Inti De Ceukelaire is een van de bekendste hackers van België. Hij kwam regelmatig in het nieuws, bijvoorbeeld met een 'hack' op het Twitter-account van Donald Trump. Maar, zegt hij tegen Tweakers, dat doet hij vooral om een punt te maken en ethisch hacken bespreekbaar te maken. In werkelijkheid is De Ceukelaire een ethisch hacker die veel technische documentatie leest en out of the box denkt. Die kennis deelt hij met andere hackers via bugbountyplatform Intigriti, waar hij inmiddels mede-eigenaar van is.
Om even vooraf iets duidelijk te krijgen: je bent niet de oprichter van Intigriti, maar het is wel naar je vernoemd? Hoe zit dat?
"Nee, Intigriti is niet vernoemd naar mij. Dat is toevallig zo gekomen. Ik las in de krant een bericht over de oprichting ervan en heb toen gevraagd aan de oprichter of we eens wat konden drinken. Dat hebben we gedaan. Daarna zei ik: 'Iedereen gaat nu denken dat het mijn bedrijf is, ik móét nu wel bij je komen werken.' Eigenlijk heeft hij me dus een beetje gehackt."
Je werkt nu bij Intigriti, maar je bent zelf ook nog een hacker. Hoe zou je jezelf omschrijven?
:strip_exif()/i/2005146520.jpeg?f=imagegallery)
"Ik ben en voel me een hacker en ben dat ook altijd geweest. Veel mensen denken dat hacken puur betekent dat je ergens een systeem binnendringt, maar ben ik het niet mee eens. Hacken is een mindset. Voor mij betekent hacken dat je creatief omgaat met een bestaand iets. Dat je naar iets kijkt dat voor iedereen normaal is, maar dan gaat denken: klopt dit wel of kan ik beter X of Y doen? Bij Intigriti doen we dat op cybersecuritygebied, maar er zijn allerlei soorten hackers. Hacken is voor mij een creatieve sport. Ik zie dagelijks nieuwe hacks en bypasses die zo ontzettend creatief zijn; dat vind ik een soort kunst."
Wat voor soort hacker ben je zelf? Hoe ga je te werk?
"Mijn techniek is heel simpel. Ik lees documentatie die niemand anders wil lezen. Ik ga terug naar de standaard. Ik lees bijvoorbeeld protocollen en RFC-teksten. Je ziet dat veel van die protocollen, waar inmiddels het hele internet op steunt, geschreven en bedacht zijn in een context waarin dat internet er nog heel anders uitzag. Inmiddels is het internet één grote hack: we bouwen constant verder op dingen die allang weer zijn veranderd. Dat is meer en meer een probleem aan het worden."
"Ik vind e-mails heel intrigerend. Dat wordt bij pentests vaak een beetje overgeslagen. Sommige bedrijven testen hun webapps en infrastructuur, maar kijken veel minder naar SMTP-servers. Terwijl je daar de gekste zaken vindt, waarmee je veel impact op een organisatie kunt hebben."
"Ik kijk ook graag naar configuratiefouten: naar systemen die net zo zijn ingericht dat er op zichzelf niets mis mee is, maar die je wel kunt uitbuiten door de manier waarop ze zijn geconfigureerd. In 2017 ontdekte ik een dergelijk lek in populaire klantenservicesoftware. Ik kon mezelf bij honderden bedrijven registreren met bijvoorbeeld een noreply-adres. Dan liet ik een bevestigingsmail sturen die dan vervolgens bij mezelf binnenkwam en dan kon ik mezelf als werknemer onboarden. Daardoor kon ik vaak ook weer in de Slack van bedrijven komen. Ik noemde dat TicketTrick: bij hacks mag je dat een naam geven, net als je dat doet wanneer je een komeet ontdekt. TicketTrick was heel simpel, gewoon een denkfout. Dat soort kwetsbaarheden vind ik interessant, want je lost ze niet op met een patch. Je hebt twee componenten die afzonderlijk van elkaar veilig zijn en probleemloos werken, maar die een probleem opleveren als je ze naast elkaar zet."
/i/2005146260.png?f=imagenormal)
Is dat ook een filosofie die je bij Intigriti door probeert te voeren?
"Ja, dat denk ik wel. Er zijn meerdere bugbountyplatformen. Als iedere beveiligingsonderzoeker die daarvoor werkt altijd dezelfde formats volgt, dan krijg je ook dezelfde uitkomsten. Vroeger was cybersecurity iets voor consultants. Die kwamen dan ergens binnen, volgden een checklist waarin ze bijvoorbeeld zochten naar cross-site-scriptingbugs en SQL-injecties en toonden aan het eind van de week waar ze kwetsbaarheden hadden gevonden. Dat neem ik ze niet kwalijk, want het is hun werk, maar het internet is nu geëvolueerd. Er is veel meer context en er zijn veel meer integraties en componenten die met elkaar samenwerken. Je komt er niet meer mee weg om alle componenten afzonderlijk van elkaar te checken. Je moet creatief denken om problemen op te lossen."
"Die mentaliteit werkt ook goed voor het bedrijf zelf. Onlangs zijn we begonnen met hackers in sommige gevallen te betalen voor hun tijd, in plaats van een beloning per aangedragen bug te geven. Dat vonden sommige concurrerende platformen vreemd, maar we zien nu dat het werkt. Het creëert een meerwaarde. Een concept als bugbounties lijkt inmiddels heel vanzelfsprekend: onderzoekers krijgen daarbij niet betaald voor hun tijd, maar alleen voor hun resultaat. Soms is het goed dat ook eens onder de loep te nemen."
Hoe ben je zelf begonnen met hacken?
"Ik heb niet de meest technische achtergrond: ik heb multimedia en communicatie gestudeerd. Ik kan wel programmeren. Ik ben goed in JavaScript en ik kan een beetje serverside coden, maar ik ben geen technisch genie, dat geef ik meteen toe. Toch zag ik dat ik hackerscompetities kon winnen, door niet alleen maar te zoeken naar waar de rest naar zoekt."
"Soms zijn bepaalde fouten zo voor de hand liggend dat mensen niet snel in die richting zoeken. Dat maakt het voor mij wat makkelijker om die fouten te vinden. Ik had technologisch een achterstand op veel andere hackers in die competities, maar ik ben creatief en bedenk altijd hoe ik een meerwaarde kan leveren. Bij bugbounties moet iedereen altijd zijn eigen strategie bedenken. Mijn strategie is dat ik iets onverwachts wil doen waar niemand anders op focust."
Denk je dat je gebrek aan technische kennis je dan juist helpt met hacken?
"Ik zou het geen gebrek noemen; sommige van mijn hacks zijn zeer technisch. Ik zou alleen geen goede programmeur zijn, want ik kan niet goed code schrijven. Ik had ook in de reclamesector kunnen werken, met andere creatieve breinen. Dat is een trend die ik nu steeds meer zie. Een van de beste hackers die ik ken, is ook een taxichauffeur en een ander is boekhouder. Bij hackers is die creativiteit belangrijker dan kennis. Recruiters of consultants zijn bijvoorbeeld altijd op zoek naar hackers met een specifiek profiel. Dat is goed, maar het beperkt ook de creativiteit. Zeker op het gebied van cybersecurity is het altijd goed als je meerdere creatieve ogen naar een probleem laat kijken. Dan is het resultaat vaak verrassend."
Toch gaat in infosec de meeste aandacht nog uit naar ingewikkelde, grote hacks, zoals zerodays die bij bugbountyplatformen of commerciële bedrijven miljoenen euro's kunnen opleveren. Waarom denk je dat relatief simpele hacks zoals configuratiefouten zoveel minder sexy zijn?
"Pas op hoor, ik ken hackers die met TicketTrick alsnog 10.000 of zelfs 25.000 dollar hebben verdiend: het is niet zo dat zulke kwetsbaarheden helemaal niks opleveren. De industrie heeft de meeste aandacht voor zerodays, maar daarbij is de oplossing eenvoudig. Bedrijven installeren daarvoor een patch; dat snappen ciso's ook nog. Configuratiebugs zijn moeilijker op te lossen en daarnaast zit er ook een bepaalde schoonheid in grote lekken. Ik weet niet precies waar de aandacht vandaan komt; ik kan alleen constateren dat die er steeds vaker is."
Over complexe hacks gesproken: je bent regelmatig in het nieuws, maar die hacks zijn vaak juist niet zo complex. In 2017 'hackte' je het Twitter-account van Donald Trump, maar daarbij registreerde je alleen een verlopen domeinnaam die je omleidde naar een YouTube-video. Waarom doe je dat soort stunts?
"Vooropgesteld: ik doe die nu niet meer. Maar enkele jaren geleden was ethisch hacken in België nog helemaal niet ingeburgerd en zelfs grotendeels illegaal. Niemand kende daar dat concept, in tegenstelling tot in Nederland. Ik zocht naar makkelijke manieren om ook het grote publiek aan te kunnen spreken en aandacht voor dit onderwerp te vragen. Als je dan in de media wil komen, kun je vanwege de wet niet zoveel dingen doen. Die link bij het Twitter-account van Trump was volgens de wet ook geen hack; je misbruikt alleen een mechanisme van Twitter."
"Ik wil mezelf zeker niet alle eer toe-eigenen omdat ik met veel andere hackers werk, maar door dat soort 'hacks' werd ethisch hacken op nationaal niveau besproken. Zonder die hacks had ik nooit aan tafel gezeten om daarover te praten."
"Maar eerlijk is eerlijk, ik deed het ook omdat ik van aandacht hield; ik kwam graag in de media. Achteraf is het me ook vaak verweten: sommigen zeiden dat dit geen echte hacks waren. Dat was ook het plan erachter, want zo kreeg ik ethisch hacken in de pers en dat heeft uiteindelijk zijn vruchten afgeworpen. Het belangrijkste is dat je eerlijk bent en een consistent verhaal vertelt. Ik heb nooit gezegd dat ik Trump heb gehackt, maar altijd eerlijk verteld wat ik deed."
Je noemde Nederland al, kun je België op dit gebied met Nederland vergelijken?
"Nederland is een stuk verder met responsible disclosure, ook vanuit de overheid. De Nederlandse overheid deelt aan bugbountyhunters t-shirts uit met 'I hacked the Dutch government and all I got was this lousy t-shirt'. Die t-shirts zijn erg populair: bij iedere presentatie en conferentie zie je wel iemand met dat shirt. In België bleef dat gevoel voor responsible disclosure altijd achter. Ik durf wel te zeggen dat we inmiddels meer op gelijke hoogte staan. We hebben een sprintje moeten trekken; er is veel wetgeving veranderd en budget vrijgemaakt. Dat was denk ik niet gebeurd zonder zulke hacks in de media."
Is er een hack waar je het meest trots op bent?
"Ja, dat was een heel technische die te maken had met e-mailbounces. Ik was toen voor de hackersconferentie Def Con in Las Vegas en ik dronk met anderen bier in een café. Ik was al een paar dagen aan het kauwen op een probleem bij een klant. Ik kon bij hen de afzender van een verstuurde e-mail aanpassen, maar daarmee kun je nog geen wachtwoordreset doen. Ik zat daar in dat café, omringd door andere hackers en ineens had ik het! Ik dacht: ik kan een bepaalde e-mailbounce uitlokken door dkim- en dmarc-records aan te passen en zo met een wachtwoordreset een bounce te triggeren. Daarmee komt die resetlink naar mij terug en kan ik bij dat bedrijf alle wachtwoorden resetten. Ik zette mijn bier neer, gooide geld op tafel en rende naar mijn kamer. Het was een beetje als in de film, waarin er ineens allemaal letters voor je ogen verschijnen."
"Wat vooral mooi was aan die hack, was dat moment in dat café waar ik zo halsoverkop vertrok. Ik had zoiets ook nooit kunnen bedenken als ik me niet had omringd met andere mensen. Door zulke dingen te delen, kom je het verst."
"Achteraf mocht ik ergens presenteren. Niet alleen kreeg ik daar geld voor; de reacties uit de zaal waren ook mooi. Iedereen in de zaal dacht over die e-mailbounce: is het zó simpel? Later hoorde ik ook dat veel aanwezigen het in hun bedrijven probeerden en toen ontdekten dat het daar ook een probleem was. Dat intrigeert me aan zulke hacks. Het leuke is dat ze zulke configuratiebugs bij HackerOne inmiddels 'Inti-bugs' zijn gaan noemen."
Bugbounties zijn per definitie bedoeld om kwetsbaarheden te verkopen aan bedrijven. Denk je niet dat dat samenwerking juist tegengaat? Informatie weggeven aan concurrenten betekent immers minder kans op die beloning.
"Ik denk het niet. Juist door dingen met elkaar te delen, win je. Het doel van Intigriti is om samenwerking te stimuleren. Als we rapporten zien die een goede aanzet voor een hack laten zien, of mensen die ergens half binnen zijn, maar ergens een stukje in de keten niet kunnen vinden, dan koppelen we hen aan anderen. Ze kunnen dan onderling over de beloning onderhandelen."
'Commercieel gezien is het delen van informatie met andere hackers misschien niet zo slim, maar het werkt wel'
"Commercieel gezien is informatie met elkaar delen inderdaad niet de meest strategische zet, dat klopt. Waarom zou je informatie delen als die informatie ook veel kan opleveren? Maar toen ik eenmaal in de hackerspaces kwam, zag ik dat mensen blogs schrijven en kennis samenvoegen. Ik zou persoonlijk nooit zulke goede hacker zijn geweest zonder al die hackers om me heen."
"Ik zie dat bij Intigriti ook. Bij evenementen waarbij we samenwerkingen opzetten, is het aantal rapporten dat eruit komt twintig procent hoger dan in andere, vergelijkbare situaties. Ook lijken kritieke fouten die worden gevonden van een heel ander klassement, al is dat wel iets subjectiever. Dat zijn serieuzere, complexe chains. Ik kan mezelf als voorbeeld nemen: ik weet veel over e-mails, maar niks over bijvoorbeeld remote code executions, maar als ik het volledige plaatje krijg via een collega die daar wel alles vanaf weet, dan heb je de ideale chain voor een aanval. Dat is zo mooi om te zien."
Hack je nog veel zelf?
"Eerlijk, het runnen van Intigriti kost me veel tijd, zeker na onze recente kapitaalinjectie. Ik probeer nog wel eens achter de computer te gaan zitten, maar dat lukt niet zo vaak. Ik doe nog wel veel hackingevenementen; dan pak ik een vakantie om flink door te zetten op een probleem. Heel ironisch: ik moet vakantie nemen om nog te hacken. Dan ga ik wel echt all the way. Het is cliché, maar ik sluit me dan op in mijn zolderkamer en ga aan de slag. Als ik zulke sprintjes trek, haal ik daar de meeste energie uit, dus daar bijt ik me het liefst in vast."
Bannerfoto: d3sign / Getty Images
:strip_exif()/i/2005763764.jpeg?f=fpa)
/i/2004618418.png?f=fpa)
:strip_exif()/i/2004648158.jpeg?f=fpa)
:strip_exif()/i/1298302627.gif?f=fpa)
:strip_exif()/i/1190705972.jpg?f=fpa)
/i/1237996404.png?f=fpa)
:strip_exif()/i/1307526998.gif?f=fpa)
:strip_icc():strip_exif()/u/63255/crop62861790abf81_cropped.jpg?f=community){kind=small}
/u/589858/crop5e0b762f21d3c_cropped.png?f=community){kind=small}
/u/390520/crop57b5ffbc9f4b4_cropped.png?f=community){kind=small}
