In 2018 kroonde Inti De Ceukelaire zichzelf in Las Vegas tot wereldkampioen
hacken. Enkele jaren later staat de Aalstenaar, nog altijd maar 26, aan het hoofd van het hackersplatform Intigriti en helpt hij grote bedrijven en overheden bij het opsporen van veiligheidslekken in hun digitale infrastructuur. De ideale gesprekspartner dus voor een boeiende babbel over (ethisch) hacken, cyberveiligheid en de beperkingen van IT-audits.
In 2018 kroonde Inti De Ceukelaire zichzelf in Las Vegas tot wereldkampioen hacken. Enkele jaren later staat de Aalstenaar, nog altijd maar 26, aan het hoofd van het hackersplatform Intigriti en helpt hij grote bedrijven en overheden bij het opsporen van veiligheidslekken in hun digitale infrastructuur. De ideale gesprekspartner dus voor een boeiende babbel over (ethisch) hacken, cyberveiligheid en de beperkingen van IT-audits.
Inti De Ceukelaire:
Ik krijg die vraag vaak, maar eigenlijk is het gewoon een verkeerde vraag. Alle hackers zijn immers per definitie ethisch. Vergelijk het met een apotheker. U vraagt toch ook niet aan een apotheker of hij zijn beroep wel op een ethisch manier uitoefent en geen verboden producten verkoopt? Een hacker gaat, met medeweten van de beheerder van een IT-systeem, op zoek naar zwakheden in de beveiliging. Vindt hij tekortkomingen, dan zal hij die in alle transparantie delen met het bedrijf. Dit geeft de beheerder de kans om zijn beveiligingsniveau op te krikken. Kortom, een hacker heeft geen slechte bedoelingen.
Inti De Ceukelaire:
Ik was van kindsaf gebeten door alles wat met computers, internet en digitale veiligheid te maken had. Het probleem was echter dat er vroeger geen wettelijke manier bestond om uw skills te testen. Er was enkel de optie om wat rond te surfen op het net, dingen uit te proberen en zien wat er lukte of mislukte. Ethisch hacken was dus niet echt mogelijk, omdat men automatisch in een onwettige situatie actief was. Sinds enkele jaren is de wet aangepast en kunnen we dus wel, mits naleving van bepaalde voorwaarden, legaal aan
de slag.
Inti De Ceukelaire:
Het is verboden om zonder toelating een computersysteem binnen te dringen, dat spreekt voor zich. Maar als de beheerder van het IT-systeem uitdrukkelijk toelating geeft, dan mag het wel. Toelating is dus het centrale criterium. Nu, het wettelijk kader is nog altijd vrij summier, hoor.
Inti De Ceukelaire:
Ja. Sun Tzu zei ooit: “To know your enemy, you must become your enemy”. Als iemand wil weten wie hackers zijn en hoe ze denken, dan komt het erop aan om er zelf een te worden. Alleen dan wordt duidelijk hoe ze te werk gaan.
Inti De Ceukelaire:
Bedrijven geven Intigriti de opdracht om hun systeem uitgebreid te testen, 24/7, een heel jaar lang. Wijzelf laten onze community los op de IT-systemen van die bedrijven. Gefaseerd, want we gaan niet onze volledige community van 35.000 hackers tegelijk op het netwerk van onze klanten afsturen. Dat gebeurt stelselmatig. We drijven het aantal hackers voor bepaalde klanten langzaam verder op. De onmiddellijk zichtbare issues, het laaghangend fruit zeg maar, komen natuurlijk eerst naar boven. Maar we zoeken steeds verder naar mogelijke veiligheidsproblemen, in een altijd maar complexer wordende omgeving. We ontdekken heel wat. Logisch, want we werken bij Intigriti met de absolute wereldtop. Toch stellen we vast dat bepaalde bugs pas na enkele jaren duidelijk worden, bijvoorbeeld omdat ze zeer specifiek zijn. Het is en blijft een zeer gespecialiseerde materie.
Onze klanten betalen ons niet voor de tijd die we aan hun IT-systemen spenderen, maar keren wel een vergoeding uit als we een veiligheidslek vinden. We berekenen dan de kwetsbaarheid en daarvan wordt een bedrag uitbetaald door de opdrachtgever. We werken soms met vaste menu’s, waarbij een prijs gekleefd wordt op de fouten of bugs die hackers bij onze klanten ontdekken. Die vergoedingen noemen we bug bounties.
Inti De Ceukelaire:
Bijna altijd uiterst positief. Ik vind dat normaal: ondernemingen vragen ons om hun systemen grondig te screenen en betalen ons alleen maar als er ook echt een probleem ontdekt wordt. Ze krijgen dus waar voor hun geld.
Niks tegen IT-consultants, maar vergelijk onze aanpak eens met die van hen: zij bestuderen de IT-infrastructuur van een onderneming en stellen vervolgens een rapport op met hun bevindingen. Schrijft de consultant daarin dat het systeem veilig is? Zo ja, kunt u daar als bedrijfsleider of IT-beheerder echt wel vanop aan? Bent u wel zeker dat uw IT-infrastructuur altijd en overal veilig is? Die mate van zekerheid haalt u niet uit een rapport, dat is onmogelijk. Ik geloof veel meer in the power of the crowd. Laat de beste hackers ter wereld uw systeem aanvallen en zij zullen de kwetsbaarheid ervan zeer grondig op de proef stellen. Biedt dit 100% zekerheid voor de toekomst. Neen, maar u mag er wel zeker van zijn dat uw systemen maximaal doorgelicht worden. Een brandoefening doet u toch ook in de praktijk en niet gewoon op papier?
Inti De Ceukelaire:
Valsspelen. Ik vond dat altijd al leuker dan gewoon spelen, maar ik speelde voor alle duidelijkheid nooit onder de gordel. Ik zocht creatieve oplossingen die de regels omzeilden en kwam daar achteraf openlijk voor uit. Ook bij jeugdbewegingen bijvoorbeeld kon er tijdens spelletjes vaak vals gespeeld worden. Pakte ik dat goed aan, dan kwam ik daarmee weg. Ik deed dat niet om de irritante etter uit te hangen of het voor iedereen te verpesten. Vooral de intellectuele component van het valsspelen vind ik belangrijk: het gaat in feite om niet meer of minder dan het oplossen van een puzzel. En als ik die puzzel ontrafeld heb, dan vertel ik eerlijk hoe ik dat gedaan hebt. Dat is natuurlijk die ethische component die onlosmakelijk verbonden is aan hacken: de beloning is minder belangrijk, echt waar.
Hacken is vaak allesbehalve eenvoudig. Wat bedoel ik daarmee? Computers zijn systemen die doen wat iemand vraagt. Het komt er dus op aan om hoe we denken te vertalen naar de werking van een computer. Stel dat u in een online-webshop tegelijk 2 pakken bloem en -2 pakken bloem bestelt. Wijzelf zouden denken dat we dan helemaal niks besteld hebben. Want als we 2 pakken bloem en -2 pakken bloem optellen, dan blijft er niks over. Maar een computer redeneert anders. Die zal u wel de 2 pakken bloem leveren, want die kan hij in de stock terugvinden, maar niet de -2 pakken bloem, want die vindt hij niet. U krijgt dus via die computer wellicht wel 2 pakken bloem. Bovendien is de kans reëel dat u bij het afronden van uw bestelling helemaal niks moet betalen: we merken immers regelmatig dat dergelijke bewerkingen elkaar opheffen in rekentools. Het eindbedrag voor de som van
2 pakken bloem en -2 pakken bloem is nul, want beide neutraliseren elkaar. Conclusie: u krijgt 2 pakken bloem en toch betaalt u niets. Klinkt het vergezocht? Helemaal niet. Iets dergelijks heb ik ooit ontdekt toen ik online festivaltickets wilde bestellen. Als ik dat wenste, had ik alle tickets opgekocht en toch niks moeten betalen. Maar zo zit ik niet in mekaar: de organisatoren waren alleszins dolblij dat ik hen op de hoogte bracht van het probleem, geloof me.
Inti De Ceukelaire:
Na mijn humaniora studeerde ik multimedia en communicatietechnologie. Deze studies bevatten wel wat programmeren, maar finaal heb ik toch gewoon het meeste geleerd door zelf aan de slag te gaan en uit te proberen: kennis vergaren, methodieken uitzoeken, werkwijzen bestuderen, veel trial and error … Er bestaat nu eenmaal geen boek dat uitlegt hoe iemand de beste hacker wordt. Met Intigriti worden we ook gevraagd om veiligheidslekken te vinden die nergens in literatuur beschreven staan.
Inti De Ceukelaire:
In 2018 werd ik inderdaad uitgenodigd op het wereldkampioenschap hacken in Las Vegas. De initiatiefnemer was HackerOne, een onlinebeveiligingsbedrijf. We kregen enkele dagen aan een stuk telkens nieuwe opdrachten, waarbij we op zoek moesten naar security problemen in de IT-infrastructuur van grote bedrijven en overheidsinstanties. Het was een spannende en intensieve strijd, maar finaal eindigde ik als winnaar. Ik had onder andere veiligheidslekken gevonden in de systemen van het Pentagon, maar daarover mag ik uiteraard niks vertellen.
Inti De Ceukelaire:
Het heeft me natuurlijk wel wat media-aandacht opgeleverd. Maar een loopbaan als hacker wijkt sterk af van het klassieke carrièrepad van bijvoorbeeld een IT-consultant. Die start als junior en ziet vervolgens zijn loon stijgen met zijn leeftijd en anciënniteit, alsof iemand ouder moet worden om zijn waarde te kunnen aantonen. Bij hackers is een en ander veel eenvoudiger. Iedereen staat op gelijke voet, ongeacht leeftijd, diploma, … alles staat of valt met wat een hacker ontdekt. Zelfs een absolute nobody kan scoren. Er is ook helemaal geen onderlinge jaloezie: als een hacker een belangrijk veiligheidslek vindt, dan wordt hij oprecht gefeliciteerd door collega’s. Geen vooroordelen: mensen staan met open mond te kijken naar elkaars prestaties. Uw vroegere credentials zijn gewoon van geen tel als u erin geslaagd bent om in de IT-omgeving van een bekende multinational binnen te dringen. En dan kunt u daar zeer goed voor betaald worden: ik heb hackers gezien die op hun vijftiende of zeventiende al miljonair waren. Onze hackers kunnen op die manier drie- tot viermaal zoveel verdienen als ervaren consultants. En toch draait het helemaal niet om het geld, wel om credibiliteit.
Inti De Ceukelaire:
Helemaal niet. Waarom zou een niet-ethische hacker zich eerst aansluiten bij Intigriti, zijn identiteit bekend maken, betalingsgegevens achterlaten… om dan illegale dingen te gaan doen? Hij heeft ons daar helemaal niet voor nodig. Hoe dan ook hanteren we een absolute nultolerantie voor misbruik.
Inti De Ceukelaire:
Ja en neen. Cyberverzekeringen hebben absoluut hun waarde, en wij ook. Als een onderneming een cyberverzekering wil onderschrijven, dan wordt er een audit op losgelaten. Dat kan nuttig lijken, maar het auditrapport biedt zeer weinig garanties. Ik stel vast dat we bij 70% van onze klanten binnen 48u een kritieke kwetsbaarheid vinden. Dergelijke issues legt een audit niet bloot. Ik verwacht dan ook dat verzekeraars meer en meer gebruik zullen gaan maken van bug bounties, waarbij hackers betaald worden om lekken te vinden. Het model van Intigriti dus. Een bijkomend probleem dat ik met audits heb, is dat ze de infrastructuur maar op één moment bekijken. Systemen veranderen echter continu. Wat vandaag veilig is, kan binnen enkele maanden een kritisch veiligheidsprobleem vormen. Ook op dat moment moet u alert blijven en continu testen. Daarnaast kunnen cyberverzekeringen natuurlijk wel voor extra gemoedsrust zorgen en tussenkomen in de kosten, dat spreekt voor zich. Zoals ik al zei, we kunnen elkaar perfect aanvullen.
Inti De Ceukelaire:
We proberen de zwakheden van een systeem bloot te leggen. Dat kan te maken hebben met beveiliging van data, maar ook met rekentools, een betaalmodule, … Vaak wordt er verwezen naar menselijke fouten als het gaat over veiligheidsproblemen met IT: een werknemer heeft een malafide bijlage aangeklikt en de doos van Pandora werd geopend. Maar zo eenvoudig is het niet altijd: wij gaan ook op zoek naar problemen die kunnen optreden doordat systemen aangevallen worden zonder dat er mensen aan te pas komen. Dat kan uiterst complex zijn, maar kan ook heel eenvoudig gaan over enkele domme foutjes in een applicatie, waardoor de deuren snel open gebeukt kunnen worden.
Inti De Ceukelaire:
Ja, jammer genoeg, want dit is compleet onterecht. Elke onderneming kampt nu eenmaal met veiligheidsissues. Bedrijven hoeven zich zeker niet te schamen als er securityproblemen ontdekt worden. Wel komt het erop aan om er lessen uit te trekken, programma’s aan te passen, processen en procedures bij te sturen, … Leren uit problemen is het allerbelangrijkste. Dat helpt een bedrijf echt vooruit. Daarop mag een onderneming dan wel afgerekend worden: zijn ze met de nieuwe info echt aan de slag gegaan?
Inti De Ceukelaire:
Ja, absoluut. Doordat veel bedrijven meer en meer met elkaar verweven zijn, ontstaat er bij IT-integraties vaak een soort van schemerzone, waarbij niet duidelijk is wie waarvoor precies verantwoordelijkheid draagt. Veel veiligheidsproblemen zijn dan ook in de eerste plaats te wijten aan miscommunicatie en een gebrek aan ownership. Het bewijst eigenlijk alleen maar dat consultancy testing niet schaalbaar is: consultants kunnen nu eenmaal niet 24/7 alles testen.
Inti De Ceukelaire:
Enkel de globale competities, een vier- à vijftal per jaar. De rest van mijn tijd gaat naar het leiden en aansturen van Intigriti.
Inti De Ceukelaire:
Neen, maar ik sluit zeker niet uit dat dit ooit gebeurt. Ik ben ook maar een mens en maak zelf ook fouten. Dus wie weet … Ze mogen altijd proberen (lacht).