Is hacken altíjd strafbaar?
Er is wel een methode om op een afgesproken manier lekken te melden, responsible disclosure, maar daar wordt te weinig gebruik van gemaakt door bedrijven, zeggen Beg en Lammerts. 'Het is juridisch ook niet waterdicht, dat zou wel moeten. Als je niet strafbaar bent, is hacken veel fijner om te doen.'
Beg: 'De Nederlandse regering probeert responsible disclosure internationaal te promoten als een soort exportproduct. Er wordt gewerkt om daar beleid van te maken. Ik vind dat het in Nederland al best goed gaat. Alle banken werken met responsible disclosure, de overheid, Gamma. Maar in de VS zijn het alleen de it-bedrijven die er mee werken.' Overigens is Klaas Dijkhoff, staatssecretaris van Veiligheid en Justitie, niet van plan om reponsible disclosure wettelijk te regelen. 'De vraag blijft wie een ethische hacker is', zegt Dijkhoff. 'Ik snap de reflex wel hoor, de roep om het af te schaffen. Maar je verplaatst het probleem. We hebben op dit moment een leidraad waarin afspraken staan hoe een hacker bekend maakt wat hij gevonden heeft. Bij twijfels moet een rechter toch kijken en beoordelen of het deugt. En als je je aan de richtlijn houdt, begint het OM echt niet aan vervolging.'
Maar wat komen Melvin Lammerts en Olivier Beg nou eigenlijk tegen? Met een kop thee en een glas water bij de hand gaan de hackers langs de problemen van internetveiligheid:
Het is vaak zó makkelijk

Melvin: 'Er zijn technische lekken in de software, en menselijke lekken. Ik kom veel domme configuratiefouten tegen, dan wordt een map met gevoelige informatie, zoals inlogcodes en wachtwoorden, opengesteld voor alle gebruikers. En er zijn logicafouten in de software. Daar komen heel veel datalekken uit voort. Het is gewoon zoeken naar zwakheden, naar patronen.' Olivier: 'admin admin als inlog en wachtwoord komt nog zoveel voor. Wachtwoorden worden vaak niet versleuteld. De troonrede is eens gelekt omdat het bestand dezelfde url had als die van het jaar ervoor. Hij stond gewoon onbeveiligd klaar in het systeem.'
Lekken blijven komen
Melvin: 'Nieuwe technieken leveren nieuwe kwetsbaarheden op. Ontwikkelingen gaan zo snel tegenwoordig.' Olivier: 'Vaak wordt security overgeslagen. De software moet zo snel mogelijk online, goed testen wordt overgeslagen.' Met een grijns: 'In Windows 98 kon je een wachtwoord omzeilen door gewoon op de escape-knop te drukken.' Melvin: 'Programmeurs willen steeds zélf het wiel uitvinden. Neem een inlogscherm. Er is al lang een betrouwbare veilige versie, kopieer die gewoon. Maar ontwikkelaars denken: O ja, er moet nog een inlog komen en dan beginnen ze zelf van nul af aan en dan komen er fouten in de programmatuur. Eigenlijk heeft elk bedrijf maatwerk nodig, maar vaak krijgen ze aanpassingen van bestaande programma's. Elke aanpassing levert een risico op.'
Vraag om kwaliteit
Olivier: 'Bedrijven kijken voor programmatuur vaak naar de goedkoopste leverancier, maar je moet ook kijken welke kennis en nazorg die biedt. Hoe werkt het nieuwe programma met de bestaande software? Het gebeurt vaak dat je een lek creëert omdat programma's niet goed met elkaar overweg kunnen.' Melvin: 'Ga met een leverancier in zee die kan laten zien dat ze bezig zijn met security. Ook na de inrichting. Veel lekken komen door de instellingen van de software.'
Het testen houdt nooit op
Melvin: 'Je kunt een bedrijf inhuren om software of je website te hacken. Na bijvoorbeeld drie maanden weet je dan of je veilig bent. Dat is mooi, maar een maand later is er nieuwe software bij. Testen moet je blijven doen.' Olivier: 'Als een programma wordt gemaakt, wordt het getest. Na een update of een wijziging van instellingen niet meer. Je bent al op internet, je wordt sowieso gehackt, waarom zou je dat niet faciliteren in een veilige omgeving? Een heel goede manier is om dat te doen via een big bounty hackersplatform. Daar nodig je hackers uit om kwetsbaarheden te melden tegen een vergoeding. Zolang je uitnodiging op het platform staat, komen er hackers voorbij die een poging willen wagen. Voor 10.000 euro krijg je honderd hackers en je hoeft pas te betalen als een lek gevonden is.'
Programmeurs kennen de risico's niet
Melvin: 'Ik heb wel naast programmeurs gestaan en ze tips gegeven. Ken je dat programma? Ken je dit trucje om binnen te komen? Helemaal niks. Het werkt allemaal wel, maar onder de motorkap deugt er veel niet.' Olivier: 'Dat geldt voor alle ict. Het geeft ook aan hoe moeilijk het probleem is.' Melvin: 'Ik heb nog nooit software gezien die helemaal veilig is.' Olivier, opgewekt grinnikend: 'Zelfs mijn eigen software niet.'
Omdat we het kunnen
Olivier: 'Als je groot bent, word je gehackt, ga daar maar van uit.' Melvin: 'Er zijn zoveel motieven: DDoS-aanvallen om een site plat te leggen, politieke of religieuze redenen, chantage. Er is altijd een groep die je interessant vindt. Mensen zeggen vaak: Waarom zouden ze mij in vredesnaam willen hacken, ik heb maar een klein bedrijf. Gewoon, omdat het kan. IP-adressen van computers zijn cijferreeksen. Hackers gaan gewoon het rijtje af en inventariseren waar ze met een trucje binnen kunnen komen. Ze googelen naar sites met bekende zwakke plekken in hun code. Ze hoeven jóu niet te hebben, maar als ze binnen zijn, kunnen ze klant- en betaalgegevens meenemen.'
Het is zó leuk om te doen
Melvin: 'Ik ben sinds mijn 12de of zo geïnteresseerd in programmeren. Het begint bij spelletjes hacken. Dan denk je: Als het hier werkt, kan ik het ook bij grotere programma's.' Olivier: 'Ik ben begonnen toen ik naar de middelbare school ging. Je realiseert je dat het heel makkelijk is en op veel plekken kun je dezelfde trucjes toepassen. Dat zijn het, allemaal trucjes.' Melvin: 'In het begin leer je van YouTube. Daar staan zoveel trucjes op.' Olivier: 'Vaak werkt het bij elk programma nét iets anders. Dat is het leuke.' Melvin: 'Het is een soort doolhof waar je uit probeert te komen, of eigenlijk in. Je weet dat het moet kunnen, maar hoe. Ik ga wel eens na het eten nog even iets proberen en als ik opkijk van het beeldscherm is het 3 uur 's nachts.' Olivier: 'Ik heb laatst nog een hele nacht zitten werken aan een website.' Melvin: 'Mijn familie snapt wel waarom ik het doe. Aan de technische dingen begin ik niet eens, maar de motivatie snappen ze. Weet je trouwens dat onze beide ouders allebei een achtergrond hebben in onderwijs en recht?'