De Nederlandse beveiligingsonderzoeker Peter Vreugdenhil werd in 2010 wereldnieuws toen hij op spectaculaire wijze Internet Explorer hackte, Security.nl had een persoonlijk interview met hem. Vreugdenhil begon in 1996 met zijn studie informatica, waarbij hij regelmatig naar de werking van software keek. In eerste instantie ging het vooral om webapplicaties, maar in 2005 begon het Zero Day Initiative (ZDI) met het belonen van beveiligingsonderzoekers en hackers voor het rapporteren van lekken. Vreugdenhil was toen voornamelijk actief als ontwikkelaar van webapplicaties en zocht in zijn vrije tijd naar gaten in programma's die hij vervolgens aan het ZDI verkocht

"Langzaamaan zag ik dat ik er prima van kon leven, want ik kreeg er aardig wat geld voor." In 2007 startte de Nederlander zijn eigen bedrijf, om te zien of hij volledig met het vinden van 'clientside-lekken' zijn boterham kon verdienen. "Aan het einde van het jaar had ik met het vinden van softwaregaten net zoveel verdiend als het fulltime werken bij een baas. En het vinden van lekken was veel leuker."

Mazzel
Uiteindelijk besloot TippingPoint, het bedrijf achter het ZDI, de Nederlander in dienst te nemen. "Ik had de mazzel dat ik er op het juiste moment ben ingesprongen, voordat alle lastige softwarebeveiligingsmaatregelen verschenen." Tegenwoordig houdt Vreugdenhil zich ook bezig met het beoordelen en analyseren van kwetsbaarheden die zijn werkgever krijgt opgestuurd, om vervolgens samen met het team te bepalen of het lek wordt aangekocht. De informatie over deze zero-day lekken wordt uiteindelijk aan de IDS/IPS van TippingPoint toegevoegd, dat klanten op die manier tegen nieuwe aanvallen beschermt.

"Er zijn heel af en toe problemen die we niet kunnen filteren. Die alleen uit legitiem verkeer bestaan, waarbij er niets is dat er als kwaadaardig of verdacht uitspringt. Als het alleen maar legitiem verkeer is maar dat toch het programma om zeep help, dan kun je er als IDS/IPS er niets aan doen. Soms kopen we het dan en soms niet."

Internet Explorer
Naast het beoordelen van lekken is Vreugdenhil ook nog steeds actief als onderzoeker. "Op dit moment kijk ik naar de Protected Mode van IE9." Dit is de sandbox van Microsofts browser. "Ik zoek zoveel mogelijk manieren om hieruit te breken." De Nederlander is nu drie weken met de nieuwe browser bezig. Het gaat dan vooral om een verkenningsfase, waarbij er naar mogelijke zwakke plekken wordt gekeken. "Ik heb nu aantal zwakke plekken gevonden. Afgelopen week ben ik bezig geweest om de communicatie tussen onderdelen van het proces uit elkaar te slopen. Je kijkt dan naar wat wordt er gecommuniceerd, wat zijn de mogelijke communicatiestromen en wat zijn de onbeveiligde stromen." Vreugdenhil merkt op dat het hem niet zal verbazen als het een vrij langdurig proces zal worden. Bij één van de andere mogelijke problemen die hij onderzocht bleek uiteindelijk "alles netjes dicht te zitten."

"Microsoft is zeker niet dom, maar het is zeker leuk om eens uit te spitten. Gezien de complexiteit van het geheel kan het niet anders dat er problemen te ontdekken zijn. De vraag is of je goed genoeg bent om die te vinden." Bij de Pwn2Own-exploit, waarmee Vreugdenhil IE8 wist te hacken, was de Protected Mode al wel aanwezig, maar was het uit de protected mode breken nog niet noodzakelijk om te winnen.

Dode code
Dit jaar was de beveiligingsmaatregel er wel. Onderzoeker Stephen Fewer heeft daar een exploit voor geschreven. "Ik hoop dat we hem ooit een keer mogen uitgeven. Hij is erg vermakelijk." De regels van de hackerwedstrijd verbieden dat deelnemers hun exploit openbaar mogen maken. "Zodra we iets binnenkrijgen gaat het direct naar de leverancier", merkt de Nederlander op. Daarbij geeft TippingPoint de eigen signature-ontwikkelaars geen voorrang. "De informatie gaat op hetzelfde moment de deur uit." Pas als het lek gepatcht is mag men de
details onthullen.

De beveiligingsonderzoeker erkent dat het vinden van lekken in geplaagde software zoals Adobe Flash, Reader en Java eenvoudig scoren is. "Maar er is ook de uitdaging." Daarom is hij gestopt met het zoeken van lekken in ActiveX-componenten. "Dat was zo suf, dat ik er mee gestopt ben." Hetzelfde had Vreugdenhil met Adobe Reader, waar hij een manier had gevonden om bepaalde stukken code te bereiken die sinds 2005/2006 niet meer waren bijgewerkt. "Uiteindelijk bereik je dan een blok dode code, waar enorm veel gaten in zaten. Toen heb ik er tien uitgevist. Volgens mij zitten er wel meer in, maar ik had er geen zin meer in. Je moet jezelf blijven uitdagen."

Sollicitatie
Voor Vreugdenhil is het vinden van lekken een intellectuele uitdaging. Toch zijn er genoeg onderzoekers die vandaag de dag het alleen voor het geld doen. "Het enige dat ze doen is het draaien van een fuzzer en zodra ze een bestand vinden dat iets laat crashen, sturen ze dat op en mogen wij uitzoeken wat het probleem is." Een fuzzer is een programma dat allerlei data op een programma "afvuurt", in de hoop dat het crasht. Via sommige crashes kan een aanvaller dan willekeurige code op het systeem uitvoeren.

De rapporten van de Nederlander waren altijd uitgebreid en beschreven het probleem tot in detail. Dat bleek uiteindelijk de reden voor TippingPoint te zijn om hem aan te nemen. "Ik had geen sollicitatiegesprek, omdat ik al vier jaar lang via mijn bugmeldingen solliciteerde."

Zolderkamer
Een trend die Vreugdenhil opmerkt is dat bepaalde beveiligingslekken steeds vaker door verschillende onderzoekers worden ontdekt. Het gebruik van een fuzzer is daarvoor een belangrijke reden. "Al dubbele meldingen die we binnenkrijgen zijn bijna altijd gefuzde bestanden. Er zijn zoveel tools en handleidingen, dat het niet moeilijk is voor iemand om op zijn zolderkamertje een fuzzer te schrijven, te draaien en verschillende bestanden te vinden."

Volgens Vreugdenhil zegt het aantal meldingen niet veel over het niveau van de beveiligingsonderzoekers op dit moment. "Fuzzen is een nuttige techniek, maar ik zou mensen die alleen een fuzzer draaien geen beveiligingsonderzoeker noemen." De Nederlander noemt het wel goed voor de software, omdat de problemen nu eindelijk bovenwater komen en worden opgelost. "Hopelijk zorgt het ervoor dat softwareontwikkelaars zien dat ze beter moeten opletten bij het schrijven en maken van hun producten. Microsoft zag dat een aantal jaren geleden toen ze met de Secure Development Lifecycle (SDL) kwamen."

Microsoft gebruikt nu ook allerlei fuzzers. "Ik juich dat absoluut toe. Als Microsoft de eigen software fuzt en problemen vindt voordat iemand anders die te zien krijgt, is dat alleen maar goed. Ik hoop van harte dat alle andere grote softwareontwikkelaars zich hierbij aansluiten en mijn werk overbodig maken. Het zal echter wel even duren voordat het zover is."