Gepubliceerd op: 06 oktober 2018
Auteur:
René Raaijmakers, techjournalist en auteur
René Raaijmakers
Technisch schrijver, auteur, algemeen directeur
Lees meer over René Raaijmakers
Expert:
Ernő Jeges MSc
Trainer
Lees meer over Erno Jeges
Deel

Je kunt van het schrijven van goede softwarebeveiliging een goede gewoonte maken. Iets waar je nauwelijks bij stilstaat, zoals tandenpoetsen of je veiligheidsgordel omdoen. High Tech Institute werkt samen met de specialisten van het Hongaarse Cydrill om je te leren hoe.
‘We leren ontwikkelaars hoe ze niet moeten coderen’. László Drajkó brengt zijn gesprekspartners graag in verwarring met deze gewaagde uitspraak. Toch is dat waar de softwarebeveiligingscursussen van zijn bedrijf, Cydrill, om draaien: programmeurs de professionele discipline bijbrengen om zwakke plekken in hun software te voorkomen.

Misschien is ‘discipline’ een te sterk woord. Drajkó denkt dat het meer te vergelijken is met het omdoen van je veiligheidsgordel. Je merkt niet meer dat je hem omdoet. Op dezelfde manier kun je jezelf de goede gewoonte aanleren om goede softwarebeveiliging te schrijven. En dan vermijd je automatisch valkuilen, zonder erbij na te denken. We leren mensen om instinctief goede codeergewoonten te gebruiken.’ Veilig coderen kost niet meer tijd, zegt Drajkó. Het kost tijd om te leren hoe het moet, maar als je het eenmaal onder de knie hebt, is er geen verschil meer.

Mensen leren veilige code te schrijven is een arbeidsintensieve onderneming. Overal ter wereld vinden voortdurend inbraken plaats, waardoor kwetsbaarheden aan het licht komen. Er is een behoorlijk team voor nodig om al die informatie bij te houden en als casestudy’s in het trainingsmateriaal te verwerken. Een onafhankelijke docent zou per lesuur vier uur bezig zijn om op de hoogte te blijven en nieuw materiaal op te nemen,” schat Drajkó.

Daarom werkt High Tech Institute samen met Cydrill, een specialist die zich volledig richt op het trainen van mensen in het schrijven van veilige code. Het Hongaarse bedrijf richt zich met name op beveiliging voor embedded systemen.


We verkopen geen pijnstillers en pleisters, maar bouwen een immuunsysteem dat extreem veerkrachtig is,” zeggen Ernõ Jeges (links) en László Drajkó (rechts), die afgelopen zomer de High Tech Campus in Eindhoven bezochten.

De Commodore 64 en de ZX Spectrum

Cydrill is gevestigd in de Hongaarse hoofdstad Boedapest. In de jaren tachtig had de jonge László Drajkó toegang tot computers, hoewel die toegang binnen de Russische invloedssfeer zeer beperkt was. Zijn eerste kennismaking kwam toen hij twaalf was. Wetenschap was niet-politiek. Het onderwijssysteem was zeer theoretisch, maar behoorlijk goed. Achter het IJzeren Gordijn moesten we vertrouwen op onze hersenen en hadden we weinig andere middelen.’

Drajkó en zijn medestudenten schreven hun code op papier. We draaiden het in ons hoofd. We controleerden op codeerfouten die nooit waren geïmplementeerd. We maakten onze correcties ook op papier. Want toen we eindelijk toegang hadden tot een machine, wilden we die foutloze programma’s voeren. We hadden nauwelijks geld of computers.

Halverwege de jaren tachtig mochten de Hongaarse programmeurs naar Duitsland en Oostenrijk reizen, waar ze Commodore 64’s en ZX Spectrums konden kopen. De generatie voor ons moest miljoenen dollars neertellen voor een computer, maar wij konden opeens voor vijfhonderd dollar een thuiscomputer kopen. De pc had een grote invloed op onze leeftijdsgroep.

Halverwege de jaren tachtig studeerde Drajkó computerwetenschappen in Hongarije. Het IJzeren Gordijn viel toen hij nog studeerde, wat een enorme impact op hem had. Dankzij een beurs van de Europese Economische Gemeenschap kon hij naar de Technische Universiteit Delft. Het resultaat was een cultuurschok. Zijn eerste maanden in Nederland dompelden hem onder in ’totale miscommunicatie’.

Hoewel hij Engels sprak, begreep Drajkó de vragen van zijn adviseurs niet. Niet qua taal, maar qua concept. De onderwijsaanpak was heel anders. Ze vroegen dingen als: “László, aan welk probleem zou je willen werken? En dan zei ik: “Nee, nee, ik heb geen problemen. Vertel me gewoon welke code je wilt dat ik schrijf en ik zal er het beste algoritme voor vinden’. Maar toen zeiden ze dingen als: “Hoe zou je de wereld ten goede willen veranderen? En ik dacht: ‘Ik ben op de kunstacademie beland!”.


Toen ik in Delft ging studeren, dacht ik dat ik op de kunstacademie terecht zou komen’ – László Drajkó over de cultuurschok die hij ervoer als Hongaarse universiteitsstudent in Nederland.

Novell, Compaq en Microsoft

Na vijfentwintig jaar voor internationale bedrijven als Novell, Compaq en Microsoft te hebben gewerkt, besloot Drajkó te investeren in een opleidingsbedrijf. Hij wilde delen wat hij wist en zocht naar een geschikte niche. Die vond hij in beveiliging. ‘Ik vroeg mezelf wat er mis ging en een van de antwoorden was cyberbeveiliging.’

Enige tijd geleden kwam Drajkó twee bekende gezichten tegen, Zoltán Hornák en Ernõ Jeges. Alle drie studeerden ze aan de Technische Universiteit van Boedapest, maar Hornák en Jeges kennen elkaar al sinds 1990. Dat jaar namen de Hongaar en de Serviër het tegen elkaar op in de tweede Internationale Olympiade voor Informatica in Minsk. Een paar jaar later besloot Jeges om informatica te gaan studeren in Boedapest.

Hornák en Jeges raakten snel bevriend en tijdens hun promotieonderzoek voerden ze tests uit voor Nokia, waarbij ze inbraken in mobiele telefoons en netwerksystemen. De vraag was zo groot dat ze hun PhD’s in de steek lieten en in opdracht systemen gingen hacken. White hat hacking was toen nog onbekend terrein”, zegt Jeges. Er waren maar heel weinig bedrijven die het deden. Nokia had heel veel opdrachten en we realiseerden ons dat we meer leerden tijdens het werk dan aan de universiteit.

De opdrachten voor penetratietesten (pentesting) stroomden binnen bij hun bedrijf, Search Lab: het tweetal werd ingehuurd om in te breken in netwerkhardware, set-top boxes en meer. De meeste doelsystemen waren embedded. Niet veel beveiligingsbedrijven richten zich daarop, omdat je het systeem op chipniveau moet begrijpen. De meeste pentestingbedrijven richten zich op websites en webservices, maar wij zijn expliciet gespecialiseerd in embedded.

De crisis van 2008 heeft Search Lab hard getroffen. In diezelfde periode schakelde de mobiele telefoonindustrie volledig over op de Iphone en Android platformen. Hornák en Jeges verloren het grootste deel van hun omzet van klanten met wie ze een lange geschiedenis hadden.

Hun gedeelde focus op beveiliging zorgde voor de klik met Drajkó. Het aantal incidenten groeit exponentieel, terwijl het bewustzijn minimaal is,” legt hij uit. Slechts een handjevol bedrijven doet er iets aan. Iedereen is druk bezig met het patchen van fouten, maar dat pakt het probleem niet aan. Educatie is de gouden kans om een crisis in softwarebeveiliging te voorkomen. Ons standpunt is dat we geen pijnstillers en pleisters verkopen, maar een immuunsysteem opbouwen dat extreem veerkrachtig is.


Het doel van Ernõ Jeges is niet om mensen te leren hacken, maar om ze paranoïde te maken.

Paranoia inboezemen

In 2018 richtten Drajkó en Jeges Cydrill op, het bedrijf dat zich richt op trainingen. De beveiligingsindustrie is voortdurend in beweging en om bij te blijven biedt Cydrill naast de traditionele klassikale trainingen ook online trainingen aan. Voor een bescheiden jaarlijks bedrag kunnen deelnemers hun kennis aanscherpen met behulp van een digitaal gamification platform. De online aanpak maakt het ook gemakkelijk om de resultaten bij te houden. We meten ons succes aan de manier waarop klanten onze expertise vertalen naar codeergewoonten”, zegt Drajkó.

'If you ask developers to choose a course from nineteen different options, security will probably come in at the bottom.'

De behoefte aan inherent veilige code is groot, maar niet alle ontwikkelaars zijn enthousiast over beveiligingscursussen. Als je ontwikkelaars vraagt om een cursus te kiezen uit negentien verschillende opties, zal beveiliging waarschijnlijk onderaan staan. Het klinkt erg voorschrijvend. Een nieuw platform, nieuwe taal of nieuwe architectuur spreekt hen veel meer aan.

De softwarebeveiligingscursussen van Cydrill leren ontwikkelaars niet hoe ze moeten hacken. Er zijn genoeg cursussen die dat doen, zegt Drajkó. Veel van zijn klanten in de VS hebben daar ervaring mee. Maar ze zijn erdoor afgeschrikt, omdat de cursusontwerpers het niet konden relateren aan hun dagelijkse werk.

Drajkó is van mening dat het leren van hacktechnieken om hacks te voorkomen tijdverspilling is. Het maakt niet uit of het ethisch hacken is of hacken met kwade bedoelingen. Want in termen van technologie is er geen verschil; het is een kwestie van moraliteit.

Drajkó vindt dat ontwikkelaars goed moeten weten wat hacken precies is. Daarom pakken we het aan. Deelnemers moeten ook begrijpen dat hackers oneindig veel tijd en middelen hebben. Ze maken gebruik van bots en computers van derden. In het embedded domein groeit dat gebruik hand in hand met het Internet of Things.

Daarom beginnen de cursussen van Cydrill altijd met een kijkje in het hoofd van de hacker. We laten ze bijvoorbeeld zien dat een buffer overflow een probleem kan zijn,’ zegt Jeges. Dat iemand op die manier de controle kan overnemen en dat het niet langer jouw programma is dat draait.

Het doel van Jeges is niet om mensen te leren hacken, maar om ze paranoïde te maken. De eerste dag gaan de deelnemers met een ongemakkelijk gevoel naar huis. Ze realiseren zich dat ze in het verleden fouten hebben gemaakt. Dat gevoel is belangrijk. Het heeft een impact die we niet kunnen bereiken met online training. Na die ervaring zijn deelnemers een en al oor, merkt Jeges glimlachend op. Emotioneel en intellectueel.

'They can apply the new techniques and skills they learn the next day.'

Dat maakt de klas rijp voor het behandelen van best practices. We laten ze het verschil zien tussen goedbedoelde pogingen om code hack-proof te maken en daadwerkelijke best practices”, zegt Jeges. Ze kunnen de nieuwe technieken en vaardigheden die ze leren de volgende dag al toepassen.

Casestudies zijn een belangrijk onderdeel van deze best practices. We gebruiken elk incident dat wereldnieuws is geweest”, legt Jeges uit.

Dit artikel is geschreven door René Raaijmakers, tech-redacteur van Bits&Chips.

Recommendation by former participants

By the end of the training participants are asked to fill out an evaluation form. To the question: 'Would you recommend this training to others?' they responded with a 9.3 out of 10.

High Tech Institute organiseert één of twee keer per jaar de training 'Secure coding in C and C++'. Daarnaast is de training beschikbaar voor incompany-edities.