Incompetent Basterd
Home / Incompetent Bastard / Waarom zou je dit willen?

Waarom zou je dit willen?

2. Waarom zou je dit willen?

Goede vraag. Het soort vraag dat elke opdrachtgever zou moeten stellen voordat hij een penetratietest bestelt, en dat elke pentester zou moeten kunnen beantwoorden zonder dat zijn linkeroog begint te trillen.

Voor jou, de pentester

Je kent het wel. De gemiddelde penetratietest zonder tooling verloopt als volgt: je opent een terminal. Dan nog een terminal. Dan nog vier terminals. Dan een browser. Dan een teksteditor. Dan nog een browser. Dan een spreadsheet om bij te houden welke terminals wat deden. En tegen het einde van de dag heb je zeventien vensters open, geen idee meer welk IP-adres bij welke machine hoorde, en het onduidelijke gevoel dat je laptop elk moment kan ontploffen — niet door een exploit maar door de hoeveelheid Chrome-tabbladen. Je bent het niet alleen. Het overkomt iedereen. Het is het vuile geheim van de industrie: de helft van je pentestdag besteed je aan het opzoeken van dingen die je vorige week ook al opzocht.

Incompetent Bastard lost dit op door alles in één interface te gieten. Het is alsof iemand je chaos heeft bekeken, er vijf minuten naar heeft gestaard met de vermoeide blik van een ouder die een kinderkamer betreedt, en vervolgens rustig alles heeft opgeruimd en gelabeld. Terwijl jij stond te kijken. Zonder oordeel. Dat is niet waar — met heel veel oordeel — maar het resultaat is hetzelfde.

  • Diverse aanvalstechnieken doorzoekbaar via Ctrl+K op elke pagina. In plaats van verspreid over bookmarks, OneNote, een Slack-kanaal en een servet dat je ooit in een conferentiezaal hebt beschreven en dat je sindsdien niet meer hebt gezien maar waarvan je zwéért dat er iets belangrijks op stond.
  • Automatische opnames van elke terminal-sessie en elk agent-commando. Zodat je later kunt bewijzen wat er is gebeurd — ook als je het je niet meer herinnert. Wat om half vier ’s nachts vaker voorkomt dan je professioneel gezien zou willen toegeven. Je weet precies wat ik bedoel. Je hebt het vorige maand nog meegemaakt.
  • Rapportgeneratie die bevindingen omzet naar LaTeX, HTML en Markdown. Je rapport ziet er professioneel uit zonder dat je er professioneel lang over hoeft te doen. De uren die je bespaart kun je besteden aan — nou ja, meer hacken. Of slapen. Slapen is ook een optie. Denk er eens over na.
  • Vijftien payload-generators die in seconden produceren waar je anders twintig minuten aan kwijt bent. Dat is een netto-besparing van “genoeg tijd om naar het toilet te gaan” per payload. Als je veertien uur achter een scherm zit, is dat geen luxe maar een mensenrecht.
  • Quick-add modals voor bevindingen en notities, recht vanuit de header. Je hoeft nooit meer weg te navigeren om iets vast te leggen. De gedachte wordt vastgelegd op het moment dat hij ontstaat — niet drie kwartier later wanneer je je vaag herinnert dat er “iets was met die ene server.” Je weet welke server ik bedoel. Nee, de andere. Nee, die àndere.

Voor je opdrachtgever

Je opdrachtgever — dat opmerkelijke sierlijke wezen dat geld betaalt om te horen dat zijn digitale voordeur al die tijd op een kier heeft gestaan — profiteert op manieren die hij/zij/hunnie nooit zal zien maar altijd zal merken:

  • Betere rapporten. Jouw bevindingen worden ingevoerd met gestandaardiseerde templates, CVSS 4.0-scores en OWASP Top 10-referenties. Het rapport dat je opdrachtgever ontvangt bevat geen vage beschrijvingen van het type “de website heeft een kwetsbaarheid, het is een beetje erg.” Het bevat exacte details, reproduceerbare stappen, een risicoscore en een aanbeveling. Het is het verschil tussen een dokter die zegt “u bent ziek” en een dokter die zegt wat je hebt, hoe erg het is, en wat je eraan kunt doen. De tweede is nuttiger. De eerste is goedkoper, maar ja, dat is altijd zo met slechte dingen.
  • Bewijs dat niet te ontkennen valt. Asciinema-recordings van elke actie. Evidence-uploads bij elke bevinding. Wanneer je opdrachtgever vraagt “maar hoe weten we dat dit echt zo is?” is het antwoord een afspelbare terminal-recording. Geen existentiële crisis. Geen ongemakkelijk schuifelen op de stoel. Een opname. Met tijdcodes. Handig als iemand je tot MIAUW plegen heeft gedwongen. Met Incompetent Bastard pleeg je gewoon WOEF.
  • Consistentie. Templates zorgen ervoor dat bevinding nummer één dezelfde structuur heeft als bevinding nummer zeventien — ongeacht of jij op dat moment fris en uitgerust was of al zo lang wakker dat je de toetsenbordindeling begon te vergeten. Was het ‘y’ of ‘z’? Op dat uur van de nacht is het verschil verwaarloosbaar, maar je rapport mag daar niet onder lijden.
  • Grondigere tests. Als je niet de helft van je tijd kwijt bent aan het openen van terminals en het kopiëren van commando’s, heb je meer tijd om kwetsbaarheden te vinden. Simpele wiskunde. Meer uren testen = meer bevindingen = meer waar voor het geld. Of meer slecht nieuws, afhankelijk van welke kant van de tabel je opdrachtgever zit. Maar goed, daar betaalt hij voor.
De template van het rapport is eenvoudig aan te passen.

Op de hoogte blijven?

Ontvang maandelijks cybersecurity-inzichten in je inbox.

← Incompetent Bastard ← Home

Klaar voor de volgende stap?

Praat over je beveiliging.

Een vrijblijvend gesprek van 30 minuten — geen sales, alleen technische sparring.

Plan een gesprek →