19.00-21.00 #hacktalk10: Cyberboefjes

Jongeren vinden hacken wel cool en steeds meer willen het leren. Dat is mooi, zolang ze die skills maar inzetten om het internet veiliger te maken. Helaas gaat het ook wel eens mis. Vorig jaar spraken we hierover tijdens "Hack Talk 4: Next Gen Hackers". Deze aflevering pakten we door. Op het podium vertelden drie veroordeelden wat ze gedaan hebben, om zo andere te laten leren van hun fouten. We spraken ook met de politie, OM, reclassering en criminologen over cybercrime en het reclasseringsprogramma Hack Right. En met de Guild of Grumpy Old Hackers, want die hebben zo hun eigen oordeel over cyberboefjes...


Foto: @DJBusyR

Ook deze avond worden we weer bijgestaan door de Guild of Grumpy Old Hackers die regelmatig jonge cyberboefjes vermanend toespreken, zowel on als off line. V.l.n.r.: Edwin van Andel, CEO van Zerocopter, Hans van de Looy, onafhankelijk IT security expert, met 36 jaar ervaring bij verschillende bedrijven, Victor Gevers, al 20 jaar helpende hacker en Mattijs van Ommeren, security consultant bij het Finse bedrijf Nixu.


Foto: @DJBusyR

Wytske van der Wagen (Erasmus Universiteit) is Assistant Professor aan de Erasmus Universiteit. In het verleden heeft ze ook stage gelopen bij de politie, gewerkt bij hethet Wetenschappelijk Onderzoeks- en Documentatie Centrum van het Ministerie van J&V en stagegelopen bij de Nederlandse ambassade in Moskou. Ervaring in Rusland is best handig als je hackers wil onderzoeken. Elina van 't Zand-Kurtovic is ook Assistant Professor, maar dan aan de Universiteit Leiden. Ze is ook al zeven jaar VOG-zaken afgehandeld bij Van Oosten Advocaten, bij het Openbaar Ministerie gewerkt en doet veel vrijwilligerswerk voor gedetineerden.

Cybercriminaliteit, is dat vooral computervredebreuk, of gaat het vaak gepaard met andere delicten? Volgens Wytske kun je grofweg onderscheid maken tussen computervredebreuk als het inbreken in systemen als doel op zich, al kun je dat ook doen om lekken aan te tonen. Computervredebreuk kan ook een middel zijn voor een ander doel en dan gaat het vaak gepaard met andere overtredingen, zoals fraude, het verkopen van gegevens, sextortion (afpersing door te dreigen pikante beelden vrij te geven) of problemen in de relationele sfeer.

Stel dat je dan gepakt wordt en je krijgt een strafblad, wat zijn daar dan de gevolgen van? Elina heeft hier een proefschrift over geschreven: “Invisible bars: the impact of having a criminal record on young adults’ position in the labour market” (2017). Volgens Eline hangt het effect van een strafblad voornamelijk af van het soort baan dat je wil. Bij de overheid vragen ze vaker om een antecedentenscreening en Verklaring Omtrent Gedrag. Dan kun je het dus wel vergeten als je een strafblad hebt. Ze kijken overigens tot vier jaar terug bij volwassenen en tot twee jaar als je jonger bent dan 23 jaar, dus het verjaart ook wel weer snel. En er zijn ook veel banen waar helemaal geen screening wordt gevraagd.

Wat Elina wel opvalt haar op dat het aantal VOG-aanvragen de laatste jaren explosief is toegenomen: inmiddels meer dan een miljoen per jaar. Dat zal wel iets te maken hebben met de toename in securitymaatregelen, vanuit een gevoel controle te willen hebben. Wat ook meespeelt is dat zo’n aanvraag vrij weinig kost. We vragen de zaal wie er een VOG heeft aangevraagd. Ongeveer en derde steekt hun hand op. En wie heeft hem niet gekregen? Enkelen steken hun hand op, waarvan een van de cyberboefjes en iemand van de politie… De vraag voor deze vond is uiteraard of een veroordeling voor computervredebreuk niet juist een goed CV is in de hackerswereld. Dat zou kunnen, maar daar is volgens Elina nog geen onderzoek naar gedaan.

Dat cybercrime toch wel echt iets anders is dan gewone misdaad betoogt Wytske in haar proefschrift: “From Cybercrime to Cyborgcrime” (2018). De huidige criminologie gaat volgens haar nog te veel uit van een antropocentrisch perspectief waarbij de verklaring voor criminaliteit vooral gezocht wordt in bepaalde psychische en sociale omstandigheden die er voor zorgen dat mensen overgaan tot daden die door anderen gezien worden als misdaad. Kijk je echter naar cyberdaders dan moet je ook kijken naar de rol van technologie en hoe daders interacteren met de technologie. Zo speelt de technologie zelf een grote rol in wat wel en niet kan en ook willen cyberdaders graag verkennen wat die techniek allemaal kan en of het hun lukt om de technische grenzen en de grenzen van hun eigen kunnen steeds te verleggen. Hierbij kan dan de grens tussen goed en kwaad, ethisch en onethisch ook wel eens vervagen. Cyborg is een mens die een relatie aangaat met een technologie die zelf ook handelt binnen het netwerk. Of simpel gezegd: je gaat niet 100.000 x belletje drukken, maar je kunt wel met een druk op de knop een DDoS plegen.

Pleit de rol van technologie als mededader je dan vrij van schuld? Nee. Wel wordt het lastiger om de intentie achter de daad te achterhalen. Was het verspreiden van een virus opzet en kon je de gevolgen overzien? Of als je computer besmet is en deelneemt aan een botnet, ben je dan dader of slachtoffer? Ook bij de vervolging van daders worden tools ingezet die op hun beurt een rol spelen in het bepalen of iets een crimineel feit is of niet. Kortom, ook daarin is nog genoeg onderzoek te doen.

Wytske en Elina zijn net gestart met een nieuw onderzoek om een typologie te ontwikkelen voor daders van computervredebreuk: hun achtergronden, motieven, de tools die ze gebruiken, etc. De vraag is dan of deze specifieke groep cyberdaders vragen om een ander soort interventie en sancties dan klassieke criminelen. De criminologen hebben al veel experts gesproken en zoeken nu contact met de betrokkenen zelf. Hier bij Hack Talk zullen er wel een paar rondlopen die zelf dader zijn geweest, of op z’n minst andere daders kennen of getuige zijn geweest. Ze kunnen zich melden bij Wytske via cybercrimeonderzoek at eur.nl. Het onderzoek is namelijk voor het ministerie van V&J en zal dus effect hebben op hoe ze daar in Den Haag aankijken tegen cyberboefjes.


Foto: @DJBusyR

Floor Jansen van Team High Tech Crime van de Nederlandse politie kennen we nog van aflevering 4. Toen lanceerde ze Hack Right, een programma van politie en OM dat jonge cyberdeliquenten via een taakstraf en gepaste begeleiding op het rechte pad moet krijgen. Ze doet het programma nu samen met Ymkje Lugten, Themaspecialist Cybercrime van het Openbaar Ministerie. Inmiddels zijn 11 jongeren succesvol begeleid.

Floor: “Dat zijn nog geen schokkende aantallen, maar het worden er steeds meer en uit heel Nederland. We zijn een soort uitzendbureau om vraag en aanbod aan elkaar te knopen.” Ymkje: “Het gaat vooral om jongeren die nieuwsgierig zijn naar IT en gaandeweg strafbare dingen doen. Als ze eerlijk zijn over wat ze hebben gedaan, kunnen ze hun skills ook op een goeie manier inzetten bij bedrijven.”

De maximale leeftijd om mee te doen is 23 jaar, hun jongste deelnemers is 15. Floor: “Die was al op zijn 11e begonnen met zware strafbare feiten. We dachten eerst dat het zijn oudere broer moest zijn. Tussen de leeftijd 15 tot 21 jaar worden de meeste delicten gepleegd. Ze zijn nog impulsief, zoeken naar identiteit, willen laten zien wat ze kunnen, zichzelf overtuigen hoe ver ze kunnen komen en gaan dan een grens over. Maar ze zijn dan ook nog veranderbaar. Voor iemand van 50 jaar werkt ons programma waarschijnlijk niet.” Iedereen kijkt naar de GGOH, waarop Floor zegt: “Dat is een al toch al verloren generatie”. De heren moeten lachen. Behalve Victor, want die zit aandachtig in zijn laptop te werken omdat hij weer ergens een lek heeft gevonden.

Hoe voorkom je dat cyberboefjes Hack Right gebruiken als een makkelijke manier om zich onder een strafblad uit te komen? Volgens Ymkje moet je niet onderschatten wat een aanhouding met je doet. Er staat ineens een heel politieteam in je kamer en ze nemen al je apparatuur in beslag. “Dat is geen pretje en maakt veel impact. Je krijgt ook geen stage cadeau van ons. We kijken goed naar wat je moet leren, ook over de slachtoffers die je maakt.” Floor: “We willen positieve alternatieven aanbieden. Hackerspaces kennen ze vaak nog niet en in hun omgeving vinden ze ook geen gehoor. Dat horen we ook van de coaches, met wie we nu onze eerste evaluatie hebben gedaan. Die merken dat de ouders en docenten van de jongeren hen niet snappen. De coaches kunnen wel uitleggen waar de grenzen liggen, wat je wel en niet kan.”

De GGOH beamen dat ze dat inderdaad erg sterk vinden aan Hack Right. Mattijs: “Ik vind Hack Right een heel mooi initiatief.” Hans zit ook in een van de werkgroepen van coaches. Victor vult aan dat veel jongeren via Twitter Direct Messaging contact zoeken met hem. “Dan is bijvoorbeeld hun hack net op het nieuws geweest en zijn ze bang om gepakt te worden. Dan hebben ze behoefte aan een veilig kanaal.” Zo doen de GGOH dus ook aan online coaching. Zawadi Done, die ook eerder bij Hack Talk aan tafel was, is momenteel de jongste Hack Right coach. Hij heeft ook wat video’s online waarin hij daders van cybercrime interviewt.

Preventie is ook belangrijk. Vandaag hebben ze een campagne gelanceerd met de titel “Je bent slechts één klik verwijderd van cybercrime”. Op Instagram postte vlogster Marije Zuurveld bericht waarin ze schrijft “Heb dus trouwens een maniertje gevonden om stiekem op d’r insta in te loggen! (Linkje in mn bio)”. Als je daarop klikt wordt je doorgelinkt naar een video waarin ze uitlegt dat het overnemen van iemands account strafbaar is. Vergelijkbare berichten verschenen met links om gamegeld te stelen in Fortnite of een DDoS-aanval te kopen. Op Vraaghetdepolitie volgt dan uitleg over wat wel en niet mag, compleet met chatfunctie.

Iemand uit het publiek vraagt: “Je kunt die jongeren wel vertellen dat het niet mag, maar is de pakkans niet zo laag dat jongeren denken dat het toch wel kan?” Een politieagent springt op: “Inmiddels heeft elk team een cyber crime specialist en we zijn nu ook actiever op het darkweb, dus de pakkans wordt wel steeds groter.” Volgens Floor speelt de pakkans bij de jongeren die zij ziet niet zo’n grote rol, het is toch vooral zo dat ze niet weten wat wel en niet mag. Waar het volgens haar ook vaak misgaat is dat jongeren minder geduld hebben. Zo had er een lekken in het schoolsysteem gevonden en gemeld, maar de schoolleiding deed er niets aan. Toen heeft hij er zijn profielwerkstuk van gemaakt, de lekken gepubliceerd en deed de school aangifte.”

Daarmee komen we weer aan bij Responsible Disclosure, het verantwoord onthullen van gevonden lekken. Is dat een manier om jongeren aan de goede kant te krijgen? Volgens Ymkje wel. Ze heeft hier ook een boek over geschreven: “Ethisch hacken. Hoe kan de positie van de ethische hacker het beste juridisch beschermd worden?” Dat was in 2014, toen er nog veel onzekerheid was onder hackers of ze wel of niet vervolgd konden worden bij het melden van lekken. Inmiddels heeft het Openbaar Ministerie hier richtlijnen voor. Ymkje: “Ethisch hacken mag, zolang je niet te ver gaat. Je kunt bijvoorbeeld kwetsbaarheden aantonen bij een ziekenhuis door eenmalig een dossier te bekijken, maar ga niet alles downloaden of zoeken op namen van bekende Nederlanders.”

Tot slot: hoe kunnen wij als hacker community Hack Right helpen? Floor: “Stageplaatsen en coaching. Reclassering en HALT zijn enthousiast en er zijn al aardig wat bedrijven die willen meehelpen, maar we kunnen wel wat meer stageplaatsen gebruiken. We zoeken vooral meer coaches. Die hoeven niet altijd Grumpy en Old te zijn, jonge begeleiders zijn ook welkom.” Victor laat Waldorf and Statler horen, de twee oude mannetjes van de Muppetshow.


Foto: @DJBusyR

Na onderzoek, type daders, arrestatie en veroordeling, nu de man die vanuit reclassering de cyberboefjes begeleid: Ton Starrenburg. De manier waarop hij hier bij Hack Talk terecht is gekomen is wel bijzonder. Bij aflevering 4 speelden we de rechtszaak Groene Hart Ziekenhuis na, over iemand die een ziekenhuis had gehackt en daarbij te ver was gegaan. Drie bezoekers werden met een dobbelsteen willekeurig aangewezen om samen het publieksoordeel te vellen. Hun oordeel was 80 uur taakstraf, precies hetzelfde als bij de echte rechtszaak. Wat bleek, de bezoekers waren helemaal niet zo willekeurig. Een ervan was al betrokken bij Hack Right, de tweede was van Reclassering en de derde een net-veroordeelde cyberboef. Huh, een of andere Victor Mits truuk? Nee, gewoon toeval.

De dame van Reclassering bleek de vrouw van Ton te zijn en zij stuurde hem naar ons omdat hij net drie cyberboefjes onder zijn hoede had gekregen. We spraken met elkaar af in Rotown en ik kreeg de vraag hoe we 20 uur van hun taakstraf kunnen invullen. Mijn voorstel: lees eerst mijn boek Helpende Hackers en kom dan bij Hack Talk vertellen wat je hebt gedaan. Dat is een stuk zinvoller dan sponsjes inpakken, wat de als taakstraf van de Groene Hart hacker was. Dat vonden ze wel wat en zo is het dus gekomen dat Ton nu hier bij Hack Talk is met drie cyberboefjes.

Ton is ooit begonnen bij de douane, hier in de haven, werd toen Maatschappelijk Werker in de drugshulpverlening en kwam zo bij Reclassering terecht. Ongeveer de helft van zijn tijd besteedt hij nu aan cybercriminelen. Reclassering is overigens geen onderdeel van politie of de overheid, maar een onafhankelijke stichting die werkt in opdracht van Justitie. Ze schrijven adviezen, begeleiden veroordeelden terug de samenleving in en voeren nu ook Hack Right uit. Elk cyberboefje krijgt twee jaar reclasseringstoezicht.

In hoeverre verschillen cyberdaders van gewone criminelen? Ton: “Ze zijn heel verschillend, maar er wordt ook wel te snel een psychologisch sausje overheen gegooid. Zo van: je bent autist, of je hebt ADHD en daar doen we dan wat mee. Nee, zo werkt dat niet. Het gaat volgens mij vooral om hun sociale netwerk en hoe offline en online gedrag elkaar beïnvloeden. Dus: wanneer ben je met de computer begonnen, wie speelde een rol daarbij, hoe ben je te werk gegaan en hoe heb je die keuze gemaakt waarbij je de verkeerde kant op bent gegaan. We kijken ook anders naar de slachtoffers. Dat kunnen er online veel meer zijn dan offline. We proberen, voor zover mogelijk, de daders ook in contact te brengen met slachtoffers, zodat ze de gevolgen kunnen zien.”

We hebben hier bij Hack Talk dus drie cyberboefjes, die elk moeten vertellen wat ze hebben gedaan. De Guild of Grumpy Old Hackers mogen hun verhoren en vellen daarna hun oordeel: is het een goeie hacker en heeft hij op een gepaste manier geboet voor wat hij verkeerd heeft gedaan?

We beginnen met Owen, die zijn school heeft gehackt. Hij was ooit begonnen Kali Linux te leren – de standaard hackers toolkit – maar dacht dat het nog makkelijker kon door gewoon te Googlen op “How to hack a website?” Zo leerde hij hoe hij een SQL-injectie kon doen: commando’s invullen bij een tekst box op de site, om zo direct de database aan te sturen. Dat probeerde hij dus bij de website van zijn school. Het eerste wat hij zag was wat technische documentatie over de site: gebouwd door eerstejaars HBO studenten in 2011. Niet erg up to date dus. Het leek hem in eerste instantie niet erg interessant.

Twee weken later probeerde Owen een andere SQL-injectie en verkreeg zo de hashcode (versleutelde waarde) van het wachtwoord van de ICT-beheerder. Door de gebrekkige versleuteling kon hij die waarde terugbrengen tot het oorspronkelijke wachtwoord. Dat bleek de naam van een stad te zijn. Niet zo’n sterk wachtwoord dus en het bleek te werken op alle sites van de school. Nu kon hij dus overal in. “Ik ging cijfers aanpassen, roosters wijzigen en lessen laten uitvallen. Ik ging er ook over opscheppen tegen medeleerlingen: ‘Hee, zal ik je cijfer aanpassen?’ Het boeide me niet zo, vroeg of laat zouden ze er toch wel achter komen. Ik ging in die tijd ook niet zoveel meer naar school.”

De school deed aangifte en verscheen er vroeg in de ochtend een arrestatieteam voor de deur. Dat had hij niet verwacht. Owen: “Toen riep mijn moeder dus om 7.00 dat we bezoek hadden. Ik was pas 5.00 naar bed gegaan, wat ik sliep op dat moment heel slecht en wilde verder slapen. Kwamen er ineens drie mannen tegelijk binnen. Een vroeg: ‘Ben je van plan om weg te rennen?’ Ik zei: ‘Als ik de mogelijkheid had, deed ik het graag, maar dat zal niet lukken.’ Ik werd meegenomen en moest van 8.00 tot 16.00 wachten in een cel. Daarna werd ik verhoord, over wat ik had gedaan en wie erbij betrokken was. Ik weet eigenlijk niet precies waarvan ik werd verdacht, maar in ieder geval computervredebreuk.”

Ton kan beamen dat het verhaal van Owen klopt en voegt eraan toe: “Mijn voorstel vanuit Reclassering was ook eerst zijn dag-nachtritme weer terug te brengen.” De GGOH starten hun verhoor:
Mattijs: “Als je niet had opgeschept was je ermee weggekomen. Wilde je juist gepakt worden?”
Owen: “Nou, het boeide me gewoon niet zo.”
Victor: “Ik snap wel dat je een speelplek zoekt, maar toch jammer dat je je school hebt gekozen. Er zijn genoeg andere speelplaatsen, zoals een Capture the Flag.”
Hans: “Weet je waar je over de grens bent gegaan?”
Owen: “Ja, toen ik in de database was gekomen en dat niet heb gemeld.”
Hans: “Stond de school daar wel voor open?”
Owen: “Denk het niet. Die ICT mensen wisten al weinig, als ik al zijn wachtwoord had en overal kan gebruiken.”
Edwin: “Zou je het weer doen?”
Owen: “Niet opnieuw. Zou het volgende keer wel melden, maar voor deze keer was het wel leuk.”

Heeft Owen volgens de GGOH genoeg straf gekregen zo? “Ja”, roepen ze in koor, “Hij moest jouw boek lezen!” Dat blijkt hij nog niet te hebben gedaan. Ik pleit daarom voor een strafverdubbeling: hij moet ook Wytskes proefschrift lezen. Heeft Owen tot slot nog een tip voor andere jonge hackers? “Ja, als je een lek vindt, meldt dat gewoon”.


Foto: @DJBusyR

Na de pauze gaan we verder met A, 19 jaar. Als hij opkomt heeft hij zijn capuchon dichtgetrokken en zegt: “De muziek staat wel erg hard!” Ja, dat is ook onderdeel van je taakstraf. Heeft hij wel mijn boek Helpende Hackers gelezen? A: “Ja. Ik reis elke dag met de trein naar mijn werk en dan lees ik een stukje”. Mooi. Je hebt een site gehackt die populair is onder jongeren. Hoe ben je te werk gegaan? A: “Met blind XSS. Kon shell uploaden.”

XSS staat voor Cross Site Scripting. A legt uit: “Als een site niet goed beveiligd is, kun je HTML-code of Java Script invoeren. Blind XSS betekent dat als ik dat aan de voorkant van de pagina invoert en dat aan de achterkant bij de medewerker wordt uitgevoerd. Ik kon de achtergrondfoto van de pagina aanpassen of een bestandje uploaden. Ik heb toen een shell geüpload en daarna de database gedownload. Ik zag gebruikersnamen, wachtwoorden, emailadressen, het favoriete dier van de gebruikers en andere profielgegevens.” Victor reageert verbaasd: “Hoe heb je die credentials uit database gehaald? Waren die niet gehashed?” A: “Ja, MD5.” De GGOH moeten hard lachen: nee, MD5 is vandaag de dag geen goeie beveiliging.

Waarom deed je dit? A: “Het begon 10 jaar geleden al. Ik wilde credits, maar geen geld uitgeven. Er waren wat mensen die vervelend deden tegen mij, waardoor ik dit terug deed. Daarna ging ik steeds meer hacken, ook erbuiten.” Ton neemt het voor hem op: “Wat ik hier vooral interessant aan vind is de invloed van anderen, dat elkaar opjutten.’”

Hoe verliep de arrestatie? A: “Ze kwamen op een maandag om 8.00 binnen. De politie wist dat ik dan thuis was. Dat hadden ze op school gevraagd. Het waren er twee, een politieagent en een rechercheur. Ik lag nog wel op bed en mocht me niet omkleden zonder hun erbij. Ze pakten mijn computer, laptop, usb en PlayStation. Daarna moest ik een jaar wachten tot ik op verhoor moest komen. Ze hadden niet één, maar acht zaken tegen me. Allemaal online dingen die te maken hadden met hacken, vooral Habbo, Mindcraft, of personen die ik had gehackt. Maar, slechts drie van de acht zijn bewezen.”

Intussen heeft A geleerd dat hij zijn vaardigheden ook ten goede kan gebruiken en ging aan Responsible Disclosure doen. Hij vond en meldde kwetsbaarheden op sites van Bol, SIDN en IBD (de Informatie Beveiligingsdienst van de Nederlandse Gemeenten). Dat zijn toch zeker niet de minsten. Hij had zelfs een RD voor Zerocopter, waarvan Edwin de baas is. A: “Had me als hacker aangemeld bij Zerocopter, maar was nog niet geaccepteerd. Toen vond ik twee kleine foutjes op hun site en kreeg ik een T-shirt, stickers en nog wat kleine dingetjes.” Bij een ander bedrijf vond hij wat zwaardere kwetsbaarheden, meldde dat en kon meteen op sollicitatiegesprek komen. Daar werkt hij nu.

A heeft nu ook een XSS-project op Github. Het is een tool waarmee je een Blind XSS meer geautomatiseerd kunt uitvoeren. Ik heb er een hacker naartoe gestuurd met de vraag: “Is dit een exploitkit voor dummies?” Zou toch niet zo best zijn als iedereen hiermee kan hacken zonder de consequenties te overzien. Het antwoord was: “Nee, het is eerder een tool voor ervaren hackers. Het maakt XSS vinden niet makkelijker, maar helpt wanneer je het resultaat van je invoer niet zelf kunt zien, zoals bij Blind XSS. Je moet toch weten hoe XSS werkt wil je er überhaupt gebruik kunnen van maken.” De GGOH zijn het daarmee eens.

Hun eindoordeel over A is eenduidig: hier hebben we echte een hacker in wording. Volgens Edwin moet hij nog één ding doen om zijn taakstraf te volbrengen: een flesje Club Mate opdrinken. Dat doet A meteen. Heeft hij zelf nog tips voor jonge hackers? “Nee”. Hij is zichtbaar blij dat hij ervan af is. Het hele traject heeft hem namelijk vier jaar gekost.


Foto: @DJBusyR

Ons derde en laatste cyberboefje, “B”, 20 jaar. Hij heeft wel netjes zijn middelbare school afgemaakt en studeert nu. Hij is veroordeeld voor computervredebreuk en marktplaatsfraude. B: “Het begon op een gameforum. Daar zat ik al sinds 2015. Ik zag veel mensen erover praten dat je online spullen kan bestellen, bijvoorbeeld via Bol.com en dan doen alsof die niet waren aangekomen en je geld terugvragen. Als je je gegevens aan iemand daar gaf, konden ze het voor je doen en deelde je de winst. Ik ging met hem Skypen en hij vertelde hoe makkelijk het was en je niet gepakt kon worden. Ik probeerde het op een dag en werd inderdaad niet gepakt. Toen nog een keer… Ik deed het gedeeltelijk voor het geld want ik had een studielening. Veel van de spullen die ik kreeg gaf ik aan mijn vrienden. Maar dat maakt voor de wet niet uit. Ik dacht ook: het zijn grote bedrijven, die missen die 300 euro niet echt. Zo rationaliseer je wat je hebt gedaan.”

Toen werd je opgepakt. Hoe ging dat in zijn werk? “Om 6.00 werd er op deur gebonsd. Er wonen meerdere mensen, dus ik dacht dat het niet voor mij was. Toen stonden er ineens zes mannen binnen. Ze wezen naar me en zeiden: ‘Jou moeten we hebben! Wie zijn er nog meer binnen?’ Ze waren niet hardhandig, maar wel duidelijk. Ze vroegen nog wel toestemming om spullen mee te nemen. Op diezelfde dag was de politie ook bij mijn broer in Groningen. Dat ging wel anders: de werd deur geforceerd en toen ze binnenkwamen pakte mijn broer zijn mobiel om de politie te bellen. Ze dachten dat hij een pistool pakte en zeiden: ‘Stilliggen’. Op dat moment flitste zijn leven even aan hem voorbij. Hij doet computerscience, ik doe biochemie, dus ze dachten dat ze dat ze hem moesten hebben.”

Wat vindt de GGOH van het verhaal van B? De heren zijn eensgezind en duidelijk: “Je bent geen hacker. Dit is gewoon ordinaire winkeldiefstal.” Volgens de politie wel, want hij is ook veroordeeld voor computervredebreuk. Op dat forum kocht hij namelijk ook inloggegevens voor Spotify en Netflix accounts, dat is volgens artikel 138a het “aannemen van valse hoedanigheid of identiteit.” Nee, de heren zijn onverbiddelijk: “Dat maakt je nog geen hacker”. OK, B, laat dat je straf zijn: volgens de GGOH ben je geen hacker.

B heeft inmiddels wel zijn taakstraf goed vervuld. B: “Omdat ik zelf op school nooit les heb gehad over wat online wel en niet kan, heb ik nu zelf een les ontwikkeld en geef ik die op verschillende middelbare scholen. In die lessen doe ik ook een enquête wat ze wel of niet weten van cybercrime en dan blijkt dat ouders en omgeving daar toch echt wel wat meer mee moeten doen.”


Foto: @DJBusyR

Na de vraag wat cybercrime is en wie de boefjes zijn, nu de stageplaatsen. We praten daarover met Barry van Kampen, directeur van S-Unit en voorzitter van hacker space Random Data. We kennen hem we nog van Hack Talk 4, toen hij vertelde over Hack in the Class. In de tussentijd heeft hij ook een cyberboefje onder zijn hoede gehad. Zo ook Ad Buckens. Hij is directeur Cyber Security bij CGI en gaat daar over penetration testing, red teaming en crisismanagement. De heren blijken elkaar te kennen van zowel Hack Right als Hack in the Class.

De cyberboefjes zelf zijn er overigens niet bij. Barry kent zijn boefje al jaren en wil hem liever anonieme houden. Het is ook wel een bijzonder geval, want hij blijkt al sinds zijn 11e betrokken te zijn in cybercrime. Uiteindelijk werd hij gepakt omdat hij een website had waar hij DDoS aanvallen verkocht. Barry: “Doel was om hem uit zijn isolement te halen en te laten merken wat normaal is en wat niet. Dat kan in de omgeving van onze hackerspace. We hebben in de intake ook een soort good cop-bad cop gespeeld om uit te zoeken met wie hij te maken had en hoe we van zoiets toch iets positiefs konden maken. Vanuit Hack in the Class gaven hem opdracht om een wachtwoordchecker te bouwen en die kunnen we nu naar productie brengen. In totaal heb ik afgelopen half jaar 100 uur aan hem besteed en we hebben nog steeds WhatsApp contact. Je ziet hem echt groeien.” Barry is wat dat betreft een echt vaderfiguur in de hacker scene. Via deze projecten heeft hij er al meer dan 1.000 kind-uren opzitten.

Het boefje van Ad heet Erik en is weer een heel ander geval. Zo was hij op het journaal te zien, om te bekennen dat het niet goed was dat hij zijn school had gehackt. Maar wat betekent het voor Ad om zo’n iemand in zijn bedrijf op te nemen als stagier? “Wij zijn een best groot bedrijf, dus dat geeft intern best wat gedoe. De intake van de hacker is dan heel belangrijk: wat zijn de achtergronden, hoe kun je hem kan helpen? Maar ook: heeft hij niet een die onze klanten onderuitgehaald?” Erik ging bij CGI aan de slag met de leidraad voor Coordinated Vulnerability Disclosure van het NCSC. Ad: “Erik heeft geholpen de tekst te verjongen. Wij vonden de tekst zelf al wel sterk, maar hij keek ernaar en zei: ‘Wat jullie in 180 woorden zeggen kan ik wel in 100.’ Hij had een soort flowchart gemaakt. Dat was voor ons wel een openbaring.”

We praatten met de heren, GGOH en het publiek nog verder over de oorzaken van cyber crime op jonge leeftijd. Conclusie is dat zowel het onderwijs als de ouders te weinig weten van cyber security om dergelijk hackgedrag te herkennen en bij te sturen. In hun online ontdekkingstocht ontbreekt het jongeren aan context en de begeleiding. Hun omgeving kan dat veelal niet bieden en dat legt de verantwoordelijkheid bij ons als sector om dat wat ze kunnen ten goede te keren.


Foto: @TobiasGroenland

Voor, tijdens en na deze Hack Talk konden bezoekers via de backdoor in de grote zaal de fototentoonstelling Hackers Handshake bezoeken. Dit project van fotograaf Tobias Groenland brengt zeer uiteenlopende hackers dichtbij, in beeld en woord. Lees meer over dit bijzondere project op hackershandshake.com.

Wil je op de hoogte blijven? Meld je dan aan voor onze nieuwsbrief. Heb je suggesties voor ons programma? Mail ons. Toegang is gratis. Dat kan omdat we gesteund worden door organisaties die net als wij graag kennis delen over cyber security. Dus, met dank aan: