PlusPortretserie

Zij worden opgeleid tot ethische hackers: ‘Mensen hebben te veel vertrouwen in elkaar’

De Hogeschool van Amsterdam, die het afgelopen jaar kampte met een groot datalek, leidt sinds twee jaar ethische hackers op. Drie studenten vertellen.

Chiméne Baardemans. Beeld Nina Schollaardt
Chiméne Baardemans.Beeld Nina Schollaardt

Chiméne Baardemans (19) is eerstejaarsstudent cyberveiligheid en woont in Nieuw-West.

“Ik game best wel veel: geen schietspellen, maar eerder spelletjes waarbij je vrienden maakt en dingen bouwt, zoals Minecraft en League of Legends. Voor mij was het dus voor de hand ­liggend om game design te gaan ­studeren. Maar toen ik me verdiepte in alle opleidingen, raakte ik steeds meer afgeleid door cyberveiligheid. Ik merk dat het erg nodig is; mensen beseffen niet hoe belangrijk het is. Ook in mijn eigen omgeving waren er kennissen die zeiden dat ze nooit meer hadden omgekeken naar het wachtwoord van hun router bijvoorbeeld, terwijl iemand daarmee wél je wifi-netwerk kan kapen.

Ik loop nu voor een project mee met een bedrijf waar we pagina’s vol inloggegevens hebben gevonden. Als je wilt, zou je die binnen vijf minuten kunnen vinden op internet, terwijl dat helemaal niet de bedoeling is.

Ik heb dat meteen naar ze doorgestuurd, met alle documentatie. Als ik op een andere website een lek ontdek, kijk ik eerst of ze een geheimhoudingsovereenkomst hebben: in dat geval kun je het meestal bij de website melden onder bepaalde voorwaarden, mogelijk ook anoniem. Zij bepalen dan wat ze ermee doen. Als ze niet zo’n overeenkomst hebben en niet willen dat je hun gegevens hackt, kun je vervolgd worden. Niet iedereen stelt het dus op prijs.

Ik ken letterlijk vier andere meisjes op mijn opleiding: slechts één op de tien studenten is vrouw. Dat is wel opvallend. Nu ga ik sowieso vaker om met jongens dan met meiden omdat ik veel game, maar ik kan me voorstellen dat meisjes schrikken van het lage aantal vrouwen op de opleiding en daarom niet de IT-wereld ingaan.

Ik zie het soms ook in mijn omgeving, dat mensen hun wenkbrauwen fronsen als ik zeg dat ik cyberveiligheid studeer. Ergens zijn mensen dan ook onder de indruk, terwijl ik denk: het moet toch gewoon kunnen? Als ik rechten zou studeren, zou niemand dat een issue vinden. Waarom is het dan bewonderenswaardig als een meisje IT studeert?”

Op dit moment zijn QR-codes erg in opkomst. We weten nu wel voor welke schade phishinglinks in e-mails kunnen zorgen, maar QR-codes kunnen in principe even gevaarlijk zijn. Bij ING en DigiD kun je het over het algemeen wel vertrouwen, maar kijk uit met QR-codes die je op straat tegenkomt, bij advertenties of winkels. Ook daar bestaan beveiligde apps voor, waarmee je veilig QR-codes kunt openen.

We kunnen er als ethische hackers zoveel mogelijk aan doen, en ik draag er graag aan bij, maar ik denk niet dat we ooit volledig veilig zijn voor cyberaanvallen. Als ik veel meer ervaring heb, zou ik Google of Microsoft graag ethisch willen hacken. Niet alleen ­verdien je daar superveel geld mee, maar je kunt er ook miljoenen mensen mee helpen.”

Jessie Gouw. Beeld Nina Schollaardt
Jessie Gouw.Beeld Nina Schollaardt

Jessie Gouw (23) is tweedejaarsstudent cyberveiligheid en woont in Diemen.

“In mijn leven ben ik eigenlijk amper in aanraking gekomen met hacken, voordat ik deze opleiding deed. Het ­balletje is gaan rollen toen ik in 2015 voor bezorgdienst Foodora werkte en dat bedrijf slachtoffer werd van een groot datalek. Dat werd overigens pas naderhand bekend. Ik vond toen ook mijn e-mailadres, huisadres en wachtwoord terug; best wel persoonlijke gegevens. Gelukkig houd ik zelf alles regelmatig up-to-date wat dat betreft, dus ik liep geen gevaar.

Hiervoor heb ik web development gestudeerd. Nu weet ik hoe ik ­websites moet bouwen, maar is er weinig aandacht voor het beveiligingsgedeelte. Tegelijkertijd voel ik toch een drang om voor de burger op te komen, dat kon ik in mijn vorige studie niet kwijt. Als ik ergens iets voor mensen kan betekenen, is het wel in het veld van cyberveiligheid. Je kunt mensen behoeden, beschermen en ook nog eens iets ­aanleren.

Wekelijks doe ik mee aan een bug bounty-programma, waarmee bedrijven je een carte blanche geven om onder hun voorwaarden kwetsbaarheden op te sporen in hun IT-­infrastructuur. Als je dat netjes vermeldt, kun je een beloning krijgen. Zo kun je bij de Hema een appeltaart krijgen, maar ook een cadeaubon van 100 tot 200 euro.

Tijdens mijn studie heb ik ook phishingcampagnes uitgevoerd bij mkb-bedrijven. Wat bleek? Hoe minder moeite je in een ­phishingmail stopt, des te hoger de ­slagingskans en des te meer mensen hun gegevens afgeven. Dat laat voor mij zien dat mensen te weinig les hebben gehad over hun gedrag op het internet. Bewust zijn van cyberveiligheid zou al vanaf de basisschool aangeleerd moeten worden.

Wat niet helpt, is dat de techniek zich steeds verder ontwikkelt. Hackers worden steeds slimmer, hun trucs lijken steeds echter. Het is nu zelfs mogelijk om het e-mailadres van een bedrijf te kapen als dat niet goed is beschermd. Ik zou dus vanuit jouw naam kunnen mailen, op jouw @parool.nl-mailadres, met jouw handtekening.

Soms denk ik dat mensen ook te veel vertrouwen in elkaar en de mensheid hebben. De meeste mensen trappen immers niet in de truc van de prins uit Nigeria die geld wil, maar voor je kind of nichtje dat vraagt of je geld wil overmaken – en later een hacker blijkt te zijn die zich voordeed als familielid.”

Tigo Bakker. Beeld Nina Schollaardt
Tigo Bakker.Beeld Nina Schollaardt

Tigo Bakker (20) is tweedejaarsstudent cyberveiligheid en woont in Heerhugowaard.

“Toen ik 14 was, kregen we laptops van de middelbare school. Ik vond het toen al leuk om te zoeken naar dingen die ik daarop kon doen: de systeembeheerder had het onmogelijk gemaakt om eigen spelletjes te downloaden op zo’n laptop, maar ik heb toen toch een manier gevonden om dat te doen. Ik heb een beetje staan opscheppen bij mijn vrienden, maar het ook meteen aan de beheerder verteld. Een jaar later had hij het opgelost.

Een vriend van mijn ouders werkte bij een bedrijf dat aandacht besteedde aan beveiliging. Hij had er best veel verstand van en gaf me tips om zelf op zoek te gaan naar de dingen die ik zou kunnen uit- en onderzoeken. Het mooie aan cyberveiligheid is dat het zo breed is, dat er nog steeds dingen zijn die ik niet snap. Nu ben ik me bijvoorbeeld aan het verdiepen in het opvangen van radiosignalen. Stel je voor dat je een lamp hebt die je met een afstandsbediening kunt bedienen. Kan ik dan het signaal manipuleren van die afstandsbediening, zelfs zonder die überhaupt te hebben?

Het is ook frustrerend, want je moet altijd up-to-date blijven: in het veld van cyberveiligheid verandert alles de hele tijd. Het is onmogelijk om alles bij te houden en te begrijpen. Dat biedt ook kansen om samen te werken met andere ethische hackers, ofwel ‘wittehoedhackers’. Je hebt ook ‘zwartehoedhackers,’ die van alles proberen te slopen.

Ik heb geleerd dat je hacken kunt vergelijken met een hamer. Daarmee kun je een spijker in een plank slaan, maar ook minder mooie dingen doen. Het is aan de gebruiker om er goed mee om te gaan.

Nederland weet absoluut nog te weinig van cyberveiligheid om ongeschonden de toekomst door te komen. Ik ken nog mensen die ‘wachtwoord’ of ‘1234’ als wachtwoord gebruiken. Niet omdat ze doelbewust het risico willen lopen om gehackt te worden, maar omdat ze zich niet realiseren wat het risico ís.

Als je dat dan als doorgewinterde IT’er duidelijk probeert te maken, zeggen veel mensen: leuk en aardig, maar het boeit me niet. Veel mensen in Nederland hebben die insteek, en zo maak je het alleen maar makkelijker voor aanvallers.”

Hoe corona ook de cyberveiligheid aantast

Hoofddocent Reza Esmaili richtte de opleiding cyberveiligheid aan de ­Hogeschool van Amsterdam op. ­Volgens hem is de cyberveiligheid sinds de coronacrisis verslechterd doordat een groot deel van Nederland nu thuiswerkt. “Als ik vóór corona op mijn werk was, logde ik in op een goed ­beveiligd bedrijfsnetwerk. Maar bij de meeste mensen thuis is de boel helemaal niet goed beveiligd. Zo kun je opeens de drager worden van ‘malware,’ kwaadwillende software die zich in een bedrijfsnetwerk nestelt zodra je daar contact mee maakt.”

Volgens Esmaili is in coronajaar 2020 het aantal aanvallen met ransomware, een vorm van malware die de computer gijzelt totdat geld of wachtwoorden zijn afgegeven, met 20 procent toegenomen. Hij schetst het zo: waar de HvA eerst acht gebouwen had waarop het IT-systeem van de organisatie draaide, strekt het netwerk zich nu uit tot de thuiscomputers van de 3000 medewerkers en 45.000 studenten.

Dat zorgde dan ook voor fikse problemen toen de hogeschool in ­februari doelwit werd van een cyberaanval, ­tezamen met de Universiteit van Amsterdam. De onderwijsinstellingen kropen door het oog van de naald: er lijken geen gegevens van studenten of ­medewerkers gestolen te zijn.

“Wat ook specifiek is aan de coronatijd, is dat men vaker gebruikmaakt van deepfakes,” zegt Esmaili. “Dan lijkt het alsof een e-mail écht afkomstig is van de rector van de hogeschool, of van de ceo van het bedrijf. Hackers kunnen zelfs de stem of videobeelden van iemand manipuleren.”

Uit cijfers blijkt dat het aantal cyberincidenten wereldwijd toeneemt. Ook telecomprovider Verizon noemt het thuiswerken door de coronacrisis als een van de voornaamste oorzaken daarvan, maar eveneens het haastig verhuizen van bedrijfsinformatie naar ­onlinediensten. De meeste cybercriminelen bleken op zoek te zijn naar ­inloggegevens.

Meer over

Wilt u belangrijke informatie delen met Het Parool?

Tip hier onze journalisten


Op alle verhalen van Het Parool rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@parool .nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden