Chris Handy gooit hoge ogen bij hackcompetitie: ‘Alles wat we vinden, helpt ons onderzoeksdata beter te beveiligen’
Tijdens hackwedstrijd HALON hadden 28 teams één doel: zoveel mogelijk kwetsbaarheden vinden in de systemen van Nederlandse hogeronderwijsinstellingen. Ontwikkelaar onderwijssoftware Chris Handy deed in zijn eentje mee en belandde op de tweede plek in de categorie ‘Vulnerabilities found at the highest number of unique targets’.
Eens per jaar organiseert ICT-coöperatie SURF de HALON-wedstrijd. Verschillende Nederlandse onderwijsinstellingen, waaronder de Radboud Universiteit, Naturalis en de Universiteit Utrecht, stellen projecten beschikbaar voor een kwetsbaarheidstest, waarmee ze hopen te ontdekken waar hun beveiliging kan worden verbeterd. ‘Sommige hackers focussen zich op kritieke zwaktes, zoals heel vertrouwelijke gegevens die kunnen lekken. Ik heb mijn net breder uitgeworpen om te ontdekken hoeveel kleine kwetsbaarheden ik kon vinden.’
Informatie weggeven
Handy zocht bijvoorbeeld naar mogelijkheden om zich voor te doen als administrator van een website. ‘Op veel WordPress-websites kun je bij het log-inscherm voor de administrator komen door /admin aan de URL toe te voegen’, vertelt hij. ‘Wanneer ik daar probeerde in te loggen met het account ‘admin’ kreeg ik vaak een foutbericht dat ik een foutief wachtwoord had ingevoerd voor dit account. Dan wist ik dat ik een stap verder was: het account ‘admin’ bestond blijkbaar, waardoor ik alleen het wachtwoord nog maar zou hoeven te achterhalen om binnen te komen. Dat kun je makkelijk voorkomen door die informatie niet te geven in het foutbericht.’
De Universiteit Leiden deed dit jaar niet mee als een van de te hacken instellingen, maar Handy kan zijn bevindingen alsnog goed gebruiken. ‘Als onderzoekers data te verwerken hebben, kunnen ze naar mij komen om die te verwerken in een website of een database’, vertelt Handy. ‘Ik gebruik de kwetsbaarheden die ik tegenkom om mijn eigen projecten te controleren op vergelijkbare problemen.’
Volgend jaar weer
Wat Handy betreft, doet hij volgend jaar dan ook zeker weer mee aan de wedstrijd. ‘Ik denk dat het na het succes van dit jaar moet lukken om één of meerdere teams samen te stellen om het nog beter te doen.’ Hij is ook van plan om volgend jaar een aantal van zijn eigen projecten beschikbaar te stellen in de competitie. ‘Alles wat mensen vinden, gaat mij helpen de veiligheid te verbeteren.’