Welkom terug bij een van onze favoriete blogseries, waarin elke tweede maandag van de maand een ander teamlid wordt voorgesteld. In deze posts lees je meer over de hoodies achter Zerocopter.

Deze maand spraken we met onze Head of Research & Development: Mattijs van Ommeren. We stellen hem graag aan je voor. Mattijs runt een geweldige playground waar nieuwe technologieën worden verkend en waar met features en diensten wordt geëxperimenteerd om het Zerocopter-platform te verbeteren.

Wie is Mattijs van Ommeren?

Ik ben een nieuwsgierige gast die van puzzels oplossen houdt. Als kind haalde ik elektronica uit elkaar en zette ik onderdelen in ware Frankenstein-stijl weer in elkaar, met wisselend resultaat. Later ontdekte ik de pc en raakte ik gefascineerd door wat je daar allemaal creatiefs mee kon doen: games aanpassen met een debugger (cheaten en bescherming omzeilen, kuch) en rare dingen programmeren in Turbo Pascal. Toen ik uiteindelijk een serieuze corporate baan kreeg, bleef computerbeveiliging (vooral het hackgedeelte) me aantrekken. Daarom besloot ik er mijn werk van te maken en als zelfstandig pentester aan de slag te gaan. Een paar jaar later werkte ik voor verschillende consultancybedrijven om securitypraktijken op te zetten binnen zowel IT als OT (Operational Technology, zoals industriële controlesystemen), en ontdekte ik opnieuw mijn liefde voor hardware-hacking.

Hoe zou je je functietitel in een paar woorden beschrijven?

Mijn titel is Head of Research & Development, wat in de praktijk betekent dat ik een playground run voor het verkennen van nieuwe technologieën en het experimenteren met features en services voor Zerocopters platform. Het afgelopen jaar heb ik gewerkt aan het ontwerpen van een spannende nieuwe Zerocopter-ervaring.

Wat vind je leuk aan werken als Head of Research & Development?

Wat ik het leukst vind, is het omgaan met complexe uitdagingen en het bedenken van creatieve en innovatieve oplossingen, het leren kennen van nieuwe technologieën, en bovenal het werken met een paar van de meest fantastische mensen in het vak.

Hoe ben je bij Zerocopter terechtgekomen?

Ik kwam bij Zerocopter omdat Edwin (onze CTO) en ik vonden dat het tijd werd om samen te werken, want we zijn al jaren bevriend binnen de hackercommunity. Voor mij was het het moment waarop ik de potentie van Bug Bounties begon te zien (ondanks mijn aanvankelijke scepsis), en Zerocopter kon mijn hands-on mentaliteit blijkbaar goed gebruiken. Bottom line: laten we plezier maken.

Als je voor één dag van functie mocht ruilen met iemand bij Zerocopter, wie zou dat zijn en waarom?

Ik zou wel een dag willen ruilen met Jan-Albert, want hij lijkt altijd de beste whiskyproeverijen mee te pakken.

Wat heb je geleerd van het werken bij Zerocopter?

‍Bij Zerocopter leer ik elke dag. Of het nu gaat om nieuwe technologie, klantbehoeften of de kloof tussen mensen en technologie – het is altijd fijn om feedback te krijgen, die te verwerken en nieuwe manieren te ontdekken om kwaliteit van leven én beveiliging te verbeteren. Fouten maken is oké, zolang je ze gebruikt om te leren. Het zou goed zijn als meer managers dat zouden erkennen en medewerkers zouden waarderen die blijven proberen, falen, opstaan en doorgaan. Gepassioneerde mensen zijn de echte drijvende kracht achter betere security, niet de magische blinky-bling boxes.

Welke bronnen raad je iemand aan die nieuw is in deze sector?

De podcast Dark Net Diaries is een persoonlijke favoriet, onder andere omdat ik samen met Edwin en Victor Gevers in een aflevering te horen ben waarin we uitleggen hoe we toegang kregen tot het Twitteraccount van Donald Trump. Niet omdat het een extreem leet hack was, maar omdat het laat zien dat simpele maatregelen zoals wachtwoordhygiëne en 2FA al heel veel schelen.

Wil je meer leren over hacking, dan zijn obvious bronnen als hackthebox.org en OWASP nuttig. Maar veel nieuwkomers missen basiskennis van computer science. Daarom kan ik Harvard’s gratis CS50-cursus aanbevelen: https://www.edx.org/cs50. Die helpt je om het grotere geheel te zien en maakt je een betere securityprofessional.

Wanneer hoorde je voor het eerst de termen “Bug Bounty” of “Coordinated Vulnerability Disclosure”?

Ik weet niet precies wanneer, maar volgens mij rond de lancering van HackerOne. Als ervaren pentester was ik eerst sceptisch, maar ik begon al snel in te zien dat de waarde van jaarlijkse pentests door dezelfde partij steeds verder afneemt. Pentests zijn vaak beperkt in scope (geen enkele hacker zegt: ik stop hier, het is buiten scope), en richten zich te veel op compliance in plaats van echte security. De norm lijkt te zijn dat er middelmatige rapporten worden geproduceerd die in een la verdwijnen, nooit meer worden gelezen en al helemaal niet worden opgevolgd. Organisaties die geïnteresseerd zijn in bug bounty- en disclosureprogramma’s zijn vaak volwassener en meer gericht op echte resultaten. Ze zijn ook meer gedreven om kwetsbaarheden daadwerkelijk op te lossen en hun securityhouding te verbeteren.

‍Wat is je favoriete stereotype over de hackingwereld en waarom?

‍Hoewel ik mezelf wel een hacker vind, zie ik mezelf niet als onderdeel van de “hackingindustrie”. De massamedia tonen hackers vaak als iemand in een hoodie of erger: een skimasker, achter een computer met een koevoet ernaast. Volkomen belachelijk natuurlijk. De meeste gepassioneerde securityprofessionals zijn eerder helden zonder cape, maar dat is grafisch gezien wat lastiger weer te geven.

Heb je een hackerhandle of username? En wat is het verhaal erachter?

Alcyon is mijn gebruikelijke handle, en @alcyonsecurity is mijn naam op Twitter. Tegenwoordig ben ik daar niet heel actief meer, zeker sinds Elon Musk het platform tot zijn speeltje maakte. Over de oorsprong: toen ik als freelancer een bedrijfsnaam nodig had, liet ik me inspireren door de ijsvogel, een vogel die niet bang is om diep te duiken en nat te worden om een vis te vangen. Dat past bij mijn filosofie: bereid zijn om diep te gaan en je comfortzone te verlaten om jezelf te verbeteren en de beste resultaten te halen.

We hopen dat je deze blog leuk vond en Mattijs beter hebt leren kennen. Houd de blog in de gaten voor de mei-editie en ontdek meer over de hoodies achter Zerocopter.