Bij een IT (of security) audit kunt u denken aan onder andere het volgende:

• second opinion
• reverse engineering
• security check

Second opinion

U heeft een functioneel ontwerp van een te bouwen applicatie gemaakt of laten maken. Voor dit ontwerp heeft u een prijsopgaaf gekregen voor de realisatie. De kosten overstijgen het budget en u zoekt een alternatief. Op basis van het ontwerp of de functionaliteit kan ik een inschatting maken van de reële kosten en vervolgens in mijn netwerk implementatiepartners of -methoden zoeken die hierbij aansluiten.

Reverse engineering

Het kan zijn dat er van een bepaald product geen broncode of beschrijvingen meer zijn en toch moet het product worden aangepast (bijvoorbeeld op een nieuwe Windows versie, terwijl het product alleen werkt op Windows XP of eerder) of uitgebreid (de wereld verandert, wetten en regels ook). In dat geval moet een deel van de functionaliteit worden afgeleid uit de bestaande applicatie, ook wel reverse engineering genoemd. Daarna kan op basis van het afgeleide verder ontwikkeld worden.

Security check Voor een security check zijn er twee opties:

• blackbox
• whitebox

Bij een blackbox check kijk ik naar een applicatie zoals een normale (eind-)gebruiker of buitenstaander. Op basis van veelgemaakte fouten zijn ongeoorloofde of onverwachte manieren van gebruik van de applicatie op te sporen.

Bij een whitebox check wordt ook bepaalde “inside information”, zoals broncode, betrokken in het onderzoek. De applicatie ligt als het ware “open”.

Blackhat of whitehat?

De ethiek van Cobble is hierin als volgt. Voorwaarde voor reverse engineering is dat u een aannemelijke mate van intellectueel eigendom op het product heeft. Het is niet de bedoeling moedwillig de rechten of het business model van derden te schenden.

Een security check wordt ook alleen gedaan als u eigenaar van de site of applicatie bent, niet als u als klant of concurrent twijfels hebt over de veiligheid van een applicatie.’