We zijn verheugd om vandaag aan je voor te stellen: Alwin, een veelzijdige hacker met een unieke mix van ITops-expertise en een passie voor digitale verkenning.

Vertel ons een beetje over jezelf. Wie ben jij?

Hallo, mijn naam is Alwin, een hacker met een achtergrond in ITops. Overdag werk ik voor Ordina en voer ik pentests uit voor klanten. Deze opdrachten zijn divers, bijvoorbeeld pentesting van een mobiele app, website, of netwerk infrastructuur of het uitvoeren van fysieke pentests om ongeautoriseerde toegang tot een gebouw te verkrijgen. 's Avonds ben ik vrijwilliger bij de DIVD en ondersteun ik het CSIRT-team in het scan-rapport proces. Daarnaast probeer ik Bug Bounty te doen in de tijd die overblijft, bijvoorbeeld via het Zerocopter-platform.

Hoeveel tijd besteed je aan hacken?

Gemiddeld denk ik zo'n 30 uur per week. Tijdens die tijd ben ik niet alleen bezig met intensief hacken, maar deel van de tijd besteed ik ook aan studeren en onderzoek doen.

Wanneer ben je begonnen met hacken?

Mijn interesse werd gewekt in de middelbare school toen een vriend mijn pc 'hackte' met de NetBus-tool. Hoe gemakkelijk het was om dit te doen en hoe hij vervolgens op afstand mijn cd-lade opende om te bewijzen dat hij controle over mijn pc had, was een echte eye-opener voor mij. Na ongeveer 10 jaar in IT-operations te hebben gewerkt, maakte ik in 2016 eindelijk de switch naar pentester, en vanaf dat moment ben ik echt gaan hacken.

Kun je enkele uitdagingen delen die je bent tegengekomen tijdens het hacken of in deze industrie?

Wat moeilijk blijft, is contact krijgen met een organisatie om een kwetsbaarheid te melden. Het publiceren van een verantwoordelijke openbaarmaking en een security.txt-bestand op de openbare website zou ons enorm helpen.

Wat was je meest interessante/gekke hack?

De meest impactvolle kwetsbaarheid was een SQL-injectie die toegang gaf tot een database met 2,8 miljoen klantgegevens. Een creatieve kwetsbaarheid was er een waarin ik inloggegevens op GitHub vond. Echter, triage op het Zerocopter-platform schaalde de kwetsbaarheid terug naar informatief omdat ik de exploitatie niet kon demonstreren, iets waar ze destijds gelijk in hadden. Ik testte toen de inloggegevens op verschillende loginportalen en kreeg uiteindelijk toegang tot het interne netwerk via een Citrix-portaal waarop 2FA niet was afgedwongen. Dit verhoogde de kwetsbaarheid van een informatieve bevinding naar een kritieke. Een gekke hack was het vinden van meerdere 0days in een geldtelmachine. Door ze aan elkaar te schakelen, was ongeautoriseerde externe code-uitvoering mogelijk... wat kon er misgaan ☺

Kun je enkele verrassende verhalen of leuke feiten delen die je hebt meegemaakt tijdens je carrière?

Een tijdje geleden, samen met een collega van mijn dagbaan, kon ik voor een klant een fysieke pentest uitvoeren. De opdracht verliep goed en we bereikten de doelen die van tevoren met de klant waren afgesproken. Wat we echter niet hadden meegenomen, was dat een burger enkele van onze activiteiten had opgemerkt. Deze burger vertrouwde de situatie niet en belde uiteindelijk de wetshandhaving. Een paar uur later werden we onderweg gestopt door de wetshandhaving op een motor, die vroeg wat we aan het doen waren. Door het tonen van een officieel document (get out of jail card) en het bellen van onze contactpersoon, konden we onze weg vervolgen.

Wat zijn je favoriete tools/bronnen/informatie/mensen om van te leren en die je aan anderen zou aanbevelen?

Ik hou echt van hacken op Hack the Box, vooral de pro labs, waarin je fictieve netwerken moet aanvallen compleet met een actieve directory. Hun academie is ook erg leuk als je zoekt naar verdieping in een specifiek gebied. Tools die ik veel gebruik, zijn natuurlijk Burp Suite en tools van ProjectDiscovery.

Waarom hack je met Zerocopter?

De diversiteit aan organisaties die hun R&D en/of onderzoeksprogramma's runnen is geweldig. Bovendien heb ik ervaren dat de communicatielijnen met de mensen bij Zerocopter kort zijn, wat het een prettig platform maakt om Bug Bounty te doen.

Wat is je favoriete swag die je ooit hebt gekregen?

Na het melden van een impactvolle kwetsbaarheid ontving ik een kentekenplaat van de RDW met de letters HA-CK-ER erop, en natuurlijk is een Zerocopter t-shirt geweldig om te hebben.

Wat is volgens jou de beste conferentie om naartoe te gaan?

Zeker MCH (https://mch2022.org). Ik hou echt van kamperen, en dat, gecombineerd met hackers uit heel Europa die vaak dezelfde interesses als ik hebben, gaf me een geweldige ervaring. De opvolger van MCH vindt plaats in de zomer van 2025. https://why2025.org/

Wat zou je in de toekomst willen leren?

Hardware-hacken. Ik heb verschillende projecten thuis, maar heb nog niet de kennis en ervaring die nodig zijn om kwetsbaarheden te exploiteren. Ik heb al verschillende tools aangeschaft en trainingen gevolgd, dus hopelijk vind ik in de toekomst 0days in dit gebied.