Van online gamen naar digitaal inbreken

Dagelijks breekt hij websites van bedrijven binnen om die vervolgens zoveel mogelijk te slopen. En daar verdient hij zijn brood mee. Niet middels chantage, nee, hij wordt ingehuurd door die bedrijven zélf. Het gaat om de 30-jarige Wesley Neelen, en hij is een zogenaamde ethische hacker. In zijn acht jaar dat hij er mee bezig is heeft hij al heel wat meegemaakt.

Op de achtergrond van Wesley’s kamer valt één ding duidelijk op: een wit plakkaat ter grootte van een mensenhoofd, zo tegen de muur. ‘ZOLDER’, valt er met strakke, zwarte letters onderaan op te lezen, vergezeld door dikke, schuine strepen erboven. Nee, die tekst is niet om aan te geven dat zijn kamer een zolder is, het is de naam van Wesley’s bedrijf waar hij, samen met vier anderen, zijn hackdiensten aanbiedt. Een jaar werkt hij nu via Zolder op zichzelf, nadat hij eerst zeven jaar in dienst was voor verschillende bedrijven, waaronder KPN Security (voorheen DearBytes). Maar nog voordat hij bezig was kwetsbaarheden in websites van bedrijven te ontdekken, was Wesley al andere dingen aan het hacken. Wapens, bijvoorbeeld. Vanuit zijn ‘Zolder’-kamer blikt Wesley terug.

Call of Duty

Voor Wesley begon het hackavontuur met een verslavende hobby waar de meeste jongens van rond de 15 jaar al tijden een hoop van hun vrije tijd in stoppen: gamen. En voor Wesley was dat rond die leeftijd niet anders. Mensen overhoop knallen in spellen als Call of Duty was leuk, maar het ontwaakte ook een nieuwe interesse bij Wesley. Hij kwam erachter dat met het downloaden van een programaatje op zijn pc, hij bepaalde dingen in het spel zélf aan kon passen. Dingen als kogels verwijderen uit wapens, zodat spelers gedwongen worden om anderen neer te slaan; het zorgde voor een waar ‘god op aarde’-gevoel. ‘’Dat was puur zelf doen, er heel veel tijd aan besteden en op internet kijken hoe dat allemaal werkt,’’ herinnert Wesley zich. Echt hacken wil hij die game-aanpassingen nu dan ook niet noemen, gezien hij vooral instructies van anderen online opvolgde. Alsof je bij de McDonald’s werkt en de zoveelste Big Mac maakt; je doet in principe niets nieuws, niets unieks. Het zorgde er echter wel voor dat hij, eenmaal oriënterend op een vervolgopleiding, geïntrigeerd raakte toen hij zag dat een ICT-opleiding zichzelf promootte door ‘hacken’ als onderdeel te noemen.

Recherche

Het ging om de mbo-opleiding particulier digitaal onderzoeker. ‘’Dat is het digitaal onderzoeken van pc’s op eventueel bewijsmateriaal. Dat kan zijn van een hack, fraude, of iemand die iets steelt van een organisatie,’’ zo legt Wesley het encyclopediewaardig uit. Omdat hij dus al als hobby een beetje in die hackrichting bezig was – aan het ‘prutsen’, zoals hij het nu zelf denigrerend noemt – was deze opleiding een logische keus. Een duidelijke stap in de juiste richting, maar Wesley bevond zich nog niet helemaal aan de ethische-hacklaan. ‘’We deden er wel dingen als wifi-hacken, maar dat was het wel zo’n beetje.’’ Het ‘echte’ ethisch hacken begon pas toen Wesley vlak na zijn opleiding bij een particulier recherchebureau ging werken.

Als een kwaadwillende dit voor elkaar krijgt, kan het heftig fout gaan.

Bij een particulier recherchebureau kunnen klanten aankloppen als ze hulp willen bij het opstellen van een bewijsdossier voor een aangifte of rechtszaak. De medewerkers doen dan onderzoek naar de desbetreffende zaak. ICT, en dus ook cybercrime, zijn zaken waar vaak een recherchebureau voor wordt ingeschakeld, en dat was dan ook precies waar Wesley mee bezig mocht. Anderhalf jaar was Wesley bezig digitaal onderzoek te doen, als ICT-enthousiasteling prima werk, tot hij op een dag iets heel interessants ontdekte. Bij het bureau waar hij werkte, wilden ze iets nieuws opzetten. Een nieuwe afdeling genaamd pen-testing. ‘Kwetsbaarheden ontdekken in websites en netwerken van klanten en vervolgens adviseren hoe deze kwetsbaarheden op te lossen’ Nou, dat klonk Wesley wel als muziek in de oren; dé logische volgende stap in zijn prille hackcarrière. Hij greep zijn kans dan ook met beide handen aan toen hij werd gevraagd een specifieke hackopleiding te volgen (OSCP) en mee te werken op de afdeling. Niet veel later was penetratietesten zijn hoofdzakelijke bezigheid. Wesley was officieel een ethische hacker.

Kwaadwillend

Niet voor iedere nu-ethische hacker loopt dit zo soepel. Sommigen leren de kneepjes van het hacken zelf, vaak op jonge leeftijd. Zelfs koters zijn al zakenmannetjes in de dop, en dus wordt er al vaak door ze nagedacht hoe ze een slaatje kunnen slaan uit hun nieuwe hackvaardigheden. Bij bedrijven werken is dan meestal nog geen optie, logischerwijs, dus wat doen de meeste tieners dan? Inderdaad, ze besluiten het slechte pad op te gaan. Kwaadwillend hacken. Er valt een hoop geld mee te verdienen, veel meer dan als je het legaal doet, weet Wesley. Dat hij het hacken eigenlijk pas echt leerde toen hij al een baan als ethische hacker had, is misschien wel dé reden geweest dat Wesley nooit de illegale kant op is gegaan. ‘’Als ik 14 was geweest, en ik kon het toen al, dan wordt het wel gevaarlijk want dan weet je niet wat je er mee aan kan richten’’, geeft hij dan ook aarzelend toe.

Onderschat

Het is ondertussen al circa acht jaar sinds Wesley officieel is begonnen met ethisch hacken. Op de vraag wat hem in die jaren in het bijzonder altijd is bijgebleven, komt hij in zijn geheugen al snel terecht bij één bedrijf waar hij ooit door ingehuurd was. In het begin was het allemaal redelijk standaard, tot het hem na een tijdje lukte om in de database van een van de systemen van de organisatie te komen. Zo wist hij het administratorwachtwoord te achterhalen. ‘Oké, top, maar werkt dat ook voor de rest?’, was de standaard gedachte bij dit soort gevallen. Via een geautomatiseerd proces ging hij in een keer alle systemen af. Plots: een van de systemen springt op groen, en weer een op groen, en nog een op groen. Alle systemen sprongen op groen. Het was gelukt: hij was binnen. In álle computers. Met één simpel wachtwoord. Zo makkelijk had hij nog nooit een hele organisatie over kunnen nemen.

Als ik 14 was geweest, en ik kon toen al hacken, dan wordt het wel gevaarlijk, want dan weet je niet wat je er mee aan kan richten.

In eerste instantie was hij verheugd: bedrijven legaal mogen hacken om ze vervolgens te kunnen adviseren over hoe ze hun systemen beter kunnen beveiligen maakt dat hij zijn werk zo leuk vindt. Het geluk en de voldoening van Wesley springen echter al snel over in schrik. ‘O nee, wat heb ik nou weer gedaan?’, schiet er door zijn hoofd. Het was immers niet de minste organisatie. Achteraf bleek ook nog eens dat dat de systemen waar Wesley toegang toe had verkregen, niet alleen van de organisatie waren waar hij onderzoek voor deed. Hij had ook toegang gekregen tot computers van meerdere andere bedrijven, die onderdeel waren van één overkoepelende organisatie, en allemaal waren aangesloten op hetzelfde netwerk en hetzelfde beheerderswachtwoord hadden. ‘Als een kwaadwillende dit voor elkaar krijgt kan het heftig fout gaan’,  borrelde het dan ook nog lang na in Wesley’s hoofd. Computerveiligheid wordt nog vaak onderschat, dat mag Wesley wel concluderen na acht jaar inbreken in websites.

Leave comment

Your email address will not be published. Required fields are marked with *.