Het klinkt gewoon heel tof om je eigen overheid te hacken

Door Andrea Speijer-Beek

Kapustkiy geniet enorm van alle aandacht en roem die zijn recente hack van het Russische Consulaat in Nederland met zich meebrengt. De 17-jarige Nederlander die schuilgaat achter het hackerhandle Kapustkiy meldt al sinds zijn 15e veiligheidslekken aan (internet)bedrijven. Hij kwam in opspraak omdat hij de gegevens van 500 van de 6000 door hem ‘gestolen’ gebruikers van het Russische Consulaat had gelekt. Naar eigen zeggen deed hij dit om aan te tonen wat de gevolgen kunnen zijn van een black-hat die het ongedichte veiligheidslek vindt.

picture

Het is niet de methode, maar het resultaat dat telt. Het krijgen van erkenning voor zijn bijdrage aan de online veiligheid lijkt een hoofdmotief te zijn. Domeinbeheerders die een mail krijgen van Kapustkiy en geen lek willen, doen er goed aan om hem niet te negeren. “Ik erger me eraan dat ze nooit hun mails checken.” Als de erkenning van het door hem gevonden veiligheidslek namelijk niet of niet snel genoeg komt, helpt Kapustkiy de voorzienigheid een handje door de admins met een datalek in paniekmodus te jagen. Dat deze aanpak vruchten afwerpt blijkt uit de constante stroom dankberichten die Kapustkiy mij doorstuurt.

Het Nationaal Cyber Security Centrum (NCSC), waar Kapustkiy vaak kwetsbaarheden meldt, is niet blij met deze methode omdat het niet in lijn is met hun responsible-disclosure-beleid. Kapustkiy weet dat zijn modus operandi niet helemaal vlekkeloos is, maar hij is er zeker van dat het in het belang is van gebruikers om de domeinbeheerders schrik aan te jagen. “Ik lek kleine hoeveelheden data zodat ze weten dat het geen grap is.”

Zo plaatste hij niet alleen de gegevens die hij buitmaakte bij het Russische Consulaat (tijdelijk) in een pastebin, ook een Indisch bedrijf dat volgens Kapustkiy niet wilde luisteren kreeg een datalek als waarschuwing. “Ze hadden ongeveer 20 domeinen die gerelateerd waren aan de Indische Ambassade. Sommigen van die websites waren al eerder gehackt. Pas na de hacks besloten ze de kwetsbaarheden te fixen.” Sinds hij de lekken heeft aangekaart heeft de beheerder gekeken naar alle domeinen en zijn de kwetsbaarheden gedicht.

Op een Italiaanse website paste hij dezelfde methode toe: “Ik had een SQLi gevonden in een overheidswebsite. Ze hadden ongeveer 45.000 gebruikers met logins. Ik had de fout gerapporteerd en toen ik geen antwoord kreeg besloot ik wat te gaan lekken. 3 dagen later kreeg ik een mail van ene Elio Gullo die mij bedankte. Toen heb ik alles verwijderd.” Als extra bedankje kreeg hij een bericht op de voorpagina van een bekende Italiaanse krant.

picture

Kapustkiy begon op zijn 13e met hacken. “Ik was geïnspireerd door een hackersgroep genaamd LulzSec. Zij stonden bekend als een black-hat-hackersgroep die grote bedrijven had gehackt, waaronder Sony.” Hij begon op eigen houtje uit te vogelen hoe ze het deden en kwam zo in de hackerswereld terecht. Om zijn doelwitten uit te kiezen maakte hij een alfabetische landenlijst en ging vervolgens alle websites af die te maken hadden met de overheid op zijn lijstje. “Bijvoorbeeld, bij de A ga ik alle websites af die met Armenië te maken hebben, bij de B met België, enzovoort.” Al maakte hij kennis met hacken via een black-hat-organisatie, hij koos ervoor om te helpen. Dat hij daarbij alleen niet altijd 100 procent netjes te werk gaat is voor hem geen issue.

picture

De vraag waarom hackers vaak eerst in aanraking komen met de donkere kant van de hackwereld zoals Lulzsec en het ethische hacken pas later vinden, stel ik aan de 20-jarige securityhacker Olivier Beg. Hij werd beroemd toen hij op zijn 19e United Airlines hackte als onderdeel van hun responsible-disclosure-challenge, en heeft er wel ideeën over. “Het criminele wordt ook wel een beetje verheerlijkt. In veel films wordt bijvoorbeeld de overheid gehackt. Er zit wel een soort van aantrekkingskracht in, die zwartehandelsplekken met kwade hackers.”

picture

Olivier begon ook op de middelbare school met hacken, om zijn programmeerskills te verbeteren. “Toen ik begon met scripten begon ik mij af te vragen, hoe maak ik mijn eigen dingen kapot?” Het kapotmaken van je eigen dingen lijkt een beetje op tegen jezelf schaken. “Iedereen maakt fouten, jijzelf ook, de truc van securityhacken is om zo min mogelijk fouten van jezelf erdoor te laten.” Dat was het begin van zijn carrière als securityhacker. Op het Spinoza Lyceum hackte hij het schoolsysteem. “Dat meldde ik dan bij de systeembeheerder, die zei 'lol' en loste het snel op.” Olivier begon naar eigen zeggen pas serieus met hacken in 2013-14, toen hij zijn eerste securitymelding bij Apple deed.

Voor Olivier geen alfabetische lijstjes om zijn targets te kiezen. “Je moet een beetje je gevoel volgen,” is zijn advies bij het uitkiezen van websites om te pentesten. “Ik zag gewoon in het nieuws dat United een bugbounty had uitgeschreven. Op nu.nl stond dat als je United hackt je airmiles kon winnen. Op vrijdag zag ik het bericht en ik ben toen tot zaterdag doorgegaan met hacken. In een weekend heb ik United gehackt en een miljoen airmiles verdiend.”

We hebben het even over David Schrooten, de 24-jarige hacker die verzeild raakte in online criminaliteit toen hij zich inliet met het doorverkopen van creditcardgegevens en daarvoor jarenlang vastzat in een Amerikaanse cel. “Als je zoals David met creditcardwebsites werkt weet je echt wel dat je niet lekker bezig bent. Als je toch op zoek gaat naar iets om te hacken, kijk dan naar responsible-disclosure-programma's, liefst met bugbounties.” Zelf kent Olivier ook jonge hackers die op het foute pad zijn geraakt, al gaat hij uit privacyoverwegingen niet in op de details. “Als je achter een computer zit merk je niet altijd of je goed of slecht bezig bent, je raakt makkelijker in criminaliteit verzeild. Zeker als je jong bent en je er niet echt bewust mee bezig bent.” Hij raadt jonge hackers die per se het Pentagon of het Witte Huis willen hacken aan dat vooral niet zonder toestemming te doen.

Het Pentagon is zich bewust van de magische aantrekkingskracht die uitgaat van een prestigieuze hack. Daarom heeft het de ‘hack the Pentagon’-challenge opgezet, samen met het bugbountyplatform HackerOne. Olivier: “Het Pentagon hacken, dat trekt jongeren aan. Het klinkt gewoon heel tof om je eigen overheid te hacken, en als je dat ook nog eens legaal kunt melden is dat helemaal mooi.” De domeinen .mil, .defend en .gov waren even fair game voor hackers, waardoor ook white-hats het plezier van de overheid hacken konden ervaren, zonder de angst daarna door de FBI van je bed te worden gelicht. “Als je iets vindt is het Pentagon je ook nog eens dankbaar. Je hoeft dus niet bang om overheidsgebouwen heen te lopen als je ooit in Amerika bent.”

Olivier is erg te spreken over de trend van overheden om zich open te stellen voor hackers. De Nederlandse overheid loopt daarbij voorop, maar nu zelfs Amerika – voorheen heel streng op iedere hackactiviteit – langzaamaan begint met het accepteren van ethische hackers en ze zelfs actief rekruteert, verwacht hij dat het aantal scriptkiddies dat de black-hat-kant opgaat zal afnemen. “Het helpt jongeren er zeker bij om de goede kant te kiezen. De overheid hacken zonder 6 jaar te hoeven zitten, dat is wel een voordeel.”

Het openstellen van overheidsinstanties voor hackers en het verzachten van te rigide wetgeving is een eerste stap in de goede richting, maar er is meer nodig om de onlineveiligheid te vergroten. Olivier zou voorstander zijn van een Ministerie van ICT dat zich bezighoudt met “verantwoordelijke veiligheidaanbestedingen”. Wel benadrukt hij dat het vooral belangrijk is dat er competente mensen werken. “Nu heb je dat een politicus even gaat praten met een security-expert die vervolgens zegt 'security moet beter'. Dan komt er een vage wet en is er alsnog niets opgelost. Politici die niet weten waar ze het over hebben zijn, als het gaat over een onderwerp als security, heel schadelijk.”

Een tweede en minstens even belangrijke manier om scriptkiddies naar de legale kant van de hackwereld te krijgen, naast het optuigen van een Ministerie van ICT dat niet wordt bestierd door n00bs, zijn de eerdergenoemde bugbounties. Olivier heeft zelf een succesvolle bugbounty-slack opgericht, waar zo’n 150 hackers tips en tricks met elkaar delen. Het is niet makkelijk om erop te komen. “Op het moment hebben we 500 verzoeken.” De groeiende populariteit van securityhacking hangt vermoedelijk samen met het feit dat steeds meer bedrijven en overheden beloningen bieden aan hackers voor het vinden van veiligheidslekken. Op die manier maakt het bedrijf zich minder kwetsbaar voor kwaadaardige aanvallen en verdienen niet alleen criminele hackers geld met het vinden van veiligheidslekken. “Als je een beetje goed bent en je vindt 1 keer per maand iets dan verdien je misschien 500 euro. Als je dat 1 keer per week kunt doen, dan verdien je toch 2000 per maand, niet slecht.”

Ik vraag hoe moeilijk het is om een beetje fatsoenlijk van bugbounties te kunnen leven. Olivier: “Soms wordt voor de makkelijkste dingen het meeste geld betaald. Bij Twitter vond ik bijvoorbeeld dat je creditcardinfo kon verwijderen door een nummertje te veranderen in een link. Daar kreeg ik 3000 dollar voor, dat was echt makkelijk. Bij een kledingbedrijf kon ik alle klantgegevens zien door gewoon naar @admin te gaan. De eigenaar heeft mij 7500 dollar betaald voor het melden van dat lek.”

De hoogte van het bountybedrag hangt dus niet altijd af van de moeilijkheid van de hack, maar vaak is het wel zo dat hoe moeilijker het is om een systeem te hacken, hoe hoger de beloning. “Als je een lek vindt in de iPhone 7 staat het bountybedrag op 2.000.000. Bij Android is dat bedrag veel lager.” Apple iOS biedt een bounty van 1.500.000 euro voor het vinden van een zero day, bij de Android 7 staat dat bedrag op 200.000. “Bovendien krijg je als eenmaal bekend is dat je goed bent ook opdrachten met hogere stakes en kun je snel meer gaan verdienen.”

picture

Ik vraag beide hackers naar hun mening over de nieuwe recruteringscampagne van de FBI in samenwerking met Europol (foto). De meningen zijn verdeeld. Kapustkiy vindt het een goed idee, omdat jonge hackers zo in aanraking komen met securityhacking. Voor Olivier had het wel wat minder tenenkrommend gemogen. “De FBI heeft nu zelf ook bugbounties en zijn goed met securityhacking bezig, maar dit had niet per se gehoeven.” Hij checkt het nieuwsbericht en lacht als hij het zelfspottende commentaar van Europol voorleest: “Scriptkids met skills in graphic design kunnen misschien helpen bij het ontwerpen van de volgende campagne.” Goedkeurend: “Ze hebben in elk geval wel gevoel voor humor.”

Next up