Hoe overleeft de Security Tester?

Tijdens de Tmap dag 2013 met het thema ‘Testen is dood, Leve de Tester’ gaf ik mijn visie op de toekomst van Security Testing.

Evolve or die

Extinction is the rule. Survival the exception. (Carl Sagan, SciFi schrijver) Een goede Security Tester zijn en blijven lukt alleen als je evolueert. De omgeving van de  Security Tester verandert dagelijks. Het werk wordt steeds technischer en kan bijna niet meer zonder geavanceerde, op maat geschreven tooling.

Hackers mindset

Een belangrijke eigenschap van de Security Tester (ook wel Ethical Hacker) is zijn hacker mindset. Het constant willen verbeteren van middelen, anderen of zichzelf. Het uitdragen van hoe het anders/beter kan, het willen weten hoe (web)applicaties/infrastructuur nou precies werken en zich willen verdiepen in hoe men techniek, proces en functionaliteit kan gebruiken waar het NIET voor bedoeld is. Zo ontstaan er in de security community veel ondersteunende paper's en proof-of-concepts, met of zonder tooling

Security Tools

Omdat de omgeving van de Security Tester snel verandert, verouderen tools steeds sneller. Daarnaast kan een tool nooit de logica van een proces of de samenhang met andere systemen testen. Tools worden ingezet om repetitief werk snel te doen. Deze tooling is inmiddels geëvolueerd van monitor, naar proxy, naar fuzzer naar scanner. Zo kan iemand die de materie niet inhoudelijk machtig is, toch een onderzoek doen naar een informatiesysteem en er zwakheden uithalen. Wie tools op deze manier gebruikt, moet zich wel een aantal zaken realiseren.

Context

Al deze tools bekijken security vanuit het perspectief van de berichtstroom (de content), maar missen de redenatie waarvoor een bericht in de eerste plaats wordt verzonden (de context). Je mist daarom ook de logica om een bericht heen. En al kan de tool de content analyseren, niet alles zal hem wat zeggen. Een goed voorbeeld is de hack van het twitter account van Mat Honan. Deze hack maakte gebruik van kwetsbaarheden in techniek, vooral in het proces van verschillende servicedesks. Kwetsbaarheden die nooit door tooling gevonden hadden kunnen worden.

Focus

Tools worden in de toekomst steeds minder effectief, omdat deze tools gericht zijn op de communicatie richting backend, waar alle applicatieverwerking plaatsvindt . De plaats van verwerking verschuift echter steeds meer van backend naar de client. De shift van webapplicatie naar native mobile applicaties is daar een goed voorbeeld van. Als we in de nabije toekomst zoals nu willen blijven werken moeten we veel meer specialistische tools schrijven, misschien wel per configuratie of applicatie. Wat ondoenbaar is.

Hacken

Een Security Tester die mee evolueert met zijn omgeving, zet zijn beschikbare tools anders in dan waarvoor ze bedoeld zijn. Hack de tools dus. Zo kun je bijvoorbeeld met hacktools de interne logica van een mobiele app ontsluiten als een website. Dan hoef je niet alles in te tikken op het device, maar kun je op die website met drie klikken zeggen: 'open dit scherm, voer dit in en druk op zend'. Met een aantal logische stappen kun je dat vervolgens met een framework aan die ontsloten interne logica hangen en met een  fuzzer aansturen. Je bekijkt daarmee snel een app op basis van context, content en logica. Wat een externe blackbox vulnerability scan, waar je alleen het linkje uit de appstore hebt, anders onmogelijk maakt.

Lang leve de Security Tester

De Security Tester die teveel vertrouwt op zijn tools, en zich niet evolueert tot een professional die met een hacker mindset, creativiteit en leergierigheid meebeweegt met zijn veranderende omgeving, sterft uit. Hij gebruikt de hacker mindset om zijn werk mogelijk te maken in een omgeving die niet op hem wacht. En die mindset is ook prima te gebruiken in alle andere facetten van testen naast security.

Meer weten? Mail je vraag.