19.00-21.00: Next Gen Hackers

De volgende generatie hackers komt eraan. Deze tieners zijn handiger dan anderen in het uitproberen, breken en maken van informatietechnologie. Vaak blijven ze ongezien, totdat het een keer misgaat. Ze worden van school gestuurd omdat ze het netwerk plat hebben gelegd, geworven door cyber criminelen of krijgen een rechtszaak omdat ze een bedrijf hebben gehackt. Gelukkig gaat het meestal goed: hun talent wordt ontdekt en ze krijgen een belangrijke IT-functie op school of al op jonge leeftijd een goed betaalde baan in de cyber security.

In deze Hack Talk spraken we met jongeren die het rechte hackpad bewandelen en de mensen die hen daarin bijstaan: ouders, leraren, justitie en natuurlijk de oudere generatie hackers. In de middags deden we een workshop waarin we verschillende projecten voor Next Gen Hackers bespraken, met als doel meer samenwerking. Dat is gelukt: er komt een meldpunt, netwerk van begeleiders en een voorlichtingsvideo. In ons avondprogramma hadden we met 160 bezoekers een volle bak en een prachtige line up:


Foto: @Stchantal

Jurre Groenendijk (15 jaar) maakt zijn school veiliger, onder andere door de kluisjes te hacken en het netwerk te testen. Hij is onafscheidelijk van zijn Rubics kubus en lost hem in 19 seconden op. Jurre's pa Jilles kwam ook mee. Hij zit al 30 jaar in de IT en was al hacker in de tijd van het roemruchte Hacktic, toen ze het nog over "techno anarchisme" hadden. Hij is supertrots dat zijn zoon nu de volgende generatie is. Jurre's tweelingbroer Jelle is overigens geen hacker geworden en moet zeker niet verward worden met de 18-jarige die momenteel in het nieuws is omdat hij half Nederland ge-DDoSed heeft - dat is een andere Jelle.

Hoe gaat Jurre te werk als helpende hacker? Voor de schoolkluishack had hij een Arduino geprepareerd en vermomd als broodtrommel. Hiermee kan hij het signaal afvangen als een leerling zijn kluisje opent met zijn digitale pas, dat kopiëren en nadoen. Hier zou je natuurlijk veel foute grappen mee kunnen uithalen, maar dat doet Jurre niet. Hij heeft het netjes gemeld bij de leiding van de school, die hem vervolgens benoemde tot hun eigen security medewerker. Jurre geeft nu ook voorlichting op andere scholen, over veilig internetten en wat je moet doen als je een kwetsbaarheid vindt.

Jurre is dus het toonbeeld van Responsible Disclosure en kwam ermee in de media, onder andere in het AD. Op zijn eigen school is hij, voor zover hij weet, de enige op school die dit doen. Zijn medeleerlingen kunnen inmiddels wel waarderen wat hij doet, maar begrijpen het niet echt. Het is daarom suptertof dat zijn pa hem meeneemt naar hackerevents, zoals SHA2017 en het Chaos Communication Congress. Daar is hij onder gelijkgestemden en valt het leeftijdsverschil ook snel weg. Zo ook hier, bij Hack Talk.


Foto: @Somedevopsguy

Tijd voor een update van de Rotterdamse Cyberwerkplaats (zie ook Hack Talk 1 met Astrid Oosenbrug). Volgens een van de oprichtsters Anouk Vos (Innovation Lead bij Revnext en oprichtster van de Women in Cybersecurity) gaat het goed met de werkplaats. Organisaties begrijpen steeds beter dat je voor IT-talent niet naar hun papieren moet kijken, maar naar wat ze kunnen en melden zich met stageplaatsen. De werkplaats is nu elke vrijdag de hele dag open, met elke week een interessante gastdocent. Op termijn willen ze 24/7 open zijn. Steeds meer van hun leerlingen gaat nu van een stage naar een baan.

Een van hun succesvolle leerlingen is Zawadi Done: 18 jaar en inmiddels aan de slag bij het Rotterdamse cybersecurity bedrijf Guardian360 als Junior Secure Webdeveloper. Hoe kwam hij bij de werkplaats terecht? Hij zag een post op LinkedIn, reageerde, ging die week al aan de slag, kreeg de stage en die werd direct omgezet in een baan. Zo kan het dus ook. Ondertussen zit hij nog wel elke vrijdag bij de werkplaats en heeft hij een web development bedrijf opgezet: Techblock.

Net als Jurre doet Zawadi aan Responsible Disclosure. Inmiddels zijn 25 van zijn meldingen erkend en gefixed. Vaak ziet hij Content Management Systemen die niet geupdate zijn, of configuratiefouten die websites kwetsbaar maken, maar ook makkelijk te fixen zijn. Helaas krijgt ook vaak geen enkele reactie op zijn meldingen. Zo ook na het melden van een zware kwetsbaarheden in het systeem van het techniek college waar hij formeel nog op school zit. Dit is nota bene een opleiding tot Applicatie Ontwikkelaar, maar ook al kon hij eigenlijk het hele systeem pownen en meldde hij dat netjes, werd er niets mee gedaan. Jammer.

Zo had Zawadi nog wel enkele meldingen gedaan die niet werden opgevolgd, zoals een bij een klant van presentator Chris. De vraag aan Anouk: wat adviseur jij je leerlingen als zij een kwetsbaarheid melden en er wordt gewoon niet op gereageerd? Gewoon bekend maken in de media? Nee. Je hoopt dat organisaties hackers nu eindelijk serieus nemen, maar je hoeft ze ook niet onnodig kwetsbaar te maken.

Zawadi had ook een kwetsbaarheid gevonden in de website van Worm en stuurde netjes een rapport met beschrijving ervan en hoe het te fixen. Geen reactie. Gari, de content manager van Worm had de melding wel doorgezet naar het bedrijf achter de site, maar die dacht dat het spam was en negeerde de melding. Tijdens deze avond filmde Gari daarom ons item en heeft dit naar het bedrijf gestuurd om te laten zien: deze helpende hacker is legit. De dagen daarna werd de site gefixed. Cool.


Foto: @JanMartijn

Barry van Kampen en Stephanie Silvius, beiden van het security bedrijf S-unit, spraken we over "Hack in the Class". Met dit initiatief bezoeken ze scholen om leerlingen de basis hygiëne van het internet bij te brengen: wachtwoorden, updaten, antivirus, dat soort dingen. Voor de meer gevorderde leerlingen organiseren ze een Capture the Flag, een hackwedstrijd waar je bij elkaar of in een gegeven systeem naar kwetsbaarheden zoekt en als je die vindt een code krijgt met punten.

Hun bezoeken aan scholen zijn daarom ook de perfecte gelegenheid om de pareltjes eruit te pikken. Na de cyber hygiëne les blijven er altijd wel een paar hangen die dan vertellen zelf ook wel eens wat gehackt te hebben. Volgens Barry kun je zo'n les daarom het beste aan het einde van de dag doen. Dat is het juiste moment om ze opvolging te geven over wat welen niet kan en waar ze terecht kunnen. Niet alleen bij cyber security bedrijven, maar ook bij hackers congressen of hackerspaces. Barry zit namelijk bij de hackerspace Randomdata in Utrecht en Stephanie bij Bitlair in Amersfoort. Beiden zijn ook actief in hacker events als Hack in the Box - kortom, genoeg plekken voor de aanstormende Next Gen Hackers om met hun talenten aan de slag te gaan.


Foto: Max van Dongen

Helaas gaat het ook nog wel eens mis. Niet alle jongeren met hacker skills hebben hun morele kompas evenveel ontwikkeld om in te schatten wanneer ze te ver gaan en wanneer niet. Wat te doen met jongeren die volgens de Wet Computercriminaliteit veroordeeld zouden moeten worden, maar tegelijk ook skills hebben waar we als samenleving om zitten te springen? We leggen de volgende zaak voor aan een willekeurig gekozen publieksjury: een hacker van 17 jaar heeft bij een ziekenhuis een bekende oude kwetsbaarheid gevonden die bekend staat als CVE-2011-1866.

Door deze kwetsbaarheid te benutten (bufferoverflow) krijgt hij toegang tot een server, vanwaar hij bestanden downloadt. Hij geeft zijn bevindingen door een bevriende hacker en een journalist die er een stuk over schrijft. Het ziekenhuis doet aangifte en de hacker wordt opgepakt. Er blijkt 7,5 GB aan data te zijn gedownload, maar de recherche kan niet aantonen dat dit door de hacker zelf is gedaan. Wel een bestand met 500.000 namen, adressen en Burger Service Nummers en twee röntgen scans, wat de hacker ook bekend. Hij zegt dit nodig te hebben gehad als bewijs, waar hij terloops nog aan toevoegt dat er de naam van een bekende Nederlandser in stond. De publieksjury krijgt naast deze beschrijving een tabel met strafmaten en overlegt tijdens de pauze.

Volgens onze jury heeft de jongen computervrede breuk gepleegd, maar heeft hij dit wel gedaan om aan te tonen dat het ziekenhuis de beveiliging niet op orde heeft. De download van 7,5 GB kan hem niet toegerekend worden, terwijl de overige bestanden nog te billijken zijn als bewijs. Er is door het ziekenhuis zeker schade geleden, maar die is deels aan henzelf te wijten. De vraag is of de hacker, gezien zijn jonge leeftijd, die schade kon voorzien. Wat hem wel te verwijten is, is dat hij het niet bij het ziekenhuis heeft gemeld en wel bij een bekende en een journalist. Ook het zoeken op namen van BN-ers ging te ver.

De hacker verdient daarom volgens de publieksjury 120 uur taakstraf, die hij moet besteden aan het beveiligen van de systemen van het ziekenhuis, uiteraard alleen als het ziekenhuis dat ook wil en onder voorwaarde dat hij zich ook laat begeleiden door een ervaren hacker. Deze fictieve rechtszaak was voorgedragen door Team High Tech Crime van de Nederlandse politie en is deels gebaseerd op een echte zaak. Na de pauze praten we hierover verder.


Foto: @PolitieTHTC

HackRight is een van de projecten die we in de middag tijdens de workshop hebben besproken. Het gaat over alternatieve straffen bij jeugdige cyber delinquenten en wordt getrokken door twee criminologen: Floor Jansen, strategisch adviseur bij Team High Tech Crime van de Nederlandse politie en Lisanne van Dijk coördinerend beleidsadviseur van het Openbaar Ministerie. Het project is nog maar net van start. Ze werken hierin samen met Reclassering Nederland, de Raad voor de Kinderbescherming, bureau Halt, Cyber Security bedrijven en mensen uit de hackercommunity.

Wat zou hun oordeel zijn in de fictieve rechtszaak die we net hebben besproken? De beide dames zijn het eens met het oordeel van de publieksjury: in dit geval zou 120 uur taakstraf passend zijn. Vraag is wat iemand in die tijd gaat doen en onder welke omstandigheden. Doel is herhaling te voorkomen en talent te winnen. Ze hebben hiervoor vier modules ontwikkeld, vernoemd naar Star Wars karakters.

De module Luke Skywalker staat in het teken van herstelrecht. De dader wordt hierin geconfronteerd met het slachtoffer en zijn geleden schade. Jeugdige cyberdeliquenten overzien namelijk niet altijd de gevolgen van hun online misdragingen. Module Yoda bestaat uit training, afhankelijk van achtergrond, leerstijl en capaciteiten van de verdachten. Een ervaren hacker leert de veroordeelde morele grenzen op het internet en hoe daarmee om te gaan. Bij de module Obi Wan is de band tussen leermeester en leerling wat hechter, bijvoorbeeld in de vorm van coaching of een stage bij een bedrijf. De coaches moeten kunnen terugvallen voor intervisie en advies bij professionals. Lea, tot slot, is een module die vooral bestaat uit het bieden van alternatieven voor cybercrime. Jongeren kunnen om financiële redenen cyber misdaden begaan, maar meestal doen ze het vooral vanwege de intellectuele uitdaging of drang naar erkenning. Die kunnen ze ook anders krijgen, bijvoorbeeld door mee te doen bij een workshop bij een bedrijf, demo's in hacker spaces, hack challenges of bij de Cyberwerkplaats.

Toch lijkt het raar: iemand begaat een misdaad en krijgt toch een soort van beloning. De dames vinden van niet. HackRight is een intensieve interventie waarbij de dader geconfronteerd wordt met zijn delict, de slachtoffers en zichzelf. Er wordt goed gekeken naar de achtergrond van de daders, of deze aanpak kan slagen. Ze moeten ook wel echt gemotiveerd zijn en niet denken dat ze hiermee hun strafblad ontlopen. Slechts in sommige gevallen kunnen ze via bureau Halt hiervan worden vrijgesteld, zoals dat ook bij andere vormen van criminaliteit kan. Bij jonge cybercrimedaders valt veel talent te winnen, daarom: "Think straight, HackRight".


Foto: @MarBonthuis

Vandaag zijn veel activiteiten besproken die jongeren op het rechte hackpad moeten houden: voorlichting, een meldpunt, training, coaching, alternatieve straffen. Het lijkt allemaal vrij nieuw, maar het driemanschap van de Guild of Grumpy Old Hackers doet dit eigenlijk al jaren.

Edwin van Andel kennen we nog als jurylid van onze hack challenges Game of Toons en van Lord of the Things. Hij reist momenteel de hele wereld over als CEO van Zerocopter, een bedrijf dat top hackers levert. Zijn boodschap: "Hackers kunnen best lief zijn". Mattijs van Ommeren, is security consultant bij het Finse bedrijf Nixu en kennen we als een van de organisatoren van het hackevent Alt-S. Victor Gevers is al bijna 20 jaar helpende hacker, met meer dan 5.000 Responsible Disclosures op zijn naam. Hij is voorzitter van GDI, Global Defense of the Internet, een stichting waar vrijwilligers lekken op internet opsporen en melden.

Deze heren kregen in de jaren steeds vaker vragen van jonge hackers die over de schreef gingen. Hadden ze bijvoorbeeld een bank gehackt, of een overheidssite gedefaced. Eerst de kick en daarna paniek: help, wat moet ik doen? In veel gevallen kan zoiets opgelost worden door gewoon netjes te melden, zonder inmenging van justitie. Vaak grepen de heren ook voortijdig in. Dan zien ze bijvoorbeeld verdachte activiteiten in netwerken of dat iemand op chatfora loopt op te scheppen over wat hij wel niet allemaal heeft gevonden online. Meestal weten ze wel wie achter het pseudoniem zit en is een korte persoonlijke boodschap voldoende om de boel te de-escaleren.

Ze kunnen zich ook wel vinden in de aanpak van Hack Right. Natuurlijk was het vroeger veel leuker, toen je op internet van alles kon flikken zonder gepakt te worden. Maar die tijden zijn voorbij. We moeten nu als hacker community onze verantwoordelijkheid nemen hack talent aan de goede kant te houden. Met deze drie master Yoda's gaat dat prima lukken. Wie hen wil steunen, kan terecht op: ggoh.info.



De kern van de zaak is volgens mij dit: hackers zien dingen anders dan anderen. Software wordt gemaakt door mensen die het ook gewoon druk hebben, code bij elkaar kopiëren en plakken, net zolang tot het werk. Dan heb je een product dat wordt getest op gewone mensen, net zolang tot het werkt: kom naar onze site, klik op A, B, C of D, vul hier je naam in, betaal en druk op like.

Hackers doen dat niet. Die kijken of er ook een optie E, X, of 0 is. Ze vullen niet netjes hun naam in, maar een stukje code, of zetten iets achter de url van de site. Ze klikken niet een keer op de knop, maar heel vaak. Net zolang tot er iets bijzonders gebeurd. Waarom? Gewoon uit nieuwsgierigheid, om te kijken wat er gebeurd. Het gaat hen om de kick om de puzzel op te lossen en te laten zien dat ze slimmer zijn dan anderen. Dan komt het erop aan dat we deze bijzondere mensen niet laten afglijden naar de slechte kant, maar aan onze kant houden. Daarom Hack Talk.

Ook deze avond was weer gratis toegankelijk en mogelijk omdat we gesteund worden door organisaties die net als wij graag kennis delen over cyber security. Dus, met dank aan: