Een week uit het leven van een Security consultant / Ethical hacker

Maandag – Bijpraten, plannen, pentesten

Maandagochtend (8.30 uur) begin ik vaak met het beantwoorden van mail en voorbereiding en planning voor de rest van de week. Deze week ga ik samen met collega Robin een penetratietest (pentest) uitvoeren voor een van onze gemeentelijke opdrachtgevers. Het is een relatief kleine opdracht (ongeveer tweeënhalve dag testen en één dag rapportage per persoon), maar er moet ook op locatie binnen het interne netwerk worden getest. Voor de interne test staat al een afspraak bij de klant voor morgen.

Vandaag werken we samen op kantoor aan deze test. Na het verdelen van de taken/onderwerpen gaan we ieder aan de slag: allebei met in één oor muziek, maar het andere oor vrij voor wat over-en-weer geouwehoer en het bespreken van bevindingen.

Rond een uurtje of 10.30 hebben we een korte stand-up met de ‘technische’ IB-ers. Dan bespreken we de lopende projecten, nieuwe aanvragen of nemen bevindingen met elkaar door. Tijdens de test liep ik direct tegen een obscuur stukje software aan wat raar gedrag vertoonde. Gelukkig weet mijn collega Michael mij met een paar pointers weer makkelijk op weg te helpen.

De dag loopt verder heel soepel. We kunnen de meeste tests volgens plan uitvoeren en hebben een aantal mogelijke kwetsbaarheden aangetroffen. Die willen we morgen graag ‘van binnenuit’ onderzoeken. Tussen de bedrijven door wordt er ook bijgepraat en gelachen met collega’s, lunchen we samen op kantoor, maken we een ommetje en spelen een rondje op de pinball machine in de gameroom.

Dinsdag – Testen op locatie

De wekker gaat vandaag wat vroeger (6.30 uur) dan normaal. Een uurtje later zit ik naast Robin in de auto onderweg naar onze opdracht, carpoolen is wel zo gezellig. Omdat we bijna al ons werk remote doen, is het leuk dat we – voor de afwisseling – een paar dagen op locatie mogen werken.

We melden ons bij de receptie van de gemeente en worden vervolgens naar een afgelegen vergaderzaaltje geloodst: onze werkplek voor de dag. Op locatie is het altijd een beetje improviseren met het regelen van toegangsvoorzieningen en praktische zaken als een extra beeldscherm of wat verlengsnoeren, maar gelukkig valt ook nu weer wat te ritselen! De dag kan natuurlijk pas echt beginnen na de lokale (automaten)koffie-proeverij. Deze krijgt van mij een 7,7, helemaal niet verkeerd.

Inhoudelijk testen we grofweg dezelfde onderwerpen als gisteren, met als grote verschil dat we ons nu op het interne netwerk bevinden. En daar zijn de zaken vaak nèt iets minder strak geregeld dan aan de buitenkant. We verifiëren een aantal van de bevindingen en vermoedens van gisteren en doen daarnaast een hoop nieuwe bevindingen. Afsluitend richten we ons nog op de veiligheid van de WI-FI netwerken voor medewerkers en gasten. Helaas blijkt het kinderspel om het gasten-wachtwoord te kraken door gebruik te maken van gangbare keywords.

Donderdag – Zelf studeren en training geven
Leren voor OSCP-certificering

Donderdagochtend is vaak een ‘studie-ochtend’. Ook vandaag doe ik dat weer thuis. Op dit moment ben ik bezig met de voorbereidingen voor een OSCP-certificering. Een uitdagende certificering met een focus op de (post)exploitatie van kwetsbaarheden (bij tests beperken we ons vaak tot het identificeren).

Een mooie manier om mijn kennis verder uit te breiden, maar ook gewoon leuk om mee bezig te zijn. Studeren bestaat dan voornamelijk uit het lezen van how-to’s, kijken van YouTube-tutorials en het oefenen op speciaal ingerichte testnetwerken en servers.

Rond 12.15 uur trek ik mijn schoenen aan en eindig ik na een wandeling van 10 minuutjes bij het kantoor van Parell. Op kantoor heb ik een overleg met een aantal collega’s over het organiseren van een aantal (externe) kennissessies. De rest van de middag ga ik training geven.

Training ‘Data Awareness’ geven

Sinds enkele maanden ben ik op donderdagmiddag trainer voor de workshop ‘Data Awareness’ bij de gemeente Delft. Dit is een interactieve (remote) workshop-reeks voor groepjes van ca. 4 tot 10 medewerkers uit alle afdelingen en lagen van de organisatie. De betekenis van data en datagedreven werken binnen de gemeentelijke organisatie staat in de workshop centraal.

Ook wordt er ingegaan op verschillende opkomende data technologieën (bijvoorbeeld Machine Learning), het belang van datakwaliteit en het nut en de noodzaak van data-ethiek. Voor mij ook een mooie kans om meer ervaring op te doen met het geven van trainingen en mijn kennis over data-vraagstukken op te poetsen.

Vrijdag – afronden van de week en gezellig het weekend in

Vandaag werk ik de hele dag op kantoor en leg ik de laatste hand aan de pentestrapportage. De uitkomsten bespreek ik intern met twee collega’s. Robin en ik evalueren ook het verloop van het project. Dat was ‘recht-toe-recht-aan’, geen bijzonderheden en de koffie was bovengemiddeld. Rond lunchtijd gaan we vaak even met een klein gezelschap de stad in voor een uitgebreide lunch. Dat is het voordeel van de ligging van ons kantoor. Neem gerust contact op voor advies over de lekkerste broodjes van Arnhem Centrum Oostzijde/Steenstraat!

Mij resteert deze week niet veel meer dan het schrijven van deze blog en nog wat telefoontjes te plegen ter voorbereiding op projecten voor de aankomende week. Met de vraag ‘wil iemand nog wat drinken?’ wordt aan het einde van de dag de VrijMiBo ingeluid. Liefhebbers van speciaalbier zijn op dat moment bij Parell in hun natuurlijke habitat, maar met een alcoholvrij drankje in de hand is het net zo gezellig hoor.

Ik wil graag een klap geven op dit verhaal en besluit met een drankje erbij nog een paar laatste regels weg te typen. Mission accomplished. Het weekend kan beginnen!