Hij schrijft boeken, werkt voor televisieprogramma’s en is bij onze oosterburen een graag geziene spreker op it-evenementen. Op Cybersec Europe maakt Tobias Schrödel zijn debuut op een Belgisch podium, met een geestige mix van comedy, security-weetjes en live-hacking-sessies.
Alles begon met een Sinclair Spectrum. ‘Toen ik tien jaar oud was, kreeg ik die computer voor kerstmis van mijn grootmoeder’, vertelt Schrödel (1971). ‘Ik had er eigenlijk niet om gevraagd, maar het ding veranderde wel mijn leven. Ik leerde mezelf Basic, wat ik geweldig leuk vond, en ontdekte dat ik de computer kon gebruiken om geheimschrift te ontwikkelen, nog iets waarin ik geïnteresseerd was als kind. Twee werelden kwamen samen in dat ene apparaat. En dat leidde er dan ook toe dat ik it ging studeren.’
Vervelendste opleiding ooit
Hoe bent u dan bij lezingen en talks terechtgekomen?
‘Dat begon toen ik nog bij Deutsche Telekom werkte. Mijn bazen hadden me naar een driedaags seminarie gestuurd over security en – ik overdrijf niet – dat was zo ongeveer de vervelendste opleiding die ik ooit in mijn leven heb gekregen (lacht). Ik dacht bij mezelf: dat kan ik veel beter. En zo ben ik zelf presentaties gaan doen. Eerst intern bij Deutsche Telekom en daarna voor de rest van de wereld.’
Hoe pakte u het anders aan?
‘Ik had al snel door dat de meeste toehoorders in de zaal geen it-professionals zijn, maar leden van het juridisch departement, hr of het management. Personen die geen kaas hebben gegeten van programmeren, servers en firewalls. Om het voor hen interessant te houden, moet je iets brengen wat ze begrijpen en vergeet je ook het visuele aspect niet. Ik begin bijvoorbeeld mijn shows altijd in pak en das, maar eindig in een Iron Maiden-T-shirt (lacht). Die aanpak werkt beter, maar het beperkt me soms ook in mijn onderwerpen.’
Hoezo?
‘Ik heb iets visueels of interactiefs nodig. Het moet meer zijn dan code of commando’s die over het scherm rollen. Hoewel het op zich interessant is, is bijvoorbeeld een cross-scripting-attack voor mij lastig om uit te leggen, omdat daarbij zo goed als niks te zien valt. In het beste geval duikt ergens op het scherm plots een terminalvenster op. It’ers gaan dan wel compleet uit hun dak, maar ‘gewone mensen’ hebben zoiets van: euh…ja, en?
Wat wel goed werkt om te laten zien, is caller id-spoofing. Je weet wel: je belt iemand op en om het even welk nummer kan je op die persoon zijn schermpje laten verschijnen. Zodat hij denkt dat het, pakweg, zijn baas is die belt. Ik leg uit hoe het werkt, maar bel dan bijvoorbeeld ook iemand in het publiek op en op hun gsm verschijnt dan het nummer van een collega. Of van hun echtgenoot. Na een show heeft een vrouw me ooit zelfs gevraagd of ik haar man wilde bellen met het gsm-nummer van een andere vrouw, omdat ze vermoedde dat hij vreemdging. Echt gebeurd. Ze wou er me zelfs vijftig euro voor geven, maar ik ben er niet op ingegaan. Had ze nu honderd euro voorgesteld…’
U slaagt er wonderwel in zaken uit te leggen op een manier zodat ook een grootmoeder ze begrijpt. Dat is in de it een zeldzaam goed.
‘Oh, dank u, dat vind ik een mooi compliment. Dat is allicht ook het verschil tussen mij en, hoe zal ik zeggen… hardcore-it-professionals. Kijk, als je een héél gedegen studienamiddag wil geven over een héél specifiek onderwerp ben ik waarschijnlijk niet de juiste man. Ik heb een brede technische kennis, maar die gaat niet overal even diep. Het voordeel is wel dat de mensen met mij een fijne tijd hebben, dat ik niet stotter en dat ik m’n tekst niet van een papiertje hoef af te lezen. Dat is ook wat waard.’
Is het lastig om nieuw materiaal voor een presentatie te verzinnen? Kruipt er veel voorbereiding in?
‘De onderwerpen heb ik meestal snel gevonden. Er zijn ook wel wat, natuurlijk. Maar je moet het wel voorbereiden om het leuk te houden. Vaak komt er ook wel wat trial and error bij zien. Soms denk ik dat een geweldige grap heb gevonden, maar blijft het in de zaal muisstil. Omgekeerd kan ook: soms ligt het publiek plat met iets wat ik totaal niet zag aankomen. Dat maakt het net leuk.’
Darkweb
Zonder iets weg te geven: wat gaat u in Brussel vertellen?
‘Ik ga het hebben over het darkweb. Wat is het? Wat valt er te beleven? Hoe kom je erop? Zulke dingen. Mensen vallen soms echt van hun stoel als ze zien wat je daar allemaal kunt vinden en hoe gemakkelijk en goedkoop het is om er bijvoorbeeld gehackte wachtwoorden te kopen. En van daaruit kunnen we het dan hebben over de best practices die je moet hanteren als je een wachtwoord aanmaakt. Zo leren we ook nog iets.’
Wat zijn voor u de drie meest opmerkelijke securitytrends van nu?
‘Ransomware staat op nummer één. Omdat dit binnenkort een probleem gaat worden voor ongeveer elk bedrijf in de wereld. Dat vind ik een kwalijke evolutie die allicht alleen maar erger wordt. Ik vind ook de evoluties in phishing opmerkelijk. Dat gaat zich verplaatsen van mail naar voicemail en telefoontjes. Hackers gaan ai inzetten om perfect de stem van jouw baas na te bootsen en te vragen om twee miljoen dollar over te schrijven naar een rekening. Dat klinkt als sciencefiction, maar je zou verbaasd zijn hoe inventief en innovatief als mensen grof geld kunnen verdienen. En ten derde: internet of things. Ik heb ooit een ‘slimme’ teddybeer gehackt op het podium. Die beer kon dan zogezegd praten met een vier jaar oud meisje. Die beer vroeg haar om de deur open te doen en mee te gaan met een meneer die daar stond. En ze deed dat nog ook. Haar moeder was in alle staten. Op zich is zo’n gehackte beer wel grappig, maar je voelt natuurlijk ook meteen aan dat dit fout kan aflopen. Dus: alles wat ‘smart’ is zou eigenlijk ontworpen moeten worden met veiligheid als eerste vereiste. Vaak is het nu net omgekeerd. Fabrikanten maken een product en als het al klaar is, denken ze: oh ja, we moeten het ook nog beveiligen.’
Als we een ding van uw show moeten onthouden, wat is het dan?
‘Als bezoekers me na een show spreken, zeggen ze vaak: ik ga mijn wachtwoord veranderen. Dat is natuurlijk ook een goede reflex, zeker als je overal hetzelfde wachtwoord gebruikt. Ik had ooit zelfs een man in de zaal die nog tijdens de show de code van zijn telefoon veranderde. Alleen was hij op het einde van de show de code alweer vergeten. Hij heeft zijn complete telefoon moeten resetten.’
Tot slot: waarom moeten we naar uw presentatie komen op Cybersec Europe?
‘Omdat ze dingen gaan zien die ze waarschijnlijk nog nooit gezien hebben. En omdat het geestig gaat worden. Hoop ik.’
(Dit artikel staat ook in Computable-magazine #02-03/22.)