Hackers ontwrichten het bedrijfsleven

SAP-systemen hacken is eigenlijk a piece of cake

Gepubliceerd op dinsdag 25 juli 2017

Op zijn 12e hoorde Sijmen Ruwhof (31) voor het eerst over computers hacken. Dat vond hij zó machtig interessant dat het hem nooit meer losliet. Sinds enkele jaren verdient hij zijn brood als professioneel hacker. De klanten, waaronder SAP-gebruikers, staan inmiddels in de wachtrij. Ruwhof: “SAP is als niche lang buiten schot gebleven. Verwacht niet dat dat zo blijft.”

“Elke dag ben ik uren kwijt aan het volgen van het laatste nieuws. Bijblijven en alert zijn is nergens zo nodig als in mijn vak. Wat vandaag veilig is, kan morgen achterhaald zijn. SAP-systemen vormen wat dat betreft geen uitzondering. Bedrijfskritische processen, die grote bedrijven vaak runnen met SAP, zijn juist heel aantrekkelijk voor hackers. Ook SAP-systemen lopen risico, weet ik uit eigen onderzoek. Dit zou weleens de stilte voor de storm kunnen zijn, dus zet security vandaag nog op de radar.”

Sijmen Ruwhof heeft gesproken. Ondanks zijn nog jonge leeftijd zit hij aan tafel met directies van veel grote organisaties. Ruwhof werkt voor overheden, banken, verzekeraars en het midden- en kleinbedrijf. Allemaal zitten ze met twijfel. Hoe blijven we veilig? Hoe worden we resistent? Hoe houden we hackers buiten de deur?

Ruwhof: “Het is best eenvoudig om binnen te dringen. En het bizarre is dat alles op internet wordt uitgelegd door de hackers zelf. Bedrijven hebben daar lange tijd niks mee gedaan. Ook IT-opleidingen gaven weinig aandacht aan computerveiligheid. Dat zien we nu wel veranderen. Bedrijven worden zich bewust van de risico’s. Maar goed ook, want niemand is meer veilig. De grootste bankovervallen ooit vinden plaats door computers te hacken. Dat overkwam de centrale bank van Bangladesh vorig jaar. Waarschijnlijk is hun software met malware geïnfecteerd. Zo konden criminelen grote bedragen overschrijven naar Filipijnse rekeningen.”

Kroonjuwelen in kaart

Op de middelbare school bleek Sijmen Ruwhof een opmerkelijke gave te bezitten. Zomaar even kraakte hij het computersysteem van de school. “Ik meldde het netjes, en toch was niet iedereen blij.” Ruwhof had de smaak te pakken. Hij volgde de opleiding Information Engineering aan de HvA (specialisatie: security) en sinds 2005 is hij professioneel hacker. Over het aanbod van werk heeft hij niets te klagen.

Ruwhof: “Ze vertrouwen me en laten zich graag door mij adviseren. Het is heel logisch dat ze er nu voor open staan want cybercrime richt enorme schade aan. Het bedrijfsleven heeft zichzelf ontzettend kwetsbaar gemaakt door digitalisering en centralisering van processen en datasystemen. De databases met persoonsgegevens worden steeds groter. De belangen worden dus ook groter. Het geeft mij veel voldoening om bedrijven te helpen de veiligheidsrisico’s in kaart te brengen.”

Zijn aanpak is analytisch en relatief simpel. Eerst gaat hij gesprekken voeren om de ‘kroonjuwelen’ van het bedrijf boven water te krijgen. Zijn het klantgegevens? Medische gegevens? Is het de boekhouding? Het archief? Digitaal geld? Een datawarehouse? Als dat duidelijk is, gaat hij kijken hoe het kroonjuweel beveiligd is. Hoe zit het met binnenhalen van updates? Hoe veilig is de configuratie afgesteld? Zijn er veiligheidslekken te vinden? Tot slot schrijft hij een rapport met aanbevelingen en gaat hij met de directie in gesprek over de risico’s die het bedrijf daadwerkelijk loopt.   

Boze systeembeheerder

Hacken is volgens Wikipedia ‘het vinden van toepassingen die niet door de maker zijn bedoeld’. Complexiteit speelt daarbij geen rol. Simpele, snelle oplossingen hebben de voorkeur. ‘Ook het gebruik van een wasknijper om te voorkomen dat je broekspijp tussen de fietsketting komt is in principe een hack’, schrijft Wikipedia.

De huidige generatie hackers richt zich volgens Ruwhof met name op ransomware, key loggers, het kopiëren van vertrouwelijke gegevens, afpersing en bedrijfsspionage. Speciale vermelding verdient de boze systeembeheerder. Hij leek uitgestorven maar niets is minder waar als we Sijmen Ruwhof mogen geloven. “Ik kom ze nog steeds tegen, beheerders die alle servers kapotmaken.”

Maar ingewikkeld hoeft hacken dus niet te zijn. Voor sommige hacks heb je zelfs niet eens computerkennis nodig. Zo had een webshop onlangs een actie: ‘Gratis printer bij een nieuwe laptop’. Wat gebeurde er? Een slimmerik plaatste eerst de laptop in het winkelmandje en daarna de gratis printer. Het systeem berekende het totaalbedrag. Vervolgens werd de laptop verwijderd. De printer bleef staan en… werd gratis bezorgd. Ander voorbeeld. Ook een webshop. Een klant bestelde drie lampen en kwam op het lumineuze idee een minnetje voor zijn bestelling te plaatsen. Het systeem maakte een bestelling aan van -3 lampen. Voor een negatief aantal lampen kon het totaalbedrag niet hoger zijn dan nul, vond de computer. De klant kreeg drie lampen gratis geleverd.

Veilige set-up

Spannende verhalen over hackers doen het goed bij de koffieautomaat. Maar wat is Ruwhof’s boodschap aan bedrijven met SAP-systemen? Ruwhof: “Wat mij opvalt is dat standaard wachtwoorden vaak niet gewijzigd zijn. Nou, dat is wat hackers als eerste uitproberen. Een veel voorkomend probleem is ook dat de autorisaties te ruim staan ingesteld en medewerkers veel meer rechten hebben dan strikt noodzakelijk voor hun werk. Verder zie ik teveel beheeraccounts die niet worden gebruikt.”

Volgens Ruwhof zijn SAP-systemen minder goed beveiligd dan andere computersystemen. Zijn verklaring daarvoor is simpel. Het is complexe software die vaak intensief wordt gebruikt. Jaar in jaar uit blijft het systeem ratelen. De technologie raakt langzaam verouderd en wordt kwetsbaar voor aanvallen. Ook hebben SAP-beheerders volgens Ruwhof weinig kennis van beveiliging en hebben systeembeheerders weinig kennis van SAP. “IT-beheer en SAP zijn twee aparte eilanden. Ze zoeken elkaar niet op.”

Dit zou niet moeten gebeuren, vindt Ruwhof. De kroonjuwelen van SAP-gebruikende bedrijven zijn er te belangrijk en te kostbaar voor. Denk aan al die financiële gegevens en persoonsgegevens die met SAP worden beheerd en bedrijfskritische processen die ermee worden gerund. Miljarden euro’s zijn ermee gemoeid. En nog iets. Het feit dat SAP-systemen vaak op interne netwerken draaien, maakt ze niet minder kwetsbaar. Interne netwerken zijn net zo makkelijk te bereiken via internet, stelt Ruwhof: “De SAP-systemen die ik ken, moesten grote inhaalslagen maken wat betreft beveiliging. Mijn advies aan VNSG-leden? Ga er vanuit dat je systeem onveilig is en werk toe naar een veilige set-up. Betrek ook de interne IT-beveiliging erbij. En huur echte experts in. Er zijn specialisten die veel meer van SAP weten dan ik.”

recente artikelen

gepubliceerd in diverse (vak)media

Nanoknutselen in de cleanroom van TU Delft

Het Else Kooi Lab van de TU Delft is een cleanroom van wereldformaat. Op 20 maart mocht de pers naar binnen. "De volgende stap? Deeltjes isoleren op atomair niveau op één chip."

Lees artikel »

Hoe gaan we dat doen, samenwerken met bots?

Volgens leiderschapsgoeroe Joseph Folkman stelt AI nieuwe eisen aan managers. Ze moeten kunnen samenwerken in hybride teams met bots en mensen die (soms) meer weten dan zij.

Lees artikel »

“Wat gezondheid is mag iedereen zelf bepalen”

Noord-Limburg wil de gezondste regio van Nederland worden en heeft grootse plannen. Het klinkt aantrekkelijk maar een burgerraadslid uit Horst aan de Maas heeft felle kritiek.

Lees artikel »

Securityproject Melissa hackt Russische hackers

Na Deadbolt en Genesis Market werd onlangs de hackersgroep Qakbot opgerold, mede dankzij het cybersecurityproject Melissa. Arwi van der Sluijs is er trots op en vertelt.

Lees artikel »

Pfas-zaak Dordrecht zet forever chemicals op radar

Het gevaar van pfas voor de volksgezondheid is niet meer te bagatelliseren door de recente rechtszaak tegen Chemours in Dordrecht. Maar pfas is here to stay. Hoe nu verder?

Lees artikel »

Het wonder van geperst, verhit en gefilterd gras

Start-up Grassa claimt meer eiwit uit gras te kunnen halen dan de koe. Gras is niets minder dan een wonderplantje volgens directeur Rieks Smook: "Er kan zoveel méér met gras."

Lees artikel »

Moleculair bioloog over gedrag en kwantumfysica

Moleculair bioloog en therapeut Lianne Hermers gebruikt de kwantumfysica om bewustzijnskracht te ontdekken. Haar cliënten lossen mentale problemen zelf op zonder pillen.

Lees artikel »

Overvolle binnensteden hunkeren naar fresh air

Bedrijfsbussen op diesel mogen vanaf 2025 veel Nederlandse stadscentra niet meer in. Met elektrische steps, cargo-bikes en (bak)fietsen vinden monteurs hun weg in de binnenstad.

Lees artikel »

Google wil onze medische data, maar wat willen wij?

Care Studio van Google Health heeft aangekondigd in de VS patiëntendossiers te willen gaan beheren. Huisarts Huib Rutten ziet risico's: "De regie moet altijd bij de patiënt blijven."

Lees artikel »

Bouwvallig Blackpool, walhalla voor kansarmen

De Engelse badplaats Blackpool werd onlangs belachelijk gemaakt door minister Helen Wheeler. Ze bood haar excuses aan maar met financiële steun schiet de stad meer op.

Lees artikel »

Nanoknutselen in de cleanroom van TU Delft

Het Else Kooi Lab van de TU Delft is een cleanroom van wereldformaat. Op 20 maart mocht de pers naar binnen. "De volgende stap? Deeltjes isoleren op atomair niveau op één chip."

Lees artikel »

Hoe gaan we dat doen, samenwerken met bots?

Volgens leiderschapsgoeroe Joseph Folkman stelt AI nieuwe eisen aan managers. Ze moeten kunnen samenwerken in hybride teams met bots en mensen die (soms) meer weten dan zij.

Lees artikel »

“Wat gezondheid is mag iedereen zelf bepalen”

Noord-Limburg wil de gezondste regio van Nederland worden en heeft grootse plannen. Het klinkt aantrekkelijk maar een burgerraadslid uit Horst aan de Maas heeft felle kritiek.

Lees artikel »

Securityproject Melissa hackt Russische hackers

Na Deadbolt en Genesis Market werd onlangs de hackersgroep Qakbot opgerold, mede dankzij het cybersecurityproject Melissa. Arwi van der Sluijs is er trots op en vertelt.

Lees artikel »

Pfas-zaak Dordrecht zet forever chemicals op radar

Het gevaar van pfas voor de volksgezondheid is niet meer te bagatelliseren door de recente rechtszaak tegen Chemours in Dordrecht. Maar pfas is here to stay. Hoe nu verder?

Lees artikel »

Het wonder van geperst, verhit en gefilterd gras

Start-up Grassa claimt meer eiwit uit gras te kunnen halen dan de koe. Gras is niets minder dan een wonderplantje volgens directeur Rieks Smook: "Er kan zoveel méér met gras."

Lees artikel »

Moleculair bioloog over gedrag en kwantumfysica

Moleculair bioloog en therapeut Lianne Hermers gebruikt de kwantumfysica om bewustzijnskracht te ontdekken. Haar cliënten lossen mentale problemen zelf op zonder pillen.

Lees artikel »

Overvolle binnensteden hunkeren naar fresh air

Bedrijfsbussen op diesel mogen vanaf 2025 veel Nederlandse stadscentra niet meer in. Met elektrische steps, cargo-bikes en (bak)fietsen vinden monteurs hun weg in de binnenstad.

Lees artikel »

Google wil onze medische data, maar wat willen wij?

Care Studio van Google Health heeft aangekondigd in de VS patiëntendossiers te willen gaan beheren. Huisarts Huib Rutten ziet risico's: "De regie moet altijd bij de patiënt blijven."

Lees artikel »

Bouwvallig Blackpool, walhalla voor kansarmen

De Engelse badplaats Blackpool werd onlangs belachelijk gemaakt door minister Helen Wheeler. Ze bood haar excuses aan maar met financiële steun schiet de stad meer op.

Lees artikel »