Sijmen Ruwhof over Cyber Security, Hacking en Privacy

Transcript

Dan ga je echt niet op veroordeeld worden, maar als je volgens een scriptje schrijft,

wat 10.000 records gaat opvragen, dat is toch denk ik bij de rechter wat moeilijker uit te leggen dat dat per ongeluk gegaan is.

Volgens mij krijgt Saber, die krijgt het nu heel erg warm.

Nee, nee, nee, ja. Het is goed dat ik er geen tijd meer op heb.

Welkom bij aflevering 5 van seizoen 2 van de CodeKlets podcast.

Vandaag zijn de hosts Kishen en ik weer bij elkaar.

Ik vind het eigenlijk wel leuk trouwens dat we iedere keer een andere samenstelling hebben.

Dat vind ik ook inderdaad leuk. Ik hoop dat de luisteraars dat ook vinden.

Dat is wel leuk als we iets van feedback krijgen.

Ja, ja. Ik heb nog geen negatieve feedback erover gehad.

Dat is misschien wel positief. Geen klachten nog.

Nee, nee, nee. Maar goed, nog steeds drukke tijden.

Dat heeft iedereen. We hoeven eigenlijk niet meer te herhalen tot we ooit weer uit deze gekke tijden komen.

Maar dat zal nog wel even duren.

Heb je de persconferentie nog gezien net? Of niet?

Ik heb de Apple Keynote geluisterd.

Dat was nou belangrijker.

Juist, dat wilde ik net zeggen. Ik deed die persconferentie.

De helft is uitgelekt en het zal wel.

Ik ben er een beetje een soort van immuun voor geworden.

Dan gebeurt weer iets en die mensen klagen weer en dat zal wel.

Het blijft een beetje hetzelfde.

Het goede nieuws, dat is heel raar.

Want eigenlijk kan ik dat niet verklappen.

Maar deze opname staat morgen toch niet online.

Dus ja, dat kan ik dus weer wel verklappen.

Ik denk dat we dat eerder besproken hebben.

Ik ben bezig met de verhuizing.

Onze huidige huis stond te koop.

En ja, dat is spannend.

Dit is de tweede keer dat ik verhuize.

Vorige keer ging de verkoop wat makkelijker of anders.

Maar nu heeft het wel wat stress opgeleverd in eerste instantie.

Niet zo heel negatief, maar gewoon heel veel werk eraan.

En vorige week hoorde je echt heel veel nieuws.

Van ja, de prijzen gaan echt alle kanten op.

We zeiden oké, dat vinden wij op zich positief.

Want het was allemaal omhoog en omhoog en omhoog.

En toen had ons lang verhaal kort.

Onze makelaar was gisteren hier om even te vertellen...

wat uiteindelijk is wat we hebben gekregen.

Ik ga dat niet precies zeggen.

Maar we waren positief verrast, laat ik het zo zeggen.

We waren echt geschrokken.

Nou ja, eigenlijk wel geschrokken, want het was echt de eerste paar uur...

en je dacht oké, dit kan niet ofzo.

Dus dat was wel een interessant iets om mee te maken.

Dus je bent superblij nu?

Ja, het is heel raar.

Er zijn allemaal nog wat voorbehouden, zeg maar.

Het ziet er allemaal heel goed uit.

Dus daar maak ik me niet zo heel erg druk over.

Maar ja, het is echt heel onmerkelijk.

Dat is wel iets...

Goed man, goed.

Ja, dat is iets op zich.

In deze tijd, dat er iets echt positiefs dan weer gebeurt.

Dan denk je oké, dat helpt wel, laat ik het zo maar noemen.

En je vertelde ook, of tenminste ik las het op Twitter...

dat je onlangs ook gevaccineerd was, toch?

Ja, klopt.

Heb je al 5 verschijnselen, behalve dat je stem misschien een beetje anders klinkt?

Ik zeg ook tegen iedereen...

Ik ga nu tegenwoordig door de buren heen kijken.

Dat is heel raar.

Misschien moeten we daar straks over hebben.

Onder het behoor van privacy.

Ja, ik krijg het.

Nee, maar dat is echt...

Nee, dat viel echt...

Ik heb het moderne vaccin gehad.

De dag zelf was ik wat moeig, zeg maar.

Niet zo weer, geen koorts of zo.

Heel lichte hoofdpijn.

En mijn arm zelf.

Dus ik vrijf daar nu overheen op bewijzen van...

Oké, zo kunnen ze het zien, maar dat is natuurlijk niet zo.

Maar die was een beetje beurs.

Dus dat heeft 2, 3 dagen geduurd.

En dat was het.

En komende maandag, dus volgende week.

Dus vier weken later krijg ik de tweede prik.

Dus dat...

Oké, mooi man.

Good times.

Zeker, zeker.

Maar we hebben ook een gast.

Het is Simon Ruhoff.

Welkom, Simon.

Hoi.

Simon is al 23 jaar gepassioneerd voor alles...

wat te maken heeft met internetbeveiliging...

en het ontwikkelen van veilige software.

Simon is gespecialiseerd in hacking, IT-beveiligingsonderzoeken...

en het uitvoeren van geavanceerde penetratietesten.

Sinds 2005 wordt hij als ethisch hacker ingehuurd in het bedrijfsleven...

en voor overheidsorganisaties.

In zijn werk hackt hij met toestemming, dat is belangrijk, computernetwerken en websites...

zodat beveiligingslekken in kaart gebracht en opgelost kunnen worden.

Nou, dat is impressive, zeg maar.

Cool, cool, cool.

Ja, dat is lang mee bezig geweest.

Ja, ik voel me ook een beetje ongemakkelijk.

Ik heb echt het gevoel dat we gewoon met een bekende Nederlander aan tafel zitten.

Want je komt ook voor.

Op de radio had ik onlangs gezien, op YouTube een filmpje van gezien.

Je bent op tv, bij NPO, SPS.

Zelfs programma's met Kassa en Meldpunt.

Dus je bent wel lekker bezig volgens mij, zei men.

Ja, thanks.

Ja, er komt steeds meer aandacht voor cybersecurity.

En dat was 23 jaar geleden toen ik begon, was dat absoluut niet het geval.

Je kon wel zeggen, je systeem staat open, je kan zo bij alle data.

Ja, dan gingen de schouders omhoog en dan gingen we gewoon weer verder.

Ja, wat kun je er nou mee, zeiden ze dan.

Ja, dat is tegenwoordig wel anders.

Dus ik ben blij dat er eindelijk wat meer bewustzijn voor kan komen.

Ja, dat is waar.

Dan krijg ik natuurlijk ook heel vaak van, ik heb niks te verbergen.

Ja, als we dan een prijs gaan hebben, dan is dat wel de eerste wat mensen eruit gooien.

Ja, grappig.

Maar dat is wel waar.

Ja, het is wel heel erg actueel.

Ik ben er eigenlijk ook wel heel erg blij om.

Dat die awareness een beetje aangewakkerd wordt.

Ik vind nog tegenvallen op doel, ik vind dat Jan Modaal nog steeds te makkelijk overdoet.

Maar goed, daarom kunnen we het zo meteen misschien nog wel over hebben.

Ja, bekende Nederland, dat vind ik al stoer ja.

Opkomend in ieder geval.

Ja, ja, het is gewoon een bekende.

Je bent of niet bekend, dat zijn wij, of je bent bekend.

Dat is eigenlijk gewoon binair, één van de twee.

Ik word gelukkig nog niet op straat herkend, hoor.

Maar mijn naam die gaat inmiddels wel een beetje rond in de scene.

Ja, ik hoef ook niet op straat herkend te worden, hoor.

Want dat kost je weer je privacy.

En als je een keer gekke dingen doet, dan weet iedereen wie je bent.

Ja, dat is waar.

Nou, dan kan je inderdaad maar beter inderdaad ook, omdat je natuurlijk de kenner bent, voorzichtig mee zijn.

Maar ja, het is wel tof.

Ja, want ik ken jou.

Ja, dat was ooit een keer bij een Rabobank project.

Toen heb ik jouw naam een keer horen vallen.

En ik ben eigenlijk sindsdien ook wel een beetje, ja, ook wel gefascineerd in, ja, hoe security, zeg maar, onderwerp in softwareland steeds belangrijker wordt.

En zodoende zag ik ook een paar keren op LinkedIn en ook op YouTube natuurlijk.

En toen dacht ik, hey, dat is een interessante gast.

Dus ik ben ook heel blij dat je ons, ja, wilde bijwonen vandaag.

Ja, dank voor de uitnodiging.

Heel leuk om hier te mogen zijn.

Zeker.

Ja, ja, ja.

We hadden er voor eventjes over van voor de opname van, hey, je hebt er wel geprogrammeerd.

Ja, dat is misschien een heel stomme vraag natuurlijk.

Maar wat zijn jouw eerste programmeer ervaring?

Hoe ben je eigenlijk begonnen met programmeren?

Ja, ik was vroeger heel veel aan het gamen, zoals elke puber.

En ja, op een gegeven moment dan wil je speel de kwek 1.

En dan wil je met je medespelers een soort clan oprichten.

En dan heb je natuurlijk een website nodig.

Nou, dan ga je een beetje je verdieping in HTML.

En dan, ja, wou je kijken hoeveel bezoekers je hebt.

Dus heb je zo'n bezoekerstelletje wat je dan kopieert ergens.

Er zit dan reclame bij.

Nou, die wil je reclame eraf van je mooie site.

En dan ga je steeds verder erin verdiepen.

Ik begon zo'n beetje mijn twaalfde, dertiende met programmeren.

En ja, dat is een beetje uit de hand gelopen toen.

Ik ging daar elke zavond in de weekenden, s'nachts.

Was gewoon lekker bezig.

En ja, toen in het telp PHP eigenlijk voornamelijk.

PHP en een beetje JavaScript.

En ja, dat vond ik superleuk om te doen.

En dat doe ik af en toe ook nog steeds.

Oké, dus nog steeds gewoon aan het programmeren en ook echt bouwen aan websites?

Wat is het doel, zeg maar?

Ja, vroeger echt heel veel websites gebouwd.

Meer dan honderd.

En ja, inmiddels doe ik meer tooltjes.

PHP-tooltjes die ik bouw.

Het is ook wel in mijn werk als hacker.

Wil je af en toe veel data verwerken?

Wil je overzichtjes draaien?

Tabelletjes aan elkaar linken?

Kleine scriptjes schrijven?

En dan is dat een prima gereedschapskirch, zeg maar, om voor elkaar te krijgen wat je wil.

Dus echt de websites bouwen, dat hoeft mij niet meer.

Maar gewoon, ja, tooltjes is wel echt nog wel tof om te doen.

Oké.

En ook andere talen bekeken of niet?

Ja, ook wel eens wat in Java, in Delphi gedaan.

Natuurlijk veel Javascript.

C Sharp ook wel eens wat.

Maar dat trok me allemaal wel wat minder dan gewoon PHP,

wat ik echt wel 90, 95 procent van mijn ervaring wel inlicht.

Het is gewoon zo makkelijk en zo laag drempelig om ermee te beginnen.

En het is meteen rond de server gebaseerd,

dus je kan meteen op allerlei devices ook je resultaten bekijken.

Ja, en het is, als je in één taal helemaal gespecialiseerd bent,

je kan het gewoon blind schrijven, dan is dat erg prettig.

En als je heel veel talen probeert handig in te zijn, zeg maar,

dan vergeet je overal weer een beetje hoe die functies heet,

hoe die klassen heten, wat weer de specifieke quirks zijn.

Dus ik dacht van nou, ik ga me gewoon specialiseren in één taal.

Eigenlijk het web.

En dat ben ik al een beetje stoïzijs in gebleven,

maar daardoor kan ik het nu nog vloeiend programmeren

en dat is wel handig.

Want je hebt niet zeker met alles wat ik nu rondom cybersecurity doe,

niet de tijd om heel veel talen te gaan onderhouden ofzo,

of die ontwikkeling allemaal te blijven volgen.

Ja, want ik kan me best voorstellen, ook als security specialist,

want er kan natuurlijk van alles met code gebeuren,

dat je daar misschien ook wel een beetje een knobbel voor moet hebben,

maar dat hoeft dus niet per se.

Nou ja, kijk, de meeste hackers die wel echt uitblinken,

die hebben wel een programmeren achtergrond.

Daarmee kun je ook wel echt gewoon goed begrijpen hoe software werkt,

hoe je exploits ook moet schrijven,

dus hoe je een stukje software bouwt wat weer misbruik maakt

van bepaalde beveiligingslekken.

Dus ja, je ziet wel dat de hackers die wel meer uitblinken

toch ook wel een beetje goed kunnen programmeren.

Ja, dat had ik toen ook gelezen, zo'n 23 jaar geleden,

toen ik in mijn verdiepte van, wil je echt goed worden als hacker,

dan moet je kunnen programmeren.

En ja, als 12-jarige denk je, boring, weet je,

ik wil gewoon zo echt voor nerds dat programmeren.

Dus ik denk, nou, dat is ook wat minder interessant,

maar uiteindelijk blijkt dat gewoon super nuttig

en ook allemaal wel te kloppen.

Ja, dat was op zich wel een grappige,

want daar had ik een vraag over die misschien niet per se voor de hand ligt,

maar wel binnen deze context wel relevant is, denk ik.

Er wordt altijd overgesproken dat meer mensen moeten programmeren,

les krijgen, dus dat je op de basisschool bij het spreken al leert programmeren.

Vind je dat een plus, denk ik?

Ja, helpt dat?

Zou je dat in het mom van bewust zijn van wat gebeurt er nou,

wat is programmeren nou en wat voor risico's loop je?

Zou het dan misschien handig zijn dat iedereen dat in z'n rugzak heeft?

Je hoeft dan niet meteen af te studeren als programmeur of zo,

maar dat je in ieder geval weet van oké, daar kun je aan denken, zeg maar.

Ja, je kan natuurlijk dan eventueel programmeren wat wel wat nuttig kan zijn,

maar waar ik denk ik nu ook aan nog veel nuttiger is,

is van hoe ga je met internet om?

Wat de sociale media?

Is het handig om alles openbaar op internet te zetten

of krijg je daar tien jaar later spijt van?

Hoe hou je online accounts veilig?

Is het slim om twee traps verificatie in te stellen?

Kijk, het is vrij technisch als je gaat programmeren

en als je dat niet actief toepast, dan denk ik dat het ook alweer snel vervliegt.

Dus ik zou dat dan eerder, als je daar dan in het curriculum tijd voor inbegroot,

dan eerder over algemene internet en computervaardigheden gaan meteen al op de baarschool gaan beginnen.

Want dat gebeurt volgens mij nu amper ook,

ook omdat toen we weinig op de baarschool zaten,

toen wisten die docenten natuurlijk ook allemaal niet precies wat er allemaal gaande was.

Dat zal waarschijnlijk nu iets wel verbeterd,

maar ook de cutting edge kennis die bij de docenten is, dat denk ik nog wel schaars.

Maar als je de kinderen kan meenemen wat er met alle met computers gebeurt,

dat lijkt mij erg nuttig.

Ja, want ik kan me voorstellen, stel dat je zou beginnen met programmeren

en je denkt, hey, cool, ik ga voor mijn voetbalclub een website maken

waar al die data van je teamleden opgeslagen worden met leeftijden,

misschien wel BZ nummers, ik weet niet hoor, dat soort gekkigheid.

Ik moet eerlijk zeggen, ja, baarschool is een beetje overdreven,

maar toen ik net in computer science ging, daar dacht ik allemaal niet over na.

Ik dacht van, dat jas ik wel even in mijn SQL database.

Maar volgens mij is dat nu al veel gevoeliger.

Ja, je ziet het wel dat veel beginnende ontwikkelaar zegt,

natuurlijk ook beginners fouten maken op veiligheidse vlak en privacy vlak.

Maar het is natuurlijk ook zo dat als je begint,

dat het meer de focus ligt op het werk aan het krijgen überhaupt,

dat je schermen krijgt en een flow die het ook doet wat moet doen.

Ja, vers nog helemaal kwalitatief op orde krijgen

en aan alle standaarden en best practices voldoen, zeg maar.

Dat is nog weer een hele hogere stap.

Precies, ja. Dus je wil het eerst gewoon shiny maken

en dan komt security, dat plak je dan maar een beetje bovenop.

Ja, dat is ook wat ik dan ook veel in het bedrijfsleven zie

en bij overheidsorganisaties is dat de focus echt ligt op puur functionaliteit bouwen.

En als het eenmaal doet wat het moet doen, dan wordt het project afgesloten

en dan gaat men door naar het volgende project.

Terwijl je dan eigenlijk nog al die puntjes op die wil zetten.

Even wat goede controles, kwaliteiten op het juiste niveau krijgen.

Maar ja, dat is dan niet heel zichtbaar vaak.

En dan ja, wordt het pas zichtbaar als er problemen optreden.

Ja, het is wel, kijk, er is een tijd geweest

en dat is volgens mij nu echt wel verbeterd de laatste,

weet ik veel, pakken bij tien jaar of zo.

Dat het echt, dat er heel veel bedrijven, niet allemaal gelukkig toen ook al,

maar die zeggen van, die security zeg maar,

dat is echt een technisch aangelegenheid.

Dus als er dan bijvoorbeeld een breach was,

sterker nog, bij mijn eerste baan had we ooit, volgens mij,

een bedrijf, toen werd onze site met een database waar,

weet ik veel, een miljoen e-mail adressen in stonden,

die werd gehackt en toen werden wij natuurlijk aangeklaagd

of je hebt dat laten liggen zeg maar,

of het is jullie schuld zeg maar dat dat gebeurd is.

Maar er is nooit gezpecialiseerd, er is nooit een eis geweest,

oké zo en zo moet je dat beveiligen,

we willen die gegevens op een veilige manier opgeslagen.

Het werd meer gezegd, oké zorg dat het werkt,

en de schermpjes werken, het wordt opgeslagen,

en de rest is gewoon jullie feest.

Dus dat was, het werd gezien als een, ja,

een vanzelfsprekendheid zeg maar,

dat die gegevens op de juiste manier opgeslagen werden,

dat ze veilig waren, opgeslagen werden,

dat mensen dan niet zomaar bij kunnen.

En gelukkig is dat we volgens mij,

in mijn ogen meer een bewustwarning ontstaan,

waarbij, ik noem het ook de business,

opdrachtgevers zeggen, oké,

zorg dat deze gegevens van,

met een bepaalde categorie,

dat die op een bepaalde manier opgeslagen worden,

en dat daar dan een technische oplossing voor gemaakt moet worden.

Dus dat iedereen,

dus de techneten en de opdrachtgevers,

de business of de mensen die de software willen hebben,

dat die bewust weten, oké dit doen wij op die manier,

dus dat het niet een verrassing is,

als er dan een breach is,

dat het gebeurt, zeg maar,

en dat iedereen elkaar gaat wijzen.

Dus dat is wel iets wat volgens mij wel verbeterd is.

Ja, dat zie ik ook hoor.

10 jaar geleden had je Anonymous,

wat veel nieuws was,

Schering en de Inslag,

die hadden veel publiciteit met hun grote hacks,

die hadden ook nog lulsec,

en ja, dat was,

dat heeft wel voorgezorgd voor een hele nieuwe impuls

aan bewustwording en budgetten

wat er opeens open getrokken werden.

Je ziet vaak in de security

dat het echt incident gedreven is,

dus het moet eerst

het zenuwstel zo raken, zeg maar,

voordat men voelt van

hey, dit is niet goed,

dit moeten we willen voorkomen.

Ja, als je het kijkt een beetje in de jaren 90,

waren opeens alle computers vrij open,

in het begin 2000

alle websites vrij open,

en toen kreeg je op een gegeven moment

de mobiele apps in 2009,

zo'n beetje smartphones, die waren toen allemaal open,

en op een gegeven moment

zien we wel dat we daar wel steeds volwassener in worden,

en dat

websites die nu nieuw ontwikkeld worden,

dat daar

ja, dat er niet zomaar

SQL-injectie in zit, waardoor je

zomaar bij de database zou kunnen,

of cross-site scripting, waardoor je de JavaScript in kan gooien,

dus dat

ja, dat verandert

natuurlijk ook alweer de aanvallen die je

als hacker kan toepassen,

maar het is heel belangrijk

dat de business inderdaad

bewust is van

aan welke kwaliteit

de software moet voordoen, en wat

vaak heel goed spreekt,

is wetgeving, en dat was vroeger

vrij vaag, had je de wetbescherming persoonsgevers,

en dat ze daarin zeiden

dat je gewoon veilig moet zijn,

en verder weinig op kleed,

en tegenwoordig heb je de algemene

gegevensverordering, de AVG,

en ja, die termen

zijn inmiddels bij alle bedrijven

wel bekend,

de toezichthouder was

vroeger de collegebescherming persoonsgevers,

maar die mocht helemaal geen boetes

opleggen, die had eigenlijk

een toezichthouder zonder

tanden, en tegenwoordig is het een autoriteit

geworden, de autoriteit persoonsgevers

en mocht ook forse boetes opleggen,

en dan wordt de security

en privacy opeens weer een business case,

want als

je op de vingers getikt kan worden, je krijgt

slechte media, je krijgt ook nog

een forse miljoenenboete,

dan heb je de aandacht van

bestuurders wel te pakken,

en het is ook nog in bepaalde gevallen zo,

dat bestuurders ook nog persoonlijk

aansprakelijk gesteld kunnen worden, ook al heb je

een bv, maar je data lekt,

er begint nu wel echt

een verbetering in te komen,

en ja,

dat is echt

een goede ontwikkeling, maar zo zie je wel

dat we telkens een generatie

achterlopen op de

realiteit, en dan zijn we hier wel nu mee bezig,

maar dan

hebben we nog geen wetgeving voor algoritmes

en zo,

terwijl dat nu ook best

veel ontwikkeld wordt,

en op langere termijn een grote impact gaat hebben.

even snel,

wat bedoel je met

de

Facebook, Instagram,

de spullen,

de analyses die zij doen?

Ja, precies, dat soort

algoritmes,

gewoon artificial intelligence,

dat computers steeds

slimmer worden, en op basis van grote data

sets,

de realiteit voor jou gaan

bepalen, dat iedereen

een beetje in zijn eigen informatie

vuik terecht komt,

en

dat dat ook mensen tegen elkaar

op kan zetten, zeg maar, onbedoeld,

maar het heeft wel veel impact op

een maatschappij, ook nepnieuws,

wat uit gelicht kan worden door algoritmes,

en manipulatie

weer,

maar ja, daar is zijn nog heel weinig

regels voor,

weinig toezicht, het is intransparant,

en dat laten we nu gebeuren,

terwijl we langzaamaan bewustzijn van

krijgen, van dat dit best wel

impacten heeft, maar ja, daar gaan we ook alweer

tien jaar overheen gaan waarschijnlijk, voordat

er een wet ligt.

Ben je daar ook in betrokken,

Simon? Of

verkondig je meer de risico's?

Nou, met

algoritmes ben ik

niet zozeer betrokken, maar dat is wel

een van de gevaren die ik wel zie

rondom computers en internet,

en de macht van grote bedrijven.

Nee, ik ben wel meer betrokken

als het gaat om

politiek en cybersecurity

en privacy, zeg maar.

Dat is wel meer mijn onderwerp.

Ja, het grappige is wel om op

algoritmes, ja, aansluchen of niet,

maar goed, er is volgens mij ook een discussie geweest

überhaupt, zeg maar, voor kwaliteit

van software, zeg maar, daar wilden ze iets

mee, want nu, ja, kun je

gewoon software bouwen en dan is het

heel onduidelijk wie dan aansprakelijk is voor de

werking, los van of het nou met

security of privacy te maken heeft.

Ja,

als ik nu, zeg maar, troep lever,

dan kan het zomaar zijn

dat er heel veel kapot gaat door die

troep die ik geleverd heb. En

ja, wie is er dan aansprakelijk, zeg maar.

Die discussie is er volgens

mij ook nog geweest, dus

er is verder, volgens

mij, niks meer, nog geen wetgeving of zo

veel geweest, want het lijkt me sowieso heel lastig, zeg maar,

om dat te regelen.

Maar ja, ik ben blij dat ze in ieder

geval bij security

and privacy, dat ze daar in ieder geval wel

wat richtlijnen hebben.

Je meldplicht,

zeg maar, dat als je

gehackt bent, dat je dan in ieder geval wel meteen

aangeeft dat het gebeurd

is. Dat zijn wel

goede

ontwikkelingen, want die meldplicht,

ja,

ik kom bij honderden bedrijven over de vloer

en ontzettend veel data

lekker meegemaakt.

Ook hack incidenten.