Lezingen en lekken beste CV security professional

We weten inmiddels dat we hackers, crackers en scriptkiddies niet met elkaar moeten verwarren (tenminste: dat is de mening van anderen, wat mij betreft gaat het nog steeds om de daad die gepleegd wordt, maar goed, dat terzijde).

De wereld van goede technische hackers en crackers is klein (scriptkiddies genoeg, dus die vallen buiten scope). Maar als je onderstaand bericht mag geloven dan zijn de beste hackers en crackers degene die inderdaad net wel of net niet over de schreef zijn gegaan.

Wie als security professional aan de slag wil kan het beste naar beveiligingslekken opzoek gaan en lezingen tijdens grote conferenties geven. Dat adviseert de bekende Mac-hacker Charlie Miller (bron).

Een oud gezegde is inderdaad: met boeven vang je boeven. Maar als we dat al te letterlijk gaan nemen dan moet iedere politieagent minimaal een strafblad hebben. Hoe kunnen ze anders boeven vangen? Nee, het gaat me toch wat te ver om mensen op te roepen om op zoek te gaan naar beveiligingslekken omdat dat het beste voor je CV is.

En nu komen ze weer in scope: de scriptkiddies. Met dit soort berichten roep je scriptkiddies op om maar vooral veel te testen, veel tooltjes te gebruiken en veel technische te pielen omdat dat de manier is om carrière te maken in de informatiebeveiligingswereld. Als we dat maar hard genoeg roepen dan zijn er genoeg scriptkiddies die van alles gaan proberen zonder te weten wat ze doen. Ze maken zo meer kapot dan ze lief is (hoewel ze zelf niet eens in de gaten zullen hebben wat ze doen).

Valt allemaal wel mee, toch? Nou, dat is maar te bezien. Veel scriptkiddies weten echt niet wat ze doen en als ze dat wel zouden weten dan zouden ze het wel laten (of in ieder geval een stuk slechter slapen ’s nachts). Stel dat een scriptkiddie weet in te breken in een systeem van een ziekenhuis. Voor hem misschien een leuke toevoeging aan zijn CV. Maar wat als hij zich er niet van bewust is dat hij ziektebeelden en patiëntgegevens per ongeluk door elkaar gooit?

Nee, om een goed CV als security professional te krijgen moet je een goede vooropleiding hebben en aantonen dat je de techniek door en door kent. Maar je hoeft mij niet uit te leggen welke inbraken je al allemaal gepleegd hebt. En natuurlijk wil je ook graag praktijkervaring opdoen, maar laten we daar dan goede testsystemen voor in het leven roepen en het security wereldje beter faciliteren.

Want waar gaat het anders heen met de wereld: moet een goede verslavingsdeskundige dan zelf verslaafd zijn geweest? Moet een psychiater zelf zo gek als een deur zijn? Moet een goede Gynaecoloog dan eerst zelf zwanger zijn geweest (helaas voor alle mannelijke Gynaecologen: jullie kunnen nooit goed zijn in je vak)? Moet een goede brandweerman dan eerst pyromaan zijn geweest? Nou ja, je begrijpt de strekking en kunt zelf vast ook nog wel wat voorbeelden verzinnen.

Criminelen stelen cv’s werkzoekenden van sites

Criminele organisaties plukken van websites als werk.nl van het UWV persoonsgegevens uit cv’s van werkzoekenden…Die worden vervolgens benaderd om tegen betaling mee te werken aan fraude met creditcards, heling en witwaspraktijken. Werkzoekenden kunnen op werk.nl maar ook op sites als monsterboard.nl en vacaturekrant.nl hun cv’s plaatsen. Werkgevers kunnen op die sites inloggen en vacatures plaatsen…Bedrijven hebben na inschrijving inzage in de persoonsgegevens van werkzoekenden. Het maakt daarbij niet uit of het bedrijf zich met een verzonnen naam heeft aangemeld, zo blijkt uit onderzoek van het Noordhollands Dagblad (bron).

We hebben het er natuurlijk al veel vaker over gehad, maar de privacy op internet blijft een probleem. Mensen geven erg veel van zichzelf bloot op sociale media sites als LinkedIn, Hyves, Facebook en Twitter. Daarbij gaat het natuurlijk veelal om het bewustzijn van die mensen zelf. Het kan leuk zijn om privé van alles en nog wat te delen, maar dat kan voor je carrière een doodsteek zijn. Helaas zal het nog jaren duren voordat het merendeel van de mensen zich daarvan bewust is (als het dan al niet te laat is).

Maar uit onderzoek van het Noordhollands Dagblad blijkt dat ook sites van op zich gerenommeerde eigenaren een probleem kunnen vormen. Op zich logisch dat er privé-gegevens worden achtergelaten op die sites. Men zet niet voor niets zijn of haar CV online. Hiermee geven ze immers aan open te staan voor aanbiedingen. Niets mis mee als dat in goed vertrouwen gebeurt. Organisaties kopen inloggegevens om deze profielen te kunnen bekijken. Maar dan mag je er vanuit gaan dat het ook echt organisaties zijn die op zoek zijn naar nieuw personeel.

Niets blijkt echter minder waar. Ook criminele organisaties kunnen dergelijke inloggegevens kopen en benaderen de werkzoekenden dan met een heel andere aanbieding. Nu kun je stellen dat criminele organisaties ook organisaties zijn, maar het grote verschil is natuurlijk dat ze niet zijn ingeschreven bij de Kamer van Koophandel. Een minimale check die uitgevoerd zou moeten worden is dus de aanvraag naast de inschrijving van de KvK te houden.

Niet dat hiermee direct alle criminele activiteiten tot een stop worden gebracht, want er zijn natuurlijk ook nog genoeg malafide bedrijfjes die gewoon netjes een KvK-inschrijving kunnen overleggen. Ze zijn niet direct crimineel georiënteerd maar bevinden zich wel in een schimmig gebied. Zaak voor de sites is dus om goed te monitoren wie er allemaal toegang heeft tot de privé-gegevens en op welke wijze daarvan ge- of misbruik wordt gemaakt.

Het lijkt er in ieder geval op dat er een extra check plaats moet gaan vinden. Misschien toch overwegen om de gegevens af te schermen en via anonieme mailadressen de eerste contacten te laten leggen? Dus niet alle gegevens in het CV vermelden maar eerst de werkzoekende en de medewerkerzoekende op een andere manier met elkaar in contact brengen zonder dat we alles van elkaar weten?

Het is maar een overweging, zaak is wel dat de sites hun verantwoordelijkheid nemen en niet deelnemen aan of ondersteuning verlenen bij allerlei criminele activiteiten. Blijven ze dat doen dan zal hun bestaansrecht snel afnemen. Wie pakt de signalen het eerst op en zoekt naar nieuwe mogelijkheden? Degene die dat doet geef ik een goede toekomst op het internet.