Interview met Chester van den Bogaard: ‘Als ik een nieuwe hackmethode heb dan kan ik die eerst uitproberen bij de Nederlandse overheid.’

Expertblogs

Elk jaar ontvangt het Nationaal Cyber Security Center (NCSC) duizenden zogeheten Coordinated Vulnerability Disclosure (CVD) meldingen. Dat zijn meldingen van hackers over kwetsbaarheden die zij hebben gevonden bij de Rijksoverheid of andere organisaties. Als je geluk hebt dan is jouw melding goed genoeg  om onderzocht te worden. En je hebt pas echt de loterij gewonnen als je vervolgens wordt beloond met een T-shirt, omdat jouw melding een belangrijke kwetsbaarheid heeft aangetoond voordat er misbruik van gemaakt kon worden door een kwaadwillende. Maar wanneer wordt een CVD-melding beloond met een shirt en wat motiveert iemand om deze meldingen te doen?

We stellen deze vragen aan Chester van den Bogaard (33) die naast zijn beroep als Senior Cyberconsultant bij BDO ook ethisch hacker is. In die laatste rol doet hij CVD-Meldingen bij het NCSC en we kunnen gerust stellen dat hij daar succesvol in is. Ondertussen heeft hij door het vinden van kwetsbaarheden een hele garderobe bij elkaar verdiend: shirts in verschillende kleuren en zelfs truien. Afgelopen twee jaar is hij vanwege zijn bijdrage aan Nederland digitaal weerbaar maken, toegevoegd aan de Wall of Fame van het NCSC. Ook heeft hij zojuist, vanwege zijn waardevolle bijdrage aan de digitale weerbaarheid van Nederland, een rondleiding gekregen bij het NCSC om een kijkje achter de schermen te nemen.

Vergroot afbeelding
Beeld: ©NCSC / NCSC
Chester van den Bogaard aan het werk.

Dag Chester, om maar meteen met de deur in huis te vallen: wat viel je net op aan de rondleiding?

Het is mooi om te zien hoe het NCSC (ook fysiek) is ingericht, en hoe alle disciplines met elkaar samenwerken om goed met incidenten om te gaan. Eerlijk gezegd, had ik een dwingendere rol verwacht van het NCSC. Dat er bijvoorbeeld een maximale opvolgtijd zou zijn bij organisaties om maatregelen te nemen wanneer er een melding binnenkomt. Dat het dus minder vrijblijvend zou zijn. Al is de informatiepositie en de aanwezige expertise binnen het NCSC natuurlijk al heel goed.

Hoeveel meldingen heb je ondertussen denk je gedaan?

Ik gok rond de 50, maar het aantal meldingen die ook echt zijn opgepakt en zijn onderzocht zullen ongeveer twintig zijn.

Hoe is het balletje ooit gaan rollen om te gaan melden?

Ik was denk ik 9 of 10 jaar toen ik begon met ‘hacken’. Je kon toen vrij eenvoudig achter iemands wachtwoord komen van MSN en iemand’s Cd-Romspeler openen. Dat vond ik vrij bijzonder en ben van daaruit meer in het hacken gedoken. Vervolgens heb ik er eigenlijk een aantal jaar niets meer mee gedaan tot ik 20 was.

Rond mijn 20ste zag ik een webcast van Team High Tech Crime wat het vuurtje weer aanwakkerde. Ik heb ze toen gemaild met welke opleiding ik het beste kan doen om me in hacken te specialiseren. Daarop kwam het antwoord dat ik de opleiding Forensisch ICT aan de Hogeschool Leiden moest volgen. Dat heb ik vervolgens gedaan.

En toen ben je begonnen met CVD-meldingen?

Als je gaat beginnen met hacken dan wil je wat uitproberen, maar dat gaat niet zo makkelijk. Je mag niet zomaar organisaties binnendringen. De Nederlandse overheid heeft een mooi systeem om te kunnen hacken binnen bepaalde grenzen. Dus ik ben dat gaan uitproberen met het doel: ‘Ben ik überhaupt in staat om een T-shirt te bemachtigen?’. Dat is uitgegroeid tot een mooie manier om mijn techniek bij te schaven. Als ik een nieuwe hackmethode heb, dan kan ik die eerst uitproberen bij de Nederlandse overheid. Het is een digitaal schaakspel.

Daarnaast zou ik er zelf last van hebben als de Nederlandse overheid wordt gehackt. Dus ik heb er zelf ook baat bij als ik kwetsbaarheden vind voor ze misbruikt kunnen worden.

‘Als ik een nieuwe hackmethode heb dan kan ik die eerst uitproberen bij de Nederlandse overheid. Het is een digitaal schaakspel.’

Waarom worden jouw meldingen zo vaak beloond?

Het is denk ik vooral belangrijk om begrijpelijk te communiceren: welke kwetsbaarheid heb je gevonden en hoe heb je dat gedaan? Ook probeer ik altijd de urgentie er aan toe te voegen waarom het volgens mij een belangrijke kwetsbaarheid is. Op deze manier probeer ik de melding zo concreet mogelijk te maken voor het NCSC, zodat zij het meteen kunnen oppakken.

Wat is je inschatting: gaan we ooit in een wereld leven waarin alles zo goed is dichtgemetseld dat er geen Chesters meer nodig zijn om meldingen te doen?

Ik denk dat dit heel lastig gaat worden, omdat het toch een kat en muisspel blijft. Ik denk ook dat AI hier een grote rol in gaat spelen, zowel positief als negatief. Met behulp van AI kunnen aanvallen geweerd worden, maar het zal ook gebruikt worden om aanvallen te creëren, waar al vele voorbeelden van zijn.

Er is geen sprake van een gelijk speelveld. In NL loop je vaak tegen ethische beperkingen aan van AI, want AI mag je niet helpen met creëren van aanvallen. Dat is alleen niet overal in de wereld het geval. In sommige landen is het in het eerste geval al toegestaan om andere landen aan te vallen en daarnaast zijn er statelijke actoren die AI zonder ethische beperkingen tot hun beschikking hebben. Daardoor kunnen zij meer aanvallen creëren.

Wat zouden organisaties kunnen doen om zich beter te kunnen beschermen tegen deze aanvallen?

Zorg er in ieder geval voor dat de basis-hygiëne op orde is, zoals het regelmatig patchen van systemen, en laat systemen testen voordat deze online worden geplaatst. Het zou ethisch hackers daarnaast helpen als organisaties werken met een responsible disclosure beleid, zoals ‘Security.txt’. Dat is een soort visitekaartje in hun digitale omgeving. Op dit visitekaartje staat waar en hoe je een melding kan doen bij de organisatie wanneer je een kwetsbaarheid vindt. Soms ontdek ik kwetsbaarheden bij organisaties zonder een responsible disclosure beleid of security.txt. Omdat het vaak veel extra moeite kost om deze kwetsbaarheden te melden, meld ik kwetsbaarheden met name aan organisaties die dit wel op orde hebben.

‘Het zou veel helpen als organisaties werken met een responsible disclosure beleid, zoals ‘Security.txt’.

MSN bestaat ondertussen niet meer. Heb je tips voor aanstormend talent hoe zich kunnen ontwikkelen?

Er zijn tegenwoordig veel bronnen beschikbaar waarmee je jezelf kan ontwikkelen tot hacker, zoals YouTube, HackTheBox, TryHackMe en meer. Zelf heb ik de opleiding Forensisch ICT aan de Hogeschool Leiden gedaan, dat helpt voor technische kennis in zowel het aanvallen als verdedigen. Daardoor begrijp je beter hoe je kwetsbaarheden kan vinden en kan misbruiken, maar online staat ook heel veel informatie over hoe je kan hacken. En ga het ook gewoon proberen. Houd je alleen wel aan de regels en val niet zomaar iedereen aan. Vaak is het genoeg om alleen te melden dat de voordeur openstaat en hoef je niet het huis binnen te wandelen om aan te tonen dat er risico op inbraak is.

Reactie toevoegen

U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.

* verplichte velden

Uw reactie mag maximaal 2000 karakters lang zijn.

Reacties

Er zijn nu geen reacties gepubliceerd.