Beheer

Security
'Zij krijgen alleen een T-shirt'

'Zij krijgen alleen een T-shirt'

Deze vier IT'ers doen aan responsible disclosure en kregen daar een beloning voor. Van T-shirts en koksmessen tot skateboarden.

Jelle Muckhuijse, securityconsultant en ethisch hacker © De Beeldredaktie,  Erik van ‘t Woud
8 november 2019

Deze vier IT'ers doen aan responsible disclosure en kregen daar een beloning voor. Van T-shirts en koksmessen tot skateboarden.

Uren achter de computer zitten met als doel de wereld een stukje veiliger te maken. Deze ethisch hackers doen het. In hun vrije tijd, vaak naast het werk als securityexpert. En wat krijgen ze ervoor: een T-shirt. "De hunt is veelal interessanter dan de beloning. Voor het T-shirt doe ik het niet."

Jelle Mulckhuijse (35) werkt als securityconsultant bij het securitybedrijf Sincerus. Na zijn mbo4-opleiding ICT volgde hij een hbo-opleiding netwerkbeheer en techniek. De liefde voor security groeide toen hij als netwerk-/systeembeheerder bij een softwareontwikkelaar aan de slag ging. Hij werd daar ICT- en securitymanager en stapte daarna over naar een securitybedrijf. En daar geeft hij nu advies aan klanten over hoe zij hun beveiliging beter op orde kunnen krijgen.

'Nu doe ik er iets goeds mee'

"Het begon met simpele dingen, op mijn dertiende. Ik zag toen dat het mogelijk was om toetsenbordaanslagen op te slaan door een apparaatje dat in een luciferdoosje past, tussen een PS/2 keyboard en een pc te hangen.  Hierdoor ontstond mijn interesse in hacken. Ik doe het voor de kick. Vroeger, toen het nog niet echt geaccepteerd was, vond ik het stoer dat ik iets deed dat niet mocht. Zoeken naar de kick is er altijd wel gebleven. Maar nu doe ik er ook iets goeds mee. Het is goed dat er nu responsible-disclosurebeleid bestaat en dat het meer geaccepteerd is. Ik denk namelijk dat het merendeel van de hackers goede bedoelingen heeft.

Ik begon in de ICT omdat mijn vader een omscholingstraject tot ICT’er deed, en ik deed mee. We rommelden samen met computers en zetten netwerken op. Eigenlijk alles op het gebied van Novell NetWare en later Linux en een beetje Windows.

De een vind het leuk om ’s avonds tv te kijken, ik vind het leuk om ethisch te hacken. Dat doe ik met een vriend van me. We zitten dan allebei achter de computer met een headset op en zo proberen we bedrijven met een responsible-disclosurebeleid te helpen.

Zo hoorde ik in de onlinehackcommunities over het T-shirt dat de overheid uitdeelde voor het melden van bugs. Het is in de community de ‘swag’ om zo’n T-shirt te verzamelen, en ik wilde er dus ook een. 

Ik heb toen de lijst erbij gepakt van websites die onder de responsible disclosure agreement vallen van de overheid en ben op zoek gegaan naar bugs. Het duurde twee tot drie avonden en toen had ik het eerste lek te pakken. Later vond ik er nog een en die heb ik ook gemeld.

Ik vond allebei de keren een cross-site scripting (XSS) bug in een website. Door dit lek kun je aan de kant van de gebruiker code laten executeren. Ik kan het bijvoorbeeld gebruiken om een cookie die op jouw computer staat te stelen. Omdat je inlogt met een cookie op een website, kan het een vrij ernstige bug zijn. Ik kan namelijk door dit lek jouw cookies stelen, waardoor ik over jouw inlogsessie beschik.

Ik heb vaker beet gehad. Niet op overheidswebsites, maar bijvoorbeeld via het platform HackerOne. Daar kreeg ik geld of punten. Het is leuk dat ik nu het T-shirt heb, en er is zelfs een tweede onderweg. Laatst zag ik dat iemand na acht shirts een munt kreeg. Dat is dus nu mijn nieuwe doel: die munt.”

Zawadi Done (19) rondde net zijn mbo-opleiding tot applicatieontwikkelaar af. Hij is onlangs begonnen aan de opleiding System and Network Engineering aan de Hogeschool Utrecht. Dit is een duale opleiding. Done werkt sinds twee jaar in de cybersecuritybranche, waarvan het laatste jaar als cybersecurityconsultant bij het forensisch IT-bedrijf NFIR.

Een hobby waarmee je de Nederlandse samenleving helpt

‘De meeste mensen vullen bij een zoekbalk een tekst in. Ik zet daar code in en kijk hoe de website reageert. Dat doe ik niet altijd. Ik doe het eigenlijk vooral bij websites die een responsible disclosure hebben of waarvan ik weet dat ik bij de verantwoordelijke makkelijk een melding kan doen.

Het is leuk om kwetsbaarheden te zoeken en te vinden. Het is fijn dat je daarmee mensen kunt helpen. Het is een soort van hobby. Een hobby waarmee je de Nederlandse samenleving helpt. Het verschilt hoeveel uur per dag ik ermee bezig ben, maar het zou drie uur per dag kunnen zijn na mijn werk in mijn vrije tijd. Ik doe het niet elke dag. Maar toen ik de eerste keer op zoek ging naar een lek, ging ik helemaal los. Het was diep in de nacht toen ik het mailtje naar het Nationaal Cyber Security Centrum (NCSC) stuurde.

Van het NCSC kreeg ik ongeveer dertig T-shirts, van bedrijven kreeg ik hoodies, tegoedbonnen of bedankjes. Het trotst ben ik op de munt die ik kreeg van het NCSC. Die kreeg ik omdat ik een bepaalde melding deed die heel kritiek was. Op de gouden munt staat: ‘Samen Digitaal Veilig NCTV’. Natuurlijk is het geen lintje, maar zo voelt het wel.

Mijn eerste T-shirt kreeg ik toen ik 17 was. Tijdens het eerste jaar van mijn mbo-opleiding vertelde een docent over een besturingssysteem waarmee je kunt hacken. Dat wilde ik wel proberen. In eerste instantie begreep ik er helemaal niets van. Na veel googelen, youtuben en proberen, begon ik het steeds meer te begrijpen. Ik kwam in contact met anderen die iets in de security doen, bijvoorbeeld Victor Gevers. Hij vertelde mij over responsible disclosures. En van hem kreeg ik tips.

Zo wil ik steeds een beetje beter worden. Langzaam ben ik ook bezig om bounties te verdienen. Ik heb al een paar keer iets gekregen. Dat is ook leuk, maar kost wel meer tijd en energie. Je bent langer bezig voordat je iets hebt gevonden. Bij responsible disclosures weet je meestal al waar je naar op zoek bent. Bij bug bounties moet je specifieker zoeken, en soms vind je niets. Je bent echt letterlijk in gevecht met een softwareontwikkelaar.’

Roel Schuitman (48) is werkzaam als sales engineer bij Bitdefender. Hiervoor vervulde hij sinds 2000 diverse technische functies op het gebied van netwerken en security bij Getronics PinkRoccade, KPN, ON2IT en Detron. Roel is van oorsprong opgeleid als medisch laborant en begon zijn carrière in de laboratoria van de Koninklijke Landmacht.

'Ik zag zaken die mijn aandacht trokken'

“Ik kom altijd en overal bugs tegen. Zelfs op vakantie. Laatst in Malta kwam ik er bij McDonalds achter dat er een bug in het enquêtesysteem zit. Hierdoor kunnen klanten onbeperkt gratis koffie halen. Dat heb ik gemeld en ik heb inmiddels reactie ontvangen.

Ik heb dus altijd mijn oren en ogen open. Van alles wat ik zie, wil ik weten hoe het werkt. Soms is dat een website, soms is dat een IT-systeem. Ik wil precies weten hoe het werkt, wat het mechanisme erachter is. Daar ben ik nieuwsgierig naar. Dat is een mindset.

Zo kwam ik ook de bug tegen waarvoor ik het T-shirt van KPN kreeg. Dat was in 2015. Tijdens mijn werk kwam ik in aanraking met een applicatie van KPN. Daarbij zag ik zaken die mijn aandacht trokken. Ik zie dan icoontjes die nu niet meer worden gebruikt, een pagina met een andere opmaak en/of kleurgebruik. Deze applicatie had ook die kenmerken. Ik had een kleine controle gedaan en toen bleken er serverpoorten open te staan die niet open hoorden te staan. Bovendien was die server al een tijdje niet meer geüpdatet. Dat heb ik gemeld.

Als ik ergens bij kan, kan een ander dat ook. Waarbij die ander dat misschien met verkeerde intenties kan doen. Dat ik de IT-security in de wereld wil verbeteren, klinkt wel wat zwaar, maar het ligt in de buurt.

Ik ben van een oudere generatie. Sinds de afgelopen vijf jaar is er in een hoog tempo gelukkig veel veranderd. Ik heb de tijd nog meegemaakt dat er eerst een strafrechtelijk sporenonderzoek werd gestart als je een bug meldde om uit te zoeken of je een strafbaar feit had gepleegd. Dan word je wel terughoudend om te melden. Vroeger meldde ik eerst met een anoniem mailadres, en na verloop van tijd gaf ik dan mijn telefoonnummer. Nu meld ik veel makkelijker en gewoon met mijn eigen naam en mailadres.

Ik vind het fijn dat als ik een bug meld, de ander me even aanhoort en bedankt. Dat hoeft echt niet altijd met een T-shirt of een ander bedankje. Gewoon een mailtje of telefoontje is voldoende. En ik hoop dat het wordt opgelost. Dat is uiteindelijk het doel; de wereld een beetje veiliger maken.”

Wilhelm-Jan Stiny (34) komt uit de wereld van systeembeheer en werkte onder andere bij een managed service provider. Hij had altijd een sterke interesse voor security. Zo rolde hij de wereld van cybersecurity in. Sinds vier jaar werkt hij voor Hoffmann Bedrijfsrecherche als security consultant.

'Het hekwerk proberen te slopen’

“De hunt is veelal interessanter dan de beloning. Voor het T-shirt doe ik het niet. Van het uitzoekwerk, weten hoe het zit en uitzoeken hoe je eromheen kan, daar krijg ik een kick van, als dat lukt. Het is wat ik doe als pentester: het hekwerk proberen te slopen.

Het begint altijd met een vraagteken. Zo zag ik op een dag tijdens mijn werk raar netwerkverkeer voorbijkomen. Ik vroeg me af waarom het ene apparaat onbeveiligd praatte met Sophos. In een weekend ben ik daar verder op gaan zoeken. Een beetje IT’er laat niet los als hij een aanknopingspunt vindt; ik ook niet. Ik weet dat iets moet kunnen en wil erachter komen hoe. Dat er een beloning aan vast kan zitten, daar kwam ik pas achter toen ik mijn eerste bug meldde. Ik ga op zoek naar lekken ter lering en vermaak.

Ik ben bezig met OSCP, de 'standaardopleiding' voor pentesters. Het examen bestaat uit dat ik in 24 uur in een labomgeving alle gaten moet vinden en daar een rapportage over moet schrijven. Dat leer je niet uit een boek. IT, en zeker securitygerelateerde zaken, leer je door te doen.

Als je op mijn naam zoekt in Google, kom je mijn naam onder andere tegen in de releasenotes van de verbeteringen die Sophos deed na mijn meldingen. Dat is wel gaaf natuurlijk, en dat je er nog een skateboardcollectie aan overhoudt, is helemaal leuk. Dat je mijn naam vindt, dat is een stukje van mijn cv als securityonderzoeker. Als je verder wilt in het vakgebied, kan het helemaal geen kwaad dat je naam op dat soort lijstjes staat.

Van de overheid kreeg ik het T-shirt omdat ik meldde dat er bruggen en sluizen aan het internet hangen. Dat ik erop zocht, kwam omdat een minister tijdens een Tweede Kamerdebat zei dat dat niet het geval was. ‘Echt wel’, zei ik. Dat heb ik in kaart gebracht door met een zoekmachine voor systemen, Shodan, naar SCADA-systemen van gemalen en bruggen te zoeken. Die waren te vinden. Ik heb het gemeld bij het NCSC en de Informatie Beveiligingsdienst Gemeenten (IBG) en toen kreeg ik er een T-shirt voor.

Dat die systemen al dan niet onbedoeld aan het internet hangen, speelt al jaren. Ja, dat is dweilen met de kraan open, maar dat is ook IT. In deze sector is altijd innovatie. En waar innovatie is, worden nieuwe bugs en issues geïntroduceerd. Dus ook in de security.”

 

Magazine AG Connect

Dit artikel is ook gepubliceerd in het magazine van AG Connect (septembernummer 2019). Wil je alle artikelen uit dit nummer lezen, klik dan hier voor de inhoudsopgave.

Lees meer over Beheer OP AG Intelligence
1
Reacties
Martijn van Asperen 14 november 2019 09:54

Leuk stuk!

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.