Duizenden meldingen die tegelijk afgaan, allemaal moeten ze handmatig gecheckt worden. Maar ondertussen is de hacker er al lang en breed vandoor met data, gebruikersprofielen of geld. En het erge is: gedupeerden hebben vaak niet eens iets door. Want gemiddeld duurt het negen maanden voordat een bedrijf of instantie achter een zogeheten databreach komt. En als de hacker ‘under the radar’ binnenkomt is het voor bedrijven haast onmogelijk te achterhalen wie het was.
Vandaag is E52 op bezoek bij BitSensor een application security company op het terrein van de TU/e. Ruben van Vreeland en Alex Dings brengen de detectietijd van negen maanden terug naar slechts 50 milliseconden. Ook vergroten ze de pakkans van de hacker door hackerprofielen op te stellen.
“Die negen maanden is een gemiddelde, het kan ook veel langer duren. Kijk naar Yahoo waar een half miljard gebruikersaccounts zijn gestolen, dat kwam eind vorig jaar aan het licht. Maar het was al in 2013 gebeurd”, vertelt van Vreeland. “Dat duurt zo lang omdat veel applicaties worden beveiligd van buitenaf, het is een schil eromheen. Doordat deze schil niet precies kan zien wat voor data er in en uit gaat, en dus ook niet precies ziet wat wel en niet verdacht is, blijft het vaak gokwerk. Dit geeft de hacker een groot voordeel. Het kan zelfs zo zijn dat er wel 300 duizend meldingen binnenkomen, maar er zijn er maar een paar relevant. Dat kost security teams ongelooflijk veel tijd om het na te lopen.” Dings, onderbreekt hem: “Voordat we veel te technisch worden; vergelijk het met een vliegtuig zonder blackbox, het is op dit moment heel erg moeilijk om forensische sporen van aanvallen terug te vinden.”
Bedrijven geloofden het niet als ze hoorden dat ze waren gehackt door een 15-jarig mannetje.
Al op jonge leeftijd heeft van Vreeland door dat in ieder systeem een achilleshiel te vinden is. “Ik wilde weten hoe iets was beveiligd, om er vervolgens binnen te komen. Dat gaf me een kick, ik genoot van de race tegen de bad guys. Vaak kostte het me minder dan twee uur om de boel te kraken.” Van Vreeland lacht: “vaak geloofden bedrijven er niets van als er een jongen van 15 aan de telefoon hing met de mededeling dat ze waren gehackt.” Dan weer serieus: “maar alles is te kraken als je er maar genoeg tijd in stopt.” Al op jonge leeftijd adviseert hij bedrijven als Marktplaats, LinkedIn en Indiegogo over hun beveiliging. “LinkedIn claimt niet het best beveiligde bedrijf te zijn, maar moet je je voorstellen wat voor impact het heeft als al die gegevens van mensen op straat komen te liggen. Het vertrouwen is dan compleet verdwenen.” Dings: “Dat ‘hobby’en, zoals hij dit zelf noemt, doet hij nog steeds. Dan is Ruben ineens verdwenen, je weet dan dat hij weer ergens mee bezig is. Het is belangrijk dat hij dat kan blijven doen, zo blijft hij op de hoogte van de laatste ontwikkelingen.”
Hij was doodsbang. Zijn grootste angst: bestond het bedrijf over een paar dagen nog wel?
Hacken is ook emotie ondervindt hij als hij zo’n twee jaar geleden wanneer hij Indiegogo, het grootste crowdfundingplatform ter wereld weet binnen te dringen. Van Vreeland zat zo diep in het systeem dat hij zo enkele miljoenen naar zijn persoonlijk bankrekening kon overmaken. Indiegogo had nog niets in de gaten, tot ineens de telefoon ging. Ruben van Vreeland, 19 jaar uit Nederland. “Dan, de Head of Security had geen idee wie ik was en wat ik allemaal kon. Hij wist niet wat mijn bedoelingen waren, wilde ik geld? Zou ik naar de pers stappen? Hij was doodsbang. Bestond zijn bedrijf over een paar dagen nog wel?” Van Vreeland helpt het bedrijf om de beveiliging op orde te krijgen, hij ontwikkelt een systeem dat niet als een schil om de applicatie ligt, maar echt in de applicatie zelf draait. BitSensor is geboren.
Tekst gaat door onder de video.
Luud Janssen die op bovenstaande video te zien is, heeft voor zijn studie gekozen en werkt niet langer full-time aan BitSensor.
“Hierdoor kunnen we in de code tot de regel nauwkeurig meekijken wat er gebeurt. Omdat je in de applicatie zit krijg je veel meer data binnen waar je iets mee kunt, je weet wie er toegang hebben en wie niet, vreemde datatransacties vallen sneller op. Het gissen verdwijnt hierdoor, niet al die alarmpjes hoeven worden nagelopen, ons systeem filtert alles en alleen relevante meldingen komen naar boven.” Ook bedachten de heren bij BitSensor een manier om hackers in de gaten te houden en te monitoren. Het zogenaamde hackerprofile. “Hiermee willen we van de hacker leren, z’n doel ontrafelen. Want als je weet wat hij van plan is kun je hem ook effectiever stoppen. Hackers hebben vaak zo’n tien aanvalsplannen met verschillende stappen, als je in staat bent de eerste twee te ontdekken kun je voorspellen wat zijn volgende stap is, die kun je dan blokkeren. Al deze aanvalspogingen worden in kaart gebracht, waarmee een profiel wordt gecreëerd.” legt van Vreeland uit. Hij heeft het zelfs al een keer meegemaakt dat ze iemand met naam konden traceren. De hacker kreeg een rapport via LinkedIn waarin precies te lezen was hoe hij geprobeerd had binnen te komen. “Waar zie je dat nou, dat hackers een rapport krijgen van hun aanvalspoging?” Dings en van Vreeland kunnen hier erg om lachen.
De security werd vergeten, tot het naïeve toe.
Een ander voordeel van BitSensor is dat ze real-time aanvallen kunnen monitoren en afweren in bijvoorbeeld een internetbankieren app. “Bij banken is het de laatste jaren heel erg een trend geweest om alleen maar op efficiency in te zetten, tot het naïeve af. De security werd een beetje vergeten, gelukkig wordt dat nu steeds minder. Maar dit heeft als nadeel dat nieuwe functionaliteiten in een app nu eerst maanden lang moeten worden getest voordat ze live gaan. En zelfs dan kun je nooit alle fouten eruit halen. Met het real-time monitoren kunnen deze functionaliteiten sneller live gaan. En in het geval van een aanval, plaatsen we hackers in een sandbox. Dat is een omgeving die er hetzelfde uitziet als de app, maar dan zonder werkende functies. De hacker heeft niets in de gaten en gaat gewoon door met zijn aanval, maar hij zit als het ware geïsoleerd en geeft steeds meer informatie over zijn methodes prijs.”
In het wereldje is BitSensor geen onbekende meer, in 2015 werden zij door IBM genoemd als een van de tien beste startups ter wereld. Een trip naar San Francisco volgde. “Hier hebben we echt ontzettend veel van geleerd, ook vereerd dat we zoveel aanbiedingen kregen om daar aan de slag te gaan. Maar we kiezen er bewust voor om voorlopig nog in Eindhoven te blijven. We hebben hier al een netwerk opgebouwd. En er liepen al een boel proof of concepts, toen ons werd gevraagd in Sillicon Valley te vestigen. We wilden niet helemaal opnieuw beginnen in de VS. We willen uitbouwen wat we nu hebben, zeker nu de Meldplicht Datalekken en de General Data Protection Regulation van bedrijven eist dat de beveiliging van applicaties in orde is. De rest van de wereld komt dan vanzelf wel.”
Een eerste stap werd afgelopen maand gezet met een Belgische investeerder, 4 ton werd er binnengehaald. “met dit geld willen we de support uitbouwen.”
Hoofdfoto (c) Bart van Overbeeke Fotografie