Beheer

Security
'Zij krijgen alleen een T-shirt'

'Zij krijgen alleen een T-shirt'

Deze vier IT'ers doen aan responsible disclosure en kregen daar een beloning voor. Van T-shirts en koksmessen tot skateboarden.

Jelle Muckhuijse, securityconsultant en ethisch hacker © De Beeldredaktie,  Erik van ‘t Woud
8 november 2019

Uren achter de computer zitten met als doel de wereld een stukje veiliger te maken. Deze ethisch hackers doen het. In hun vrije tijd, vaak naast het werk als securityexpert. En wat krijgen ze ervoor: een T-shirt. "De hunt is veelal interessanter dan de beloning. Voor het T-shirt doe ik het niet."

Jelle Mulckhuijse (35) werkt als securityconsultant bij het securitybedrijf Sincerus. Na zijn mbo4-opleiding ICT volgde hij een hbo-opleiding netwerkbeheer en techniek. De liefde voor security groeide toen hij als netwerk-/systeembeheerder bij een softwareontwikkelaar aan de slag ging. Hij werd daar ICT- en securitymanager en stapte daarna over naar een securitybedrijf. En daar geeft hij nu advies aan klanten over hoe zij hun beveiliging beter op orde kunnen krijgen.

'Nu doe ik er iets goeds mee'

"Het begon met simpele dingen, op mijn dertiende. Ik zag toen dat het mogelijk was om toetsenbordaanslagen op te slaan door een apparaatje dat in een luciferdoosje past, tussen een PS/2 keyboard en een pc te hangen.  Hierdoor ontstond mijn interesse in hacken. Ik doe het voor de kick. Vroeger, toen het nog niet echt geaccepteerd was, vond ik het stoer dat ik iets deed dat niet mocht. Zoeken naar de kick is er altijd wel gebleven. Maar nu doe ik er ook iets goeds mee. Het is goed dat er nu responsible-disclosurebeleid bestaat en dat het meer geaccepteerd is. Ik denk namelijk dat het merendeel van de hackers goede bedoelingen heeft.

Ik begon in de ICT omdat mijn vader een omscholingstraject tot ICT’er deed, en ik deed mee. We rommelden samen met computers en zetten netwerken op. Eigenlijk alles op het gebied van Novell NetWare en later Linux en een beetje Windows.

De een vind het leuk om ’s avonds tv te kijken, ik vind het leuk om ethisch te hacken. Dat doe ik met een vriend van me. We zitten dan allebei achter de computer met een headset op en zo proberen we bedrijven met een responsible-disclosurebeleid te helpen.

Zo hoorde ik in de onlinehackcommunities over het T-shirt dat de overheid uitdeelde voor het melden van bugs. Het is in de community de ‘swag’ om zo’n T-shirt te verzamelen, en ik wilde er dus ook een. 

Ik heb toen de lijst erbij gepakt van websites die onder de responsible disclosure agreement vallen van de overheid en ben op zoek gegaan naar bugs. Het duurde twee tot drie avonden en toen had ik het eerste lek te pakken. Later vond ik er nog een en die heb ik ook gemeld.

Ik vond allebei de keren een cross-site scripting (XSS) bug in een website. Door dit lek kun je aan de kant van de gebruiker code laten executeren. Ik kan het bijvoorbeeld gebruiken om een cookie die op jouw computer staat te stelen. Omdat je inlogt met een cookie op een website, kan het een vrij ernstige bug zijn. Ik kan namelijk door dit lek jouw cookies stelen, waardoor ik over jouw inlogsessie beschik.

Ik heb vaker beet gehad. Niet op overheidswebsites, maar bijvoorbeeld via het platform HackerOne. Daar kreeg ik geld of punten. Het is leuk dat ik nu het T-shirt heb, en er is zelfs een tweede onderweg. Laatst zag ik dat iemand na acht shirts een munt kreeg. Dat is dus nu mijn nieuwe doel: die munt.”

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!