Student Jasper is ethisch hacker: ‘Ik had altijd al een interesse voor inbreken’
Als inbreker een bedrijf binnendringen; voor student Jasper (25, Cyber Security) is het niks ongewoons. Als ethisch hacker is hij dagelijks bezig met de beveiliging van bedrijven. ‘Een groepsgenoot zat ooit met z’n laptop op het toilet om het netwerk van een bedrijf te scannen.’
Jasper loopt het Wibauthuis in alsof er niets aan de hand is, maakt een praatje met de beveiliging en kan zo doorlopen zonder in te checken met zijn HvA-pas, iets wat sinds de coronacrisis verplicht is. ‘Voor mij is het een uitdaging om te proberen of zoiets lukt’, zegt hij lachend. ‘Het praatje zorgt er juist voor dat ik niet opval.’
Als we een paar minuten later op een rustige plek zitten, haalt Jasper zijn computer tevoorschijn om te laten zien hoe hij iemand hackt. Hij klikt wat met zijn muis, drukt vijf keer achter elkaar shift in ‘En voilà, ik ben via een omweg mijn eigen computer binnengedrongen’, zegt hij. ‘Zo makkelijk kom ik dus ook bij iemand anders binnen.’
De tweedejaarsstudent Cyber Security vertelt ons over de wereld achter het ‘digitale inbreken’. Maar wel onder een voorwaarde: dat hij anoniem blijft. Anders kan hij niet meer ongezien ergens naar binnen en wordt het vinden van een baan later een stuk lastiger.
‘Het enige verschil tussen mij en een criminele hacker is dat ik toestemming heb om binnen te komen en zij niet’
Jij wordt opgeleid tot ethisch hacker. Wat is dat?
‘Een ethisch hacker speelt de inbreker. We worden ook wel white hat hackers genoemd, omdat we hacken met goede bedoelingen. Bedrijven vragen bijvoorbeeld of ik wil proberen om hun digitale systeem binnen te dringen, om te kijken waar de kwetsbaarheden zitten. Want als ik erin kan komen, kan een crimineel dat ook. Eigenlijk doe ik hetzelfde als een criminele hacker, we verdienen er ook allebei geld mee. Het enige verschil is dat ik toestemming heb om binnen te komen en zij niet. En ik probeer natuurlijk geen schade aan te richten.’
Is de verleiding niet groot om toch de criminele hackerswereld in te gaan? Daar zit het grote geld.
‘Nee. Natuurlijk kun je dan in een keer veel meer geld verdienen, maar je loopt ook een groot risico om gepakt te worden. Dat weegt voor mij niet tegen elkaar op. Bovendien kan ik zulke dingen niet goedpraten in mijn hoofd. Ik zou het mezelf nooit vergeven als ik geld zou verdienen over de rug van anderen door bijvoorbeeld een coronatestcentrum te hacken, zoals een tijdje geleden in België gebeurde.’
In 2019 begon de HvA met de Associate degree Cyber Security. De tweejarige voltijdopleiding leidt studenten op tot cybersecurityprofessional. Twee dagen per week werken zij aan actuele vraagstukken uit de praktijk. Sinds het ontstaan van de opleiding, blijft het aantal aanmeldingen stijgen. In september gaat de studie van start met ongeveer 135 nieuwe studenten.
De komst en groeiende populariteit van de opleiding zijn te verklaren aan de hand van de toenemende cybercriminaliteit. Zo waren waren de HvA en UvA in februari dit jaar doelwit van een hack. Afgelopen week werd duidelijk dat een groep Russische hackers wereldwijd duizenden bedrijven aanviel. Nederlandse ethische hackers wisten de aanval bijna te voorkomen. Jasper hoopt zijn skills later ook op deze manier in te zetten en criminelen buiten de deur te houden.
Waarom ben jij deze opleiding gaan doen?
‘Ik heb altijd al interesse gehad voor inbreken; online en offline. Tijdens mijn bijbaan als fietskoerier maakte ik er een spelletje van om te kijken of ik ergens binnen kon komen, zonder dat de klant het doorhad. Ineens stond ik dan met een pakketje voor iemands neus, die zich natuurlijk verbaasd afvroeg hoe ik al drie deuren was doorgekomen zonder aan te bellen. Hacken en inbreken lijkt toch een beetje een mission impossible; er hangt een James Bond-achtige sfeer omheen, wat ik heel tof vind.’
Hoe ziet een les eruit?
‘Het hacken leren we via voorgebouwde digitale omgevingen. We proberen dan binnen te dringen, door de ingebouwde kwetsbaarheden op te sporen. Verder werken we veel met echte bedrijven samen. Zij willen bijvoorbeeld dat we de website controleren of dat we proberen hun systeem te hacken. De bedrijven maken van tevoren duidelijke afspraken over wat wel en niet mag. Je tekent ook altijd een geheimhoudingsverklaring. Want als ik een manier vind om makkelijk het systeem binnen te komen, mag ik dit natuurlijk niet met de rest van de wereld delen. Soms mag er ook maar een beperkt aantal werknemers van het bedrijf weten waar we mee bezig zijn.’
- Klik niet op de bekende phishing links.
- Ga na of iets echt is. Als iets van een bekende komt, vraag dan na of dit inderdaad zo is.
- Hackers spelen in op emotie en proberen je te overrompelen. Bedenk daarom goed of het logisch is wat er wordt gevraagd.
- Gebruik een password-manager om je wachtwoorden te bewaren. Bewaar wachtwoorden nooit op losse plekken, zoals de notities in je telefoon of op een briefje onder je toetsenbord.
- Via de website have i been pwned kun je nakijken aan welke ooit gehackte accounts je emailadres verbonden is. Het is slim je wachtwoorden hiervan te veranderen.
- Gebruik geen open wifi-netwerken voor belangrijke zaken als internetbankieren, want deze zijn niet altijd goed beveiligd.
- Open documenten van onbekende bronnen liever niet, want het is mogelijk om virussen mee te sturen. Moet je het bestand toch openen? Hou het dan in de leesmodus die Office bijvoorbeeld aanbiedt. Je kunt het bestand dan alleen niet bewerken.
- Check of er een veiligheidsslotje of https voor het webadres staat wanneer je een website bezoekt. Dit toont aan dat de verbinding veilig is.
- Voor medewerkers: hou niet zomaar de deur voor iemand open, hoe betrouwbaar diegene er ook uitziet. Als iemand binnen hoort te komen heeft diegene zelf een toegangspasje.
Hoe gaat het als je met toestemming digitaal een bedrijf binnendringt?
‘Ik kijk eerst wat ik allemaal over het bedrijf kan vinden. Ik bekijk bijvoorbeeld de LinkedIn-accounts van de werknemers en de website van de organisatie. Waar moet ik allemaal wachtwoorden invullen? Op dit moment moeten de alarmbellen al afgaan bij een bedrijf. De webbeheerder moet zien dat een specifiek IP-adres wel heel snel allerlei dingen aan het checken is, dat hoort niet. Daarna breng ik mogelijke bedreigingen in kaart en ga ik op zoek naar kwetsbaarheden in het systeem. Deze rapporteer ik, zodat het bedrijf hier later iets aan kan doen. Aan het einde is het belangrijk dat ik al mijn sporen netjes uitwis. Anders maak ik het voor anderen heel makkelijk om ook binnen te komen.’
Soms moet je ook echt een gebouw in. Waarom?
‘Dat is om te kijken hoe het met de fysieke beveiliging gesteld is, zowel met bewakers als met de techniek, zoals camera’s, toegangspasjes en sloten. Ik moet dan undercover het gebouw in, bijvoorbeeld door te doen alsof ik daar werk of de monteur ben die de lift komt maken. We wilden met mijn projectgroep ook een keer het netwerk van een bedrijf scannen toen we binnen waren. Om dit zo onopvallend mogelijk te doen, is een groepsgenoot op het toilet gaan zitten met zijn laptop op schoot. Dat is wel echt bizar.’
Zullen we ooit van criminele hackers afkomen?
‘Nee. Er is veel geld mee te verdienen, dus dat betekent dat mensen het altijd zullen blijven doen. Ook al beveiligen bedrijven zich steeds beter, criminele hackers worden ook steeds slimmer. Het is en blijft een kat-en-muisspel.’