Hacken voor de goede zaak? Het bestaat!

Glenn ten Cate is Security Chapter Lead bij ING Belgium. Of ook: ethical hacker. Hij leidt een team van vijftien Security Engineers.

Je werkt als ethical hacker. Wat doe je precies?

Glenn: Een ethical hacker, of white hat hacker, wordt door bedrijven ingeschakeld om zwaktes en beveiligingsfouten in computersystemen en netwerken bloot te leggen. Eigenlijk kruip je als ethical hacker in het brein van een black hat hacker, een hacker met slechte bedoelingen. Je gaat op dezelfde manier te werk: je zoekt naar manieren om in een systeem binnen te dringen. Alleen ligt het doel anders: kwaadaardige hackers willen zoveel mogelijk schade aanrichten, terwijl ethical hackers lekken opsporen om ze daarna te dichten.

Komen we tijdens zo’n penetratietest in een van de vele ING-systemen een risico op het spoor? Dan bezorgen we die informatie aan het team dat voor die applicatie verantwoordelijk is. Zo kan dat team actie ondernemen.

Bij ING Belgium voeren we met 15 Security Engineers fulltime penetratietests uit op onze systemen. En dat is nodig, want een gewone hacker doet er soms jaren over om in te breken in een systeem. Wij hebben die tijd niet, dus we moeten zo efficiënt mogelijk werken. Soms in team, soms alleen.

Hoe ziet het kantoor van een ethical hacker eruit?

Glenn: Je zou misschien denken aan het cliché van de hacker. Dat we ons in een donker kamertje verschuilen achter een muur van schermen. Zo gaat het er niet aan toe. We zitten bij ING met onze laptops tussen de webdevelopers en IT’ers. Als je langs mijn bureau wandelt, zou je nooit vermoeden dat het de werkplek van een hacker is.

Onze werkdagen lijken ook op die van de andere werknemers: we hebben flexibele uren en mogen een dag per week thuiswerken. Toch komen we graag naar kantoor, want alleen dan kunnen we als team pas echt efficiënt functioneren.

Hackers en teamwerk, gaan die wel samen?

Glenn: Wij zijn geen einzelgängers, maar teamspelers. We hebben allemaal hetzelfde doel: de digitale wereld beveiligen. En we helpen elkaar om onze kennis te vergroten. Mijn team en ik blijven een keer per maand wat langer op kantoor. Dan bestellen we pizza en geeft een collega een presentatie over een topic dat met hacking te maken heeft.

Wij zijn geen einzelgängers, maar teamspelers. We hebben allemaal hetzelfde doel: de digitale wereld beveiligen.

Vroeger bestonden er nog geen echte community’s voor ethical hacking, maar die zijn er de laatste jaren wel gekomen. Neem OWASP: via dat platform delen professionals uit de sector technieken en informatie over computerbeveiliging met elkaar.

Hebben alle ethical hackers een strafblad?

Hacking is altijd illegaal geweest. Sommige ethical hackers zouden dus een strafblad kunnen hebben, als ze ooit zonder toestemming een systeem hebben gehackt. Toch is dat bij velen niet het geval. Wanneer je als security engineer voor een bedrijf aan de slag gaat, ga je akkoord met enkele rules of engagement. Die beschrijven duidelijk dat het bedrijf je de opdracht geeft om een systeem binnen te dringen. Je verklaart dan ook dat je geen slechte bedoelingen hebt én dat je je bevindingen met de opdrachtgever zult delen. Op die manier mag je legaal hacken.

Ethical hackers zijn dus geen criminelen. We gebruiken onze kennis om bedrijven en systemen veiliger te maken. Om mensen te helpen. Meer zelfs: als ethical hacking niet zou bestaan, zouden kwaadaardige hackers vrij spel krijgen. De wereld zou dan met een groot probleem kampen. Dat geldt ook voor banken. Als je een grote stapel goud in een kluis legt, wordt die sterk bewaakt. Waarom zou je dat dan niet met je digitale platformen doen?

Bij welk ING-project speelde je als ethical hacker een cruciale rol?

Glenn: (lacht) Daar kan ik helaas niet veel over kwijt. Vertrouwelijkheid, snap je? Wat ik wel kan zeggen, is dat ik in het verleden al enkele grote ondernemingen heb geholpen. Ik ontdekte bijvoorbeeld dat een groot aantal Android-besturingssystemen op mobiele toestellen gehackt konden worden. Het probleem was dat er gevoelige informatie lekte die eenvoudig door iedere applicatie op het toestel kon worden uitgelezen. Zo kon je de schermaanrakingen van iemand volgen en uiteindelijk de wachtwoorden van die persoon achterhalen.

Hoe word je eigenlijk een ethical hacker?

Glenn: Leer eerst hoe je moet programmeren, door een opleiding tot software developer te volgen, bijvoorbeeld. Pas wanneer je dat onder de knie hebt, begrijp je hoe computersystemen in elkaar zitten. En dat is van cruciaal belang om een goede security engineer te worden, want kleine nuances en details maken vaak het verschil bij penetratietests. Om daarna te leren hacken, moet je oefenen, oefenen, oefenen. Gelukkig kan dat vandaag ook op een legale manier. (lacht)

Over Glenn

Nederlander Glenn woont al enkele jaren met zijn Keniaanse vrouw en hun dochtertje in België. Hij ademt computercode. Waar het allemaal begon? “Bij een computergame.” Toen hij ontdekte dat enkele tegenspelers het spel hadden gehackt, wilde hij hetzelfde kunnen. Hij was toen dertien. Glenn is projectleider van het OWASP-flagship-project Security Knowledge Framework, geeft securitytrainingen aan ondernemingen met zijn bedrijf def[dev]eu, en sleutelt tussendoor aan hardwareprojectjes. Waarom zijn hele leven in het teken van hacking staat? “Omdat ik de digitale wereld graag een beetje veiliger maak. Wat ooit begon als hobby en passie, is nu mijn werk.”

Terug naar boven
Luister