Bij een ceo verwacht je een man in pak, maar Amsterdammer Edwin van Andel draagt net als elke andere hacker een T-shirt en een hoodie. Het 47-jarige opperhoofd van Zerocopter grijnst. „Heel soms heb ik een jasje aan, maar nooit een overhemd. Ik moet wel voldoen aan het standaardbeeld: nerd achter een scherm op een schimmig zolderkamertje, pizza binnen handbereik. Weet je waarom alle hackers hoodies dragen? Als je hem omkeert, kun je zonder je vingers van het toetsenbord te halen popcorn uit de capuchon eten.”
Met zijn bedrijf Zerocopter valt hij onder de noemer ethical hackers. „Hackers die bedrijven helpen zich beter te beveiligen door lekken op te sporen.”
Puur voor de hobby begon hij als dertienjarige met hacken. „Mijn vader kreeg voor zijn werk één van de eerste pc’s mee naar huis. Hij had er niet veel mee, ik deed er spelletjes op. Met de game Prince of Persia liep ik vast en kwam ik in een scherm van de computer zelf terecht, een soort fabriekstest. Las ik bibliotheekboeken over computers en wat je ermee kunt. Via een modem maakte ik verbinding met gelijkgestemden om te praten over technische dingen.” Een tergend trage tijd. „Was ik via het inbelmodem net wat aan het downloaden op 25 floppy’s, met veel gepiep en gekraak, nam mijn moeder beneden de telefoon op: alles weg.”
Op zijn veertiende lukte het hem om binnen te komen op computers van universiteiten. „Tot in China toe. Neusde ik nieuwsgierig wat rond in de cijferlijsten, het was een spel. Met internet kon je alles ontdekken want alles stond toen nog open. Regels waren er niet. Pas veel later drong tot bedrijven door dat ze zich niet goed beveiligden. En nog geven ze liever geen geld aan veiligheid uit!”
Edwin van Andel lacht om de suggestie dat het risico van een digitale inbraak toch miniem is. „Rammel aan honderd deuren, bij die ene die niet op slot zit ga je naar binnen, zo werkt het voor hackers. Mensen denken dat ze niet gehackt worden omdat ze niet interessant zijn, maar het werkt andersom. Als jouw internetverbinding niet goed beveiligd is, komt er iemand binnen, simpelweg omdat het kan. Kijken ze daarna wel of je interessant bent. Aan de andere kant zijn er doelgerichte aanvallen op grote bedrijven. Misschien is daar wel een jaar voor nodig, maar met onbeperkte tijd en middelen gaat het een hacker zeker lukken. En dat is precies de reden waarom Zerocopter drie jaar geleden is opgericht. Hackers zijn briljante geesten die gefocust zijn op een specifiek stukje. De een hackt pasjes, de ander telefoons, de derde hackt mensen.”
Dat laatste behoeft een toelichting, en die geeft Van Andel met een voorbeeld. „Via Facebook vinden we uit wanneer de bedrijfshulpverlener (bhv’er) met vakantie is. In die periode kondigen we bij de portier een oefening uit naam van die bhv’er aan. En die is ons natuurlijk ter wille. Scenario: een zogeheten lotusslachtoffer, iemand die de gewonde naspeelt, heeft een ongeluk gehad in... de serverruimte. Goed, de een ligt daar met zo’n geschminkte brandwond, de ander kopieert razendsnel de database van de server op een USB-stick. Waar gebeurd!”
Zo heeft iedereen bij Zerocopter zijn eigen expertise. „Ik heb vijftien man hier, maar bij ons zijn 150 hackers aangesloten. We selecteren de besten voor de klus volgens het no cure, no pay-model. Komen wij het systeem niet binnen, kost het de klant niets. Lukt het wel, kost het een x-bedrag.”
Een win-winsituatie. „Kunnen die jongens lekker hacken en doen waar ze goed in zijn en het bedrijf wordt er veiliger van, want die kunnen het gat fixen voor er een kwaadwillende hacker op losgaat en er allerlei bedrijfsinformatie op straat belandt. Voor mij is dit een droom die werkelijkheid wordt. Drie jaar geleden waren hackers nog criminelen. Nu ben ik salonfähig en reis ik de wereld rond om toespraken te houden. Over een paar jaar is hacken een beroep! Mooi dat wij nu uit het donker kunnen stappen. Hackers maken gaten, dacht iedereen, maar wij vínden gaten”, zegt de man die de bijnaam Specht kreeg.
Edwin van Andel verbaasde zich soms over de werkwijzen van zijn collega’s. „Hebben we een project van een maand, vinden ze de eerste week wat standaard dingen. In de tweede week gebeurt er niks. Bel ik ze op, zitten ze Netflix te kijken. Zeg ik: ’Zit jij nou te niksen, terwijl je geld kunt verdienen!?’ Maar ze denken na, ergens op de site hebben ze een stukje code gezien waar iets niet aan klopt. En in week drie zijn ze binnen. Hackers zijn nieuwsgierig en hebben affiniteit met techniek en willen het systeem verslaan.”
Grinnikt: „Hier op kantoor staat een koffieapparaat en we hebben allemaal een pasje met 300 credits voor een kopje koffie. Op dag één hebben we met de hele groep het pasje onderzocht, één credit eraf gehaald, gekeken naar het verschil, de cijfertjes gewijzigd en zelf onze pasjes gekloond. Hadden we ieder 999 credits. Voor de lol, want we betalen gewoon voor de koffie. Met een Chinees apparaatje van nog geen twintig euro kopieer je zo een pasje door naast een beveiliger te gaan staan. Het verschil zit hem in de prijs van het pasjessysteem, 499 euro of 6000 euro. Die laatste is niet gekraakt.” Brede glimlach: „Nóg niet.”
Hij snapt de consument vaak niet. „Waarom zou je een theepot willen hebben die aan het internet verbonden is? Hooguit leuk voor de Engelsman die in de taxi de ketel vast aan wil zetten. Punt één is dat je er toch naartoe moet lopen. Punt twee is dat die ketel op jouw wifi zit en dat ik dat netwerk via die ketel makkelijk kan kraken. Kan ik via jouw bestanden iemand afpersen, komt de politie aan jouw deur.”
Van Andel verdedigt zijn vakgenoten. „De meeste hackers zijn lief, maar het kan eenvoudig misgaan. Stel iemand is zestien en steelt wat in de supermarkt. Praten ouders én winkeleigenaar én politie op hem in. Een jonge hacker wordt niet gecorrigeerd. Op school zit hij rustig in een hoekje, thuis op zijn zolderkamer. Vindt hij een database met creditcard-gegevens, weet hij dat hij er niks mee kan, want dan wordt hij gepakt. Maar hij is er wel trots op en vertelt het tegen andere hackers, of op Facebook. Hackers zijn nooit stil, ze willen de credits van wat ze kunnen. De beste zijn, een grote naam worden. Goed, komt er een crimineel die 10.000 euro biedt voor die database. Ben je vijftien jaar... Na een maand komt die crimineel terug en wil meer. Zo rollen ze het foute circuit in. Met een groep oude hackers, the guild of the grumpy old hackers, proberen we die jongeren recht te trekken.”
Edwin van Andel vreest één doelwit het meest. „Zerocopter, verreweg het interessantste. We laten onze eigen mensen vaak los op ons systeem. Als wij gehackt worden, ben je de beste!”
Written by Zerocopter
September 7, 2018