Interview in het VNSG-magazine over SAP security

In de juni oplage van het VNSG-magazine is een uitgebreid interview te lezen wat ze met mij gehouden hebben over mijn werk als ethisch hacker en tevens over SAP security:

Interview & tekst namens VNSG magazine: Ton Verheijen

“Elke dag ben ik uren kwijt aan het volgen van het laatste nieuws. Bijblijven en alert zijn is nergens zo nodig als in mijn vak. Wat vandaag veilig is, kan morgen achterhaald zijn. SAP-systemen vormen wat dat betreft geen uitzondering. Bedrijfskritische processen, die grote bedrijven vaak runnen met SAP, zijn juist heel aantrekkelijk voor hackers. Veel SAP-systemen zijn lek, weet ik uit eigen onderzoek. Dit zou weleens de stilte voor de storm kunnen zijn. Ze moeten nu beveiligd worden.”

Sijmen Ruwhof heeft gesproken. Ondanks zijn nog jonge leeftijd zit hij aan tafel met directies van veel grote bedrijven. Ruwhof werkt voor overheden, banken, verzekeraars en het midden- en kleinbedrijf. Allemaal zitten ze met twijfel. Hoe blijven we veilig? Hoe worden we resistent? Hoe houden we hackers buiten de deur?

Ruwhof: “Het is best eenvoudig om binnen te dringen en het bizarre is dat alles op internet wordt uitgelegd door de hackers zelf. Bedrijven hebben daar lange tijd niks mee gedaan. Ook IT-opleidingen gaven weinig aandacht aan computerveiligheid. Dat zien we nu wel veranderen. Bedrijven worden zich bewust van de risico’s. Maar goed ook, want niemand is meer veilig. De grootste bankovervallen ooit vinden plaats door computers te hacken. Dat overkwam de centrale bank van Bangladesh vorig jaar. Waarschijnlijk is hun software met malware geïnfecteerd. Zo konden criminelen grote bedragen overschrijven naar Filipijnse rekeningen.”

Kroonjuwelen in kaart
Op de middelbare school bleek Sijmen Ruwhof een opmerkelijke gave te bezitten. Zomaar even kraakte hij het computersysteem van de school. “Ik meldde het netjes, en toch was niet iedereen blij.” Ruwhof had de smaak te pakken. Hij volgde de opleiding Information Engineering aan de HvA (specialisatie: security) en sinds 2005 is hij professioneel hacker. Over het aanbod van werk heeft hij niets te klagen.

Ruwhof: “Ze vertrouwen me en laten zich graag door mij adviseren. Wat dat betreft is er veel veranderd want cybercrime richt enorme schade aan. Het bedrijfsleven heeft zichzelf ontzettend kwetsbaar gemaakt door digitalisering en centralisering van processen en datasystemen. De databases met persoonsgegevens worden steeds groter. De belangen worden dus ook groter. Daarom geeft het mij veel voldoening om bedrijven te helpen de veiligheidsrisico’s in kaart te brengen.”

Zijn aanpak is analytisch en relatief simpel. Eerst gaat hij gesprekken voeren om de ‘kroonjuwelen’ van het bedrijf boven water te krijgen. Zijn het klantgegevens? Medische gegevens? Is het de boekhouding? Het archief? Digitaal geld? Een datawarehouse? Als dat duidelijk is, gaat hij kijken hoe het kroonjuweel beveiligd is. Hoe zit het met binnenhalen van updates? Is de configuratie veilig afgesteld? Zijn er veiligheidslekken? Vervolgens gaat hij het kroonjuweel extra beschermen. Tot slot schrijft hij een rapport met aanbevelingen en gaat hij met de directie in gesprek om een toelichting te geven op de risico’s die het bedrijf daadwerkelijk loopt.

Boze systeembeheerder
Hacken is volgens Wikipedia ‘het vinden van toepassingen die niet door de maker zijn bedoeld’. Complexiteit speelt daarbij geen rol. Simpele, snelle oplossingen hebben de voorkeur. ‘Ook het gebruik van een wasknijper om te voorkomen dat je broekspijp tussen de fietsketting komt is in principe een hack’, schrijft Wikipedia.

De huidige generatie hackers richt zich volgens Ruwhof met name op ransomware, key loggers, het kopiëren van vertrouwelijke gegevens, bedrijfsspionage en afpersing. Speciale vermelding verdient de boze systeembeheerder. Hij leek uitgestorven maar niets is minder waar als we Sijmen Ruwhof mogen geloven. “Ik kom ze nog steeds tegen, beheerders die alle servers kapotmaken.”

Maar ingewikkeld hoeft het dus niet altijd te zijn. Voor sommige hacks heb je zelfs niet eens computerkennis nodig. Zo had een webshop onlangs een actie: ‘Gratis printer bij een nieuwe laptop’. Wat gebeurde er? Een slimmerik plaatste eerst de laptop in het winkelmandje en daarna de gratis printer. Het systeem berekende het totaalbedrag. Vervolgens werd de laptop verwijderd. De printer bleef staan en werd gratis bezorgd. Ander voorbeeld. Ook een webshop. Een klant bestelde drie lampen en kwam op het lumineuze idee een minnetje voor zijn bestelling te plaatsen. Het systeem maakte een bestelling aan van -3 lampen. Voor een negatief aantal lampen kon het totaalbedrag niet hoger zijn dan nul, vond de computer. De klant kreeg drie lampen gratis geleverd.

Veilige setup
Spannende verhalen over hackers doen het goed bij de koffieautomaat. Maar wat is Ruwhof’s boodschap aan bedrijven met SAP-systemen? Ruwhof: “Wat mij opvalt is dat standaard wachtwoorden vaak niet gewijzigd zijn. Nou, dat is wat hackers als eerste uitproberen. Een veel voorkomend probleem is ook dat de autorisaties te ruim staan ingesteld en medewerkers veel meer rechten hebben dan strikt noodzakelijk voor hun werk. Verder zie ik vaak teveel beheeraccounts die niet worden gebruikt.”

Volgens Ruwhof zijn SAP-systemen minder goed beveiligd dan andere computersystemen. Zijn verklaring daarvoor is simpel. Het is complexe software die vaak intensief wordt gebruikt. Jaar in jaar uit blijft het systeem ratelen. De technologie raakt langzaam verouderd en wordt kwetsbaar voor aanvallen. Ook hebben SAP-beheerders volgens Ruwhof weinig kennis van beveiliging en hebben systeembeheerders weinig kennis van SAP. “IT-beheer en SAP zijn twee aparte eilanden. Ze zoeken elkaar niet op.”

Dit zou niet moeten gebeuren, vindt Ruwhof. De kroonjuwelen van SAP-gebruikende bedrijven zijn er te belangrijk voor. Denk aan al die financiële gegevens en persoonsgegevens die met SAP worden beheerd en bedrijfskritische processen die ermee worden gerund. Miljarden euro’s zijn ermee gemoeid. En nog iets. Het feit dat SAP-systemen vaak op interne netwerken draaien, maakt ze niet minder kwetsbaar. Interne netwerken zijn net zo makkelijk te bereiken via internet, stelt Ruwhof: “De SAP-systemen die ik ken, moesten grote inhaalslagen maken wat betreft beveiliging. Mijn advies aan VNSG-leden? Ga er vanuit dat je systeem onveilig is. Zet security op de radar en werk toe naar een veilige setup. Betrek ook de interne IT-beveiliging erbij. En huur echte experts in. Die zijn er! Ikzelf heb regelmatig met SAP te maken maar er zijn security-specialisten die veel meer van SAP weten dan ik.”

About Sijmen Ruwhof

Independent IT Security Researcher / Ethical Hacker
This entry was posted in interview, magazine, sap, security. Bookmark the permalink.

2 Responses to Interview in het VNSG-magazine over SAP security

  1. Arnoud says:

    Hoi en Leuk artikel in het VNSG magazine!

  2. Hey @sruwhof, leuk artikel https://vnsg.eezine.nl/vnsgjuni2017/14 . #SAPsecurity en klopt, SAP klanten moeten aan de slag!

Comments are closed.