Ooit kraakte hij het Twitter-account van Donald Trump en kon hij fake news publiceren op de website van het Vaticaan. Tussendoor won hij het WK Hacken en werd hij, in 2021, Computable’s IT Person of the Year in België. Wie dus iets wil opsteken over security, privacy en de methodiek van hackers, kan dus maar beter luisteren wanneer Inti De Ceukelaire spreekt. Binnenkort krijgen we daar weer de kans toe, tijdens zijn keynote op Cybersec Europe.
Jij bent waarschijnlijk de bekendste ‘ethische’ hacker van België, maar hoe ben je in dat wereldje ingerold?
‘Het is eigenlijk allemaal de schuld van mijn moeder (lacht). Toen ik veertien was, had ze een PlayStation Portable als kerstcadeau gekocht, terwijl ik toch heel duidelijk om een Nintendo had gevraagd. Toen ben ik dus op zoek gegaan naar manieren om Nintendo-spelletjes op die PlayStation aan de praat te krijgen. Uit alle mogelijke online tutorials die ik had uitgeplozen, bleek dat ik eerst een manier moest vinden om het apparaat te laten crashen. Op dat moment waren heel veel mensen daarnaar op zoek, maar niemand die echt al iets bruikbaars had gevonden. Tot ik, na ontelbare pogingen, op een gegeven moment er wél in slaagde, via een buffer overflow waar ik eigenlijk per ongeluk tegenaan gelopen was. Plots was ik vijf minuten wereldberoemd op allerlei online forums en dat was mijn toegangsticket tot de hack-scene. Dat ik eigenlijk zo goed als geen idee had waar ik mee bezig was, vertelde ik er natuurlijk niet bij.’
Uit die hobby is uiteindelijk wel een eigen bedrijf gegroeid: Intigriti.
‘Ja, ik had al vrij snel door dat je met hacken je brood kon verdienen, ook op een eerlijke manier. Toen ik zestien was deed ik mee aan een bug bounty hunt van Google en ik kreeg van hen 1.200 dollar omdat ik een bug gevonden had. Dat was meer dan ik ooit verdiend had met mijn studentenbaantje in de supermarkt. Daarna ben ik aan steeds meer van dat soort wedstrijden gaan meedoen, tot in Las Vegas aan toe. Op een goede dag las ik in de krant dat een mede-Aalstenaar een bug bounty platform was gestart dat Intigriti heette, en dat intrigeerde mij natuurlijk. Die man bleek Stijn Jans te heten. En nu organiseren we samen bug bounty hunts in opdracht van bedrijven en wij vormen de brug met een paar duizend ethische hackers die de bugs proberen te vinden. Voor alle duidelijkheid: Intigriti is dus níét naar mij vernoemd.’
Saai?
Zonder alles al weg te geven: waarover ga je het hebben op Cybersec Europe?
‘Over standaarden. Dat klinkt saai, maar dat is het écht niet. Veel mensen beseffen niet dat de standaarden, waarop het internet gebouwd werd, vaak meer dan dertig jaar oud zijn. En in veel van die standaarden, protocollen en formats zitten gaten, onder meer omdat we ze vandaag de dag gebruiken voor zaken waar ze eigenlijk totaal niet voor ontworpen zijn.’
Kan men die standaarden dan niet gewoon updaten?
‘Dat is net het punt: nee, dat is niet zo eenvoudig. Kijk, als je als bedrijf met een zero day-kwetsbaarheid zit, breng je daar een patch voor uit. Klanten installeren die patch en je kunt weer verder. Een lek in een standaard is stukken complexer, omdat die dikwijls invloed heeft op diepgaande processen en implementaties. Je kunt dat niet zomaar patchen, want dan ben je aan het rommelen aan de fundamenten van het internet. Bovendien kan zo’n lek werkelijk overal aanwezig zijn en is het best lastig om hierop automatisch te testen.’
Maak jij zelf ook gebruik van dat soort lekken?
‘Zeker. Voor ik begin te hacken, lees ik tegenwoordig vaak een paar uur een standaard helemaal door. Terwijl iedereen dus meteen op zijn computer begint te tokkelen, zit ik eerst een halve dag met mijn neus in de boeken. Dat wil ook zeggen dat het eigenlijke hacken vaak een klus wordt van tien minuten of zo. Je moet eerst in alle uithoeken van de software neuzen, een beetje logisch nadenken en dan is tachtig procent van het werk eigenlijk al gedaan.’
Vrijdagnamiddagcode
Wat zijn favoriete aanvalsmethoden voor jou?
‘Ik maak graag gebruik van ‘de schaduwzijde van de verantwoordelijkheid’. Die term heb ik zelf verzonnen (lacht). Dat gebeurt bijvoorbeeld wanneer zowel een softwareleverancier als een ontwikkelaar bij een bedrijf er van uit gaan dat de andere zijn werk heeft gedaan. En heel vaak zie je dat dit niet zo is. Vaak zijn twee producten op zich wel goed beveiligd, maar ontstaan er problemen wanneer je ze met elkaar gaat verbinden. Je krijgt barstjes en gaatjes wanneer bijvoorbeeld een nieuw softwaresysteem in een onderneming geïntegreerd moet worden met een bestaand systeem.
Wat ook vaak een goede toegangspoort is, is ‘vrijdagnamiddagcode’. Je kunt dat echt zien: code die nog vlug werd geschreven voor het weekend begint; het moest allemaal snel gaan, er sluipen slordigheden en foutjes in… Of MVP-code, van het minimum viable product, het prototype van de uiteindelijke software. Die wordt geschreven als het bedrijf nog klein is en er geen tijd en geld is voor security. Vaak vergeet men die er later weer uit te halen of te verbeteren. Ook heel dankbaar zijn heel specifieke of speciale features die op maat van één klant zijn gemaakt. Financieel zijn die erg lucratief, maar ze worden meestal nooit onderhouden of getest op veiligheid.’
Zie je dat soort fouten ook nog bij techgiganten als Google of Facebook?
‘Soms nog meer zelfs dan bij ‘gewone’ bedrijven. Omdat die grote reuzen uit heel veel eilandjes bestaan, is het soms niet meer duidelijk wie wat moet doen. En dan ontstaan er verkeerde aannames: ‘die of die zal het wel gecheckt hebben’. Terwijl die of die ervan uitgingen dat de andere afdeling dat ging doen.’
White hat hacker
Een goede hacker kijkt dus op een onverwachte, minder voor de hand liggende manier naar software?
‘Inderdaad. Daarom ook dat goede programmeurs niet de facto goede hackers zijn. Twee van de beste hackers die ik ken, hebben een verleden als boekhouder en taxichauffeur. Maar ze hebben ook die brede, open blik die een pluspunt is in onze branche. Een programmeur is vaak heel rechtlijnig en analytisch en heel erg gefocust op de use case. Maar ik wil absoluut niet kwaad over hen spreken. Als programmeur zit je vaak gewoon veel te dicht op de business om nog afstand te kunnen nemen van je code. Daarom is het goed om bijvoorbeeld ook eens mensen van HR of van Finance naar je software te laten kijken. Vaak krijg je dan heel rare invalshoeken, maar die wel heel waardevol kunnen zijn.’
Om af te sluiten: er was laatst een stevig rel in Nederland over een white hat hacker die zelf tonnen data gestolen bleek te hebben. Was je verrast?
‘Eigenlijk wel, want zoiets blijft gelukkig toch nog altijd een absolute uitzondering. Nu is dit natuurlijk ook een sterk groeiende business, dus meer en meer van dit soort figuren vinden de weg naar het hacken. Het is vooral jammer omdat het voor enorme reputatieschade zorgt bij alle white hat hackers die te goeder trouw handelen. Ik ben blij om te zeggen dat we onder de 70.000 hackers bij Intigriti nog nooit zo’n incident hebben gehad. Met background checks en rankings op ons plaform doen we er ook alles aan om dat te voorkomen.’
RTFR (Read The Bleeping RFC)
De keynote van Inti De Ceukelaire vindt op 19 april 2023 om 12.25 uur plaats op Cybersec Europe in Brussel. In deze sessie gaat hij in op hackers die naast kwetsbaarheden in producten op zoek gaan naar kwetsbaarheden in standaarden, protocollen en formats. De Ceukelaire gaat in op zijn eigen onderzoeken en bespreekt hij enkele van zijn recente vondsten. De hacking-technieken die hij onthult, zijn eenvoudig te exploiteren en worden veelvuldig gebruikt. Een absolute aanrader voor organisaties die hun cyberbeveiligingsnormen op peil willen krijgen en hun beveiligingsstromen willen evalueren.
Klik voor het volledige programma hier.
Registreer hier gratis voor Cybersec Europe dat op 19 en 20 april 2023 plaatsvindt in de Brussels Expo.
Dit artikel verscheen eerder in Computable-magazine #2/3 2023