Les 1 in RD: begin klein, achter de schermen en schaal stap voor stap op.

Workshops
We besloten een paar workshops te doen, met praktijkvoorbeelden en een rollenspel voor medewerkers: wat zou jij doen als je een melding binnenkrijgt van iemand die beweert dat ergens op jullie server een database gewoon open online staat? De een zou niets doen met als argument ‘zal wel spam zijn’, de ander stuurt het door naar IT.

Als ze dan vergaten de hacker op de hoogte te houden, gooide ik er een journalist in die daar ook malware aantrof, vervolgens kwam de Autoriteit Persoonsgegevens en konden de argeloze deelnemers opschalen naar crisismanagement. Vermakelijk en leerzaam. Les 2: RD moet je niet alleen kennen, je moet het ook voelen en dat kan alleen door oefenen.

Het echte werk
Dan het echte werk. Ik vroeg: wat is jullie grootste nachtmerrie? Ze zei: “Dat Toon gehackt wordt. Die hangt inmiddels bij 320.000 huishoudens.” Oké, stel dat een melding binnenkomt over Toon, wie moet daar dan wat mee doen? “Tsja, de helpdesk zal het waarschijnlijk naar een van ons sturen en dan gaat de melding naar Quby, het bedrijf dat Toon heeft gemaakt en nu ook onder de Eneco-groep valt.”

We spraken daarom af met Michiel Fokke, de CTO van Quby en enkele van zijn medewerkers. Hij bleek mijn boek Helpende Hackers te hebben gelezen. Met een van zijn medewerkers had ik al eens een workshop gedaan. De heren bleken wel in voor RD en samen namen we door hoe een melding van buiten bij hen zou komen: via de helpdesk, de e-mail, maar ook via bedrijven die voor hen de IT doen. Les 3: breng de keten in kaart en betrek alle schakels.

Fokke vertelde me dat verschillende bedrijven de Toon al hadden getest, maar dat waren afgebakende opdrachten. Het wonderlijke van RD is dat er altijd mensen van buiten zijn die toch nog iets vinden waar jij en de testers niet aan hebben gedacht. Die komen met de meest wonderlijke vondsten, die niet altijd even relevant zijn, maar wel serieus beantwoord moeten worden. Je moet dus mensen hebben die dergelijke hackers begrijpen, maar ook de weirdo’s eruit kunnen vissen. Dat is les 4 in RD: betrek iemand die de taal van de scene spreekt. Zo kwamen we uit bij Zerocopter, een bedrijf waar tientallen pentesters en software-engineers werken en dat beschikt over een wereldwijd netwerk van helpende hackers.

Game of Toons
Nu nog een manier bedenken om het meldpunt publiekelijk bekend te maken. Ik stelde voor een lanceringsmoment te organiseren tijdens Alert Online, de landelijke cybersecuritycampagne begin oktober. Dat leek Ten Pierik wel wat, dus deed ik er een schep bovenop: “Hé, doe eens gek, dan maken we er een wedstrijd van wie de Toon kan hacken en dan noemen we dat Game of Toons!” Ze bleek fan van de serie Game of Thrones, dus ook de titel was meteen raak.

Niettemin zou Eneco best een groot risico nemen door een internet of things-device, dat inmiddels in 320.000 huishoudens hangt, zo openlijk te laten hacken. “Het zal nog een hele klus zijn om dat hier voor elkaar te krijgen, maar met zo’n titel krijg ik de mensen hier wel enthousiast”, aldus de security-officer.

Dat lukte haar. Van de directie tot Communicatie en van Juridische Zaken tot de ontwikkelaars van Toon zelf – iedereen zag het wel zitten om, in de woorden van CTO Fokke ‘de Toon publiekelijk op de pijnbank te leggen’. Hij had zelfs al tien proefopstellingen klaarstaan van een Toon met thermostaat, smart plugs en alles. Daar kon ik dus tien teams op los laten gaan. “Maar stel nou dat ze niets vinden”, probeerde ik nog voorzichtig. “Nee hoor, ze vinden heus wel wat”, stelde hij me gerust. En dat namens de man die eindverantwoordelijk is voor de veiligheid van Toon. Cool.

Hackers uitdagen
Les 5: Maak RD uitdagend en fun door er spelelementen aan toe te voegen. Steeds meer organisaties reiken voor het vinden van kwetsbaarheden prijzen uit, zoals T-shirts, bokalen of hardware. Een Wall of Fame met erkende melders werkt ook goed. Zo maken organisaties ook zichtbaar dat ze bereid zijn zich kwetsbaar op te stellen om ervan te leren.

Met een publiek toegankelijk hackevent draag je dat ook nog eens breed uit en kun je de hackers ook nog eens in het echt ontmoeten. Oké, het kost wel wat aan budget en mankracht, maar lang niet zoveel als een serieuze melding die niet wordt opgepakt en uiteindelijk in het nieuws komt...

Ondertussen had ik zelf ook nogal wat verwachtingen gewekt terwijl ik nog nooit een hackevent had georganiseerd. Ik heb dan wel mijn eigen praatprogramma, Tek Tok late night, met locatie, band, VJ, cameraploeg en vaste bezoekers, dus we konden zo draaien. Maar waar haal ik al die hackers vandaan? Hoe maak je het een interessante uitdaging voor hen? Willen ze wel meedoen? Kunnen ze wel kwetsbaarheden vinden? En zo ja, hoe voorkom ik dat ze die kwetsbaarheden openbaren voordat ze gefixt zijn? Dat lezen jullie in de volgende aflevering: the Battle for Middle Earth.

Lees meer over