Software experts van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) gaan om Nederland veilig te houden net een stap verder dan het standaard reviewen van sourcecodes. Gaten spotten in architecturen of de juiste volgorde bepalen van een bootingproces? Daar weten zij wel raad mee.
Als software expert zoeken naar kwetsbare plekken in de architectuur
Nationaal Bureau voor Verbindingsbeveiliging
Staatsgeheimen bij de Rijksoverheid, communicatieproducten van militairen die op missie gaan of vitale processen in het bedrijfsleven die niet mogen uitvallen. Het zijn slechts een paar voorbeelden van situaties waarbij je kwaadwillenden en statelijke actoren buiten de (digitale) deur wilt houden.
Het Nationaal Bureau voor Verbindingsbeveiliging (NBV) is bij de AIVD expert op het gebied van informatiebeveiliging. Hier komen geregeld verzoeken binnen voor het ontwikkelen of evalueren van veilige producten, zoals een nieuw videoconferencingsysteem waarmee een ministerie veilig geclassificeerde informatie kan uitwisselen.
Bij zo'n verzoek stelt het NBV een multidisciplinair team samen van cryptologen, hardware-, software- en netwerkexperts. In dit fictieve geval zoek jij uit of en zo ja, waar in de software en architectuur van het videoconferencingsysteem zwakke plekken zitten.
‘Als er in bepaalde software een zwakke plek zit, moet ik die kunnen vinden’
van 'high tot low level' afpellen
‘Als software expert heb ik veel contact met leveranciers die de producten maken. Ik adviseer niet alleen op technisch gebied, maar houd ook procesmatig een vinger aan de pols. Zet je bijvoorbeeld de teller van het aantal inlogpogingen voor of na de pincode-checker? En staat dat dan wel op een logische plek geprogrammeerd?
Bij het evalueren van beveiligingsproducten wil ik elke designkeuze die voor een product wordt gemaakt van 'high tot low level' kunnen afpellen. Want: wordt de geclassificeerde informatie daadwerkelijk uit het geheugen gewist of wordt die system call geoptimaliseerd door de compiler? En hoe kun je detecteren of de integriteit in de software niet wordt aangetast?
Voor het maken van een goede inschatting moet je echter eerst uitzoeken hoe een interface of processor werkt en hoe het opstartproces is ingericht. Het proces moet van begin tot eind veilig zijn. Gelukkig heb ik een 'kast' vol hackingtools om dat te testen.
‘Ik heb een 'kast' vol hackingtools om de veiligheid van software te testen’
Goede werk-privé balans
Ik ga nog elke dag met plezier naar kantoor en krijg ook veel kansen om mezelf op andere vlakken te ontwikkelen. Als software expert werk je mee aan de ontwikkeling of evaluatie van beveiligingsproducten die ertoe doen. Mijn inspanningen dragen direct bij aan de bescherming van Nederland tegen - bijvoorbeeld - hackers en Advanced Persistent Threats (APT's). En wat ik ook steeds meer ben gaan waarderen, is de goede balans tussen werk en privé die je hier hebt: aan het einde van de werkdag trek ik de deur achter me dicht en dan ben ik ook echt klaar.'