Het gaat om ethical hacks en ze zijn bedoeld om de digitale systemen van de HR te testen. Met succes, want de hackende studenten van de minor security labs zijn de nodige kwetsbaarheden tegengekomen. FIT laat jaarlijks al zo’n zogenoemde ‘penetration test’ uitvoeren door een bedrijf en met de opdrachten aan vijf groepen studenten van de minor zijn daar nu vijf tests bijgekomen.

De vragen van het volgende tentamen…

Sleddens: ‘Bij de tests die we door een bedrijf laten uitvoeren, zoeken we elk jaar een ander perspectief; alle 500 servers, met in totaal zo’n 45.000 gebruikers, van de hele HR testen is te kostbaar.’ Gekeken wordt onder andere of studenten en andere gebruikers niet zomaar op plekken in het systeem kunnen komen waar ze niet behoren te zijn. Het is duidelijk dat het bijvoorbeeld niet de bedoeling is dat een student bij de vragen van een volgend tentamen kan. Of dat hij zijn cijfers kan veranderen.

De minorstudenten hebben vooraf een soort geheimhoudingscontract getekend, dus in detail treden over de gevonden risico’s kunnen zij, en ook Sleddens, niet. De FIT-medewerker vertelt wel iets over een van de bevindingen van Eston Security, zo heet het bedrijf van een van de studentengroepjes.

Iemands wachtwoord veranderen

‘Met behulp van securityprogramma’s lukte het hen om ergens in het systeem een hele lijst met gebruikersnamen van hogeschoolmedewerkers op te vragen. En met die lijst namen konden ze vervolgens ook nog de wachtwoorden van die gebruikers veranderen. In principe hadden ze dus het account van docenten kunnen overnemen.’

Dat is trouwens ook gebeurd, vertelt Oualid (vierdejaars technische informatica) van Eston Security. ‘Maar wel nadat we daarvoor eerst toestemming hadden gevraagd aan de persoon van wie wij het account gingen hacken. Ook Jeffry hebben we om toestemming gevraagd. Dat was de afspraak in het geval we zoiets wilden gaan doen. Jeffry heeft vervolgens eerst een back-up gemaakt.’

Alex Scherphof, samen met Kuai Hinojosa docent van de minor, vindt het een mooie vondst. ‘Het goeie is dat ze zijn gaan combineren. Ze hebben die namen gevonden en hebben vervolgens ook gekeken wat ze daar verder mee konden. Door het kunnen veranderen van wachtwoorden werd het een behoorlijk risico.’

5000 A4’tjes aan documentatie

Ook Sleddens is zeer te spreken over de studenten, niet alleen die van Eston Security. Zo ontdekte een andere groep een systeemfout in het landelijk gebruikte N@tschool. Die fout is inmiddels doorgegeven aan de leverancier en er ook uitgehaald.

Sleddens is daarnaast blij met de uitgebreide documentatie van de bevindingen waar de groepen voor zorgden – van alle groepjes bij elkaar is er zo’n 5.000 A4’tjes tekst. ‘Op basis van de bevindingen en de gegeven adviezen kunnen onze systeembeheerders alles goed bekijken en zo nodig wijzigen’, vertelt Sleddens.

Juist Eston Security blonk uit in de documentatie. Met dank aan onder andere business IT & managementstudent Raymond die veel interesse heeft in security. ‘Bij die opleiding moeten we veel adviesrapporten schrijven. Maar dat we een goed rapport hebben, komt ook door de goeie planning: het project duurde vier weken, maar wij hebben meteen afgesproken om in de laatste week alleen maar te schrijven aan het rapport.’

Raymond vond het een mooie opdracht: ‘Ja, al was het ook een beetje raar om een systeem te hacken dat je dagelijks gebruikt…’

Jos van Nierop