“In principe zou iedereen het kunnen die wat programmeerkennis heeft. Als je maar een beetje weet waar je kijkt. Maar erop komen, tja dat kan iedereen. En omdat ik met specifieke apparatuur werk, weet ik hoe deze fouten gemaakt worden. Zo weet ik welke errors er vaak naar boven komen en weet ik ook dat als je een open IP hebt wat er dan gebeurt. Google en z’n crawlers gaan overal een keer heen. En als het IP letterlijk open staat op poort 80 zoals in de meeste gevallen, dan kan je ze relatief makkelijk vinden op Google. Dus als je weet wat ze doen in combinatie met wat programmeerkennis kan je zulke lekken zo vinden. “
“Nee, de lekken die ik vind vallen in de categorie: wordt vaak over het hoofd gezien. Waarbij de meeste, vooral bij de mediaspelers, ze niet verwachten dat dit apparaat ook een internetconnectie heeft. De meeste weten wel dat de data wordt verzonden naar een server en weer wordt opgehaald, maar gaan er niet vanuit dat het ook verder naar buiten gaat. En dat is dan ook het grootste probleem.
Ze draaien vaak ook allemaal nog op oudere software in combinatie met oudere modellen. Als je deze apparaten verbindt met het internet, dus met poort 80, vraagt het apparaat niet actief om een wachtwoord in te voeren. Ik denk dat hier de meeste fouten worden gemaakt. Mensen sluiten het apparaat aan en gaan gelijk aan de slag met het uploaden van verschillende dingen. Dit doen ze zonder te realiseren dat iedereen daar bij kan. Ook kom je vaak tegen dat bedrijven niet realiseren dat een specifiek IP adres bij hen hoort. Als ik het aangeef, zeggen ze vaak ook hé, dat is niet een van onze IP adressen. En dan zeg ik: dat is het zeker wel, kijk maar naar deze documentatie."
"De meest gecompliceerde lek die ik vond was van een groot bedrijf (waarvan we de naam niet kunnen noemen). Voor het aantonen hiervan heb ik een beloning van 2.500 dollar gekregen.
Via het lek kwam ik binnen in één van hun applicaties. Hier sloegen de developers hun code op, oftewel de broncode van hun applicatie. In eerste instantie zal je het niet zien. Heel veel mensen denken dan ook dat je hier niks mee kan. Maar gelukkig heb ik programmeerkennis opgedaan, dus ik kan hier verder induiken. Ik vond uiteindelijk de volledige broncode van een applicatie van dit grote bedrijf.
Ik kon zo bij de accountgegevens van de FTP server. Oftewel, ik kon aanpassingen maken in soort van Git van het bedrijf. Hier zou ik aanpassingen kunnen maken zonder dat ze erachter zouden kunnen komen. Ik heb het allemaal direct gemeld. Het probleem hebben ze uiteindelijk ook erkent en gelukkig ook opgelost. Ze waren hier relatief snel mee moet ik zeggen.”
“Ik legde in eerste instantie de claim. Van jongens dit is wat ik gevonden heb. En ik heb tegen ze gezegd van hé dit is het, ik denk dat het van jullie is, maar ik weet het niet 100% zeker. Maar als het zo zou zijn, zou je er vanalles mee kunnen doen. Waaronder: de hele database deleten en infecteren met ransomware, zodat alle developers ransomware hebben. De mogelijkheden waren letterlijk endless. Hier hebben ze opzich snel op gereageerd. Eerst moesten ze het natuurlijk valideren, van hé is dit waar, klopt dit? Kloppen alle claims? Toen alles bevestigd was hebben ze dit uiteindelijk binnen een week opgelost. Voor het vinden van de lek hebben ze mij dus de beloning van 2.500 dollar gegeven.”
“Ja dat is het zeker. Ik ben er ook echt wel heel blij mee.”
"Het was echt super leuk om te doen. De meeste tijd zat in het vinden van wie het lek is. Want dat zetten ze natuurlijk niet bovenaan. Je moet zeker weten bij wie het lek hoort. Want je wil absoluut niet dat je deze dingen bij de verkeerde mensen meldt.
Het vinden van beveiligingslekken is echt de ultieme puzzel. Hoewel ethical hacking een heel ander beroep is dan wat ik nu doe, heeft het wel heel veel raakvlakken met programmeren. Want je moet maar net weten wat iets is, wat het doet en waar de juiste informatie staat. Dit bestaat uit meerdere skills die je jezelf aanleert, waardoor je ook als je kan programmeren dit zou kunnen doen."
"In principe ben ik overal helemaal anoniem als ik dit doe. Dat is ook het hele idee van het HackerOne. Alle bedrijven waar ik deze meldingen voor doe hebben geen idee wie ik ben. Ik ben gewoon een account die iets gemeld heeft.
Ondertussen heb ik op hackerone al een kleine reputatie. Dit komt doordat alle rapporten die ik ingeleverd heb ‘valid’ zijn. Daaraan kunnen ze zien dat ik een goed trackrecord heb."
“Als je iets inlevert wordt eerst je rapport gevalideerd. Als die gevalideerd is gaat ie naar de volgende fase dat heet traige. Dan gaat het bedrijf het probleem oplossen.
Elk rapport dat je inlevert krijgt een bepaalde rating van: low, medium high tot critical. In ieder geval zijn mijne allemaal high geweest. En elk rapport dat dus getraiged wordt en uiteindelijk geresolved daar krijg je dan reputatiepunten voor. Dus hier hangt een stukje gamification aan. Dit maakt het nog leuker om te doen. Iedere hacker krijgt een signaalwaarde ten opzichte van hoeveel rapporten die ingestuurd heeft en het aantal dat er valid zijn.”
Wat is jouw reputatiewaarde nu? Gregor antwoord: "Ik heb nu een best hoge signaalwaarde. Hierdoor wordt ik nu regelmatig benaderd voor privé programma's. Dan krijg ik specifieke test servers gestuurd en dat soort dingetjes. Dingen die nog niet publiek toegankelijk zijn. Want deze bedrijven willen dat als eerst er een paar mensen naar kijken of het veilig is. Als je dan iets vindt krijg je er ook geld voor.
Hoewel ik regelmatig wordt uitgenodigd door mijn hoge signaalwaarde, kan ik veel van de opdrachten nog niet vervullen. Ik ben nu wel in mijn vrije tijd bezig om een platform echt leren te hacken en dat is wel een stukje moeilijker. Als dit uiteindelijk lukt, kan ik aan meer opdrachten gaan werken.”
"Als je op gegeven moment goede dingen hebt aangekaart kan je er echt een leuk zakcentje voor krijgen. Er zijn genoeg mensen die hier letterlijk van leven en er zelf heel veel geld mee verdienen. Maar zover ben ik ‘helaas’ nog lang niet. Ik zou het zelf wel heel leuk vinden als ik een beetje xss (cross site scripting) ken. Dat lijkt mij heel gaaf, maar dat zal nog wel eventjes duren voordat ik dat onder de knie krijg.
Je kan op de website ook aanvragen om rapporten te disclosen, dus publiekelijk toegankelijk te maken. Sommige bedrijven willen dat liever niet. Je ziet weleens rapporten die disclosed worden voorbij komen met bedragen van meer dan 20.000 dollar. Zo heeft bijvoorbeeld PayPal onlangs 22.000 dollar uitgekeerd voor een relatief ‘klein’ lekje. Dit laat wel zien dat bedrijven het echt serieus nemen. Dat is maar goed ook, want een dergelijk lek zou namelijk grote schade met zich mee kunnen brengen."
Uit interesse vroeg ik aan Gregor waar je moet beginnen als je ethisch wil leren hacken. Gregor zei: “Dan heb ik een hele goede site voor je. Dat heet hack the box. Dat is echt geweldig! Het is een platform die specifieke servers heeft die lek als een mandje zijn. Je mag hierop oefenen. Ze geven bij sommige volledige uitleg en je kan het zo moeilijk maken als je wil. Het is echt super leuk. Enige detail is wel dat niet iedereen er zomaar aan mee kan doen. Om toegang te krijgen tot die website moet je 'm hacken. Dus dat is wel echt heel leuk.
Als je hieraan begint kom je de gekste dingen tegen. Je zal ontdekken hoeveel dingen zo lek als een mandje zijn. Ik zie soms ook wel eens langskomen op websites waarvan ik denk: oef dat is niet zo handig. Ik kan er op dit moment nog niet zoveel mee, omdat ik nog niet goed genoeg ben maar ik weet wel dat het niet zo handig is. Dus dat is wel geinig."
Gregor sloot het interview af met de volgende woorden: "Dit is dus allemaal binnen een jaar gebeurd. Het is supervet. En wie weet wat de toekomst laat zien! Voor dit moment is het echt een geweldige hobby."