Devansh Batham is zo’n jonge ethische hacker. De 17-jarige jongen uit India meldde tot nu toe naar eigen zeggen vijftien veiligheidslekken bij de Erasmus Universiteit. Via de mail vertelt hij waarom hij dit werk doet. “Ik ga geen diplomatiek antwoord geven”, schrijft hij. “Ik doe het voor het geld, de freebies en de erkenning!”

Batham is niet bepaald de enige hacker die zogenaamde responsible disclosures meldt bij de universiteit. Het team dat deze meldingen afhandelt, de ict’ers Richard van Schaijik, Assad Baig en Sebastiaan Kamp, heeft zijn handen er vol aan. Een responsible disclosure is een strikte procedure om op een legale en schadevrije manier een veiligheidsprobleem in de systemen van de universiteit aan de kaak te stellen. Alleen als een hacker zich hier aan houdt, is het een ethische hack.

Devansh BathamEthische EUR-hacker: Devansh Batham

Batham is eerstejaars informaticastudent uit India. Het zoeken naar veiligheidsproblemen doet hij in zijn vrije tijd. Hij spendeert soms wel tien tot vijftien dagen aan het bestuderen van een doelwit. Naar eigen zeggen heeft hij al veel responsible disclosures op zijn naam staan. “Al bij meer dan zestig bedrijven”, schrijft hij vol trots. Hij staat twee keer in de Hall of Fame. De EUR heeft hij onder andere gewezen op cross site scripting (XSS), een veiligheidsprobleem waarbij hackers zelf commando’s kunnen uitvoeren op een website.

Gericht zoeken

Op de website van de EUR wordt precies uitgelegd hoe je dat moet doen. “Belangrijk is dat de hackers gericht zoeken en niet het hele systeem elke dag scannen, om overbelasting te voorkomen”, legt Richard van Schaijik uit. Ook moeten ze zo min mogelijk bewijs verzamelen dat nodig is om het probleem aan te kunnen kaarten. “Zo kunnen ze bijvoorbeeld dankzij een SQL Injectie-lek databasecommando’s uitvoeren. Daarmee is het eenvoudig om de hele database van de site downloaden, maar je kunt je ook beperken tot één regel uit die database. Dan heb je ook aangetoond dat de site lek is.”

Als ze een lek vinden, dan kunnen de hackers dat via een webformulier melden. Daarbij moeten ze uitleggen hoe ze te werk gaan, zodat Van Schaijik en zijn collega’s het probleem kunnen reproduceren.

Ethische EUR-hacker: Eusebiu Blindu

Blindu woont in Tsjechië, maar werd geboren in Roemenië. Hij ziet het zoeken naar bugs vooral als een studie, ‘zoals een onderzoeksjournalist of een detective’. Als ervaren ethische hacker – ‘haha, ik ben al oud, 35 jaar!’ – jaagt hij vooral op financiële beloningen, maar elk cadeau wordt gewaardeerd. “Dat van de EUR kwam mooi verpakt binnen. Er zat een mooi notitieboekje in, daar houd ik erg van.”

Overspoeld

‘Omdat we  goed technisch inzicht hebben, kunnen we meestal snel inschatten hoe serieus het probleem is.’

Richard van Schaijik

Het aantal meldingen varieert enorm, maar gemiddeld komen er zo’n twintig per maand binnen, denkt Van Schaijik. De afdeling wordt af en toe behoorlijk overspoeld, ook omdat meerdere hackers een veiligheidsprobleem tegelijk melden, als er bijvoorbeeld een bug gevonden wordt in software die de universiteit gebruikt. “Omdat we  goed technisch inzicht hebben, kunnen we meestal snel inschatten hoe serieus het probleem is.”

Serieus is het lang niet altijd. Bij de helft van de meldingen gaat het om een zeer laag risico. “Beveiliging kan altijd strakker, maar het is niet altijd nodig om die extra stap te maken. Dan accepteren we het risico. “ Van de andere helft van de meldingen is het gros al eerder gemeld. “Alleen de eerste melder van een groot risico krijgt een bedankje, in de vorm van een cadeaupakket in combinatie met een vermelding in de hall of fame.”

De kentekenplaat die Dave Jong van de RDW kreegEthische hacker: Dave Jong

Jong is een Nederlandse security-expert en deed tot nu toe twee keer een melding bij de EUR. Hij doet het vooral vanwege de ‘enorme kick die je krijgt als je na uren zoeken een gat vindt dat heel snel gedicht moet worden door de webmaster’. Maar hij wil ook bedrijven en instellingen helpen om hun diensten veilig te houden. “Sommige black hat hackers willen graag zoveel mogelijk schade aanrichten, maar ik zie echt niet wat voor zin dat heeft.” Voor hem is het ‘bountyhunten’ een hobby. Hij heeft al een grijze hoodie, een persoonlijke brief, een muispad en een potlood gekregen van de EUR. Zijn ‘coolste’ freebie is een kentekenplaat van de RWD (zie afbeelding).

CV bouwen

Dat levert nog wel eens wrijving op bij trotse hackers. “Dan heb je een meningsverschil. Het blijft meestal redelijk vriendelijk, maar soms wel dwingend van hun kant”, herinnert Van Schaijik zich. “Dat is wel begrijpelijk, want zo’n vermelding is voor hen heel belangrijk. Ze bouwen een cv op met die links naar erkende meldingen, zoals in onze hall of fame. Op die manier maken ze meer kans op een baan in de ict-beveiliging.”

Zelf doet Van Schaijik ook wel eens meldingen, ‘vooral bij universiteiten waarvan ik weet dat ze dezelfde software als wij gebruiken’. De meldingen komen uit alle windstreken. “Veel komt uit India, maar soms ook uit Nederland. “Zelfs studenten en medewerkers van de eigen universiteit, of beveiligingsbedrijven die voet aan de grond willen krijgen bij de Erasmus Universiteit.”

Website gehackt

‘We kwamen erachter dankzij een melding van zo’n hacker. Het was toen al gebeurd. Ik denk dat ik hier al te veel over heb gezegd.’

Van Schaijik over de grote websitehack in 2016

Natuurlijk kan de universiteit ook aangevallen worden door kwaadwillenden, de zogenaamde black hat hackers.1. Zoals in november 2016, toen hackers inbraken op de website van de EUR en mogelijk persoonsgegevens buitmaakten. Dat was toevallig een maand nadat Van Schaijik in dienst kwam bij de universiteit. “Dat was een hele interessante tijd. Daardoor is heel veel aan het rollen gegaan, we hebben veel securitymaatregelen kunnen doorvoeren. Dus dat is uiteindelijk niet alleen maar negatief geweest.”

De ironie wil dat de hack misschien wel nooit ontdekt was zonder ethische hackers. “We kwamen erachter dankzij een melding van zo’n hacker. Het was toen al gebeurd.” De vraag is dus of de universiteit anders ooit had geweten dat persoonlijke informatie, waaronder medische gegevens van studenten, door hackers in te zien zijn geweest. Meer wil Van Schaijik er niet over kwijt. “Ik denk dat ik hier al te veel over heb gezegd.”

  1. De termen black hat / white hat (zwarte / witte hoed) zijn afkomstig uit Amerikaanse Westerns, waarin de helden altijd een witte hoed dragen en de misdadigers altijd een zwarte hoed. ↩︎