Onlangs kwamen ethische hackers van het Nederlandse bedrijf Computest in het nieuws doordat ze ernstige kwetsbaarheden in Zoom blootlegden. Zij mochten hun bevindingen presenteren tijdens de prestigieuze hackerswedstrijd Pwn2Own en werden daarnaast door de organisatie beloond met een zogenaamde 'bug bounty' van 200.000 dollar. Security is een van de pijlers van Computest, maar het bedrijf doet nog veel meer. Wie zitten er precies achter?
Een van de twee hackers in de wedstrijd was Thijs Alkemade, die samen met zijn collega Daan Keuper een aantal zero-day-kwetsbaarheden vond in de Zoom-client. Zij slaagden erin om een willekeurige code uit te voeren op verschillende systemen van geselecteerde 'slachtoffers' (die overigens hun medewerking verleenden). Vervolgens konden ze deze systemen vrijwel volledig overnemen en acties uitvoeren zoals de camera aanzetten, de microfoon uitzetten, e-mails lezen, meekijken op het scherm en de browsergeschiedenis downloaden.
Diep gegraven in Zoom-communicatie
"Wij waren sinds februari al bezig met ons onderzoek", vertelt Thijs. “Het betreft een ander soort kwetsbaarheid dan die begin 2020 aan het licht kwam. Toen ging het om Zoom bombing; het inbreken op meetings waarvoor je niet was uitgenodigd. Onze focus lag ergens anders. De opdracht was om een computer te hacken via communicatie met Zoom. We hebben er diep in gegraven. Een week voor de wedstrijd in april hebben we ons rapport met daarin verschillende kwetsbaarheden gemeld en aangeleverd bij de organisator, Zero Day Initiative.”
Helaas mag Thijs inhoudelijk weinig details prijsgeven over de hack. “Direct na de wedstrijd zaten we al in een disclosure room met mensen van Zoom. Ze reageerden overigens heel positief op ons werk. Ze hadden op dat moment het rapport net in handen gekregen, maar maakten duidelijk dat ze er snel mee aan de slag wilden. Of de problemen inmiddels verholpen zijn? Daar hebben wij niets over vernomen.”
Performancetesten voor piekbelasting
Hoewel Computest de laatste tijd krantenkoppen haalt met opvallende hacks (zo verkreeg Thijs toegang tot Apple iCloud-accounts van andere gebruikers door de TouchID-feature voor het inloggen op websites te misbruiken), doet het bedrijf veel meer dan dat. “We zijn zestien jaar geleden begonnen met performancetesten”, zegt directeur en oprichter Hartger Ruijs. “Dat doen wij nog steeds, met onder meer stress-, load- en ddos-testen.” Een voorbeeld van dat laatste is het werk dat het IT-bedrijf uit Zoetermeer voor Talpa, Squla en Amber Alert heeft verricht. Ook worden verschillende streamingdiensten getest. In het geval van Talpa werd het digitale platform van The Voice onderworpen aan een reeks intensieve tests, waarmee werd aangetoond dat de online omgeving een piekbelasting aankan van twee miljoen gelijktijdige gebruikers. Met de grootschalige performancetest vestigden Computest en Talpa een record.
Blije medewerkers, blije klanten
Het bedrijf, dat ooit vanuit een clubje vrienden ontstond, heeft inmiddels bijna honderd werknemers. Hartger richtte Computest op vanuit het idee dat blije techneuten zorgen voor blije klanten. “Wij wilden gewoon lekker technisch bezig zijn. Inmiddels zijn we wel wat commerciëler geworden, maar zo staan we er nog steeds in. We doen voor klanten toffe dingen die we niet altijd naar buiten kunnen brengen vanwege disclosures; daarom is zo’n deelname aan Pwn2Own voor ons een manier om te laten zien wat we in huis hebben.” Chris Hazewinkel, verantwoordelijk voor de security-tak van Computest, vult hem aan: “Vorig jaar hebben we ons researchteam opgericht. Niet met als doel om geld te verdienen, maar om de wereld een beetje veiliger te maken. Zo'n Zoom-hack is dan heel tof en vanwege het wedstrijdelement hebben wij er met z'n allen erg naartoe geleefd. We kijken echter naar veel meer zaken, bijvoorbeeld kwetsbaarheden in domotica en de automotive wereld.”
Devops-afdeling
Computest biedt klanten alle diensten om goede security mogelijk te maken, zoals pentesten en de technologie daaromheen. Als organisatie is Computest echter veel meer dan dat. Hartger: “We hebben twee divisies: Computest Security en Computest DevOps. Met Security bieden we een compleet portfolio op het gebied van cybersecurity en performance. Daarmee ondersteunen we organisaties en instellingen met onafhankelijk advies en uitvoering op het vlak van risicomanagement, continue preventieve security, informatiebeveiliging en governance control. Binnen DevOps is ons doel de allerbeste DevOps-specialisten te detacheren. Stuk voor stuk zijn dit sociale techneuten die helder kunnen communiceren. Door coaching en begeleiding zorgen ze ervoor dat hun opdrachtgevers of de teams waarbinnen zij werken, kunnen groeien in het DevOps-proces.”
Vondsten soms resultaat van spontaan onderzoek
Kortom, er staat een professionele, veelzijdige organisatie. Toch vormen maatschappelijke betrokkenheid en enthousiasme de kern van het werk. “Als het gaat om security is er veel aan de hand”, zegt Thijs. “Het gebeurt heel vaak dat ik op vrijdagmiddag, wanneer ik mijn werk af heb, iets probeer uit te zoeken. Bijvoorbeeld hoe een app of website precies werkt. Soms kom ik daarbij dingen tegen waar ik echt even verder naar moet kijken. Het gebeurt best vaak dat daar een kwetsbaarheid uit naar voren komt. Veel zaken waar wij met ons researchteam mee bezig zijn, komen neer op spontaan kijken hoe iets werkt.” Hartger bevestigt dit en kan verschillende voorbeelden geven. “We hebben ooit een Volkswagen gehackt. Daar hebben we overigens nooit geld voor gekregen. Dat hoeft ook niet, we doen het voor de gemeenschap. Een ander voorbeeld is dat ik thuis bezig was met een verbouwing en zag hoe onveilig installateurs bezig waren met domoticatoepassingen. Daan van ons researchteam heeft er vervolgens onderzoek naar gedaan en hij kwam inderdaad verschillende kwetsbaarheden in de domoticatoepassingen tegen.”
Veel sites kwetsbaar voor cross-site scripting
Hoewel Thijs vaak wel iets weet te vinden als hij even doorzoekt, hebben bedrijven de afgelopen jaren over het algemeen een stap gemaakt op het gebied van security. “Veel organisaties weten bijvoorbeeld inmiddels wel hoe ze zich tegen SQL-injection moeten beschermen. Je ziet nog wel vaak dat je toegang kunt krijgen tot individuele accounts doordat password-resets niet goed zijn ontworpen en ik kom ook veel sites tegen die kwetsbaar zijn voor cross-site scripting, waarbij je stukjes JavaScript kunt toevoegen en zo accounts kunt overnemen.” Door te automatiseren, komen veel kwetsbaarheden snel boven tafel. Hiervoor gebruikt Computest sinds drie jaar de tool Marvin_. “Het idee daarachter is dat het een dagelijkse, geautomatiseerde scan is waarmee we de output van vandaag vergelijken met die van gisteren. Door te automatiseren, maar daarop ook steeds een triage los te laten, besparen we niet alleen veel tijd, maar komen we ook snel de grote issues met veel impact tegen.”
Intensief opleidingstraject
Computest is druk op zoek naar IT-talent. Medior en senior DevOps-specialisten en ethical hackers bijvoorbeeld (“als we ze kunnen vinden”), maar ook junior specialisten die een pittig opleidingstraject doorlopen. “Het mooiste is als mensen al een technische achtergrond hebben”, zegt Chris. “Bijvoorbeeld in informatica of bedrijfskundige informatica. Security als specialisme is natuurlijk geweldig, maar dat geldt ook voor programmeren. Als je goed kunt bouwen, kun je alles immers ook uit elkaar trekken.”
Het opleidingstraject voor junior security specialisten begint met een proef, gevolgd door verschillende schaduwtesten. “We voeren testen steeds dubbel uit en kijken of onze junior specialisten ze op dezelfde manier uitvoeren. Dat moet meerdere keren goed gaan, over meerdere applicaties. We hebben verschillende kwaliteitscontroles en checks om de kwaliteit hoog te houden. Wanneer het opleidingstraject is doorlopen, zijn we meestal wel zes maanden verder.”
Sociale nerds
Thijs werkt inmiddels vijf jaar voor Computest. “Mijn aandacht voor het bedrijf werd gewekt toen ik een artikel las over digitale security. Ik heb een achtergrond als programmeur, ik heb een master gedaan in Wiskunde en in Informatica. Nadat ik een kwetsbaarheid vond in Start Encrypt, een programma dat SSL-certificaten afgeeft, hebben we besloten dat ik een deel van mijn tijd kon besteden aan research. Het afgelopen jaar hebben we de fulltime researchafdeling Sector 7 opgezet.”
Inmiddels zoekt Computest voor vrijwel alle disciplines naar talent. “Van incident response engineers tot aan pentesters en alle functies die met DevOps te maken hebben, zoals developers, testers en scrum masters”, zegt Hartger. “In alle taken groeien we heel hard en hebben we te maken met een tekort aan mensen. Welk type mensen goed bij ons past? Het type sociale nerd. Als je het leuk vindt om technisch bezig te zijn maar ook om sociale dingen te doen, kom je hier goed tot je recht.”
Computest gaf op de Developers Summit 2021 een talk over over hoe het Zoom heeft gehackt. Bekijk de video.