Software expert
Software experts van de AIVD gaan om Nederland veilig te houden net een stap verder dan het standaard reviewen van sourcecode. Gaten spotten in architecturen of de juiste volgorde bepalen van een bootproces? Daar weten zij wel raad mee.
'Staatsgeheimen bij de Rijksoverheid, communicatieproducten van militairen die op missie gaan of vitale processen in het bedrijfsleven die niet mogen uitvallen. Het zijn slechts een paar voorbeelden van situaties waarbij je kwaadwillenden en statelijke actoren buiten de (digitale) deur wilt houden.
Het Nationaal Bureau voor Verbindingsbeveiliging (NBV) is bij de AIVD expert op het gebied van informatiebeveiliging. Hier komen geregeld verzoeken binnen voor het ontwikkelen of evalueren van veilige producten, zoals een nieuw videoconferencingsysteem waarmee een ministerie veilig geclassificeerde informatie kan uitwisselen.'
'Als er in bepaalde software een zwakke plek zit, moet ik die kunnen vinden.'
'Bij zo'n verzoek stelt het NBV een multidisciplinair team samen van cryptologen, hardware-, software- en netwerkexperts. In dit fictieve geval zou ik moeten uitzoeken of en zo ja, waar in de software en architectuur van het videoconferencingsysteem zwakke plekken zitten.
Als software expert heb ik ook veel contact met leveranciers die de producten maken. Ik adviseer niet alleen op technisch gebied, maar houd ook procesmatig een vinger aan de pols. Zet je bijvoorbeeld de teller van het aantal inlogpogingen voor of na de pincode-check? En staat dat dan wel op een logische plek geprogrammeerd? En is de software goed beschreven en getest?'
'Ik heb een 'kast' vol hackingtools om de veiligheid van software te testen.'
'Bij het evalueren van beveiligingsproducten wil ik elke designkeuze die voor een product wordt gemaakt van 'high tot low level' kunnen afpellen. Want: wordt de geclassificeerde informatie daadwerkelijk uit het geheugen gewist of wordt die functieaanroep weggeoptimaliseerd door de compiler? En hoe kun je detecteren of de integriteit in de software niet wordt aangetast?
Voor het maken van een goede inschatting moet je echter eerst uitzoeken hoe een interface of processor werkt en hoe het opstartproces is ingericht. Het proces moet van begin tot eind veilig zijn. Gelukkig heb ik een 'kast' vol hackingtools om dat te testen.
Ik ga nog elke dag met plezier naar kantoor en krijg ook veel kansen om mezelf op andere vlakken te ontwikkelen.
Als software expert werk je mee aan de ontwikkeling of evaluatie van beveiligingsproducten die ertoe doen. Mijn inspanningen dragen direct bij aan de bescherming van Nederland tegen - bijvoorbeeld - hackers en Advanced Persistent Threats (APT's).
En wat ik ook steeds meer ben gaan waarderen, is de goede balans tussen werk en privé die je hier hebt: aan het einde van de werkdag trek ik de deur achter me dicht en dan ben ik ook echt klaar.'
Meer verhalen? Ga dan terug naar de overzichtspagina van alle verhalen in de praktijk.