Vandaag stellen we je graag voor aan Kasper Karlsson. Kasper is een senior security researcher, en buiten zijn werk houdt hij zich bezig met Bug Bounty hunting en Responsible Disclosure.

Vertel ons wat over jezelf. Wie ben je?

Ik ben senior security researcher bij Omegapoint in Göteborg, Zweden. Daar leid ik expertteams die security-analyses uitvoeren van webapplicaties, API’s, operationele technologie en embedded/IoT-systemen. We werken meestal nauw samen met de ontwikkelteams, in tegenstelling tot de "éénmansleger"-stijl van Bug Bounty hunting en Responsible Disclosure die ik in mijn vrije tijd doe.

Na talloze onveilige systemen gehackt te hebben – van voertuigen en banken tot infrastructuur en overheden – ben ik niet overtuigd dat digitalisering altijd de beste oplossing is. We zijn vaak zo gefocust op verbinden en centraliseren, dat we vergeten of onze nieuwe single points of failure wel goed genoeg beveiligd zijn.

Buiten het werk ben ik graag offline: sporten, tijd doorbrengen met vrienden en familie, hardlopen, hiken, groenten verbouwen, koken, kostuums ontwerpen, hoeden verzamelen en evenementen bezoeken zoals jazzconcerten en bierfestivals.

Hoeveel tijd besteed je aan hacken?

Een gemiddelde dag bestaat voor mij uit vier delen, waarvan er twee met hacken te maken hebben. Overdag hack ik klantensystemen. Daarna volgt gezinsleven en sociale tijd. Als iedereen slaapt, is het tijd voor mijzelf: sporten en hacken via Bug Bounty of Responsible Disclosure. Tot slot komt slaap – ik heb daar niet veel van nodig om uitgerust wakker te worden. Ik blijf weg van sociale media en vermijd uitstelgedrag, waardoor ik veel extra tijd overhoud.

Wanneer ben je begonnen met hacken?

Midden jaren ‘90 kregen mijn ouders een pc. Ik vond het al snel interessanter om te begrijpen hoe die werkte dan om er spelletjes op te spelen. Toen we internet kregen, vond ik internationale hackforums. Rond die tijd begon ik ook met het opzetten van mijn eigen systemen om op te hacken. Mijn interesse in hacken was een reden om informatica te gaan studeren aan de Chalmers University of Technology, wat uiteindelijk leidde tot mijn droombaan in offensive security.

Kun je enkele uitdagingen delen waarmee je te maken hebt gehad tijdens het hacken of in deze industrie?

Twintig jaar geleden werd Responsible Disclosure zelden gewaardeerd. Soms kreeg je een informeel bedankje, maar vaak was de reactie defensief of zelfs vijandig. Een kantelpunt was Mozilla in 2008. Ik meldde een kwetsbaarheid in hun add-on systeem. Ze bedankten me niet alleen, ze stuurden ook stickers en T-shirts. Dat maakte meer indruk dan menige cash bounty.

Wat was je meest interessante/gekke hack?

Tenant isolation bypasses in grotere systemen leverden vaak interessante resultaten op. In een Zerocopter-programma kreeg ik volledige database-toegang tot een systeem dat gedeeld werd door tientallen klanten. In een ander geval kreeg ik toegang tot duizenden live videostreams van high-security locaties wereldwijd. Ook in cloud-platforms heb ik via tenant bypasses zeer interessante dingen gevonden. Mijn meest bizarre hack? Ik had ooit controle over een “entiteit van meer dan 1000 ton”. Dat leidde tot een lange nacht aan de telefoon met iemand die verdacht veel leek op de sigarettenrokende man uit The X-Files.

Kun je enkele verrassende verhalen of leuke feitjes delen die je zijn overkomen tijdens je carrière?

Als je zoveel systemen hackt, zie je ze ineens overal in het dagelijks leven. Je kijkt naar je kleding, frisdrankblikje, creditcard, auto of reclamebord en denkt: “Dat heb ik gehackt.” Daarom geniet ik ook zo van de natuur. In een hangmat naast een meer liggen na het koken op open vuur: dan voel ik me echt vredig.

Wat zijn je favoriete tools/bronnen/informatie/mensen om van te leren en die je aan anderen zou kunnen aanbevelen?

Mijn favoriet is leren door te doen. Ik begin met wat basisresearch, lees documentatie of blogposts, en bouw een mentaal model. Eerste hacks gaan vaak fout, maar juist daardoor leer ik. Die feedbackloop werkt beter voor mij dan video’s kijken of write-ups lezen.

Waarom hack je met Zerocopter?

Zerocopter is mijn favoriete Bug Bounty-platform. Ze hebben interessante programma’s en een goed aantal researchers in invite-only programma’s. Het triageteam is responsief, pragmatisch en technisch zeer onderlegd.

Wat is de beste swag die je ooit hebt gekregen?

De gemeente Delft stuurde me ooit een Delfts Blauwe tegel met hackthema. Die mix van lokaal vakmanschap en humor was geweldig. Ik ging zelfs hun geschiedenis opzoeken. Als meer organisaties dit deden, had ik graag een badkamer vol tegels gehad.

Wat is, naar jouw mening, de beste conferentie om naartoe te gaan?

Ik hou van grote conferenties zoals DEF CON en Black Hat, en ook van lokale zoals SecurityFest (Göteborg) en SEC-T (Stockholm). Maar mijn absolute favoriet is NDC Security in Oslo. Klein genoeg voor een intieme sfeer, groot genoeg voor top-experts. De gesprekken met sprekers hebben mijn werk positief beïnvloed. En als je daar bent: ga sleeën bij Korketrekkeren.

Wat zou je in de toekomst graag willen leren?

Ik wil saaie, repetitieve taken verder automatiseren, bijvoorbeeld met browserextensies. Daarmee zou ik webapplicatie-hacks kunnen versnellen en optimaliseren. Misschien leidt dat zelfs terug naar browser hacking.