Vandaag willen we je graag voorstellen aan Wietse Boonstra. Met een passie voor het ontrafelen van digitale mysteries, schakelt Wietse naadloos tussen rollen als pentester en een Bug Bounty jager. 

Je kunt het interview tussen Wietse Boonstra en Chantal Stekelenburg bekijken, of het hieronder lezen! Jij kiest het formaat!

Chantal: Hallo, Wietse, bedankt dat je gekomen bent! Kun je ons iets vertellen over jezelf?

Wietse: Natuurlijk, ik ben Wietse, ik kom uit een achteraf hoekje van Nederland. Ik ben een pentester. Ik hou ervan om dingen kapot te maken en te onderzoeken. Ik wil gewoon weten hoe dingen werken, dat is wat ik leuk vind om te doen en wat ik de hele dag door doe.

Chantal: Maar je ontdekt niet alleen hoe dingen werken, je maakt ook dingen kapot?

Wietse: Zeker, ja! 

Chantal: Is dat per ongeluk of opzettelijk?

Wietse: Het is opzettelijk, ja. Ik vind het echt leuk om dingen uit elkaar te halen, zowel hardware als software. En voor nu is het voornamelijk software, en ik probeer beveiligingsproblemen daarin te vinden. Ik geniet er echt van. Het geeft me een kick om dingen te vinden en te rapporteren, dat is het belangrijkste. En dan maak ik de wereld een beetje beter.

Chantal: Dus komt de kick van het daadwerkelijk vinden van deze dingen of van het laten oplossen ervan? 

Wietse: Nee, het is zeker het vinden. En voor het oplossen laat ik meestal de DIVD dat doen. Dus, ik doe de verantwoordelijke openbaarmaking. En wat ik leuk vind om te doen is een kwetsbaarheid vinden, een script schrijven, het automatiseren, of zulke dingen. Dat is leuk voor mij om te doen, en ik besteed daar veel te veel tijd aan.

Chantal: Dus je hebt niet echt de capaciteit om te wachten voordat het opgelost wordt?

Wietse: Dat is het deel dat ik niet leuk vind. Ik moet contact opnemen met het bedrijf of de mensen die het moeten oplossen, en ik leg het uit, ik probeer een rapport of zoiets op te stellen of naar een vergadering met hen te gaan en uit te leggen dat ik dit heb gevonden. Maar om op dat punt te komen dat je contact hebt met een bedrijf.. dat is, ik weet het niet, veel te veel werk. En ik hou daar niet van. Als ik iets vind, rapporteer ik het aan de DIVD, zij gaan, starten de procedure om contact te leggen, en ik ga verder met het volgende. Ik wil breken, dus ja!

Chantal: Dus het communicatiegedeelte is aan iemand anders overgelaten?

Wietse: Zeker!

Chantal: Je bent weer terug bij het kapotmaken van dingen. 

Wietse: Ja, precies! 

Chantal: Hoe ben je een hacker geworden? Wanneer ben je met hacken begonnen?

Wietse: Nou, ik denk dat die vraag meer gaat over iets dat al vroeg kwam toen ik klein was. Mijn vader, wel, hij had een apparaat en ik zei tegen mijn vader, ik wil dat dit ding dat kan doen. En hij zei, oké, laten we het uit elkaar halen en kijken wat we kunnen gebruiken. En dat is een soort van hoe ik erin terecht ben gekomen. En met de software is het eenvoudiger om dat te doen omdat ik probeer de elektronica te begrijpen, maar ik snap het niet echt. Maar met software is het zo, oké, we zetten een burp ertussen en kijken wat er gebeurt. En ja, nou, zo ben ik er in verzeild geraakt. En waarschijnlijk zo'n 10 jaar geleden of zo ben ik me daar echt op gaan richten. Dus zo ben ik erin gekomen. 

Chantal: Oké, dus hoeveel tijd besteed je eigenlijk aan hacken? Is het zoals een hele dag, de hele week?

Wietse: Het is een beetje compulsief, denk ik. Ik kan 's ochtends beginnen, en dan realiseer ik me oh, het is 2 uur 's nachts, misschien moet ik iets gegeten en gedronken hebben. 

Chantal: Maar is dat elke dag?

Wietse: Dat was het. Ik probeer het een beetje te verminderen, maar ja, dat was het zeker. Ik zat op de bank, en mijn vriendin keek Netflix, en ik dacht, oké, laten we dit breken, of hoe werkt dit, dus ja.

Chantal: Dus je bent hyper-geconcentreerd? 

Wietse: Zeker.

Chantal: Dus je besteedt eigenlijk de meeste dagen aan hacken?

Wietse: Dat deed ik, niet op dit moment meer.

Chantal: Heb je nog andere hobby's?

Wietse: Ja, lego!

Chantal: Dat is een goede hobby!

Wietse: Ja, dingen bouwen! Maar geen andere hobby's.

Chantal: Hacken is ook een hobby!

Wietse: Het is een passie, denk ik. Ik wil weten hoe dingen werken, dus ontmantelen, en je weet hoe het werkt, dus ja 

Chantal: Dus je hebt een baan?

Wietse: Die heb ik.

Chantal: Als pentester?

Wietse: Ja!

Chantal: En daarnaast doe je ook Bug Bounties en de Coördinatie van Kwetsbaarheids openbaarmaking. Hoe kreeg je die baan? Had je met uitdagingen te maken, of was het gemakkelijk om die baan te krijgen?

Wietse: Nou, ik kreeg een van mijn eerste banen omdat iemand me vroeg of ik hun systeem kon controleren? Ik zei, nou, goed, ik controleer het. En ik kwam in hun interne netwerk binnen, en ik dacht, oké, ik ben hier. Ik zette mijn CV op hun server, en zij waren als, oké, wat is hier aan de hand? En toen namen ze me aan. Dus, ja, dat was leuk. 

Chantal: Dat is zeker een leuke manier om een baan te krijgen!

Wietse: Ja, nou, ze gaven me toestemming om ze te controleren, maar toen dacht ik, oké, ik heb dit gevonden.

Chantal: Basis een visitekaartje achterlaten.

Wietse: Ja, absoluut. Dat was mijn eerste baan, denk ik. En nu heb ik mijn eigen bedrijf in pentesting, en ik merkte dat zoveel bedrijven die mensen in huren en die mensen, en ik dacht, snijd de tussenpersoon eruit en doe het zelf. Dus ik deed een training OCP, en ik kwam in gesprek met iemand, en hij zei, kunnen we je inhuren, en vanaf daar...

Chantal: Je bent gewoon voor jezelf gaan werken?

Wietse: Ja, ik denk dat ik twee jaar pentesting voor een bedrijf heb gedaan, en toen begon ik mijn eigen. En het werkte uit!

Chantal: Dat is heel leuk. Dus, hou je ervan om je eigen baas te zijn?

Wietse: Oh, absoluut!

Chantal: Zeg je ook nee tegen bepaalde soorten opdrachten of?

Wietse: Ja, dat deed ik een paar keer. In het begin deed ik dat niet, maar dan merk je dat je goed bent in iets, en je kunt niet goed zijn in alles op het gebied van beveiliging. Het is waarschijnlijk 80% webapplicatie pentesting, en daarom zijn Bug Bounties heel interessant. Dat is ook, ik weet het niet, 80%, voor mij tenminste, webapplicaties.

Chantal: Ja, Bug Bounties zijn zeker het gemakkelijkst op te zetten voor een webapplicatie.

Wietse: Ja, absoluut! Ik denk dat webapplicatie ook het gemakkelijkste onderdeel is om Bug Bounties of pentesting te doen, omdat het altijd dezelfde route volgt. En ik haat Windows, dus ik begrijp niet hoe dat werkt in beveiligingstests. 

Chantal: Dus webapplicaties zijn het. Zou je misschien kunnen delen wat je meest interessante of gekke hack was?

Wietse: Nou, Kaseya was voor mij de meest interessante. 

Chantal: Wat gebeurde er met Kaseya?

Wietse: Ik was bezig met een pentest, en ik kreeg een laptop, en dit applicatie of VSA was geïnstalleerd onder de agent. En ik dacht, wat is dit? Het is gek. Maar er was geen tijd meer om het uit te zoeken. Dus las ik het in mijn vrije tijd, ik vroeg Kaseya: kan ik een kopie op mijn server krijgen omdat ik het wil bekijken, en ze vroegen, hoeveel mensen heb je, ik weet het niet, 6000 of zo. Ik weet het niet! Dus gaven ze me een lokale kopie, en toen trok ik alles naar beneden. Ik heb weken besteed aan het weer bekijken op mijn bank, en ik ontdekte een aantal serieuze kwetsbaarheden. En dat, nou ja, dat is het hele verhaal over Kaseya, als je het googelt, is er genoeg te vinden.

Chantal: Oh ja, als je googelt, kun je veel meer vinden over wat er daarna gebeurde!

Wietse: En toen de ransomware toesloeg, vertelde de DIVD ons, hé, wees voorzichtig, deze jongens, de Russische criminelen, zijn serieuze jongens. En ik dacht, ik had vier nachten niet geslapen, dus ik was een beetje in paniek. En toen kwam ik thuis, en mijn deur was ingetrapt, en ik dacht, nou, wat is hier aan de hand?! En mijn kind was thuis, dus ik zei, waar ben je, en hij reageerde niet. Maar om een lang verhaal kort te maken, hij had de deur zelf ingetrapt, en ik was in paniek, ja, voor niets. Maar ja, het was een vreemde week.

Chantal: Ja, dat kan ik me voorstellen.

Wietse: En achteraf heb ik een goede vriendschap aan Kaseya overgehouden met de CTO, dus dat was leuk!

Chantal: Dat is cool! Dat was een gekke tijd!

Wietse: Absoluut!

Chantal: Heb je nog andere verrassende verhalen of leuke feiten?

Wietse: Ik denk dat mijn grasmaaier de leukste was. Ik kon alle grasmaaiers overnemen. Ik kan het waarschijnlijk nog steeds, ik denk niet dat ze het gerepareerd hebben, maar vertel het niet aan iemand. 

Chantal: Dus je had zelf een grasmaaier, toch? Je besloot ernaar te kijken, en je kon, terwijl je geen eigenaar was, deze overnemen.

Wietse: Ja, alle grasmaaiers van hetzelfde merk overnemen. Aan/uit zetten, ik weet het niet. Waarschijnlijk kon ik ook een nieuwe firmware uploaden, maar ik ben daar niet heen gegaan. Dat was best grappig, maar nogmaals, dat is precies wat ik doe, oké. Ik had een grasmaaier en dacht, wat doet het, hoe werkt het, ontmantelen, bekijken, dus, en dit was alleen de Android-applicatie die kapot was. 

Chantal: Dus je hoefde de grasmaaier eigenlijk niet aan te raken, alleen de applicatie?

Wietse: Ja, absoluut.

Chantal: Dat zijn leuke dingen, zoals de grasmaaier van iemand anders overnemen en gekke dingen doen. Dat kan leuk zijn. 

Wietse: Ik had dat kunnen doen, maar ja, nee!

Chantal: Je deed het niet! Oké, wat zijn je favoriete tools of bronnen, of misschien content om te leren en van te leren?

Wietse: Nou, ik heb er geen. Hoe ik werk, bijvoorbeeld, ik haal iets uit elkaar, en dan denk ik, oké, wat is dit? Ik begrijp het niet. En dan begin ik met googelen en breid gewoon mijn kennis uit. 

Chantal: Dus Google is waarschijnlijk je favoriete tool?

Wietse: Ja, absoluut!

Chantal: Dus je doet veel Bug Bounties en pentesting maar ook de Coördinatie van Kwetsbaarheids openbaarmaking. Ontvang je ook swag?

Wietse: Nee, niet echt, maar de beste swag die ik had was van Zerocopter, en dat was de koffie! 

Chantal: De hacker koffie?

Wietse: De hacker koffie, dat was het leukst wat ik had en ik ben een beetje ziek en moe van het T-shirt van de Nederlandse overheid, dus ik ben ermee gestopt.

Chantal: Accepteer je ze niet meer?

Wietse: Nee, dat wil ik niet, nee. Dus gaven ze me, ik weet het niet, 10 of zo, en ik ben ermee klaar 

Chantal: Heb je een favoriete soort swag om te ontvangen?

Wietse: Haha, geld? Cadeaubonnen! Nee, ik doe het niet echt voor de swag. Het is de kick die ik krijg van het vinden van kwetsbaarheden en het rapporteren ervan, dat is eigenlijk het belangrijkste. Als ze willen swag of donaties willen geven, vraag ik ze om het aan de DIVD te geven of zoiets. Dus, verder zeg ik er niet veel om. 

Chantal: Of gewoon daadwerkelijk ervoor betaald krijgen?

Wietse: Ik heb een paar keer gehad dat ze me uiteindelijk vroegen, hé, kun je ons helpen, en werden ze een klant van mijn bedrijf. Dat is de beste swag die je kunt krijgen. 

Chantal: Ja, de beste swag is het krijgen van een baan!

Wietse: Ja, dus ze huurden me in, maar dat was nooit mijn bedoeling. Ook als ik een Coördinatie van Kwetsbaarheids openbaarmaking doe – vraag ik nooit om iets. Het is als, jongens, ik heb dit en dit en dit gevonden, en ik leg ze uit wie ik ben, wat ik doe, en dat is het. 

Chantal: En fix je het?

Wietse: Ja, en als je vragen hebt, kun je ze me gratis stellen. 

Chantal: Ga je graag naar conferenties?

Wietse: Nou, ik ben eigenlijk net begonnen met conferenties. We gingen naar MCH, ik vond het echt leuk, het was zo veel plezier. 

Chantal: En May Contain Hackers in Nederland.

Wietse: Ja, en DefCon, natuurlijk! Dit zijn de belangrijkste conferenties waar ik naartoe ben geweest. 

Chantal: Je denkt niet dat het een kans is om iets te leren van anderen?

Wietse: Goede vraag! Waarschijnlijk wel!

Chantal: Oké, dus je zou naar meer conferenties moeten gaan!

Wietse: Ja, absoluut, oké, eraan werken!

Chantal: Is er iets dat je in de toekomst zou willen leren?

Wietse: Zeker weten hardware hacken. Dat is mijn volgende doel. Dat is waarschijnlijk voor de komende vijf jaar. 

Chantal: Het klinkt alsof je al wat ervaring daarin hebt. Zoals uit je kindertijd, misschien?

Wietse: Ja, dat helpt. En ik begrijp de basiszaken. Maar kijk naar Jilles Groenendijk dat is mijn idool voor hardware hacken. Ik denk, oké, wat deze man kan doen is gek, dus dat is waar ik naartoe wil.

Chantal: De nieuwe kick?

Wietse: Absoluut, de nieuwe kick!

Chantal: En is er iets inspirerends dat je zou willen zeggen tegen hackers die in principe ook dit willen doen of misschien ergens willen beginnen? Wat zou je hen als tip geven?

Wietse: Begin met het kapotmaken van dingen en verantwoordelijke openbaarmaking. Je moet verantwoordelijk zijn! Als je iets vindt, rapporteer het. Als ze er niets mee doen, nou, vervelend, maar ja 

Chantal: Hou je aan de regels!

Wietse: Absoluut, ja, ga niet te ver als je iets vindt, probeer niet te veel te exploiteren, zou ik zeggen.

Chantal: Ja, geef gewoon bewijs dat de kwetsbaarheid er is, en rapporteer het aan het bedrijf zodat ze het kunnen oplossen.

Wietse: Absoluut! Ik ben nooit in de problemen gekomen voor het rapporteren van iets, maar ik denk dat wat ik in het begin deed was wat ik eerder zei: leg uit wie je bent en wat je doet. En wat ik deed of ook deed is zeggen, ik heb deze kwetsbaarheid in je systeem ontdekt van dit IP, van deze tijd tot deze tijd. Wees open en eerlijk, dat is het beste wat je kunt doen, denk ik. 

Chantal: Ze kunnen die informatie ook gebruiken om hun logs te controleren en te zien dat jij het was, en die informatie kan helpen.

Wietse: Absoluut. En vraag niet om geld! Geef een goed signaal af over wie je bent en wat je wilt doen, en dingen zullen komen, ik weet niet hoe ik het moet zeggen, maar als je goed doet, ontvang je goed! Dus dat is wat ik denk, tenminste.

Chantal: Zijn er misverstanden of stereotypes over hackers waarvan je denkt dat ze dom zijn?

Wietse: Ik draag geen hoodie en zo. Ik heb kinderen, ik zit niet in mijn zolder dit soort dingen te doen. Maar verder geef ik daar niet om; wat ik doe, doe ik met passie. Ik geniet ervan, ik krijg er een kick van, en dat is het belangrijkste! Wat de rest van de wereld denkt, kan me niet echt schelen, dus ja.

Chantal: Dat is een goeie. Heb je gedachten over de toekomst van deze hele industrie en welke rol hackers daar in de toekomst in zullen spelen?

Wietse: Dat is een moeilijke vraag..

Chantal: Zal hacken in de toekomst veranderen?

Wietse: Met AI, denk ik dat er sommige dingen gaan veranderen, maar er is altijd iemand nodig die het moet interpreteren. 

Chantal: Omdat je vrij goed bent in het automatiseren van dingen. 

Wietse: Nou, automatiseren, als ik een kwetsbaarheid vind, vind ik het leuk om een script of een programma te schrijven dat het uitbuit. Je kunt het gebruiken, wapenen voor massale exploitatie, dus dat is wat ik leuk vind om te doen. Maar dat is gewoon voor mij omdat, oké, druk gewoon op deze knop, en het werkt. 

Chantal: Je wilt het misschien ook gemakkelijk maken voor andere mensen, ook voor de bedrijven waar je aan rapporteerde?

Wietse: Nou, natuurlijk, je automatiseert de kwetsbaarheid om een shell of zo te krijgen, dat is het leuke voor mij. Dat is waar ik een kick uit haal – schrijf gewoon een simpel Python-script dat mijn dingen doet, en dat is het voor mij. Ik publiceer het niet, niet altijd, tenminste.. Voor Kaseya schreef ik het hele script dat alles deed wat ik moest doen voor het krijgen van een remote code execution daar, en niemand heeft het, ik heb het nog steeds op mijn systeem, dus dat is gewoon voor mij, alleen maar voor de lol. Dus ik kan mijn vaardigheden in programmeren verbeteren, en dat is het.

Chantal: Oké, dus je denkt niet dat dit misschien in de toekomst meer en meer zal gebeuren, en dat andere mensen dat ook zullen doen, en het misschien iets is dat we per se geen mensen meer nodig hebben?

Wietse: Ik ben daar een beetje bang voor. Ik denk dat zo'n 80% waarschijnlijk geautomatiseerd zal worden, dus dat. Maar ik weet het niet. Misschien hangt het ervan af hoe je bepaalde kwetsbaarheden interpreteert. Ik weet niet eens of een AI meervoudige stappen kan uitvoeren, ik weet niet of een AI dat kan. Waarschijnlijk na een tijdje wel, maar het aan elkaar koppelen van dingen als je drie exploits hebt, krijg je op afstand code-executie, bijvoorbeeld, weet ik niet of een AI dat kan. 

Chantal: Ik denk wel dat het misschien ons werk efficiënter zal maken en dat we het waarschijnlijk kunnen gebruiken. We kunnen lui zijn.

Wietse: Ik vind dat leuk! 

Chantal: Maar nee, er zijn veel kwetsbaarheden, en ik weet dat je ook behoorlijk wat kwetsbaarheden hebt gevonden die geen enkel systeem ooit zou kunnen detecteren omdat jij er op een andere manier naar kijkt.

Wietse: Nou, dat is waarschijnlijk het, we kijken er op een andere manier naar, maar nogmaals, AI kan ook leren om er op een andere manier naar te kijken. Ik weet niet waar dit heen gaat. 

Chantal: Het zou interessant zijn om te zien!

Wietse: Waarschijnlijk ben ik dan dood...

Chantal: Waarom hack je met Zerocopter? 

Wietse: Ik voel me geen nummer bij Zerocopter. Ik ken iedereen bij Zerocopter. Ik denk dat veel mensen bij Zerocopter mij kennen. En ik weet niet, ze luisteren. Als ik zeg hé jongens, ik heb dit gevonden, het is niet zo belangrijk,  zijn ze nog steeds van, oké, bedankt voor het rapporteren. Goede communicatie. Ze kennen me. Dat is hetgene waar ik echt van hou. Dus, als je de andere Bug Bounty-platforms hebt, voel je je echt als een nummer. Je moet echt hard werken. Wanneer je je kwetsbaarheid krijgt, en je zegt, hé jongens, ik heb iets gevonden. Zeggen ze nee, het is niets, en jij zegt, ja dat is het, kijk hier eens naar. En ik denk dat dat niet het geval is bij Zerocopter. Het is als, hi jongens, ik vond dit, en soms geven ze je hulp. Dus, hé, heb je dit gecontroleerd of dit geprobeerd? Dat is wat ik echt leuk vind. Dus dat is waarom ik alleen Bug Bounties doe met Zerocopter, en de rest voelt niet eens als het. 

Chantal: Dus, heb je ooit geprobeerd Bug Bounties op andere platforms te doen?

Wietse: Ja, zoals Intigriti, ik deed een paar, en we konden daar ook dingen vinden. Maar het is veel werk om publieke programma's te doen. En met de privécrossen worden ze soms uitgenodigd. En het is gewoon leuker met Zerocopter. Het is privé, je wordt uitgenodigd omdat je die vaardigheden hebt die ze nodig hebben voor dat programma, dus dat is wat ik het leukst vind. 

Chantal: Ja, we hebben je opgemerkt omdat je een vrij frequente rapporteur van Coördinatie van Kwetsbaarheids openbaarmaking was, en je stond op de wachtlijst, en uiteindelijk kreeg je de uitnodiging. En je kon deelnemen aan onze Bug Bounty-programma's. En je bent een grote bijdrager aan veel van die programma's!

Wietse: Oh, cool! Bedankt! Ja, nou, nogmaals, als het een passie is, wil je de extra mijl gaan. Dus, denk ik dat dat is wat jullie opgemerkt hebben.

Chantal: Ja, je passie en toewijding ook, om soms van een zeer klein ding naar een zeer groot impactvol iets te gaan 

Wietse: Ik denk dat kleine dingen ook belangrijk zijn om te rapporteren. Ik weet dat dit klein is, maar het zou potentieel echt slecht kunnen zijn. Dat is een beetje hoe ik ernaar kijk. Dus ik heb het geld daar niet voor nodig, als ik een Bug Bounty krijg, dan is dat prima ja, maar als het iets laagdrempelig of informatief is, is dat ook prima. Dus het programma moet verbeteren, of de software van de klant moet beter worden, en kleine stappen maken het ook beter. Dus dat is wat ik echt leuk vind. En dat is wat jullie ook ruimte geven, dus het is niet zo dat jullie zeggen dat het kritisch moet zijn of iets dergelijks. Dat is leuk voor mij om kritisch te worden, maar voor het bedrijf dat je test is het ook belangrijk dat je de informatieve of de lage meldingen doet. Dus dat is het!