Hackers zijn best lief

‘Chief evangelist’. Zo staat de functie omschreven van Edwin van Andel op de website van Zerocopter, een platform waarbij ethische hackers zijn aangesloten en dat tegen betaling bedrijven helpt hun sites en systemen te beveiligen. Wat is het evangelie dat hij wereldwijd op congressen verkondigt? “Dat hackers best lief zijn. Als een hacker een kwetsbaarheid vindt in producten en systemen van bedrijven en overheden, en dat meldt – arresteer hem dan niet. Werk met hem samen en beloon met een bug bounty de hacker die aantoont wat er fout zit en oplossingen aandraagt. Hug a hacker!”

Hackers knuffelen, landelijk cybercrimeofficier van justitie Martijn Egberts vindt het hoog tijd. “De hackers community is lang genegeerd door gewone computergebruikers, bedrijven en overheid. Dat kwam vooral, omdat bijna niemand begreep wat hackers doen. Dat kentert langzaam, want bedrijven en consumenten willen veilige producten en een veilig internet. En vanuit de opsporing en vervolging willen we graag gebruik maken van alle kennis die zij hebben. Voor de opsporing is het interessant om te weten waarover criminelen communiceren. Als je versleutelde communicatie wilt blootleggen, moet je niet weglopen van de hackers community. Tot nu toe hebben we dat niet goed gedurfd.”

‘Script kiddies plukken een tooltje van het net, klikken op start en komen er een dag later achter dat ze vijf sites gehackt hebben’

In die wereld is de ene hacker de andere niet. Black hats zijn uit op illegaal financieel gewin of spionnen van Rusland of China. Die laatsten kunnen zeker de vitale infrastructuur van staten beschadigen. “Maar ik denk dat ze er geen belang bij hebben om dat te doen”, denkt Van Andel. Veel hackers, weet hij, zijn white hats. Echte idealisten of mensen die er gewoon een fatsoenlijke boterham mee verdienen. In het grijze gebied zitten de script kiddies. “Jongens en meiden van 13 die willen hacken, maar niet goed weten hoe en die de gevolgen van hun handelen niet kunnen inschatten. Ze plukken een tooltje van het net, klikken op start en komen er een dag later achter dat ze vijf sites gehackt hebben.”

Zo’n kid komt het OM pas tegen als er een aangifte ligt. Maar hoe moeten we daarmee omgaan, zegt Martijn Egberts. “Die jongens en meiden hebben een passie voor hacken. Als je hard straft, hebben ze een strafblad en kunnen ze niet meer bij de overheid werken. Laten we hen niet meteen diskwalificeren. Kunnen we hen niet begeleiden, opleiden en hen later de overheid binnentrekken? Want de overheid heeft moeite specialisten op dit gebied binnen te halen.” Edwin van Andel: “Als je hen begeleidt en de bug bounties hoog genoeg maakt, maken zij het internet veiliger in plaats van dat ze misschien de criminele weg inslaan.”

Het OM moet niet te huiverig zijn om samenwerking te zoeken met hackers die ‘op het randje’ opereren. Van Andel: “De ethische hacker gaat wat verder dan een penetration-test bedrijf dat een stagiair een testlijstje laat afwerken. Om te zien of er echt een kwetsbaarheid is, moet je binnen een systeem soms even ‘om het hoekje’ kijken. Dat wil nog niet zeggen dat je dingen gaat downloaden of uit bent op crimineel gewin.”

Soms heeft het OM specifieke hackersdeskundigheid hard nodig. De officier tegen de evangelist: “Jullie bij Zerocopter hebben een netwerk met allerlei deskundigheid. Het zou soms prettig zijn als de vrijheid bestaat om via een tussenbedrijf aan experts, contacten en informatie te komen, zonder dat je daarbij precies hoeft te weten wie dat zijn. Neem de lijst met gezochte en veroordeelde criminelen, waarop zo’n vijftig Britten staan die vermoedelijk in Nederland verblijven. Ik wil die gasten wel vinden, dus zou graag in contact komen met een bedrijf dat zegt: ‘Jullie zijn op zoek naar die en die? Dan zal ik eens kijken of ik iemand ken die daarover informatie kan geven.’ Ja, daar zitten ethische vraagstukken aan en ik wil die discussie aangaan. Verwachten we echt altijd dat degene van wie je informatie krijgt, volledig blootgeeft hoe hij daaraan gekomen is? We werken toch ook met informanten van wie we weten dat het soms criminelen zijn? Wij ontvangen van derden ook wel bedrijfsgeheimen waarmee zwartsparen en witwassen aan het licht komen en dan maakt het OM of de Belastingdienst daar toch ook gebruik van? Dan moeten we over ethische hackers niet roomser dan de paus willen zijn, maar daar in een open discussie over praten.”

‘Vanuit de opsporing en vervolging willen we graag gebruik maken van alle kennis die hackers hebben’

Hoe meer het leven ‘ver-internet’, hoe meer behoefte aan bestrijding van kwetsbaarheden. Van Andel: “Waarom zou een koelkast of videocamera allerlei ‘rare poorten’ moeten hebben? Als iemand vanaf zijn mobiel naar zijn videocamera kijkt, laten we er dan voor zorgen dat dat alléén vanaf die mobiel kan. Nu kijken anderen vaak mee en gebruiken die videocamera ook nog voor een Ddos-aanval op een ander. Het probleem is: om een concurrent voor te zijn, komt alles zo snel op de markt. Er is een idee voor een apparaat, een investeerder geeft geld, goedkope programmeurs gaan aan de slag – en pas als er anderhalf miljoen apparaten zijn verkocht, zegt iemand: Is nagedacht over beveiliging?” Martijn Egberts: “Ik hoop echt dat men veiligere producten maakt. Dat negentig procent van die producten veilig is. En dat die paar mensen die meer willen halen uit hun apparaat, zelf die poorten kunnen openzetten.”

Bedrijven die geld uitgeven voor hun veiligheid zijn niet per definitie veiliger, zegt Van Andel. Ooit verkocht hij zelf firewall-kastjes. “Toen riepen we al: blokkeer óók het verkeer dat van binnen naar buiten gaat. Een pc hoeft niet rechtstreeks naar buiten te communiceren, doe dat via de interne mailserver. Maar negen van de tien bedrijven zetten alle poorten van binnen open. Ook bij grote bedrijven gaat het vaak simpel fout. Er wordt zo’n kastje geleverd, aangesloten en gezegd: ‘Het wachtwoord is 1234, geef een nieuw veilig wachtwoord in en dan doet ie het’. De klant tikt een ingewikkeld wachtwoord in met dollartekens, tildes en apenstaartjes. Vervolgens blijkt het kastje dat niet te kunnen accepteren en blijft het wachtwoord 1234…”

Het is moeilijk voor bedrijven om zelf intern mensen op te leiden tegen cybercrime. Van Andel. “Je moet alle kwetsbaarheden van je systeem kennen en zelf een infrastructuur neerzetten voor het omgaan met meldingen over kwetsbaarheden. Wij als Zerocopter hebben een triageteam dat kijkt hoe de fouten in elkaar zitten. Dat bieden we aan bedrijven aan. We zeggen: Hier heb je een pagina, met je responsible disclosure tekst, waarin onder meer staat dat hackers die kwetsbaarheden melden niet worden vervolgd. De pagina bevat ook een link naar ons platform. De hacker vult bij ons in wat hij vond. Ons triageteam kijkt of het klopt en of de hacker helder maakt wat er mis is en hoe dat gefikst zou kunnen worden. Als wij zeggen dat het klopt, en het bedrijf gaat akkoord, pas dán wordt de ethische hacker beloond. Zo beloon je oplossingen in plaats van het schrijven van standaardrapportjes.”

Het OM volgt het met belangstelling. Egberts: “Cyberofficieren vinden dat hun werk meer is dan opsporen en vervolgen. We moeten breed nadenken en partners kennen die deskundig zijn op het gebied van preventie. In de bestrijding van cybercrime levert de euro die je uitgeeft aan preventie de maatschappij meer op dan de euro die je besteedt aan opsporing en vervolging. Laten politie en OM zich bij de strafzaken dan richten op de categorie echte digitale inbrekers en niet zo zeer op de inbreker die een deur opent die al niet op slot zat. Het is beide strafbaar, maar het een wel strafwaardiger dan het andere.”

Lees hier het jaar bericht 2016 van het Openbaar Ministerie.