Inleiding
Het is al lang geen verrassing meer als een bedrijf aankondigt dat het hackers gaat belonen voor het opsporen van kwetsbaarheden. Grote Amerikaanse bedrijven als Facebook en Google hebben al een tijdje hun eigen programma's, ook wel bug bounties genoemd. Daarnaast zijn er in Nederland en België steeds meer bedrijven die een responsible disclosure-beleid opstellen, vergelijkbaar met de Amerikaanse term coordinated vulnerability disclosure. Daarin geven ze aan op welke manier lekken gemeld kunnen worden. Houdt een melder zich daaraan, dan wordt hij in principe niet vervolgd, bijvoorbeeld voor het plegen van computervredebreuk. Ook Tweakers heeft een dergelijk beleid opgesteld.
'White Hat', Carol VanHook, CC BY-SA 2.0
In Nederland speelt de leidraad responsible disclosure, die in 2013 werd geïntroduceerd, daarbij een belangrijke rol. Daarin is bescherming voor ethische hackers geregeld, zolang zij niet verdergaan dan nodig is. Daarnaast zijn er bedrijven die programma's aanbieden waarmee organisaties een eigen bugbountyprogramma kunnen opzetten. In feite is dat een responsible-disclosurebeleid in combinatie met een vaste beloning. Er zijn verschillende platforms die dergelijke diensten aanbieden, waaronder het mede door Nederlanders opgerichte bedrijf HackerOne in San Francisco en het volledig Nederlandse Zerocopter. In bepaalde gevallen heeft een dergelijk programma wel de restrictie dat de bevindingen niet gedeeld mogen worden, bijvoorbeeld in de vorm van een blogpost, als het lek is gedicht.
Al deze programma's hebben deelnemers nodig, degenen die uiteindelijk de kwetsbaarheden opsporen en melden. Om erachter te komen wie dat zijn en hoe ze te werk gaan, sprak Tweakers met een aantal Nederlandse en Belgische ethische hackers, oftewel white hats. In dit artikel spreken zij over hun ervaringen, werkwijze en achtergrond.
Maak kennis met de hackers
Een van de hackers is de 31-jarige Daniël Bakker. Hij houdt zich momenteel bezig met embedded systemen en werkt al ongeveer tien jaar in de ict. In de loop van de tijd kreeg zijn functie steeds minder met de techniek zelf te maken, waardoor hij zocht naar een andere manier om technisch actief te blijven. Ongeveer drie jaar geleden kwam hij via Tweakers op het bugbountyprogramma van HackerOne terecht. Hij had de nodige achtergrondkennis door het bouwen van websites tijdens zijn studie, maar miste de specifieke kennis die nodig is om aan de slag te gaan met bugbounties. Hij vertelt dat hij vervolgens ongeveer anderhalf jaar heeft bijgeleerd, voornamelijk door Twitter te volgen en write-ups en forums in de gaten te houden. Inmiddels staat hij op HackerOne op plaats veertig van in totaal honderdduizend aangemelde hackers.
Daarnaast sprak Tweakers met Gerben Janssen van Doorn. Net als Bakker is hij voornamelijk actief op HackerOne, waar hij momenteel op de twaalfde plek op de ranglijst staat. Janssen van Doorn is een 21-jarige student bedrijfskunde, die zich op het moment van schrijven in het buitenland bevindt in een uitwisselingsprogramma. Op de basisschool had hij al interesse in computers en software, wat zich uitte in diverse html- en Photoshop-activiteiten. Die vaardigheden kwamen van pas toen hij een parttimebaantje als webmaster aannam, waarin hij zich verdiepte in programmeren, voornamelijk in PHP. Toen al had hij naar eigen zeggen een ‘behoorlijke interesse in hacken’. Na veel proberen, bijvoorbeeld met xss-kwetsbaarheden, kwam hij uiteindelijk in 2014 via Google op bugbountyprogramma’s uit.
'Het is een spelletje,
bijna een soort ontspanning'
Tot de bountyhunters behoort ook de twintigjarige Olivier Beg, onderzoeker bij het Nederlandse beveiligingsbedrijf Zerocopter. Hij rolde in 2013 de bugbountywereld in, omdat hij het op jonge leeftijd al ‘leuker vond om dingen te slopen’ en te programmeren. Hij is medeoprichter van Bugbountyforum, een plek waar ethische hackers samenkomen om kennis te delen en waar geïnteresseerden een eerste stap kunnen nemen in de wereld van bugbounties, zo legt hij uit. Over ethisch hacken zegt Beg: “Het is een spelletje, bijna een soort ontspanning.”
België wordt vertegenwoordigd door de 28-jarige Arne Swinnen. In tegenstelling tot de overige hackers houdt hij zich fulltime bezig met bugbounties op verschillende platforms, waaronder BugCrowd, Zerocopter, HackerOne en het Belgische Intigriti. Hij was net als de rest al vroeg bezig met ict. Later volgde hij een opleiding computerwetenschappen met een specialisatie in security aan de KU Leuven. Inmiddels houdt hij zich vijf jaar bezig met hacken, waarvan ongeveer twee jaar met bugbounties. Daarvoor werkte hij als penetration tester. Zijn interesse voor het vakgebied werd gewekt toen hij deelnam aan een capture the flag-programma van zijn universiteit. Daar kon hij zijn theoretische kennis in de praktijk brengen.
Degene die het langst in het vak zit, is de 41-jarige Victor Gevers. Hij was al ongeveer twintig jaar bezig met responsible disclosure, voordat dit een vastomlijnd concept werd. Op het moment van het gesprek met Tweakers had hij 5252 meldingen op zijn naam staan, waarvan de eerste bij een lokale videotheek. Hij staat aan het hoofd van de non-profitorganisatie GDI Foundation, die zich tot doel stelt het internet veiliger te maken door beveiligingslekken bij de desbetreffende organisaties te melden.
In 2016 voerde de organisatie het zogenaamde Project 366 uit. Het resultaat daarvan waren 690 ernstige beveiligingslekken die aan 590 organisaties in 71 landen werden gemeld. Naast zijn activiteiten als ethisch hacker is Gevers innovatiemanager bij de overheid. Over zijn aanleg voor het vak zegt Gevers dat hij ‘als kind al vaak een schroevendraaier in speelgoed stak’. In tegenstelling tot de andere hackers in dit artikel houdt Gevers zich bezig met responsible disclosure in plaats van met bugbounties.
/i/2001544983.jpeg?f=imagenormal)
Gevers geeft een responsible-disclosurepresentatie op de Global Cybersecurity Summit
Werk en motivatie
Voor de hackers, met uitzondering van Swinnen, geldt dat ze een flexibel, zelfingedeeld rooster hebben. Zo is er geen vast aantal uren dat ze per week aan het vinden van kwetsbaarheden en bugs besteden. Alles is afhankelijk van beschikbare tijd en zin. Bakker is er gemiddeld acht uur per week mee bezig en Beg schat zijn tijdsbesteding op ongeveer twintig uur per week. De anderen zitten daar tussenin. Daarbij speelt het een belangrijke rol of er een uitnodiging voor een zogenaamd privéprogramma binnenkomt. Die staan tegenover de publieke programma’s die door bugbountyplatforms worden aangeboden. Het verschil is dat privéprogramma’s een beperkt aantal uitnodigingen versturen, die vaak naar mensen gaan die een goede reputatie op het desbetreffende platform hebben. Vaak zijn de beloningen in dergelijke programma’s ook beter. Bakker: “In het begin zit je vast aan de publieke programma’s, maar die zijn al honderdduizend keren doorgelicht. Hoe hoger je komt, hoe meer private invites je krijgt. Het aantal verschilt, soms krijg je er een per week, soms een maand niets.”
Voor Swinnen ligt het net iets anders. Doordat hij zich fulltime met het deelnemen aan bugbountyprogramma’s bezighoudt, heeft hij een vast aantal uren dat hij aan het hacken van sites besteedt. Dat komt overeen met een gemiddelde werkdag, al gaat het dan niet standaard om tijden als van negen tot vijf. Ook Swinnen spreekt over de privéprogramma’s; elke ochtend kijkt hij in zijn inbox of er een nieuwe uitnodiging is binnengekomen. “Ik ben 95 procent van de tijd actief op de verschillende bugbountyplatforms. Daarnaast kijk ik op de eigen programma’s van Google, Facebook en PayPal, en doe ik een klein beetje als freelancer voor forensics en incident response. Ik verdeel mijn tijd tussen de platforms om overal reputatie op te bouwen.”

'$10 Reward', Eric Fisher, CC BY 2.0
Voor de 21-jarige Janssen van Doorn was de uitnodiging voor een privéprogramma het begin van zijn bugbountyactiviteiten. “Ik begon in 2014 bij programma’s van HackerOne, maar die waren in het begin best lastig. Toen kreeg ik op een gegeven moment een uitnodiging voor een privéprogramma; daar heb ik toen veel geleerd.” Beg houdt zich voornamelijk bezig met dit soort programma’s en zegt over de publieke variant: “Het is vervelend om met veel mensen in een poule te zitten die niks kunnen, maar wel willen. Op die manier komen er honderd tot tweehonderd meldingen binnen bij een bedrijf en zijn veel lekken al gevonden. Bovendien duurt de respons daardoor een stuk langer.”
Wat verdient een bountyhunter?
Hoewel tegenover het verantwoord melden van lekken niet altijd een financiële beloning hoeft te staan, is er bij bugbounties, zoals de naam al aangeeft, doorgaans wel sprake van een beloning. Die verschilt per bedrijf en is afhankelijk van de ernst van de gemelde bug of kwetsbaarheid. De vraag die dan natuurlijk opkomt, is hoeveel onze ethische hackers ongeveer met hun activiteiten verdienen.
Om begrijpelijke redenen gaf geen van hen een concreet getal, maar aan de hand van hun indicaties is er toch een aardig beeld te schetsen. Zo zegt Janssen van Doorn: “Ik besteed er gemiddeld zeven tot tien uur per week aan en ben dit jaar daarmee voor het eerst boven modaal uitgekomen.” Bakker verwoordt het als een ‘redelijk leuk extra salaris’ en Swinnen omschrijft het als hetzelfde salaris als wat hij als freelance pentester zou verdienen. Volgens Bakker verdienen de profs ongeveer twee tot drie ton per jaar en Beg legt uit dat een groot lek een beloning van ongeveer tienduizend dollar kan opleveren.
Googles bugbountyprogramma
Voor Beg speelt geld naar eigen zeggen geen rol; hij hackt omdat hij het leuk vindt. “Ik was lange tijd gestopt en heb het een tijdje geleden toevallig weer opgepakt omdat ik er zin in had. Wat beloningen betreft heb ik liever een T-shirt dan een of ander lullig bedrag, zoals honderd euro.” Gevers zegt dat zijn motivatie in de loop van de jaren niet is veranderd. Het gaat hem erom dat hij iets kan bijdragen aan de veiligheid van internet. “Ik doe het niet omdat ik er lekker geld mee kan verdienen. Ik vond het bijvoorbeeld fantastisch toen ik in 2016 bij Project 366 elke ochtend mijn mailbox opende en daar allemaal bedankjes van bedrijven aantrof.” Bakker zegt over zijn motivatie dat het voor hem een soort sport is om beter te zijn dan de ontwikkelaar die een site in elkaar heeft gezet. Hij illustreert dit door aan te geven dat hijzelf ook een ‘ontwikkelaarsmodus’ heeft, waarin hij met functionaliteit bezig is in plaats van met veiligheid. Daarnaast spelen een bijdrage aan de maatschappij en de beloningen ook een rol.
Ook de andere hackers geven aan dat interesse een belangrijke rol speelt, net als de beloningen. Bij geen van de hackers is het opgekomen om hun bevindingen op de zwarte markt aan te bieden. Janssen van Doorn: “Dat lijkt mij veel te veel gedoe. Als je van mening bent dat een lek meer waard is dan de beloning, dan kun je dit het beste vriendelijk aankaarten.” Beg moet lachen. “Daar ben ik veel te lui voor. Ik zou sowieso niet weten waar ik met die meuk heen moet, vroeg of laat word je toch gepakt.”
Werkwijze, tools en kennis
Het is duidelijk dat de geïnterviewde hackers minimaal een werkdag per week besteden aan hun activiteiten. Dat maakt nieuwsgierig naar wat ze dan precies doen. Uit de gesprekken bleek dat ze allemaal ongeveer dezelfde werkwijze aanhouden bij het benaderen van een doelwit. Bij de bugbountyprogramma’s is het zo dat van tevoren wordt vastgelegd wat wel en niet mag door een zogenaamde scope op te stellen, bijvoorbeeld alle subdomeinen van een bepaald domein, die door iedereen doorgelicht mogen worden. Over het algemeen geldt dat de hackers bij zelfgekozen doelwitten met een responsible-disclosurebeleid voorzichtiger te werk gaan, omdat daarvoor slechts impliciet toestemming is gegeven.
Output van een recon-tool
De eerste fase van het doorlichten van een doelwit bestaat bij allen uit het verzamelen van informatie. De meesten gebruiken daar tools en scripts voor, met uitzondering van Gevers, die alleen gebruikmaakt van zijn eigen Osint-platform. Doorgaans worden bijvoorbeeld tools als SubBrute, Fierce, Sublist3r en Dirsearch gebruikt om in kaart te brengen hoe de infrastructuur van een bepaald domein in elkaar steekt. Daarnaast is het mogelijk om met poortscanners en tools screenshots van domeinen te nemen en te achterhalen welke subdomeinen misschien interessant zijn. Daarbij moet gedacht worden aan loginpagina’s of andere sites waar het mogelijk is om als gebruiker gegevens in te voeren.
Over het algemeen leidt dit naar de tweede fase. Beg legt uit: “Vervolgens gebruik ik bijvoorbeeld Burp Suite om door de verschillende requests heen te stappen en te kijken of er iets geks gebeurt.” Burp Suite is software die het mogelijk maakt om communicatie met een webserver te onderscheppen, te analyseren en aan te passen. In alle gesprekken komt deze tool naar voren als essentiële software in het arsenaal van de bountyhunter. Swinnen: “Ik schrijf mijn eigen scripts, maar ongeveer negentig procent van de tijd breng ik door in Burp.” De stappen die daarop volgen, zijn afhankelijk van het doelwit. Zo nodigt een bank bijvoorbeeld uit om geld te stelen en bij andere diensten is het bijvoorbeeld interessanter om achter de databases aan te gaan of te kijken of het mogelijk is om rce te krijgen.
Specialisaties en kennis opdoen
Alle hackers hebben zo hun eigen focus. Swinnen legt uit: “Het is belangrijk om je te specialiseren, snelheid speelt namelijk een belangrijke rol. Degene die eerder is met zijn melding, krijgt de beloning. Ikzelf houd mij daarom bijvoorbeeld niet bezig met kwetsbaarheden als xss, ik kijk meer naar de server zelf. Zo zoek ik bijvoorbeeld naar idors, access control bypasses en sqli, dus dingen waar geen interactie met gebruikers voor nodig is. Gevers zegt over zijn eigen aanpak: “Ik wil geen one trick pony zijn, die zich bijvoorbeeld alleen maar op xss richt. Daarom ben ik heel blij met bugbountyprogramma’s, want dan kan ik de rest opruimen.”
'Ik wil geen one trick pony zijn,
die zich bijvoorbeeld alleen maar op xss richt'
Alle gesproken hackers hadden al vroeg aanleg of in ieder geval een gezonde dosis nieuwsgierigheid. Gevraagd naar de belangrijkste eigenschappen voor een ethische hacker komt vrijwel in alle gesprekken naast nieuwsgierigheid ook doorzettingsvermogen naar voren. Swinnen: “Je moet niet zomaar opgeven als iets niet lukt. Vaak is het zo dat je juist iets vindt als je net wat verdergaat dan anderen.” Ook creativiteit en het vermogen om jezelf vaardigheden aan te leren komen naar boven. Op de vraag waar ze hun kennis vandaan halen, zeggen de hackers dat ze dit veel uit write-ups op blogs van anderen halen, waarin wordt beschreven hoe een bepaald lek is gevonden. Daarnaast volgen ze de discussies op forums en Twitter, waar veel bugbountyhunters uithangen. Volgens Beg is veel technische kennis geen vereiste. “Je moet eigenlijk zo snel mogelijk zoveel mogelijk trucjes leren.” Programmeerkennis komt wel van pas, bijvoorbeeld om eigen Python-scripts te maken om taken te automatiseren. Al zijn er al wel veel openbare tools te vinden, aldus Janssen van Doorn.
Swinnen schrijft veel tools zelf, maar deelt ze pas op een later moment. “Ik wil eigenlijk wel zelf zo veel mogelijk profijt uit mijn eigen tools halen. Als dat is gelukt, maak ik ze weleens openbaar. Maar bugbounties zetten niet echt aan tot het delen van kennis, omdat iedereen in feite concurrent is.” Zelf heeft hij veel gehad aan het Web Hackers Handbook, dat weliswaar oud is, maar nog steeds nuttige informatie bevat. Daarnaast noemt hij Web Hacking 101 van Peter Yaworski, voor wie hij veel respect heeft. Voor beginners raadt Janssen van Doorn bijvoorbeeld de video’s van IronGeek aan, die presentaties van beveiligingsconferenties online zet. Bakker zegt dat hij veel aan zijn kennis van het bouwen van websites heeft gehad, omdat hij daardoor weet hoe een site in elkaar steekt.
IronGeek-video over webhacking
Ethisch hacken in Nederland en België
Gevraagd naar hun ervaringen zegt geen van de hackers dat zij ooit met juridische problemen te maken hebben gehad. "Het naarste wat ik in al mijn meldingen heb meegemaakt, is dat een bedrijf ontkende dat ik ooit contact had gezocht. Toen het vervolgens in de media kwam, volgden nare persoonlijke aanvallen. Gelukkig had ik genoeg bewijzen van mijn pogingen om contact te maken", aldus Gevers. Over bugbountyplatforms zegt hij: "Ik vind ze geweldig. Ze spelen een ontzettend belangrijke rol in de relatie tussen de hacker en de ontvangende partij." Ook Swinnen is positief. "Bij de ongeveer tweehonderd meldingen die ik inmiddels heb gedaan, is er bij een of twee een discussie ontstaan, maar meer ook niet. Ik merk ook dat bedrijven met een bugbountyprogramma veel beter beveiligd zijn dan bedrijven zonder. Ook is er verschil tussen die bedrijven die al langer een programma hebben en bedrijven die er net mee zijn gestart. Wat mij betreft werkt het beter dan traditionele methodes van bugs melden."
Over frustraties bij het melden van lekken vertellen de hackers over verschillende situaties die ze hebben meegemaakt. Beg vertelt: "Als je iets kritieks vindt, schieten bedrijven soms in damage control. Dan zit je ineens in een gesprek met een heleboel advocaten en wil de organisatie niet toegeven hoe kritiek iets was. Daar kan ik alleen over zeggen: embrace it en zorg voor een goede beloningsstructuur." Gevers zegt: "Soms is het nodig om computervredebreuk te plegen om een lek aan te tonen, maar je moet je wel aan de gestelde kaders houden. Ik probeer altijd uit te leggen dat ethische hackers lieve mensen zijn." Andere frustraties zijn managers die meldingen wegwuiven en ze communiceren met verschillende afdelingen, blijkt uit de gesprekken.
'Wat mij betreft werkt het beter
dan traditionele methodes van bugs melden'
Leidraad en bescherming
Over de Nederlandse leidraad voor responsible disclosure zijn de hackers het eens: deze werkt goed, al zijn er nog wel verbeteringen in Nederland denkbaar. Volgens Bakker is met de leidraad een goede stap gezet, maar zouden overheidsinstanties niet alle lekken gelijk moeten behandelen en juist onderscheid moeten maken op basis van de ernst ervan.
Gevers is van mening dat de overheid helemaal geen financiële beloning moet geven. "Als de overheid een bugbountyprogramma in het leven gaat roepen, zou er eigenlijk niet betaald moeten worden. In plaats daarvan zou de overheid bijvoorbeeld een certificaat moeten uitdelen om mensen te stimuleren en te steunen. Op dit moment krijgen we onze soc's namelijk niet vol. We moeten het juist hebben van de mensen die in hun vrije tijd bezig zijn en niet alleen van de mensen met een hoop diploma's en theoretische kennis." Beg voegt daaraan toe: "We zijn momenteel lekker bezig met responsible disclosure en bugbountyprogramma's moeten nog groeien. Ik denk dat dit laatste wel wordt tegengehouden door de leidraad." Swinnen vindt dat er met de bescherming van ethische hackers in België 'een nodige stap' wordt gezet.
/i/2001488457.jpeg?f=imagenormal)
Veel van de hackers zien nog wel een verschil tussen de hoogte van de beloningen van Amerikaanse en die van Nederlandse bedrijven. Volgens Beg zijn de beloningen in Nederland 'vrij triest' en hebben Amerikaanse bedrijven uit Silicon Valley meer geld te besteden. Gevers schrijft het feit dat Nederlandse beloningen lager zijn, toe aan het feit dat er in Nederland een stuk nuchterder tegenaan wordt gekeken. Janssen van Doorn merkt op dat hij in Nederland meer problemen ondervindt bij het uitbetalen van beloningen, omdat er meer juridische obstakels zijn. Daarom heeft hij nu een KvK-nummer aangevraagd om het eenvoudiger te laten verlopen. Volgens de 21-jarige is er in Nederland geen besef van een passende vergoeding en moeten juist grote bedrijven daarin het voortouw nemen.
Toekomst
Over het algemeen zien de hackers dat er meer aandacht is voor kwetsbaarheden. Volgens Bakker is alles eromheen in een stroomversnelling geraakt, al is er voor de Nederlandse markt nog een lange weg te gaan. Janssen van Doorn merkt dat datalekken meer aandacht in de media krijgen en dat de publieke opinie op dat vlak is veranderd. Ook zouden bedrijven over het algemeen positief reageren op een melding. Alle hackers merken dat er steeds meer concurrentie komt op het gebied van bugbounties, bijvoorbeeld doordat er steeds meer mensen aan meedoen en er professioneler te werk wordt gegaan. Swinnen weet daarom niet of hij over vijf jaar nog steeds fulltime dit werk zal doen. Bakker ziet eveneens een toenemende concurrentie, maar volgens hem is het dan ook het 'beroep van de toekomst'.
Gevraagd naar de toekomst zegt Gevers: "De Nederlandse overheid heeft destijds met de leidraad aangegeven dat er een wil is op dat vlak. Dat heeft Opstelten toen toch maar netjes gedaan. Volgens mij is er in Nederland ook niemand vervolgd voor responsible disclosure. In de toekomst is het nodig dat we ernaar kijken hoe je het voor jongeren helder maakt. Bijvoorbeeld dat het niet oké is om een volledige database leeg te trekken, maar dat het voldoet om een aantal elementen te benoemen in je melding. Daarvoor is veel begeleiding en oefening nodig. Daarnaast is er behoefte aan een afwegingskader, omdat de techniek harder gaat dan de regels. Vroeger was het bijvoorbeeld geen goed idee om iets te brute forcen, maar als je tegenwoordig een paar combinaties probeert, is er weinig aan de hand. Bovendien denk ik dat responsible disclosure een goede nekslag kan zijn voor zero-days."