INTERVIEW
Edwin van Andel is de bekendste ethische hacker van Nederland
‘Ethische hackers kunnen veel geld verdienen’ Al op zeer jonge leeftijd bleek Edwin van Andel in staat om computers van bedrijven binnen te dringen. Tegenwoordig zoekt hij als ethisch hacker op verantwoorde wijze naar kwetsbaarheden in systemen. Als CEO van Zerocopter is hij ook een veelgevraagd spreker op binnen- en buitenlandse podia en via presentaties met legio praktijkvoorbeelden probeert hij de kloof tussen hackers en het bedrijfsleven te overbruggen. TEKST MARC BOERSMA
p dertienjarige leeftijd kreeg ik de eerste computer van mijn vader. Toen die computer een keer vastliep, ben ik gaan leren hoe een assembler werkt en met deze kennis kreeg ik weer macht over het apparaat. Ik begon tooltjes te schrijven om bijvoorbeeld harde schijven uit te lezen. In die tijd was ik ook actief op BBS (Bulletin Board System) en daarna maakte ik voor het eerst kennis met het internet. In die tijd stond alles open en kon je probleemloos harde schijven mounten. Als je toegang kreeg, ging je vervolgens kijken wat er op die schijf stond. Er bestond geen enkele logging en niemand zei dat er iets niet mocht. We deden dus dingen die niet mochten, maar alleen wist je dat niet. Op een gegeven moment realiseer je je dat het om
66
WWW.WINMAGPRO.NL
bedrijfsinformatie gaat. Als je dat ging melden, kreeg je daar veel gedonder mee, want ze zien jou als hacker, terwijl het bedrijf de boel open heeft staan.’
gaat naar kwetsbaarheden in computersystemen van bedrijven.
De bijnaam van Edwin van Andel in de hackerswereld is ‘de specht’. Hij komt aan die naam omdat hij net zolang blijft ‘tikken’ op systemen totdat hij ergens een gaatje in de beveiliging vindt. Nadat
‘Een ethische hacker is iemand die vooral nieuwsgierig is en tegelijkertijd weet waar zijn grenzen liggen. Dat is in feite het ethische gedeelte. Stel, je stuit op een database en
Hoe zou je een ethische hacker willen omschrijven?
downloaden is en dan stop je. Voor jonge mensen is het soms lastig om te bepalen waar de grenzen liggen. Maar een ethische hacker weet waar zijn grenzen liggen. Hij zal proberen aan te tonen dat iets niet veilig is of dat ergens een gat in de beveiliging zit. Maar hij zal de gevonden kwetsbaarheid nooit misbruiken. Dat is in kort de essentie van de ethische hacker.’
Over welke vaardigheden moet je beschikken als je ethische hacker wilt worden?
‘Dat is heel erg afhankelijk van het doelgebied. Hackers hebben veel expertise in huis, maar ze weten nooit helemaal alles. Wat je ziet is dat mensen zich specialiseren op een bepaald gebied, bijvoorbeeld het hacken van websites of een online omgeving. Andere hackers zijn weer beter met hardware of het kraken van toegangspasjes. Dan heb je ook ethische hackers die gespecialiseerd zijn in social engineering.’
Welke opleidingen kun je volgen als je ethische hacker wilt worden?
‘Er bestaan wel opleidingen voor ethische hackers, maar die lopen over het algemeen erg achter op de praktijk. De beste hackers die ik ken, hebben nooit een opleiding gevolgd. Die hebben het vak geleerd in de praktijk.
‘Een ethische hacker is iemand die vooral nieuwsgierig is en tegelijkertijd weet waar zijn grenzen liggen’ hij ruim twaalf jaar bij zijn eigen bedrijf Yafsec werkte, trad hij in 2017 als CEO in dienst bij Zerocopter, een Amsterdams bedrijf dat beschikt over een legertje ethische hackers dat op zoek
je wilt dat melden aan het bedrijf. Als ethische hacker download je dan niet de gehele database, maar je downloadt slechts één of twee records om aan te tonen dat belangrijke informatie te
Als een ethische hacker een kwetsbaarheid ontdekt, zal hij dit netjes rapporteren. Tegen de tijd dat dit beveiligingsgat is gedicht, ben je zo een half jaar verder. Als deze kwetsbaarheid
een budget beschikbaar voor hackers die gaten in de beveiliging vinden. Een hacker krijgt een geldbedrag als hij een belangrijk lek in de beveiliging of website heeft gevonden.
Bestaan er ook ethische hackers die via een bug bounty programma volledig in hun levensonderhoud voorzien?
‘Vorig jaar was er iemand die meer dan een miljoen dollar aan uitbetaalde bounties heeft ontvangen. Bij bedrijven als Google en Facebook betalen ze tussen de $ 50.000,- en $ 100.000,- voor een goede melding. Dat zijn best pittige bedragen. Bij ons krijgen de ethische hackers maximaal € 1.500,- voor het melden van een zware bug en daarnaast bieden we een bonusfunctie. Overigens betalen sommige opdrachtgevers bij ons meer dan € 1.500,- voor een melding. Sommige bugs vinden ze meer waard en dan betalen ze bijvoorbeeld € 10.000,- aan de hacker. Dat soort dingen gebeuren in de praktijk en dat is alleen maar mooi.’
Is er ook een trend waarneembaar dat black hat hackers de overstap maken naar het ethische hacken?
wordt verwerkt in een lesboek, is alles al gepatcht en zijn de bugs alweer verouderd. Er zijn wel goede opleidingen en die leren jou niet om een bepaalde bug te gebruiken, maar wel om kritisch na te denken en daar gaat het eigenlijk om.’
Responsible disclosure
Steeds meer bedrijven hebben een verklaring omtrent responsible disclosure op hun website staan. Hackers kunnen dan op een verantwoorde manier lekken melden. Het doel is om de veiligheid van systemen te verbeteren. Als hackers zich houden aan de Leidraad van Responsible Disclosure, een document opgesteld door het Nationaal Cyber Security Centrum (NCSC), dan is het hacken niet strafbaar. Om een lek bij een bedrijf aan te tonen, mogen ze niet niet meer downloaden dan strikt noodzakelijk. Met dit beleid loopt Nederland voorop. ‘Het nadeel van een responsible disclosure beleid is dat een bedrijf ook
‘Vorig jaar was er iemand die meer dan een miljoen dollar aan uitbetaalde bounties heeft ontvangen’ nepmeldingen gaat ontvangen. Een grote Nederlandse internetprovider kreeg vorig jaar duizend meldingen. Na onderzoek bleken maar dertig meldingen echt valide. Er zijn mensen die er een financieel slaatje uit proberen te slaan. Bedrijven ontvangen bijvoorbeeld berichten uit India waarin staat dat er een lek is gevonden. Pas na betaling van een geldbedrag zijn ze bereid te vertellen waar het lek zit.’ Veel bedrijven bieden tegenwoordig een bug bounty programma. Ze stellen dan
‘Er is een hele goede aanwas van mensen die bug bounties doen. We zien dat hackers steeds vaker een ethische manier bugs melden bij bedrijven. Het zou kunnen dat ze zonder de bug bounties de andere kant op zouden zijn gedaan, maar dat blijft een lastige vraag. Als een jonge jongen iets steelt bij een supermarkt en wordt betrapt, dan krijgt hij met veel personen te maken: de winkeleigenaar, de politie, de ouders en de school. Maar als een jongen op een zolderkamertje bedrijven zit te hacken, dan spreekt niemand hem aan. Er is dan geen controle en dat is een beetje het risico. Heel veel jongens en meiden vinden het gewoon heel interessant om te kijken hoever ze kunnen komen. Het is een spel voor ze. De vraag is natuurlijk wat ze ermee gaan doen. Via voorlichting kunnen ouders erop attenderen dat ze op hun kinderen moeten letten en met ze moeten praten, zodat ze ook weten dat je met hacken ook op een ethische manier veel geld kunt verdienen. Dan zul je zien dat er veel meer ethische hackers komen en dat het een stuk veiliger wordt.’
WWW.WINMAGPRO.NL
67