Hackers zijn best lief

Edwin van Andel laat zijn hackers vaak volgens het ‘bug bounty’ principe werken. De opdrachtgever stelt een budget beschikbaar, hackers die lekken ontdekken worden beloond. En als er zoveel gaten in de computerbeveiliging blijken te bestaan dat het budget is verbruikt, volgt verhoging.

Een internationaal veelgevraagd spreker, Edwin van Andel. Omdat hij al 34 jaar als ‘ethical hacker in hart en nieren’ door het leven gaat en alles en iedereen in dit vaak als schimmig beschouwd wereldje kent. 

Op Financial Systems 2018 (meld u gratis aan met code FSB410) zullen bezoekers aan zijn lippen hangen. Wat mag, wat moet en wat kan absoluut niet als het om ‘computer kraken’ gaat?

“Hackers zijn best lief hoor”, grijnst Edwin van Andel, één van de sprekers op Financial Systems 2018, over zijn masterclass. “De bonafide tenminste… In de media vaak afgeschilderd als enge types met zwarte maskers op. Maar in werkelijkheid juist van essentieel belang om duistere figuren uit de computerbestanden van je bedrijf te weren!”

Inbreken in computers
Zelf is hij al sinds zijn 13e bezig met het inbreken in computers. Nog voor de grote internet doorbraak kraakte Van Andel al modems en firmware van harde schijven. Én bulletin board systems; aan een analoge telefoon gekoppelde computer software van het allereerste uur. 

Van je hobby je werk maken? Van Andel maakte van een jeugddroom werkelijkheid. Als CEO van Zerocopter zet hij zich in om de kloof tussen klanten en hackers te overbruggen. Ervaren security expert en internationaal evangelist van responsible disclosure; het verantwoord melden van beveiligingslekken en zo geen problemen met Justitie krijgen.

Hoe computerkrakers denken
“Hackers weten hoe computerkrakers denken”, legt Van Andel uit. “En kennen de ethische zorgen om systemen veiliger te krijgen. Sinds 2013 werken we samen met de Nederlandse overheid om te voorkomen dat het melden van gaten in de computerbeveiliging automatisch tot vervolging leidt. 

Dat overleg heeft mede de huidige spelregels opgeleverd. Als een ethische hacker een database weet binnen te komen, gaat hij of zij niet hele bestanden downloaden. Een klein deel is voldoende om betrokken bedrijf vervolgens te waarschuwen.”

De nieuwe Europese privacywetgeving die 25 mei ingaat, biedt kansen voor de ethische hacker. Van Andel signaleert dat vooral grote bedrijven daar accuraat op inspelen. “Ik mag geen namen van klanten noemen, maar het zijn echt de serieuze spelers in het internationale bedrijfsleven. Het mkb anticipeert veel minder alert op de Algemene Verordening Gegevensbescherming (AVG).”

Nooit wangedrag
Zerocopter heeft 200 hackers op oproepbasis beschikbaar. Nog eens honderden staan op de wachtlijst om voor het in Amsterdam, Dedemsvaart en Groningen gevestigde bedrijf te gaan freelancen. “We checken ze allemaal. Geen justitiële antecedenten, nooit wangedrag op social media, zowel in de privésfeer als op het werk van onbesproken gedrag… Pas dan komen hackers bij ons in beeld.”

Edwin van Andel laat zijn hackers vaak volgens het ‘bug bounty’ principe werken. De opdrachtgever stelt een budget beschikbaar, hackers die lekken ontdekken worden beloond. En als er zoveel gaten in de computerbeveiliging blijken te bestaan dat het budget is verbruikt, volgt verhoging.

Eén vent voor dit werk
“Klinkt duur, maar is het niet”, zegt de CEO van Zerocopter. “Stel een bedrijf vreest voor lekken en legt 20.000 euro opzij om die te vinden en te dichten. Wij sturen 20 tot 25 hackers. Zij die de fouten ontdekken, krijgen 1500 euro per lek. Tot alles is gevonden. Door zo’n groep te laten zoeken, heb je meer kans op succes. Verschillende specialismen, meer ogen, het hele veld van risico’s afdekkend. Crowd sourced hackers. Natuurlijk kun je voor dit werk ook één vent in vaste dienst nemen. Maar dan is de kans op het boeken van succes toch echt stukken kleiner.”

Ook aan te raden, volgens de Van Andel doctrine: regulier bug bounty toepassen. Bijvoorbeeld elke maand, telkens 25 nieuwe hackers. Die met frisse blik naar de systemen kijken en zoeken. “Beter dan zo’n jaarlijkse penetration test”, aldus Van Andel. ,,Want die is en blijft een momentopname. Een dag later kan het immers alsnog helemaal misgaan en dan blijft een lek elf maanden en 30 dagen onopgemerkt. Duur, bug bounty, maandelijks? Welnee. No cure, no pay. Als een team niets vindt, hoeft er ook niet betaald te worden.”

In alle stilte opgelost
Voorbeeld uit de praktijk: lek bij een groot bedrijf. Ontdekt met bug bounty. In alle stilte opgelost. Prijskaartje: 1500 euro voor de ethische computerkraker. “Onlangs gebeurd”, vertelt Edwin van Andel. “De opdrachtgever analyseerde de situatie en berekende wat de kosten óók hadden kunnen zijn. In een poging de crisis achteraf alsnog te hebben moeten bezweren. Forensisch team, marketing team, communicatie team. Reputatieschade. Boete van de Autoriteit Persoonsgegevens. Men kwam op een kostenplaatje van zo’n 3,5 miljoen euro.”

Bij Zerocopter wordt elk ontdekt lek zorgvuldig geanalyseerd. Door een triage team van hackers in vaste dienst. Zij checken of het bij een geclaimd lek daadwerkelijk om tekortkomingen in de beveiliging ging. Er wordt een rapport opgemaakt, de situatie met de klant besproken. Op Financial Systems 2018 praat Edwin van Andel erover, geeft uitleg. “Want ethische hackers zijn niet slecht. Ze zijn eigenlijk best lief.”