Januari 2020: in overleg met OrangeCrest Consulting besluit ik om na 15 jaar als performance tester een extra uitdaging aan te gaan door wat verder in het security testing te duiken. Mede om daarna deze expertise verder uit te breiden bij OCC. Maar waar begin je dan?
Na overleg met collega’s en lotgenoten trek ik de conclusie dat de CEH training een goed startpunt is. Deze training heeft buiten een uitgebreide theorie ook veel praktische opdrachten. Aan de slag dus! Ik meld me aan voor de training, maar eerst staat er nog een lange vakantie gepland, dus ik heb me voorgenomen dat juni een mooi startpunt is.
Het leven gaat ondertussen verder en dan slaat Corona toe, de wereld lijkt stil te staan, maar gaat op hetzelfde moment in sneltrein verder (ik vind/vond het maar een onwerkelijke situatie). De training valt een beetje van mijn netvlies, en opeens is het dan half juni, de training begint al over een week!
“WOWWW, het is toch best veel”
Ik besluit de documentatie toch maar eens door te kijken, "wowww, het is toch best veel". Dus, focus er vol op en vele leesuren en YouTube filmpjes verder ben ik een hoop kennis rijker en heb ondertussen enorm veel zin in de training gekregen.
De training dag 1:
Ik arriveer op de locatie en ontdek dat sinds de hele Covid situatie, deze training de eerste klassikale training is sinds dat we in Nederland de ‘intelligente lockdown’ zijn ingegaan. We zijn met tweeën dus krijgen nagenoeg privéles. De trainer bespreekt de aanpak en gaat van start.
De onderwerpen zijn:
- Introductie tot Ethical Hacking,
- Footprinting en Reconnaissance,
- Scanning en Enumeration.
Introductie tot Ethical Hacking
De introductie verloopt redelijk volgens verwachting. We bespreken de verschillende varianten van hacken en waar je als Ethical Hacker staat. Je bent tenslotte ‘one of the good guys’ en wat daarbij de do’s en don’ts zijn. Wat ik echt niet wist is dat om te mogen hacken, zonder gedoe achteraf, je vooraf schriftelijk toestemming moet krijgen van het bedrijf. We bespreken ook het 'security by design principe', waarbij ik opmerk dat dit eigenlijk niet alleen voor security zou moeten gelden, maar ook voor vele van de andere non-functionele testen. Het scheelt gewoon een hoop gedoe achteraf als je deze zaken vooraf goed voor elkaar hebt en ook blijft verifiëren.
Footprinting en reconnaissance
We duiken wat verder de diepte in met ‘footprinting en reconnaissance’, wat er in het kort op neer komt dat je gebruik maakt van publiek beschikbare informatie die je eventueel later in het proces van pas kan komen. Dit gaat veel verder dan ik gedacht had. Bijvoorbeeld de standaardzaken als bedrijfsinformatie en social media. Ik was hoogst verbaasd over wat je met tools (vooral social media) kan ontdekken en dat zelfs informatie van vacatures een schat aan potentieel nuttige informatie voor een hacker kan bevatten.
Scanning en Enumeration
Met een gevuld mandje van publiek beschikbare informatie gaan we door naar de meer grijze gebieden (al is het officieel niet strafbaar), namelijk het scannen van systemen en netwerken. We gaan in op de basis van het OSI model, de TCP/IP stack en hoe de verschillende headers in elkaar zitten. Zeer interessante informatie die ik voor het laatste scherp had op het HBO, ondertussen ook alweer 16 jaar geleden, ik voel me oud...
Het idee van al dit gescan is dat we inzicht willen krijgen in de achterliggende systemen, netwerken, operating systemen en andere zaken die actief zijn. Met de juiste tools is er stiekem heel veel informatie te vergaren. Tot op dit punt is het echter nog steeds alleen maar data verzamelen, er is nog geen hack poging gedaan. Het is enkel informatie vergaren voor het mogelijke aanvalsplan of preventieplan. Het is maar aan welke kant je staat.
Het laatste onderdeel van deze dag is Enumeration. Dit houdt in het kort in dat je dieper ingaat op de kwetsbaarheden en waar mogelijk probeert systemen binnen te dringen en te onderzoeken hoe ver je kan gaan. Dit alles zonder verdere wijzigingen aan te brengen en of schade aan te richten. Het is nog steeds enkel informatie vergaren. Het is hierbij essentieel om veel kennis te hebben van operating systems zoals Linux en Windows.
We ronden dag 1 af met het inregelen van de proeftuin omgeving waar je alles nog eens kan oefenen en platleggen zonder dat je illegaal bezig bent of schade toebrengt.
Wat een eerste dag… ik ben benieuwd wat morgen gaat brengen…. Jij ook? Lees mijn ervaringen morgen op deze site.
