Hogeschool Rotterdam heeft honderden websites en servers. Ondanks dat al deze systemen goed zijn beveiligd kan het voorkomen dat er toch een zwakke plek is. Hogeschool Rotterdam huurt security audits in om alles te controleren. Technical information security officer Rik Gouw vertelt dat het inhuren van deze bureaus best prijzig is, maar wel noodzakelijk: “Zij pakken het groots aan en komen vervolgens zo’n tien problemen tegen. Maar daarnaast zijn er nog zo’n 400 andere problemen die niet aan het licht komen. Dat is een mooie opdracht voor de studenten die deze minor volgen.”
Studenten tekenen geheimhoudingsverklaring
Een vrij unieke minor, want studenten komen ook van andere hogescholen, soms zelfs uit het buitenland. En Gouw kan het weten, want hij heeft zelf ook de minor gedaan. “Ik volgde de opleiding System Network Engineering in Utrecht, een huisgenoot tipte me hierover. Na een afstudeerstage ben ik hier gebleven. Het is echt heel tof. Je leert op een ethische manier hacken. Dat betekent, dat wanneer je een server hebt gehackt, je dit netjes vertelt en niet aan de grote klok hangt, de server leeggooit of erger, verkoopt. De nadruk ligt natuurlijk op techniek, maar ook op normen en waarden.”
Tijdens een stukje theorie krijgen de studenten eerst een hacker mindset aangeleerd. Docent Technische Informatica Diederik de Vries: “Hiermee bedoelen we het gedachteproces erachter en de manier om problemen op te oplossen. De studenten maken kennis met de tools in een trainingsomgeving. Wat we ze aanleren is strikt genomen illegaal. Eigenlijk leren we ze systemen stuk te maken. Maar wel om het op die manier in te zetten zodat een bedrijf daar profijt van heeft. Wanneer je hackt op een verantwoorde manier noemen we dat in de ict wereld white hat. Gebruik je het voor criminele doeleinden dan spreken we over black hat. Onze studenten bevinden zich in dat grijze gebied. Ze moeten proberen te denken als een illegale hacker, maar dan wel ethisch verantwoord. Overigens tekenen ze vooraf een geheimhoudingsverklaring.”
Docent Diederik de Vries introduceert een 'hacker mindset' bij studenten die liever anoniem blijven
Docent Matej Skelo vertelt dat iedere student een VPN-account (virtual private network) krijgt. “Hiermee kunnen ze in de achterkant van de server komen. En dan kunnen ze eindelijk gaan hacken. Ieder projectgroepje krijgt een werkveld binnen Hogeschool Rotterdam wat onderzocht moet worden.”
Ik voer mijn hobby uit op school
Vierdejaarsstudent Informatica, Jurre Koetse kreeg met zijn groepje de opdracht om op zoek te gaan naar fouten binnen de interne en externe software van een opleidingsinstituut. “Wij hebben meerdere lekken gevonden. Bijvoorbeeld in een intranetversie dat nog steeds wordt gebruikt. Met een algemeen Hogeschool Rotterdam-account kun je hier ook in komen. Na het inbreken konden we alle gebruikers zien, studenten met hun leerlingennummer. Maar ook kregen we informatie te zien over eindprojecten en toelatingseisen. We hebben dit meteen gemeld bij het security team en toen is het vrij snel opgelost.”
Op de vraag hoe deze fout kan ontstaan, reageert Jurre als een echte professional: “Slordigheid. Zorg dat je je systeem bijhoudt. En voer regelmatig updates uit. Vaak zijn simpele dingen het probleem, omdat ze over het hoofd worden gezien.”
“Ik voer mijn hobby uit op school”, legt Pieter Lems enthousiast uit, vierdejaarsstudent Informatica. “Sinds mijn dertiende ben ik al bezig met cyber security. Op een ethische manier uiteraard”, benadrukt hij snel. “Ik heb van deze minor zoveel profijt. Op deze manier leer ik hoe ik in de toekomst ga werken. Na deze opleiding wil ik nog een master volgen en dan het liefst aan de slag in de wereld van cyber security.”
Meld lekken meteen bij security
Eerlijk is eerlijk, je hoopt dat je iets vindt
Met zijn projectteam heeft Pieter diverse websites binnen Hogeschool Rotterdam onderzocht, en ook gehackt. “Wat we hebben ontdekt? Eigenlijk zijn we vooral dezelfde fout tegengekomen, die veel voorkomt in webapplicaties. Ook zijn wij erachter gekomen dat we de invulvelden op afstand kunnen overnemen. We konden zelfs op afstand een webcam activeren. Dit lukte op meerdere sites. Met deze ontdekking hebben we de betreffende software developer die deze applicatie voor Hogeschool Rotterdam heeft gebouwd geholpen. Want deze fout bleek ook in andere systemen bij andere bedrijven te zitten. Die konden vervolgens meteen worden opgelost.
Je hoopt in eerste instantie als je aan deze opdracht begint dat het systeem goed beveiligd is, maar eerlijk is eerlijk: het is ook wel gaaf om dit met elkaar te ontdekken. Het toont aan dat we op een goede en leerzame manier les hebben gehad. Tijdens de minor hebben we veel bruikbare informatie gekregen die je ook in real-life kan toepassen om tot leuke findings te komen.”
Niek Flipse en Bas Cijsouw onderzochten de systemen gericht op onder meer afstuderen en stages. Flipse: “Mijn medestudenten en ik hebben helaas niet veel gevonden. Dat vonden we goed balen, zeker als je hoort wat anderen hebben gevonden.” Cijsouw daarentegen kwam wel het één en ander tegen: “Wij konden binnen het stagegedeelte zelf een bedrijfsaccount aanmaken. En zo bijvoorbeeld een stagevacature plaatsen namens het bedrijf. Bovendien zagen we alle informatie voorbijkomen van het bedrijf, stageplekken en de stagiaires.”
Technical information security officer Rik Gouw gaat meteen aan de slag met de gevonden lekken
Ondanks de teleurstellende bevindingen geeft Flipse aan wel veel geleerd te hebben. “Aan één kant is het voor Hogeschool Rotterdam natuurlijk goed wanneer je niks vindt, maar eerlijk is eerlijk, voor jezelf hoop je er natuurlijk wel op. Ik wil hier ook zeker mee verder. In eerste instantie wil ik fulltime programmeur worden, maar wel met een stukje security erbij.” Bas wil zich na zijn opleiding volledig richten op het hacken. “Ik vind dit zo leuk, het is voor mij een puzzel die ik moet oplossen. Voor mijn afstudeerstage moest ik een hack challenge als sollicitatieopdracht uitvoeren. Deze minor is daarvoor een goede voorbereiding geweest.”
De beste docenten die ik ooit heb gehad
De studenten gaan na de kerstvakantie de laatste weken in van de minor en zijn nu druk met het afronden van een eindpresentatie. Naast dat ze veel hebben geleerd, kijken ze er met enthousiasme op terug en dat komt met name door docenten Diederik en Matej, zeggen allevier de studenten. Koetse: “Ze geven deze minor met zoveel passie. Het zijn de beste docenten die ik tot nu heb gehad.”
Ondertussen is Gouw achter de schermen druk bezig met de grote lekken die zijn gevonden. “Dat koppel ik eerst netjes terug naar de betreffende software developer, zodat zij dit eerst kunnen oplossen. Als dat is geregeld, dan kunnen we bekendmaken wat de studenten hebben gevonden.” De Vries vult aan: “En dat is niet niks. Ze stonden te stuiteren toen ze het hadden ontdekt. En wij ook.”
Nog even geduld dus. Under construction...
