Premiejagers van het nieuwe Wilde Westen

Ze verdienen er miljoenen mee, Revu mocht in San Francisco zien hoe. ‘Digitale oorlogsvoering maakt echt heel veel kapot.’

De eerste keer dat de FBI zijn huis binnenviel, in 2002, kwamen ze met een compleet SWAT-team. Gekleed in kogelvrije vesten, net zoals in de films. Voor Tommy DeVoss, nu 36 jaar, was het geen totale verrassing. Hij had eerder een waarschuwing gehad en in jeugddetentie gezeten, vrienden waren al opgepakt. Zijn misdaad? Inbreken in computersystemen. Hacken.

Op zijn tiende kwam DeVoss terecht in een chatroom, doordat hij per ongeluk de verkeerde website had ingetoetst. Daar praatte hij met een groep hackers, die voor de lol uitprobeerden of bedrijven hun internetbeveiliging wel op orde hadden. Hij vond het fascinerend. Dit was begin jaren 90, dus sowieso was het internet pas net bij het grote publiek geland.

DeVoss leerde snel van de groep en begon zelf te hacken. Hij zocht naar de achterdeur van websites, eenmaal binnen verwijderde hij bestanden of liet een boodschap achter. ‘Ik had niet zozeer slechte bedoelingen,’ blikt hij door de telefoon terug. ‘Het was gewoon om te bewijzen dat het kon. En om te laten zien dat grote bedrijven slechte beveiliging hadden, terwijl ze wel gevoelige gegevens verwerkten. In die tijd stonden de creditcardgegevens van klanten soms nog in een tekstbestand op de server. Dat kon je er zo afplukken, terwijl die mensen hen wel vertrouwden.’

Te verleidelijk

De bedrijven die DeVoss en zijn hackervrienden aanpakten waren geen kleine jongens: Yahoo, Microsoft, noem het maar op. Vaak lieten de hackers een berichtje achter op de website, een grap of een opmerking over de beveiliging. Een officiële waarschuwing van de politie en de geruchten dat sommige hackers de bak in draaiden maakten DeVoss niet uit. ‘Het gaf me een rush, vergelijkbaar met drugs,’ vertelt hij. Na die inval achttien jaar geleden, in afwachting van zijn rechtszaak, bleef hij ook hacken, zo verslavend was het. Nadat hij drie jaar had vastgezeten ook, wat hem op een nieuw jaar celstraf kwam te staan. De uitdaging was te verleidelijk. Dit wilde hij doen en hij was er verdomde goed in.

Dat laatste wisten de autoriteiten intussen ook. ‘Later heb ik gehoord dat ik verschillende keren positief ben getest op cocaïne tijdens mijn drugstests, in afwachting van die eerste rechtszaak. Blijkbaar was dat geen probleem, want ze deden er niets mee,’ vertelt DeVoss. ‘Maar zodra ze een keyboard in mijn huis zagen liggen ben ik wel gelijk weer ingerekend.’

IK HAD NIET ZOZEER SLECHTE BEDOELINGEN, HET WAS GEWOON OM TE BEWIJZEN DAT HET KON. EN OM TE LATEN ZIEN DAT GROTE BEDRIJVEN SLECHTE BEVEILIGING HADDEN

Uiteindelijk werd DeVoss door een rechter duidelijk gemaakt dat hij levenslang vast zou zitten als hij weer gepakt werd. Dat was afschrikwekkend genoeg. Hij hield zich stil. Van online-vrienden hoorde hij over premiejagers: via een officieel platform alleen of gezamenlijk hacken. Wanneer het lukt om een kwetsbaarheid in het systeem te vinden, betaalt dat bedrijf een premie voor die kennis, om zo de eigen veiligheid te kunnen verbeteren. Hacken voor geld? DeVoss vond het te mooi klinken om waar te zijn, dus duurde het nog een paar jaar voordat hij het in 2016 serieus probeerde. Dat jaar verdiende hij 30.000 dollar met premiejagen, het jaar erna leverde het hem een ton op, het jaar daarna meer dan een half miljoen en in 2019 ruwweg een miljoen dollar, voornamelijk met premies uitbetaald door internetbedrijf Yahoo, waarvan hij het systeem toch al door en door kende omdat hij het als jochie geregeld had gehackt.

En daarmee is hij het ultieme zero-to-hero-verhaal waar Amerikanen zo van houden: van een bajesklant tot iemand die genoeg geld op zijn bankrekening heeft staan om al zijn materiële dromen te verwezenlijken. Voor zijn huis staan twee Nissan Skyline GT-R’s, modellen uit begin jaren 90 die hij heeft geïmporteerd uit Japan. Forbes heeft hem geportretteerd. Als het koud is in zijn staat Virginia, gaat hij luxe op vakantie naar Hawaï. ‘Het probleem is vooral dat ik me vaak verveel,’ vertelt hij lachend. ‘Ik heb zoveel vrije tijd over.’

Kola812

DeVoss, in de hackergemeenschap bekend onder zijn nom de guerre dawgyg, is een ethische hacker, of, zoals dat in de tech-industrie heet: white-hat hacker. In tegenstelling tot de black-hat hackers, die inbreken met de intentie om een systeem te slopen, er waardevolle (persoons)gegevens uit te stelen of om het systeem in gijzeling te nemen zodat ze losgeld kunnen eisen. Doordat veiligheidsdiensten en overheden altijd achter de ontwikkelingen aan rennen, is het voor hen moeilijk om de veiligheid van bedrijven en consumenten op het web te waarborgen. Dus heb je een boef nodig om andere boeven te vangen. Het internet is het nieuwe Wilde Westen.

Een van de platforms die de mogelijkheid biedt om ethisch te hacken, is het bedrijf HackerOne, opgericht door de Nederlanders Jobert Abma (29) en Michiel Prins (30). HackerOne, waarbij ook DeVoss is aangesloten, helpt bedrijven die zich zorgen maken over hun beveiliging door hackers uit te nodigen kwetsbaarheden te vinden. Zittend in hun kantoor in San Francisco vertellen Abma en Prins hoe ze tegenover elkaar opgroeiden, in het Friese plaatsje Drachten. Als kinderen trapten ze een balletje op straat en gingen ze naar dezelfde school. Op de computer speelden ze RollerCoaster Tycoon en Age of Empires, strategiespellen waarbij je logisch moet denken om te winnen.

Een van de eerste belangrijke hacks die de twee vrienden deden, was op de teletekstpagina van hun middelbare school in het eindexamenjaar. Hierop werd schoolinformatie op tv-schermen in de kantine getoond. Abma en Prins braken in via een SQL-injectie. Een applicatie, in dit geval de teletekstpagina, communiceert met een archief op de server om te weten wat er op het beeldscherm getoond wordt. Wanneer je deze informatie onderschept en ervoor kan zorgen dat het verzoek niet alleen de betreffende pagina is, maar ook andere informatie, kan je dat in een onbeveiligd systeem ook krijgen. Abma en Prins weten het wachtwoord dat ze op deze manier teken voor teken uit het systeem peuterden nog uit hun hoofd. ‘Kola812,’ zeggen ze lachend. Eenmaal daarmee ingelogd, hadden ze toegang tot de teletekstpagina en konden ze alles. Aan de boodschap over het slagen voegden ze een klein zinnetje toe: ‘En Betty, succes met je herexamen.’

Beveiliging als afterthought

‘Eigenlijk was het nog best lief,’ vindt Abma, maar de school was not amused. Iedereen wist gelijk dat zij het hadden gedaan. Prins: ‘Wij waren vermoedelijk de enigen die dat konden.’ Het systeem van de teletekstpagina was echter van Omroep Friesland, waardoor de jongens niet alleen digitaal hadden ingebroken bij hun school, maar ook bij een groot mediabedrijf. En daarmee werden de jongens geconfronteerd met de ethische kant van het hacken: niet iedereen vindt het even grappig als je in hun systeem rommelt.

Hun ouders hadden natuurlijk allang door dat er iets gaande was. Abma’s moeder vertelt hoe hij in groep acht voor een spreekbeurt de processor uit de huiscomputer sloopte. Pas nadat de pinnetjes waren teruggebogen, kon die weer in de computer geplaatst worden. Onder zijn kussen vond ze naast de Kameleon-serie ook boeken over Visual Basic, vol computertaal.

TEGENWOORDIG NEMEN BEDRIJVEN DE VEILIGHEID MEER SERIEUS, MAAR NOG STEEDS GAAT ER ONTZETTEND VEEL MIS

Het was de ouders duidelijk dat de twee hun digitale vaardigheden ten goede of ten kwade konden aanwenden. Natuurlijk probeerden ze als ouders hun kinderen richting het goede te bewegen, dus besloten de vaders om hun kinderen mee te nemen naar de Kamer van Koophandel om daar een bedrijf op te zetten: Online24. Vanaf dat moment begonnen ze bij te verdienen met het doen van penetratietesten: waarbij een bedrijf je per uur inhuurt om hun systeem te onderzoeken.

Dit was in de tijd dat de eerste iPhone werd gelanceerd. Twitter bestond pas kort en Facebook had pas twintig miljoen actieve gebruikers. De tech-industrie groeide met een gigantische vaart, en ook voor Abma en Prins volgden de ontwikkelingen elkaar snel op: voor ze het wisten werden ze ingeschakeld door de Nederlandse overheid, waarbij ze onderwijsdienst IB-groep (nu DUO) op kwetsbaarheden onderzochten.

‘Beveiliging is altijd meer een afterthought,’ zegt Prins. Veel bedrijven groeien zonder daarbij veiligheid als prioriteit te hebben, waardoor er al helemaal in die tijd veel zwaktes te vinden waren in systemen. Prins: ‘Tegenwoordig nemen bedrijven de veiligheid meer serieus, maar nog steeds gaat er ontzettend veel mis.’

Klein beginnen

Een vriend die een huisje in San Francisco had, nodigde hen enkele jaren later uit om eens die kant op te komen, om te proeven van de sfeer in Californië. ‘Op dat moment zag ik Silicon Valley nog voor me als een weelderige groene vallei,’ grapt Prins. Het woestijnachtige berggebied van de Amerikaanse westkust bleek er wat anders uit te zien. Dit was 2011, het jaar waarin Spotify werd gelanceerd en Apple-oprichter Steve Jobs overleed.

Slapend op een matras in de keuken van die vriend, probeerden Abma en Prins hetzelfde te doen wat ze in Nederland deden: bij bedrijven inbreken en zichzelf aanbieden als cybersecurity-experts. Genoeg bedrijven reageerden niet of waren huiverig, maar van Alex Rice, hoofd productbeveiliging bij Facebook, kregen ze een enthousiaste reactie. Ze werden uitgenodigd voor een barbecue op het dak van Facebook, Rice gaf aan interesse te hebben om samen te werken.

‘Hij wilde klein beginnen,’ zegt Abma, maar wat klein is in San Francisco, is dat niet overal. De Nederlanders kregen een eerste contract voor 24.000 dollar om een source code review te doen, een opdracht die ze in Nederland uitwerkten. In de drie jaar die volgden, reisden ze veel heen en weer naar Californië, genietend van de sfeer van mogelijkheden die daar altijd hangt. Terwijl ze penetratietesten deden voor verschillende bedrijven, groeide het idee voor een platform voor premiejagers. Hierdoor zouden bedrijven niet meer per uur betalen, maar per ontdekte kwetsbaarheid. In de avonden en weekenden werkten ze aan deze plannen, een lange periode volgde waarin ze amper vrije tijd hadden.

In 2014 spraken ze opnieuw met Alex Rice, die vertelde dat Facebook een dergelijk premieplan op aan het zetten was, maar Facebook liep achter op de Nederlanders, dus het voorstel was om de krachten te bundelen en HackerOne werd geboren. Niet veel later kwam Yahoo binnen als eerste klant, waarna de groei snel is gegaan.

Intussen staan er ruim 600.000 hackers als premiejager ingeschreven bij HackerOne, is er zo’n 80 miljoen dollar uitbetaald aan hackers en zijn er ongeveer 150.000 kwetsbaarheden ontdekt. Van een dorpje in Friesland tot de Bay Area, waar de dichtheid van miljonairs zo groot is dat er meer dan vijftig sterrenrestaurants te vinden zijn; met een glimlach kijkt Prins zijn kantoor rond, naar de ramen waar aan de overkant van de straat andere kantoorpanden te zien zijn waaruit downtown San Francisco bestaat. ‘Dit is het nu geworden,’ zegt hij trots.

Computervredebreuk

Wie wil leren hacken, hoeft in principe niet te kunnen programmeren. Je hebt een aantal programma’s nodig, die de informatie onderschept die jouw computer naar een website stuurt en andersom. Door deze informatie te leren uitlezen en daarin patronen te herkennen, weet je of er wijzigingen in zijn aan te brengen. Zo kan je binnenkomen. Overigens hoeft hacken niet alleen maar achter de computer te gebeuren. Social engineering is het aanpappen met mensen om hun computergeheimen te achterhalen. Misschien geeft de digibete buurvrouw een keer het wachtwoord van haar Netflix-account aan haar buurjongetje, zodat hij wat geld bespaart. Veel mensen gebruiken hetzelfde wachtwoord voor al hun accounts, dus kan die buurjongen daarmee misschien opeens ook haar e-mails lezen of inloggen bij Amazon en via haar creditcard spullen bestellen.

Wie nu gelijk enthousiast wil beginnen om deze vaardigheden te leren, moet wel bedenken dat het illegaal is om zonder toestemming te hacken. In Nederland is dit vastgelegd in de wet als computervredebreuk, waarop een maximale celstraf van één jaar staat of een geldboete tot 16.750 euro. Dat hacken ook in de Verenigde Staten strafbaar is, ontdekte de Schot Gary McKinnon in 2002, toen hij werd beschuldigd van het inbreken in computers van NASA en het Amerikaanse leger. Daar zou hij computersystemen hebben platgelegd en belangrijke bestanden verwijderd of gekopieerd, waardoor onder andere munitieleveringen verkeerd gingen. Naar eigen zeggen probeerde McKinnon bewijs te vinden voor het bestaan van ufo’s en van geheime energietechnologie. Hij liet een bericht achter: ‘Your security is crap.’ Sindsdien proberen de VS hem door Groot-Brittannië uitgeleverd te krijgen, waarna hij tot zeventig jaar cel zou kunnen krijgen.

Daarom is het voor hackers die legaal geld willen verdienen belangrijk dat zij dat via een platform voor premiejagers doen, of anderszins voor af toestemming hebben gekregen. Zo is het duidelijk wat de intenties zijn en hoeft er voor een bedrijf geen angst of ongemakkelijke situaties te ontstaan. Zodra je eenmaal hebt leren hacken, wil je er natuurlijk ook uitzien als een hacker. Vanwege alle tv-series is er een stereotiepe beeld ontstaan van mysterieuze types die vanuit hun zolderkamer werken. Jongens met hoodies, die erg op zichzelf zijn. ‘Dat cliché bestaat zeker nog,’ zegt Ben Nahamsec, die voor HackerOne contact onderhoudt met de hackers die voor hen werken. Volgens Nahamsec kan je bij de bijeenkomst Def-Con in Las Vegas, het grootste hackers-evenement ter wereld, altijd goed zien dat het toch vaak teruggetrokken jongens zijn. ‘Maar: juist dat soort bijeenkomsten heeft ervoor gezorgd dat we nu ook samenwerken, waardoor je ziet dat hackers elkaar persoonlijk kennen en samen een biertje drinken. Het beeld verandert wel.’

Toch is iedereen het erover eens dat de hackers die erg goed zijn, altijd het type mens is dat er veel tijd in heeft kunnen steken. De zeven hackers die via HackerOne intussen miljonair werden, zijn vooral jonge mannen met weinig verantwoordelijkheden. De ene reist rond en zou nu ergens op een resort in Thailand zitten, de ander is een 19-jarige Argentijn. Het gaat erom dat je al je tijd in het hacken kunt steken, waardoor je één programma van een bepaald bedrijf helemaal leert kennen. Precies zoals Tommy DeVoss dat met Yahoo heeft gedaan.

Slippers

Rijdend door San Francisco zie je overal de logo’s van bedrijven die zo bepalend aan het worden zijn voor onze levens. Een paar blokken naar het zuiden over Market Street vanaf het kantoor van HackerOne, hangt het logo van Twitter aan de voorgevel van een gebouw, in dezelfde straat ben je dan al een paar Starbucks-zaken tegengekomen. Vlakbij zitten kantoren van Uber, Slack en Spotify. Allemaal zijn het klanten van het bedrijf van de Nederlanders. Daarnaast doen zij ook de beveiliging van het Amerikaanse ministerie van Defensie, en hebben grote banken als Goldman Sachs bij hen aangeklopt. Alles wordt in de moderne wereld digitaal en dat moet allemaal beschermd worden, tegen digitale vandalen tot landen als China die hele hackteams hebben opgezet in hun ministeries.

Het cliché wil dat alle techbedrijven ingericht zijn als speeltuin en bevolkt worden door jonge miljonairs in spijkerbroeken. Deels is dat waar: wanneer Abma en Prins een board meeting uitstappen, in hun vaste outfit van jeans, sneakers en een vestje, wordt er gesproken over een gezamenlijk etentje die avond, gepland in een luxe restaurant waar nog op traditionele manier nette kleren verwacht worden. Wanneer we daarna naar buiten lopen, grappen ze dat ze gewoon casual gaan. Prins: ‘Maar als we dat doen moeten we het ook echt overdrijven, dan gaan we op slippers.’

Google heeft glijbanen op haar kantoren, waarmee medewerkers een verdiepingen kunnen afdalen als ze geen zin hebben de trap te nemen. Dat heeft HackerOne niet, maar ze hebben er wel de ultieme kantoortuin van gemaakt, inclusief tafeltennistafel en geluidsdichte privacyhokjes. Daar horen ook huisdieren bij: een aantal werknemers neemt een hond mee naar het werk, een van de software-engineers, de Nederlandse Karen Sijbrandij, brengt geregeld haar kat mee. Zij is in San Francisco terechtgekomen doordat haar Nederlandse man Gitlab begon, een platform waar programmeurs tegelijk aan een code kunnen werken, vergelijkbaar met in Google Docs tegelijk in een tekstbestand zitten. Het is een bedrijf dat met bijna duizend medewerkers een geschatte waarde vertegenwoordigt van ruim 2,5 miljard dollar.

Digitaal schatzoeken

De techwereld is een ons-kent-onswereld, vooral als het gaat om de Nederlanders in San Francisco, dus was het logisch dat Sijbrandij bij HackerOne begon als software-engineer toen ze nieuw werk zocht. Zelf had ze nooit gehackt naast het programmeren, maar daar is ze voor de lol ook mee begonnen. Ze volgt de cursus hacker-one-o-one, waarbij in een programma kwetsbaarheden verborgen zitten waarnaar je kan zoeken. Het is de digitale vorm van schatzoeken, vindt Sijbrandij, en het geeft haar een geweldige kick de kwetsbaarheden te vinden, ook al zit er aan dat oefenprogramma nog geen geldsom verbonden. Dat is ook gelijk interessant aan de manier waarop HackerOne is opgezet en zo goed hackers aantrekt: alles is ingericht als een spel, wat jonge tech-enthousiastelingen die opgroeiden met gamen natuurlijk aanspreekt. Er zijn prijzen te winnen op de bijeenkomsten – een riem zoals die in bokswedstrijden wordt vergeven – en het profiel van iedere hacker op de website laat zien hoeveel kwetsbaarheden die heeft gevonden en hoe complex die waren. Hackers die een speciale rol hebben gespeeld voor het bedrijf krijgen een speciaal gemaakte poster die lijkt op de voorkant van een stripboek van Marvel Comics, waarin de karaktereigenschappen van de hacker worden verwerkt door een tekenaar.

HET STEREOTIEPE BEELD: MYSTERIEUZE TYPES DIE VANUIT HUN ZOLDERKAMER WERKEN. JONGENS MET HOODIES, DIE ERG OP ZICHZELF ZIJN

Abma en Prins zien hun bedrijf als meer dan een platform waarop grof geld verdiend kan worden.

Juist doordat je via het internet niet meer plaatsgebonden bent, kan iedereen vanuit de hele wereld zijn of haar kunsten aanbieden. De premie blijft hetzelfde, of je nu vanuit het peperdure San Francisco hackt of vanuit een stad in India. En dan is 100 dollar verdienen met het ontdekken van een kleine kwetsbaarheid in een systeem al interessant. Met duizenden of tienduizenden dollars per jaar kan je dan opeens al je hele familie onderhouden.

De Nederlanders geloven er dan ook in dat dit soort marktplaatsen een van de toepassingen van tech zijn waar we nog veel meer van gaan zien. ‘Ik denk dat het hele fysieke aspect van werk verdwijnt,’ zegt Abma. ‘Mensen kunnen gewoon werken waar ze wonen. Het is een grote gelijkmaker.’

Voor de twee is er geen twijfel over mogelijk dat wat er ook gaat gebeuren qua ontwikkelingen binnen de techwereld, zij er nog lang deel van zullen uitmaken. Want de groei in de wereld van cybersecurity blijft; steeds meer gebeurt online en daarbij komt beveiliging altijd na ontwikkeling. ‘Het is het eerste waar ik altijd aan denk bij een start-up: wat is de cybersecurity-impact ervan?’ zegt Prins. Zijn vriend Abma knikt. ‘Digitale oorlogsvoering is gewoon een reëel ding. Er wordt steeds meer geld aan uitgegeven, in zowel de defensieve als de offensieve kant. Het is een groot probleem, er gaat echt heel veel kapot.’