iOS
Android
Back
De Knuffelhacker: een interview met Rickey Gevers
Deze keer aan mijn keukentafel een gesprek met Rickey Gevers, misschien wel Neerlands bekendste hacker bij het grote publiek. Tegenwoordig helpt hij organisaties met het reageren op cyber aanvallen, wat we noemen ‘ incident response’. Niet goed te voorspellen werk dus het gesprek was wat lastig in te plannen. Een gesprek over ‘hacken’, dus het gebruik van systemen waar het niet voor bedoeld is. En dan de lastig te bepalen grens over wat wel en niet zou mogen met al dan niet de beste bedoelingen. Een lastig vraagstuk wat al vanaf de opkomst van dit fenomeen de boventoon voert. Zeker nu ook allerlei kritische infrastructuur, zoals treinen, sluizen, verkeerslichten en chemische fabrieken ook gehacked kunnen worden.
Dit artikel verscheen in 06-2022, in het magazine Data, Cybersecurity & Privacy. De interviewer is Roel van Rijsewijk, onze director Cyber Defence.
Want hij dankt zijn bekendheid aan het feit dat de jonge Rickey de twijfelachtige eer had de eerste Nederlander te zijn die ooit is gearresteerd voor een hack. Daar wil ik natuurlijk meer van weten maar eerst even voor de lezer uitleggen wat een hacker nou precies is.
What is a hacker?
‘A person who uses computers to gain unauthorized access to data’, lees ik in het woordenboek. Dat gebeurt echter niet altijd met de bedoeling om zich illegaal informatie toe te eigenen, maar veelal om aan te tonen dat het netwerk onvoldoende is beveiligd. Deze definitie doet wat mij betreft niet voldoende recht aan de skills, vindingrijkheid en creativiteit van hackers. De mooiste definitie vind ik nog altijd van Bruce Schneier uit zijn boek ‘Secrets and Lies’ : “A hacker is someone who thinks outside the box. It’s someone who discards conventional wisdom, and does something else instead. It’s someone who looks at the edge and wonders what’s beyond. It’s someone who sees a set of rules and wonders what happens if you don’t follow them. A hacker is someone who experiments with the limitations of systems for intellectual curiosity.”
Nieuwsgierig, dat is een treffende omschrijving van de persoon die aan mijn keukentafel heeft plaatsgenomen. Met een permanent glimlachje en een twinkeling in zijn ogen kijkt hij me onbevangen aan, benieuwd waar ik het met hem over wil hebben. Ik kan me heel goed voorstellen dat hij wel klaar is met praten over die ene keer dat hij gepakt is. Toch begin ik erover en hij lijkt er totaal niet mee te zitten om het verhaal voor de zoveelste keer te vertellen.
Looking at the edge
“Ben je toen bewust de grens over gegaan?’, wil ik weten. “Ik ben toen willens en wetens een grens overgegaan maar dat waren in die tijd geen zaken waar je voor kon worden gearresteerd”, begint hij. “De eerste keer ben je bewust, de tweede keer al wat minder en daarna sta je er niet echt meer bij stil. In ieder geval heb ik nooit van mijn leven iets gedaan voor persoonlijk gewin, privacy van mensen geschaad of systemen kapot gemaakt.” En dan legt hij zijn motivatie uit, wat dicht in de buurt komt van de definitie van Bruce Schneier.
“Het ging mij toen vooral om de technische uitdaging: wat is dit voor een systeem en kan ik het hacken? En als ik eenmaal binnen was ging andere hackers systematisch verwijderen en het veiliger maken.’, verklaard hij. “Dus ja, ik had niet het gevoel dat ik verkeerd bezig was. Ik gaf gratis hulp, ze moeten me dankbaar zijn!’ En hij wacht een paar tellen, “althans zo heb ik het wit-gewast in mijn hoofd.”, voegt hij er lachend aan toe. “Dus je had eigenlijk de beste bedoelingen en illegaal was het nog niet”, knik ik begrijpend, “maar waarom ben je dan gearresteerd?” Wat blijft aanvoelen als een impertinente vraag.
What happens if you don’t follow the rules
Rickey lijkt het wederom niet gênant te vinden, integendeel. “Dat was voor mijn hack van de University of Michigan. Ik had daar toegang weten te krijgen tot een aantal terabyte aan schijfruimte, in die tijd was dat ongekend veel. Dat gebruikte ik voor downloaden van films enzo. Blijkbaar hebben ze daar een uitstekende Computer Science opleiding want ik ben toen door een aantal studenten ontdekt. Nu had ik voor mezelf admin rechten verkregen.’
“Je bedoelt dat je God was in het netwerk?”, probeer ik mijn gebrek aan technische kennis te verhullen. “Ja, ik kon echt overal bij, dus ook de studentenadministratie met allemaal hele gevoelige gegevens, zoals Social Security Numbers. Ik had geen idee maar het werd daarom nogal serieus genomen. Ze hebben daar een heel team van studenten op gezet om het forensisch te onderzoeken. In die tijd vond ik het echt niet nodig om gebruik te maken van een proxy server of zo, en dus kwamen ze uiteindelijk ook achter mijn email en huisadres. Dus waarschijnlijk hebben ze ook vastgesteld dat ik niet zoveel kwaads had aangericht. Het dossier hebben ze uiteindelijk overgedragen aan de FBI. En die hebben het in een kast gestopt; iemand vervolgen die in Nederland zit voor computervredebreuk, dat had op dat moment geen prioriteit. Case Closed." Hij pauzeert even voor effect. “En toen werd in Nederland de High Tech Crime Unit opgericht. En dit jonge team wilde aan de slag en heeft o.a. aan de FBI gevraagd of ze niet een leuke case hadden liggen om mee te beginnen. Tja, en toen viste ze na 5 jaar (!) mijn oude dossier uit de kast.’’, hij schudt meewarig zijn hoofd. “Om hun tanden in te zetten. Een hele grote jongen dachten ze te pakken te hebben.”
“Hoe oud was je toen?”, wil ik weten. “Inmiddels was ik informatica aan het studeren aan de Hoge School van Amsterdam. Daar kon ik al mijn energie in kwijt dus mijn clandestiene hacking tijd was over.” Hij verteld erbij dat hij juist die dag, oh ironie, begonnen was aan de minor Security en Forensics. “En toen zijn ze midden in de nacht mijn studentenkamer ingevallen en hebben ze me uit bed gesleurd.‘Je weet vast wel waar we voor komen!’ zeiden ze nog. Nou, ik had geen idee; dit was 5 jaar geleden en ik was allang gestopt”.
“Ik was 18 toen ik het heb gedaan. Ik heb in die tijd heel veel systemen gehacked, ik had zelf niet zo door dat dit een skill was. Mijn bijnaam was ‘LanMan’ omdat ik behoorlijk goed was in het verkrijgen van domain admin rechten, zeg maar de baas van het hele netwerk (LAN=Local Area Network red.). Ik denk dat ik dit op de helft van de universiteiten van Nederland voor elkaar had. Bij banken was dit in die tijd ook vrij normaal dat je dat lukte.” “En nooit bang geweest om gepakt te worden?’, wil ik weten. “Nee helemaal niet’, en hij denk even na. “Nou 1x wel! Toen bleek dat ik bij de NASA binnen zat. Toen ben ik wel even geschrokken. Ik dacht, sjit die lui wil je echt niet achter je aan hebben. Ik was overigens niet de enige, het zat er helemaal vol met hackers!”, lacht hij.
Intellectual Curiosity
Ik wil meer weten over zijn motivatie, zijn hackers inderdaad gedreven door nieuwsgierigheid? “Ja, ik deed het voornamelijk om ervan te leren. Ik wilde digitale rechercheur worden.” en hij schiet weer in de lach. “Om digitale boefjes te arresteren. En ik vond dat ik daar veldkennis voor nodig had en kon leren van andere hackers.” “En je dat kon je vervolgens krijgen in je opleiding?”, wil ik weten. “Nou, gedeeltelijk. Ik denk dat ik mijn dagelijks werk 90% kennis en vaardigheden heb gebruikt die ik mezelf heb geleerd en 10% vanuit de opleiding. En dat is ook niet zo gek, want ik zat er echt heel diep in en zo’n opleiding is heel breed”.
The grey area
De hackers worden wel eens opgedeeld in drie groepen. De ene groep is het meest berucht dat zijn de zogenaamde ‘Black Hat’ hackers. Black Hat, zoals de bad guys uit de oude westerns. Die hebben geen toestemming en verkeerde bedoelingen. Daar tegenover staan de ‘ white hats’, of wel de ethische hackers. Die hebben altijd toestemming en worden ingehuurd om je security te verbeteren. Maar de allergrootste groep zijn de ‘grey hats”. Dit zijn de hackers zoals de Rickey van 18, die geen toestemming hebben maar niet noodzakelijkerwijs verkeerde bedoelingen.
De vraag is hoe je als overheid en bedrijfsleven zou moeten omgaan met deze groep. Zoals uit het verhaal van RIckey blijkt moet je er rekening mee houden dat mensen niet altijd dankbaar zullen zijn voor je werk. Als je nou ontdekt dat een organisatie ergens zijn beveiliging niet op orde heeft, moet je dat dan melden? Je kan ook ontzettend op je donder krijgen als je dat doet. Terwijl je zo’n kwetsbaarheid ook voor veel geld kan verkopen op de zwarte markt. Het lijkt erop dat de rechte weg niet altijd de gemakkelijkste is.
“Ja, ik heb in die tijd wel eens aan beheerders gemeld waar het mis zat met hun beveiliging.”, reageert Rickey. “ En de reacties waren 50:50. Soms positief en werd er ook wat gedaan met de melding. Maar vaak ook heel agressief, alsof je ze in de veren hebt geschoten. Dreigen met politie. Heel extreem dus en daar zat niets tussen. Vervolgens wordt het lek ook niet aangepast. Dan denk je op een gegeven moment ook, al die moeite voor niets, laat maar zitten.”
Tegenwoordig hebben de meeste bedrijven een zogenaamd ‘Responsible Disclosure’ beleid, tegenwoordig ook wel ‘ Coordinated Vulnerability Disclosure” genoemd. Daarin legt de organisatie uit hoe ze omgaan met hackers die door beveiliging zijn gekomen en dat willen melden. Dat beleid kan ook zijn dat het bedrijf te allen tijde de politie inschakelt maar dan weet je tenminste waar je aan begint.
“De meeste volwassen bedrijven die hebben inmiddels zo’n beleid”, verteld Rickey. “ En de meeste die het snappen, die maken het heel makkelijk voor de hacker. Die doen ook echt wat wat met die meldingen, leren daarvan en zijn daar dankbaar voor. Soms zelf met een beloning.”
Responsible Disclosure in Industrial Control Systems
De cowboy-tijd in IT security lijkt in die zin achter ons te liggen. De wetgever is inmiddels vrij duidelijk geworden in wat wel niet mag en zelfs het grijze gebied wordt door beleid tussen hacker en bedrijf gereguleerd. Ik wil daarom verder praten over Operationele Technologie (OT), wat we ook wel Industrial Control Systems noemen. Dat zijn de systemen die productieprocessen en infrastructuur aansturen. The IT in the non-carpeted areas. Die zijn inmiddels ook doelwit geworden van hackers.
“Dat lijkt me ook een aantrekkelijk doelwit voor nieuwsgierige, jonge hackers.”, begin ik. “ Ja man”, bevestigd Rickey. “ Er is natuurlijk niets zo stoer als de matrixborden op Centraal Station over te nemen. De jongens en meisjes tussen 14 en 18 jaar oud hebben alle tijd van de wereld, ze kunnen best wel wat en hun morele kompas is nog in ontwikkeling. Dan kan het zo maar zijn dat ze in allerlei kritische systemen gaan rommelen. Stoer doen ten opzichte van je vrienden is op die leeftijd een ongelofelijke sterke motivatie, onderschat dat niet.”
Ik wil weten hoe je in dit soort omgevingen met dit soort hackers om moet gaan, hoe je ‘Responsible Disclosure’ beleid er dan uit zou moeten zien. Als een website het even niet meer doet door een hack is dat natuurlijk erg maar in een OT omgeving kan het een ramp zijn. Moet je hackers dan uitnodigen om waar wat te proberen?
Digital Vaccine
“Kijk, het is gewoon een natuurwet: je systeem wordt op een gegeven moment gewoon gehacked. Dat wil je misschien niet, je doet er alles aan om het te voorkomen maar het gaat toch echt gebeuren. Dan kan je er beter zo goed mogelijk mee omgaan als het gebeurt. Misschien dat aanmoedigen om dat soort omgevingen te hacken inderdaad geen goed idee is. Maar als je zeker genoeg bent van je zaak, sta er dan voor open. Misschien dat op dit moment veel infrastructuur en productieprocessen daar nog niet klaar voor zijn. Maar heb je vertrouwen in je systemen, dan zou ik zeggen: kom maar op!”.
“Blijft wel een enorm dilemma”, reageer ik. “Je wil geen mensenlevens riskeren omdat iemand zonder toestemming in de systemen van een kerncentrale aan het rondneuzen is. Je kan dan wel de boel op orde hebben maar dat hele kleine beetje risico wil je ook niet lopen.“
Hij komt weer terug op zijn binnendringen van de NASA waar hij het eerder over had. “Kijk, ik was niet de enige en het was ontzettend makkelijk. Zo’n omgeving waar niemand zijn vingers aan wil branden en waar niks geprobeerd mag worden, daar blijven kwetsbaarheden gewoon bestaan en dan wordt het niet veiliger van.”
Dat zet me aan het denken. Het roept gedachten op rond de weerbaarheid van de mens. Dan moet je op jonge leeftijd ook blootgesteld worden aan allerlei virussen en bacteriën om je immuunsysteem de kans te geven daarvan te leren. Proberen mensen daar allemaal weg van te houden door extreme beschermende maatregelen leidt dan vaak niet tot hele weerbare mensen. Een dilemma waar we recentelijk met de pandemie ook in zaten. Responsible Disclosure beleid is dan een soort vaccinatieprogramma. “En dan liever iemand van 16 die binnen is dan een crimineel.” gaat Rickey verder.
Advanced Persistent Threats
Criminelen en wat we ook wel statelijk actoren noemen, dus hackers in dienst van de overheid. Er zijn een aantal landen zoals de VS, China, Rusland, Noord-Korea en Iran die erom bekend willen staan dat ze over dit soort capaciteiten beschikken en er niet voor terugdeinzen ze in te zetten. Denk aan het Stuxnet virus wat Iraanse nucleaire installaties saboteerde, het Shamoon virus wat bij Aramco voor grote problemen heeft gezorgd of Black Energy malware die het elektriciteitsnetwerk van Oekraïne uitschakelde.
“Nou, dan heb je ook de statelijke actoren die het wat minder een de grote klok hangen.” aldus Rickey. “Zoals Frankrijk die volgens Snowden nogal actief is. En als we Huib Modderkolk moeten geloven dan tellen we in Nederland ook behoorlijk mee. De overheid deinst er dus niet voor terug om met Industrial Control Systems wat uit te proberen. En staten zijn wat we noemen ‘APT’s’, Advanced Persistent Threats, die zijn zeer geavanceerd en uiterst gemotiveerd en dus bijna niet tegen te houden. Dus dan moet je in staat zijn de schade te beperken door segmentering van je netwerk, vergelijk dat met de waterdichte schotten in een schip, en weten wat je moet doen als ze eenmaal binnen zijn. De ‘silver bullet’ die je immuun maakt voor cyber aanvallen bestaat niet.”
“Dus dan maar leren van jonge mensen van wie het morele kompas nog wat gekalibreerd moet worden?”, herinner ik hem aan zijn opmerking van even terug.
“Het grijze gebied is al wat minder onduidelijk dan voorheen. De juridische kaders zijn vrij helder. Maar als je jong bent dan zul je geneigd zijn die grenzen op te zoeken en dan ga je er ook wel eens overheen. Het is ook voor een groot deel cultureel bepaald. Je kunt beter zorgen dat je de jeugd de kans geeft hiervan te leren en wat met hun skills te doen dan dat je te repressief wordt. Het zijn de landen waar talent weinig kansen krijgt om met hun vaardigheden op een eerlijke manier geld te verdienen waar de meeste cyber criminelen zitten.”
Learn from your mistakes
Het is fijn dat Rickey in dit gesprek niet de diep-technisch is geworden zodat ik het allemaal niet meer kan volgen. Andersom kan hij naar eigen zeggen mijn meer filosofische benadering van hacken wel waarderen. Een interesse in de morele kant van het vak zie ik bijna bij alle hackers terug overigens. Want inmiddels is het ook met Rickey na zijn arrestatie helemaal goed gekomen. Tegenwoordig is hij een ethische hacker die altijd toestemming heeft. Niet als digitale speurneus bij de High Tech Crime Unit maar als Incident Responder. “Een mooi vak, je kan naar aanleiding van een incident heel veel meters maken in het veiliger maken van een bedrijf dus dat is heel bevredigend. Soms heb je het lekker druk en soms heb je veel rust. En voor dit werk kan ik ook mijn offensieve skills gebruiken.”
En zo is Rickey Gevers het lopende voorbeeld van hoe we jonge hackers de kans moeten geven te leren, zeker ook als ze een keer in de fout gaan. Juist dan.