Hack Yourself First! (Before someone else does)

 

Digitalisatie en cyberaanvallen gaan hand in hand. De ransomware-aanval met WannaCry heeft bij veel mensen de ogen geopend. Elke organisatie moet zich afvragen welke rol ze heeft in deze ontwikkelingen. Wat kunnen we zelf doen?


Wij denken dat je in drie hoofdthema’s moet investeren als het aankomt op security:

1. Cultuur; is iedereen zich bewust van het belang van security? Is dit een open gespreksonderwerp?
2. Kennis; heeft iedereen (toegang tot) de juiste kennis die nodig is?
3. Toepassing; wordt de kennis op de juiste wijze toegepast? Hebben de klanten hier profijt van?


In lijn met deze benadering vond afgelopen week een bijzondere workshop plaats. Betabit trok eerder dit jaar namelijk de stoute schoenen aan en benaderde Troy Hunt, development security expert, met de vraag of hij zijn ‘Hack Yourself First’ workshop voor Betabit wilde verzorgen. Troy reageerde enthousiast en na wat heen en weer tweeten was het officieel: op 6 en 7 juni zou hij naar Rotterdam komen. Het nieuws verspreidde zich intern al snel en de aanmeldingen stroomden binnen. Daarbij nodigde Betabit ook enkele klanten uit en werd er tijdens ons .NET Core evenement een plek weggeven via een prijsvraag.




They shared everything real openly. Betabit wants to let everyone know what they are doing. I guess they like to stand up there and go ‘hey, we are taking this security-thing very seriously’. So that was really cool! 

- Troy Hunt



Inbreken in je eigen applicaties

De eerste dag begon met een verrassing, alle deelnemers én Troy kregen een speciale Betabit hoodie. Troy was direct onder de indruk, dit had hij ook nog niet eerder meegemaakt. Na een korte introductie kon het hacken dan eindelijk beginnen. Want in zijn ‘Hack Yourself First’ workshop leert Troy IT-professionals inbreken in hun eigen applicaties – voordat een onbekende dit doet. Hij behandelde onderwerpen zoals ‘session hijacking’, ‘password cracking’ en ‘brute force attacks’. En technieken zoals SQL, FiddlerScript en HTTPS kwamen aan bod. Klik hier voor een overzicht van het gehele programma.


Het bleken twee zeer interactieve en bijzonder leerzame dagen, één van de highlights van het jaar. Troy benadrukte het belang van online security, hoe kwetsbaar software producten zijn en wat je, als werknemer van een software bedrijf, hiertegen kan doen. Hij legde de ingewikkelde stof op een duidelijke en prikkelende manier uit. Ondersteund door veel herkenbare voorbeelden zoals de data lekken bij ‘Ashley Madison’ en ‘DigiNotar’. Met veel ontzag werd er naar Troy geluisterd en de deelnemers gingen enthousiast aan de slag met alle hack oefeningen na ieder onderdeel.


Geweldig, maar beangstigend!

Troy was te spreken over het niveau van Betabit: “the group diversity and intelligence is very high, it’s a fun group to work with”. In zijn wekelijkse update uit Troy nogmaals zijn enthousiasme. Vanuit de deelnemers zelf kwamen ook enkel positieve reacties, wat terug te zien was in de sfeer. Op de vraag “wat is je het meest bijgebleven?” werd Troy’s expertise vanzelfsprekend genoemd. Maar ook de Harlem Shake code, de cosmetica website waarbij je slechts met een e-mailadres inlogt en het feit dat zoveel bedrijven, klein én groot, hun security niet op orde hebben.


Al met al twee uitermate geslaagde dagen. Een fantastische workshop met nieuwe inzichten, maar ook beangstigend om te concluderen dat veel organisaties te weinig investeren in cybersecurity. Elke organisatie en IT-specialist moet zich afvragen wat ze zelf kan doen. Nee, moet doen! Dat doen wij met onze focus op de drie eerder genoemde hoofdthema’s: cultuur, kennis en toepassing. Zodat wij de beste software voor onze klanten ontwikkelen.


Over Troy Hunt

Troy Hunt is ‘Microsoft Regional Director’ in Australië en  ‘Microsoft Most Valuable Professional’ op het gebied van  Developer Security. Troy reist de hele wereld rond om te spreken op grote evenementen en workshops. Daarnaast schrijft hij een blog, ontwerpt hij ‘Pluralsight courses’ over dataveiligheid en verleent hij een mooie service met zijn website ';--have i been pwned?. Waar iedereen kan inzien of zij, of sites die zij gebruiken, ooit gehackt zijn. Door zijn expertise, ervaringen en de passie om deze te delen met anderen, maakt hij de online wereld een stukje veiliger. Voor meer info over Troy Hunt, kun je een kijkje nemen op zijn website.