Een receptioniste bij een financieel instituut krijgt op Valentijnsdag pakketjes voor collega's binnen, zoals een bos bloemen of een doos bonbons. Maar op de bonbons staat geen geadresseerde; er is een dvd opgeplakt met de tekst 'voor mijn allerliefste'. De bezorger weet van niets, dus de receptioniste stopt de schijf in haar pc in de hoop dat dit het mysterie oplost.

Fysieke penetratie

Het is een video-animatie van een konijntje die "ik hou van je zegt" omringd door hartjes. Grappig, maar het geeft geen verdere informatie. Maar op de achtergrond is een executable uitgevoerd die ervoor zorgt dat een crimineel toegang heeft tot het systeem en daarmee het bedrijfsnetwerk binnenkomt.

Dit is een waargebeurd verhaal en de bezorger was Anton Abaya, compliance-consultant bij Accudata Systems. Hij werd ingehuurd door het bedrijf als white hat hacker. Na Valentijnsdag ging hij met de klant om de tafel zitten en keken ze de bewakingsvideo van de receptioniste die het konijntje bekijkt en de bonbons opeet. De baan van Abaya bestaat eruit om binnen te komen in de panden van bedrijven die hem inhuren om te kijken hoe ver hij fysiek en op het netwerk kan binnenkomen.

Virusverzameling

"Ik heb bijna alle social engineering-scenario's wel eens meegemaakt en heb het geluk dat ik toestemming heb van het bedrijf om daar zo creatief mogelijk mee te zijn", vertelt hij. "De bank had geavanceerd securitybeleid voor onaangekondigde bezoekers, maar dat beleid werd niet gevolgd in dit praktijkvoorbeeld. Mijn klant vond het net zo amusant als ik."

De dertigjarige consultant was al vanaf jonge leeftijd geïnteresseerd in technologie. "Ik kom nog net van de generatie die opgroeide met een internet zonder regels. Ik vond het fascinerend", vertelt hij. Op zijn twaalfde begon hij met het verzamelen van virussen die hij kreeg van lokale verkopers van gekopieerde software. Die bevatte in veel gevallen een virus en die liet hij los om te zien hoe hij pc's daarna weer in goede staat terug kon krijgen.

Van Dark Side naar baan

Hij speelde een beetje met de Dark Side, maar ging nooit zo ver dat hij niet terug kon keren op het rechte pad. "Toen ik jong was, leidde mijn nieuwsgierigheid me op duistere paden van het internet, maar ik heb mijn weg terug gevonden. Laten we het erop houden dat ik wist waar de slechteriken rondhingen en dat ik wat vaardigheden van ze oppikte, hoewel ik wist dat ze schimmige dingen deden. Ik deed niet met ze mee en vertrok toen het begon op te vallen dat ik nooit iets bijdroeg."

In 2008 begon hij aan zijn huidige baan en had toen ervaring in pc-reparatie, systeembeheer, ontwikkeling en auditing. Die vaardigheden leerden hem veel over het gedrag van werknemers. Bij Accudata houdt hij zich bezig met pentests, security-assessments, risico-analyse, compliance-assessments en algemeen informatiebeveiligingsadvies.

Hierna: De pentester probeert een Windows-admin te besmetten met malware, maar loopt tegen een onverwachte variabele op.