Deze hackers ruimen het internet voor ons op

Dimitri Tokmetzis
Correspondent Surveillance & Technologie
Illustratie: Rob van Barneveld (voor De Correspondent)

Goedwillende hackers die beveiligingslekken melden, komen nog te vaak in de problemen. In Nederland geldt inmiddels een gedoogbeleid. Maar het is vooral de markt die met oplossingen komt: hacken wordt langzaam een legitiem beroep.

Hem gepassioneerd noemen is een understatement. De hacker 0xDUDE heeft inmiddels meer dan 4.500 beveiligingslekken bij individuen, kleine en grote bedrijven en overheidsinstanties opgespoord, gemeld en helpen oplossen. Victor Gevers (39), de man die achter schuilgaat, hackt omdat het moet. Hij vraagt er dan ook niets voor, behalve dat je niet met advocaten gaat lopen dreigen als hij een probleem in je systeem komt melden.

Als je een lijst spectaculaire digitale inbraken en datadiefstallen maakt, is die hackershuiver van bedrijven, instanties én burgers begrijpelijk:

  • Vorig jaar werden enkele tientallen miljoenen zeer persoonlijke dossiers van Amerikaanse
  • Intieme gegevens van miljoenen klanten van vreemdgangerssite Ashley Madison kwamen op straat te liggen.
  • Het persoonlijke mailaccount van de directeur van de CIA werd gehackt.
  • In augustus zaten in Nederland miljoenen Ziggoklanten een paar avonden zonder internet omdat het netwerk bezweek onder een DDoS-aanval.

Als we lezen over hacken, is het zelden goed nieuws. En dat is jammer. Tot de jaren negentig had hacken juist een positieve connotatie: een hacker was simpelweg iemand die technische barrières slechtte, iemand die creatief met computers en informatie wist te spelen. Door al het nieuws over slechte hackers - ook wel black hat hackers genoemd - zou je haast vergeten dat er tienduizenden goede hackers rondlopen - de Hackers die van de overheid en de markt steeds ruimer baan krijgen.

Hacken omdat het moet

We hebben afgesproken in een café in hartje Den Haag. Als ik binnenloop, zie ik een grote gestalte met een zwartleren jas en donkere lange krullen in een hoekje over een laptop gebogen zitten. De laptop is volgeplakt met stickers van hackersbijeenkomsten. Aan zijn nek hangt een toegangspas voor en een zwarte usb-stick.

Illustratie: Rob van Barneveld (voor De Correspondent)

Victor Gevers vertelt dat hij inmiddels alweer zo’n zeventien jaar aan het hacken is. Echt hacken is volgens hem zwakheden in systemen zoeken, dagenlang achter elkaar proberen ergens binnen te komen, al je creativiteit aanboren, de frustratie voelen, willen opgeven, toch nog doorgaan en dan eindelijk, eindelijk ergens binnenkomen.

De afgelopen maanden heeft hij veel tijd gestoken in het opsporen van systemen die de populaire database MongoDB gebruiken. ‘Er zit een ernstig veiligheidslek in dat al in 2011 werd ontdekt,’ Via dat lek kun je toegang krijgen tot de server en nog veel meer data weghalen. ‘Er is een update waarmee je het lek kunt dichten, maar veel bedrijven doen daar niets mee.’

Dus bracht Gevers de bedrijven in kaart die de update nog niet gedownload hadden. En mailde de desbetreffende organisatie:

  • Dit heb ik in je systeem gevonden,
  • hier heb je een screenshot als bewijs,
  • dit is de technische omschrijving van het probleem,
  • zo los je het op,
  • en dit ben ik: geen enge hacker, maar iemand die gewoon wil helpen.

Waarom geeft Gevers al zijn vrije tijd hieraan op? Wat drijft hem? Naar eigen zeggen het gevoel dat te weinig mensen verantwoordelijkheid nemen om het internet op te schonen. ‘Het internet is één grote modderpoel, maar ook een plek waar mensen hun persoonlijke spullen bewaren. Foto’s, filmpjes, persoonlijke berichten. We geven op internet allemaal een deel van het eigenaarschap hierover op. Dan moet er wel goed voor gezorgd worden. Ik wil best accepteren dat de eerste 25 jaar van het internet nogal wild waren, maar in 2050 moeten we onze zaken toch echt beter op

Het internet is één grote modderpoel, maar ook een plek waar mensen hun persoonlijke spullen bewaren

Soms krijgt Gevers voor zijn werk een bedankje, vaker hoort hij niets. ‘Daar heb ik zo’n hekel aan. Ik ruim eigenlijk jouw troep op en dan reageer je niet.’ Het kan natuurlijk nog erger: dat hij een advocaat of het Openbaar Ministerie achter zich

Internetsocioloog Chris van ‘t Hof heeft tientallen zaken voorbij zien komen waarin hackers probeerden te helpen, maar in juridische problemen Een zaak waar het flink misging, was de hack van de ov-chipkaart. Rond 2008 ontdekte een aantal onderzoekers van de Radboud Universiteit Nijmegen dat data op de chip te manipuleren waren. De chipfabrikant probeerde vervolgens publicatie van de bevindingen tegen te houden bij

Hacken omdat het mag

Maar vaker laten bedrijven helemaal niets horen, vertelt ook Floor Terra. Toen begin 2012 de nieuwe ING-app werd gelanceerd, zag hij al snel dat de beveiling niet op orde was. Hij vroeg meer informatie op bij de bank, maar kreeg alleen een sussende reactie. ‘Maak je maar geen zorgen, alles is goed.’ Terra meende van niet. Uiteindelijk pikte een journalist moest de bank alsnog actie ondernemen.

Illustratie: Rob van Barneveld (voor De Correspondent)

En begon er in Den Haag steeds meer steun te komen voor een nieuw gedoogbeleid: Responsible Disclosure. Een bedrijf of organisatie zet daarbij een verklaring op de website met daarin een aantal regels waar een melding van een kwetsbaarheid aan moet voldoen. Daarin staat waar het lek gemeld kan worden en dat er binnen drie dagen op een lek gereageerd wordt. Als de melding een significant lek is, dan kan de hacker een waardebon krijgen van minimaal vijftig euro.

Binnen de Nederlandse overheid is Responsible Disclosure inmiddels Oud-officier van justitie Lodewijk van Zwieten, die tot vorig jaar verantwoordelijk was voor de vervolging van online criminaliteit, draagt er geregeld zijn En ook werd het beleid in september voor het eerst in de troonrede genoemd: de Nederlandse regering wil het beleid ook uitdragen in de Europese Unie tijdens het Nederlandse voorzitterschap.

Die steun is overigens geen vrijbrief dat iedereen maar een beetje in het wilde weg mag hacken, waarschuwt Terra als ik hem spreek in Den Haag. ‘Vooral jonge hackers denken nog weleens dat ze los mogen gaan. Maar inbreken in computers is en blijft illegaal.’

Hacken omdat je er geld mee verdient

Een aantal weken nadat ik Victor Gevers heb gesproken, zit ik aan tafel met Rafael Radomske (34), die zich online noemt. We hebben afgesproken in een Van der Valk-hotel bij Eindhoven. Hij is netjes gekleed, met strak achterover gekamd zwart haar, vrolijke ogen en een stevige Limburgse tongval. Daar waar Gevers uit idealisme handelt, wil Radomske er gewoon een fatsoenlijke boterham mee verdienen. En dat valt niet mee.

Jarenlang hield Radomske zich bezig met de donkere kant van het hacken: ‘Ik vond de black hats wel spannend.’ Hij hackte websites en servers, altijd via het wifinetwerk van buren en vreemden. Na verloop van tijd wilde hij er toch uit, zeker omdat er steeds meer mogelijkheden komen om legaal geld te verdienen met hackvaardigheden. Nu geeft hij beveiligingsadvies aan bedrijven en test hij systemen.

Illustratie: Rob van Barneveld (voor De Correspondent)

Radomske weet dat het ook anders kan. In de Verenigde Staten, en in toenemende mate in Europa en Nederland, starten bedrijven zogenoemde bug bounty-programma’s: hackers worden betaald als ze belangrijke beveiligingslekken op een verantwoordelijke wijze aandragen.Daarnaast struint hij het internet af op zoek naar beveiligingslekken. ‘Ik heb bij verschillende Nederlandse banken belangrijke beveiligingslekken blootgelegd. Als ik al antwoord kreeg op een melding, dan kreeg ik misschien honderd euro daarvoor terug. Honderd euro voor een week werk. Belachelijk,’ snuift Radomske. En onlangs vond hij een zwakte op Rechtspraak.nl en kreeg daarvoor drie T-shirts. Tegenwoordig gooit hij het lek dan maar

Dat gaat soms om veel geld. Google heeft vorig jaar in totaal betaald aan ruim driehonderd hackers die belangrijke beveiligingslekken bij het bedrijf rapporteerden. Google heeft een met daarin precies uitgelegd wat het bedrijf per aangetroffen kwetsbaarheid uitkeert. Als een hacker aantoont dat hij via een Google-account kan overnemen, kan dat bijvoorbeeld 7.500 dollar opleveren.

Hacken voor bedrijven

Er zijn ook steeds meer bedrijven die als bemiddelaar tussen hackers en bedrijven optreden. Eén daarvan springt in het oog: HackerOne. Ik spreek een van de oprichters, Michiel Prins, via Skype. Hij en de andere oprichters zitten in Silicon Valley, waar de ene na de andere

Prins begon samen met een vriend, Jobert Abma, met hacken toen ze tieners waren. Eerst hackten ze spelletjes. Later liepen ze door de buurt op zoek naar zwakke routers. En weer later begonnen ze met hacken. Als achttienjarigen probeerden ze een tijdje advieswerk te doen, maar ze besloten al snel om hun geluk in Silicon Valley te beproeven. Daar onmoetten ze Merijn Terheggen en stelden ze de Hack One Hundred list op: honderd bedrijven bij wie het interessant zou zijn om kwetsbaarheden te vinden. In hevige hacksessies spoorden ze vervolgens kwetsbaarheden op en meldden die aan de bedrijven. ‘De meeste reageerden niet eens, maar sommigen vonden het erg cool wat we deden. Een van hen was Facebook.’

Illustratie: Rob van Barneveld (voor De Correspondent)

HackerOne heeft nu een netwerk van zo’n 1.800 hackers, verspreid over de hele wereld. Voor sommige hackers is de zogenoemde bounty hunt een Prins: ‘Onze actiefste hacker heeft tot nu toe zo’n 300.000 dollar verdiend.’ Andere hackers vinden bij toeval een bug. Via HackerOne melden ze die bij het betreffende bedrijf en krijgen dan een beloning uitbetaald. Volgens Prins zijn ook aardig wat academici en studenten actief die tijdens hun werk of studie op kwetsbaarheden stuiten.

En er is nog een voordeel. Zo vertelden meerdere securityonderzoekers me dat ook black hat hackers nog weleens geneigd zijn om bepaalde veiligheidslekken te melden en een beloning te pakken, in plaats van hun waren aan criminelen te slijten.

Illustratie: Rob van Barneveld (voor De Correspondent)
Illustratie: Rob van Barneveld (voor De Correspondent)

HackerOne is op dit moment het grootste bug bounty-bedrijf, maar er zijn er meer. Zo zijn er Cobalt, Bugcrowd en sinds kort het Nederlandse Zerocopter. Radomske werkt het liefst voor dit soort platforms, omdat de beloningen simpelweg beter zijn dan wanneer hij zelf met bedrijven moet onderhandelen. Maar een vetpot is het niet. En de concurrentie is groot, met name van onderzoekers in India. ‘Zij nemen genoegen met lage beloningen en werken met hele teams aan problemen, waardoor ze veel vinden.’

Er is meer kritiek te horen. In september werd een groep onderzoekers met een miljoen dollar beloond omdat ze een lek in het besturingssysteem van de iPhone Die miljoen dollar werd bijvoorbeeld uitgeloofd door Zerodium, een bedrijf dat kennis over kwetsbaarheden verkoopt aan de Dat kan in dit geval Apple zijn, maar ook de NSA of een buitenlandse inlichtingendienst. Er bestaat eigenlijk nog geen goede regulering over waar kennis over dit soort kwetsbaarheden wel en

Ondanks de mogelijke beloningen, moet 0xDUDE daar niets van hebben. ‘Als iemand mij wil belonen, prima, maar ik vraag er niet om.’ Voor hem is het melden van lekken een kwestie van goed fatsoen. ‘Als je iemand helpt met oversteken, vraag je toch ook niet om een euro? Ik kan de wereld iets verbeteren vanachter mijn keyboard. Dan is het toch mijn morele plicht om dat te doen?’

Meer verhalen over hacken?