De grootste hacker van Nederland – Column Chris van ’t Hof

januari 12, 2016 / 8420 views

Samenleven met elkaar in de stad kan af en toe behoorlijk kwetsbaar zijn. Wat zijn de gevaren waartegen we ons moeten beschermen? In Stadsleven ‘Rampspoed’  bekijken we hoe we ons weerbaarder kunnen opstellen. Chris van ’t hof is internetsocioloog, presentator en auteur van Helpende Hackers (2015). In deze column geeft hij een kijkje in het werk van ethisch hacker Victor Gevers, ook wel 0xDUDE,  de grootste hacker van Nederland.

Zowel Chris van ’t Hof als Victor Gevers zullen te gast zijn in de live talkshow van 25 januari.

De grootste hacker van Nederland

Terwijl de meesten van ons op 1 januari hun roes van de nieuwjaarsviering uitsliepen, was Victor Gevers, alias@0xDUDE, al om 7.00 uur aan de slag met wat hij het liefste doet: kwetsbaarheden op internet zoeken en die discreet melden bij de betrokkenen.

In mijn onderzoek naar helpende hackers in Nederland noemde ik hem al ‘the biggest dude of ‘m all’ omdat hij de afgelopen zeventien jaar al 4500 meldingen heeft gedaan. Enkele hiervan betroffen grote lekken die ook in de media zijn verschenen, zonder vermelding van zijn naam. Hij doet dit namelijk niet om de eer, hij wil gewoon dat het beveiligingsprobleem wordt opgelost.

victor gevers

Waartegen beschermen hackers ons?

Dit jaar neemt @0xDUDE een sabbatical van zijn werk om niets anders te doen dan dat: een jaar lang lekken melden. Hij heeft hier ook samen met Vincent Toms een stichting voor opgericht: GDI.Foundation.

Het wordt een immense taak, want zijn voornemen is 365 dagen lang, vijftien uur per dag het internet af te scannen naar kwetsbaarheden en die op verantwoorde wijze onthullen. Daarom eerst de meest voor de hand liggende vraag: waarom doe je zoiets? Victor Gevers: “Omdat er gewoon teveel kwetsbaarheden zijn die zo makkelijk te vinden zijn en die je iedereen in vijf minuten kunt uitleggen. Ik heb een gigantische database met kwetsbaarheden die ik nog wilde afhandelen en dat ga ik nu doen.”

Hij gaat zich met name richten op kwetsbaarheden die ‘easy to get & high risk’ zijn. Ten eerste de lekkende databronnen, zoals ftp-servers, network-attached storages en MongoDB-databases die gewoon openstaan. Daar is veel laaghangend fruit te vinden, zoals bijvoorbeeld die 191 miljoen voter records in de VS. Ten tweede kritieke infrastructuur. Er staan namelijk ondanks alle rellen in de media nog steeds veel gemalen, verkeerslichten en andere machines onbeveiligd online. Ten derde de consumentenelektronica, zoals lekke apps en thuisnetwerken die openstaan. Neem bijvoorbeeld het kinderspeelgoed van Vtech, waarmee je via internet in het privéleven kunt kijken van onze allerkleinsten. Het gaat hem er dan ook niet om bedrijven te helpen, maar vooral de gewone gebruikers zoals u en ik, voor nu en in de toekomst.

Een jaar lang non-stop hacken

1 januari was het dus zover. De beelden zijn nog terug te zien op het GDI YouTube-kanaal. Je ziet hem achter een computer zitten en aandachtig kijken naar de codes die over het scherm rollen. Dat is op zich geen spannende TV, maar wel duidelijk bewijs en een inkijk in zijn persoonlijke leven. Hij zit namelijk gewoon thuis, omringd door apparatuur. Als het moment daar is, gaan zwaailichten aan. Ik vraag me af wat zijn vrouw en kinderen daar nu van vinden, maar volgens Victor vinden ze het prima. Belangrijkste reden van dit thuiswerken, is dat hij daar toegang heeft tot zijn offline opslag. Bovendien scheelt het veel reistijd, zodat hij elke dag, zolang mogelijk kan doorwerken.

Hij heeft drie fysiek gescheiden netwerken: een voor zijn werkzaamheden, een voor het gezin en een voor zijn videokanaal. Hij krijgt namelijk nu al verzoeken van congressen en praatprogramma’s om iets te vertellen over zijn actie, maar die zullen het toch ook moeten doen met zijn virtuele aanwezigheid via de camera. Wie hoopt op live onthullingen via zijn kanaal, zal ik direct teleurstellen: lekken worden vooral achter de schermen afgehandeld. Gevers: “Bij het delen van de informatie zal geen informatie worden verstrekt hoe we lekken vinden en wie in gevaar zijn. Onze primaire doelstelling is namelijk dat de lekken worden gedicht en niet dat hierdoor een ieder in staat is om misbruik van te maken van onze informatie.”

Nederland loopt voorop in responsible disclosure. Geen land ter wereld heeft het verantwoord onthullen van kwetsbaarheden zo omarmd als onze poldercultuur. GDI gaat daar nu een flinke schep bovenop doen.

Deze column verscheen eerder op SecurityVandaag.

Meer lezen? 

  • Zowel Chris van ’t Hof als hacker Victor Gevers zullen te gast zijn in Stadsleven ‘Rampspoed’ van 25 januari. 
  • Klik hier voor meer columns over het thema Rampspoed.