In ‘Cyberellende was nog nooit zo leuk’ laat auteur en internetsocioloog Chris van ‘t Hof de ‘mooie’ kant van cyber zien, een open wereld waarin steeds meer kennis wordt gedeeld. Zijn boodschap is dat een community is ontstaan die we moeten koesteren; een open wereld waarin kennis en expertise vrijelijk wordt uitgewisseld.
Juist omdat de dreigingen op internet zich zo snel ontwikkelen, zijn openheid en samenwerking van cruciaal belang. Ethische hackers – of zoals Van ‘t Hof ze noemt: ‘helpende hackers’ – dragen veel bij aan het voorkomen van de nodige ellende.
De laatste jaren is het besef ontstaan dat deze categorie hackers vol positieve intenties een nuttige rol spelen in de uiterst complexe wereld van cybersecurity. Deze vrijwilligers hebben vaak meer impact dan duurbetaalde consultants die niet verder komen dan een opsomming van alle risico’s, op winstmaximalisatie beluste securitybedrijven en voorzichtige ambtenaren. Gelukkig staan de ‘officiële organisaties’ die taken hebben op het gebied van cybersecurity, steeds meer open voor dit type hackers. Onder bedrijven, (onderzoeks)instellingen en overheid neemt de bereidheid toe om kwetsbaarheden te delen.
Het negatieve beeld dat van hackers bestaat, verdwijnt geleidelijk. En terecht. Want de wereld van cybersecurity, informatiebeveiliging en hackers is geen vat vol ellende. Evenmin is de perceptie juist dat die community geheimzinnig en ondoorgrondelijk is. Voor zover die misvatting nog leeft, neemt Van ‘t Hof alle twijfels weg. Hij probeert aan de hand van zijn ervaringen als presentator tijdens talloze veiligheidscongressen, hacker-events en cyber-crisisoefeningen elke negatieve connotatie bij het verschijnsel hacker weg te nemen.
T-shirt met een grappig opschrift
De internetsocioloog schetst een wereld waarin betrokkenen veel voor elkaar over hebben en daar veel lol aan beleven. Het is een subcultuur waarin wordt uitgekeken naar feestjes. Iedereen draagt een zwart T-shirt met een grappig opschrift. Gemeenschappelijk is de afkeer van holle marketing-speak, pr-gezwam en commerciële buzzwords. Iedereen heeft hetzelfde ideaal, namelijk de beveiliging verbeteren. Het boek belooft, zoals uit de subtitel blijkt, ‘onthullende verhalen uit de wereld van informatiebeveiligers en hackers’. Daar heeft de auteur toch een beetje op de marketingknop gedrukt. Onthullingen ontbreken of zijn heel goed verborgen gebleven.
Uitzondering vormt de gang van zaken rond de sleepwet, de wet op de inlichtingen- en veiligheidsdiensten. In de aanloop naar het referendum strooide de overheid rijkelijk met subsidies waarvan vooral clubjes van tegenstanders wisten te profiteren. Kleine groepjes privacy-activisten kregen 50.000 euro van de overheid voor ‘een website en een evenement’.
Bierviltjes
Van ‘t Hof bezocht zo’n ‘kritisch’ debat in Amsterdam. Op een zolderkamer die de organisator gratis van een vriend kon gebruiken, zaten acht bezoekers: vijf vertegenwoordigers van de stichtingen die elk 50K hadden gekregen, twee andere bezoekers die bij voorbaat tegen stemden en Van ‘t Hof zelf. Na drie uur wederzijdse bevestiging en geklaag over de staat vroeg de auteur of dit nu het evenement was waar ze 50K voor kregen. Nee, ze gingen ook nog een kritisch essay online zetten en bierviltjes rondbrengen. Privacy is big business, concludeert Van ‘t Hof terecht.
Nederlandse hacker
Als schrijver/presentator/dagvoorzitter zit hij diep in de hackerswereld. Zijn boek geeft een aardig beeld van hoe er in dat wereldje toegaat. Bijna elke Nederlandse hacker die enige wapenfeiten op zijn naam heeft staan, passeert de revue. Aan de basis van het boek liggen meer dan honderd hackers en beveiligingsdeskundigen die hij de afgelopen vijf jaar in verschillende rollen heeft kunnen spreken.
Net als in zijn vorige boek ‘Helpende Hackers’ uit 2015 behoort Victor Gevers tot de centrale figuren. Deze ethische hacker zoekt massaal naar mogelijke lekken. Hij kijkt niet wat er in een database staat, alleen maar dat er informatie staat die kwetsbaar is voor ‘foute’ hackers. Vervolgens meldt hij dat aan de betrokkenen. Slechts bij hoge uitzondering krijgt hij een bedankje, laat staan een leuk presentje. Meer dan een handjevol T-shirts heeft hij niet aan zijn hobby overgehouden. De meeste meldingen worden stilletjes afgehandeld, vaak zonder enige reactie. Je zou zelfs denken dat bedrijven liever betalen voor een nietszeggend rapport van een chique consultant.
Privacygekkies
Gevers, die er eind 2020 in slaagde om in te loggen op het Twitter-account van de toenmalige Amerikaanse president Trump, werkte jarenlang ongevraagd, onbetaald en met minimale waardering. Een schril contrast met eerder genoemde privacygekkies die er niet vies van zijn om mee te eten uit de subsidieruif. Volgens Van ‘t Hof heeft hij slechts één missie, namelijk internet veiliger te maken. Gevers scant geheel belangeloos internet op kwetsbaarheden. Hij gebruikt tools en bronnen die voor iedereen vrij toegankelijk zijn. Zijn vondsten worden gratis beschikbaar gesteld.
Zo was hij In 2016 alle 366 dagen vijgtien uur per dag lekken aan het zoeken en melden. In het eerste kwartaal van 2018 scande hij 33 miljoen internetadressen. Daarvan bleken er 151.000 kwetsbaarheden te bevatten. Gevers deed (geautomatiseerd) 140.000 meldingen waarvan er 90.000 zijn gerepareerd of offline gehaald. Vaak krijgt Gevers abuse mail, automatische meldingen die een vermoeden uitspreken dat hij misbruik maakt van internet. Gevers ontvangt meer dan honderdduizend mails per dag. Op een bepaald moment stonden meer dan 23 miljard mails in zijn mailbox aangemerkt als ‘ongelezen’.
Vijand
Gevers is de koning van de responsible disclosure of zoals dat tegenwoordig heet ‘coordinated vulnerability disclosure’. Hij houdt zich aan de richtlijnen zoals de NCSC die heeft gesteld. Als kwetsbaarheden worden ontdekt, moet degene die het kan verhelpen meer tijd krijgen dan de vijand die het wil misbruiken. De leidraad is veel meer dan een takenlijst voor hacker. Omschreven staat ook wat van de andere partij wordt verwacht als die een melding ontvangt. Alles draait om samenwerking.
De ethische hackers hebben erkenning gekregen. Op bijeenkomst gaan ze vriendschappelijk om met ambtenaren, bedrijfsleven en justitie. ‘Het is geven en nemen,’ stelt Van ‘t Hof. De gevestigde orde van grote bedrijven, overheid en instituties beseft inmiddels dat helpende hackers over een unieke kennis beschikken. Volgens de auteur zal daar de komende jaren alleen maar meer behoefte aan komen. Hackers maken, breken en bespreken technologie, vaak op een andere manier dan waarvoor de technologie is bedoeld.
Uit eigen zak
Ondanks de bredere erkenning kunnen hackers nog wel wat steun gebruiken. Daarom heeft Van ‘t Hof in 2019 met Victor Gevers en oud-Kamerlid Astrid Oosenbrug het DIVD (Dutch Institute for Vulnerability Disclosure) opgericht. Het slothoofdstuk van zijn boek is daar aan gewijd. Hackers krijgen met de DIVD een gezamenlijke identiteit. Bovendien krijgen ze zo ondersteuning in hun werk. Servercapaciteit en softwarelicenties hoeven niet meer uit eigen zak worden betaald. Ook meldingen kunnen namens het instituut worden gedaan, wat professioneler overkomt. Een groot aantal toppers waaronder onderzoeker Matthijs Koot heeft zich aangesloten, alsmede vrijwilligers die bijvoorbeeld helpen met juridische zaken. Alle hackers die als vrijwilliger kwetsbaarheden melden, werken volgens een gedragscode. Het instituut wil ook jongere hackers die op de grens zitten tussen goed en kwaad, voor dit vrijwilligerswerk interesseren. Dat moet voorkomen dat hackers in de criminaliteit terechtkomen.
Beschreef Van ‘t Hof in zijn vorige boek vooral individuele hackers, nu ligt de schijnwerper op de community. De nerd raakt geëmancipeerd. De nadruk ligt op het constructieve. Bijna alles is positief. Harde kritiek en ‘peper ontbreken. Anders dan bijvoorbeeld Huib Modderkolks ‘Het is oorlog, maar niemand die het ziet’ leest het boek niet als een spannende thriller. Ook ‘Ik weet je wachtwoord’ van Daniël Verlaan is andere koek.
Waar de RTL-journalist kwaadwillende hackers centraal stelt, richt Van ‘t Hof zich op de ‘good guys’. Zijn boek bestaat voor een groot deel uit verslagen van hacker-events vanuit de ik-vorm genoteerd. Het is zijn verdienste dat de wereld van cybersecurity van elke geheimzinnigheid wordt ontbloot. Ook technische en juridische aspecten worden helder uitgelegd.
Kratje Club Mat
Wel is te merken dat geen uitgever zich met de totstandkoming van dit boek heeft bemoeid. Elke uitgever vraagt voor wie het boek is geschreven. De auteur weet daar geen antwoord op. Ook ontbreekt het aan vaart. Maar met een kratje Club Mate, de cafeïnedrank voor hackers, lees je het boek in een paar avonden uit. Van ‘t Hof heeft gewoon opgeschreven wat hij zelf interessant vond, zonder een duidelijke doelgroep voor ogen. Hij is erin geslaagd te laten zien hoe waardevol hackers kunnen zijn. En dat is op zich zelf al een mooie prestatie.
Meer over het boek (uitgeverij Tek Tok, ISBN: 978-90-823462-4-4) lees je op www.cyberellende.nl.