De wereldwijd bekende programmeur en hacker John Draper, aka Captain Crunch, spreekt tijdens de securitydag van IT Talent College. Tijdens zijn presentatie spreekt hij over 'phone phreaking', over wat hij op het gebied van softwaredevelopment heeft bewerkstelligd en wat zijn visie is over verschillende trends die nu spelen in zijn vak. Voorafgaand aan de presentatie mocht Computable met hem spreken over de huidige status van security bij organisaties en wat hier volgens hem aan moet worden gedaan.
John Draper is een bekende programmeur en hacker van telecomsystemen. Deze mensen, die telefoonsystemen onderzoeken en manipuleren, worden ook wel phreaks genoemd. Phreakers werkten in de jaren ’60 en ’70 met een blue box. Dit is een elektronisch apparaat dat tonen genereert die ook door een telefoonmaatschappij worden gebruikt om interlokale gesprekken door te schakelen.
Draper ontdekte dat een speelgoedfluitje uit een pak cornflakes van het merk Cap’n Crunch ook de benodigde frequenties gaf voor het manipuleren van telecomsystemen. Aan deze ontdekking heeft hij zijn bijnaam Captain Crunch te danken. Draper ontwikkelde één van de eerste woordverwerkingsprogramma’s en de technologie die door stem geactiveerde telefoonmenu’s mogelijk maakte.
Organisaties bouwen veel te ingewikkelde software, zegt Draper. ‘Deze software is ingewikkeld om te beheren en is dus ook lastig goed te beveiligen. Natuurlijk is niks 100 procent veilig, maar er zijn verschillende maatregelen die organisaties naar mijn mening moeten nemen.’ Zo moet elke organisatie volgens Draper een bug bounty-programma hebben lopen. Bij een dergelijk programma betaalt een organisatie ethische hackers om op jacht te gaan naar kwetsbaarheden binnen hun organisatie. ‘Alle grote organisaties doen dit al, zoals Apple, Microsoft, Facebook, United Airlines, Pinterest, PayPall en ga zo maar door.’
Draper meent dat de organisatie Vulnerability Laboratory uit Duitsland op dit moment het beste bug bounty programma biedt. Het is een onafhankelijke organisatie opgericht door Benjamin Kunz Mejri die door bedrijven kan worden ingehuurd om op zoek te gaan naar kwetsbaarheden. De onderzoekers gebruiken hiervoor geen hacking-tools, maar analyseren kwetsbaarheden enkel met professionele middelen en vaardigheden. Bovendien belooft de organisatie op zijn website om geen onderzoeker-e-mails, gesprekken, cijfers en dergelijken te publiceren of door te geven aan journalisten, autoriteiten of private partijen.
Standaard encryptie
Daarnaast loopt het op dit moment volgens Draper uit de hand op het gebied van privacy. ‘Organisaties moeten daarom beter inzicht hebben in datgene waar medewerkers toegang tot krijgen en ze moeten deze medewerkers bovendien beter screenen. Kijk naar Edward Snowden. Hij was een systeembeheerder, maar hij kon toegang krijgen tot zoveel informatie.’
Een maatregel op het gebied van ict die moet worden genomen in het teken van privacy is encryptie. ‘Sommige mensen vragen zich af of dit nou echt nodig is, maar dan vraag ik ze: je doet toch ook je huis en auto op slot?’ Hetzelfde principe geldt volgens hem bij bijvoorbeeld telefoon- of e-mailgesprekken. Bovendien meent Draper dat er meer redenen zijn om data wel te versleutelen dan dat er argumenten zijn om dit niet te doen. ‘De veiligste communicatievormen zijn nog niet veilig genoeg, maar er bestaan tools waarmee communicatie wel veilig kan verlopen.’
Draper raadt op dit gebied de apps Wickr, Chadder, Telegram, Signal en Line aan. Op de vraag of deze tools ook binnen organisaties op grotere schaal kunnen worden gebruikt, zegt Draper dat hij niet weet of dat zou werken. ‘Ik weet alleen dat de tools al bestaan en deze zouden standaard in ict-programma’s moeten worden ingebouwd.’
Omdat privacy zo’n belangrijk vraagstuk voor Draper is, wil hij meer in het openbaar over dit onderwerp gaan spreken. ‘Ik wil tijdens zulke presentaties lesgeven over verschillende tools en over de voor- en nadelen daarvan.’ Hij noemt de encryptiesoftware PGP (Pretty Good Privacy) alvast als voorbeeld. ‘In het kort is dat een goed programma met lange sleutels, maar het sleutelbeheer is hierbij het grote probleem. Al met al kan dit probleem ertoe leiden dat de NSA alsnog bij je keys kan.’
Beveiligingstips voor jongeren
Draper sprak op maandag 28 september tijdens IT Talent College. Dit is een evenement gericht op it-studenten en jonge professionals. Draper heeft ook nog wat tips voor de nieuwe generatie op het gebied van het inzetten van security. ‘Leer over hacking en breng dit in de praktijk. Probeer je eigen systeem te hacken en maak een honeypot, oftewel een computersysteem dat je als aas kan gebruiken om hackers te lokken. Het ip-adres en andere gegevens van de hacker worden bovendien opgeslagen als zij deze Honeypot hacken.’
Daarnaast vindt Draper het goed dat steeds meer opleidingen lesgeven in pentesttechnieken. ‘Maar het is voornamelijk gewoon vallen en opstaan.’