Op dit instituut in Nederland kweken ze talentvolle ethische hackers: ‘Iemand vroeg me om samen creditcardfraude te plegen’

Op een computerscherm van zowat anderhalve meter breed verschijnen alle webadressen van basisscholen in Den Haag. Een stagiair-hacker achter het scherm schrijft, met behulp van ChatGPT, een computerprogramma dat kan aanwijzen welke van de schoolwebsites verouderde versleutelingen gebruiken. ‘Precies wat cybercriminelen zoeken’, vertelt hij. ‘Als een school deze versleuteling niet vernieuwt, kunnen kwaadwillende hackers de hele site op slot zetten.’ Zo’n digitale gijzeling overkwam de KNVB recentelijk – om weer toegang tot het ledenbestand te krijgen, betaalde de voetbalbond naar verluidt meer dan een miljoen euro losgeld aan cybercriminelen.

Vanuit een overheidsgebouw in Den Haag, een paar verdiepingen verwijderd van de Autoriteit Nucleaire Veiligheid en Stralingsbescherming, zoeken stagiairs van het Dutch Institute for Vulnerability Disclosure (DIVD) naar kwetsbaarheden in het internet. Het doel is om deze gaten te vinden voordat cybercriminelen dat doen. Het DIVD is een onderzoeksinstituut en leerschool voor ‘ethische hackers’ ineen. Zij plegen aanvallen via internet zoals cybercriminelen dat doen, maar dan om de boel te beschermen. ‘Met een hamer kun je ook bouwen’, zegt DIVD-medeoprichter en oud-Tweede Kamerlid Astrid Oosenbrug (PvdA). Het is de onofficiële lijfspreuk van ethische hackers.

De begeleider van DIVD-stagiairs is medeoprichter Victor Gevers, die in 2016 én 2020 het Twitteraccount van Donald Trump hackte. Met een aantal slimme trucs en het gokken van de wachtwoorden ‘yourefired’ en ‘maga2020’ (van Trumps slogan, make America great again) wist Gevers in te loggen. ‘Als cybercriminelen dit hadden gedaan, konden ze wie weet wat voor schade aanrichten. Trumps tweets kunnen leiden tot, zeg, de bestorming van het Capitool’, zegt Gevers. Op het eerste gezicht lijkt het er misschien niet op, maar met zijn hack beschermde Gevers het account van Trump. Door zijn presidentiële staf te wijzen op het lek en er geen misbruik van te maken, konden ze het account beter beveiligen, deze keer mét tweestapsverificatie.

Gevers’ hack van Trumps Twitter-account is een standaardvoorbeeld van ethisch hackwerk: ‘Toen ik was ingelogd op Trumps Twitteraccount plaatste ik er geen bericht en ik keek ook niet even naar zijn persoonlijke berichten, hoe verleidelijk dat ook was.’ Het doel is om een fout in de cyberbeveiliging bloot te leggen, niets meer. Maar dit gaat nog wel eens fout: zo kreeg toenmalig 50Plus-partijleider Henk Krol een boete opgelegd nadat hij, om aan te tonen dat medische dossiers onvoldoende beveiligd waren, hele patiëntendossiers van een Brabants onderzoekscentrum had gedownload. ‘Ethisch hacken moet je leren: wat mag je als ethisch hacker wel en wat niet? En hoe beheers je jezelf als je ergens bent binnengekomen waar je eigenlijk niet mag zijn?’, zegt Gevers. ‘Dat staat centraal in het opleidingsprogramma van het DIVD’.

Gescout door cybercriminelen

Onderzoeken laten al jaren zien dat cyberveiligheid onvoldoende op de Nederlandse agenda staat, vergeleken met landen als Duitsland of Zweden. Bovendien is er ook al jaren een tekort aan ict’ers op de Nederlandse arbeidsmarkt: de vraag naar bijvoorbeeld veiligheidsspecialisten is tussen 2017 en 2022 met 167 procent gestegen. Met name relatief kleine bedrijven investeren nauwelijks in onderzoek naar hun eigen cyberveiligheid. Wanneer er toch budget voor nieuwe digitale bescherming beschikbaar is, wordt dit niet consequent getest op kwetsbaarheden waar kwaadwillende hackers, mogelijk al maanden, van afweten. Dat is waar ethische hackers een steentje kunnen bijdragen.

Maar wie hackt, begeeft zich in een moreel grijs gebied. Zo bleek uitgerekend een DIVD-vrijwilliger vorig jaar in de avonduren datadiefstal te plegen. Het Nederlandse onderwijsstelsel waagt zich daarom maar mondjesmaat aan ethisch hacken. Dat maakt de jonge computerkrakers overigens niet veel uit: de meeste van hen zijn autodidacten, die prima zelf kunnen opzoeken hoe ze, bijvoorbeeld, een webcam kunnen kapen. ‘Maar daarbij leert niemand ze de regels aan’, zegt Oosenbrug. ‘En ontstaat het risico dat beïnvloedbare, nieuwsgierige jongeren worden gescout door cybercriminelen, voordat bedrijven of opleidingen ze over hackers-ethiek leren.’

Dit blijft niet bij een risico: het aantal jonge hackers dat met de politie in aanraking komt, stijgt al langer, signaleert het Openbaar Ministerie. Daarom richtte de Politie en het OM Hack_Right op, een interventie die door Stichting Halt, Reclassering Nederland en de Raad voor de Kinderbescherming wordt uitgevoerd. Hack_Right plaatst jongeren die zich voor het eerst schuldig maken aan cybercrime, bij bedrijven waar ze hun talenten voor ‘het juiste’ kunnen inzetten.

‘Jonge hackers kunnen tegenwoordig zo veel schade aanrichten, dat hun aanvallen soms lijken op die van statelijke actoren’, zegt Floor Jansen, teamleider van het High Tech Crime Team van de Nederlandse politie en oprichter van Hack_Right. Toen een grote internetprovider een aantal jaar geleden opeens compleet platlag, bleek daar een jonge Nederlandse hacker achter te zitten, die zelf alleen maar gratis films wilde downloaden. ‘Dat is hét klassieke profiel van een jonge cybercrimineel: veel kennis in huis, met niet eens de allerslechtste motieven. Om hen op het juiste pad te krijgen is Hack_Right opgericht.’

Obsessie

Zo plaatste Hack_Right eens een jonge hacker bij ict-dienstverlener CGI. De 16-jarige had de administratie van zijn school gekraakt om zichzelf vrijstelling van lessen te kunnen geven. Bureau Halt besloot hem als straf aan de slag te zetten bij Ad Buckens, cybersecurity-expert bij CGI: ‘We hebben hem de richtlijn Coordinated Vulnerability Disclosure van het Nationaal Cyber Security Centrum laten herschrijven, zodat jongeren deze kunnen begrijpen en raadplegen’, vertelt Buckens. Volgens Jansen vond de jonge hacker een sparringpartner in Buckens, met wie hij voor het eerst zijn obsessie voor cyberveiligheid kon delen. Buckens: ‘Toen we later nog eens contact met hem opnamen, was hij een succesvolle softwareontwikkelaar.’

Hoewel ethisch hacken nauwelijks op het Nederlandse curriculum staat, groeit de niche gestaag: zo telde DIVD Academy, de opleidingstak van het DIVD, in 2023 zo’n vierduizend aanmeldingen – een verdubbeling ten opzichte van het jaar ervoor. Dit succes is voor een groot deel te danken aan het informele karakter van DIVD Academy: het is een leerschool van en voor hackers, waar anders-denken wordt verwelkomd in plaats van gestraft. Oosenbrug: ‘Een van onze stagiairs moest op zijn hogeschool een essay over kunstmatige intelligentie (AI) schrijven. Dat deed hij met behulp van AI, om te laten zien wat kunstmatige intelligentie wel en niet kan. Zijn cijfer: een onvoldoende. Schandalig, vind ik – dit is precies het soort denken dat wij belonen.’

Hack-game

Nog een vorm van extracurriculair hackersonderwijs is HackShield, een educatieve game voor kinderen. Het kent zo’n 200 duizend spelers in Nederland, die als heldhaftige cyberagenten vrienden en familie beschermen tegen cyberaanvallen. Spelers leren over internet, privacy en cybersecurity door puzzels op te lossen.

‘De wereld verandert sneller dan het onderwijs aankan, met name qua digitalisering’, zegt Tim Murck, medeoprichter van HackShield. ‘In mijn ogen is het belangrijker om kinderen te helpen nadenken over technologie, privacy en betrouwbare informatie online dan over Duitse grammatica – daar gebruiken ze over een paar jaar toch vertaalsoftware voor. Het is alsof we kinderen voorbereiden op ons eigen leven van tien jaar geleden.’

Spelers met een hoge score brengt Murck in contact met het DIVD of it-bedrijven, voor snuffelstages. ‘Daarnaast organiseren we live-evenementen, waarbij onze cyberagenten door de politie en een burgemeester worden bedankt voor hun diensten in HackShield’, vertelt Murck. ‘Het is een toneelstuk dat ze bloedserieus nemen: de politie beëdigt kinderen als ‘echte’ cyberagenten. Bij die kids zie je dan echt een identiteit ontstaan. Ik heb kinderen vol zelfvertrouwen aan volle zalen zien uitleggen hoe de ouders in het publiek tweestapsverificatie kunnen installeren.’