Column


Een jaar lang lekken melden, aflevering 1

'Easy to get and high risk'

Terwijl de meesten van ons op 1 januari hun roes van de nieuwjaarsviering uitsliepen, was Victor Gevers, alias @0xDUDE, al om 7.00 uur aan de slag met wat hij het liefste doet: kwetsbaarheden op internet zoeken en die discreet melden bij de betrokkenen.

Door Chris van ’t Hof

In mijn onderzoek naar helpende hackers in Nederland noemde ik hem al ‘the biggest dude of 'm all’ omdat hij de afgelopen zeventien jaar al 4500 meldingen heeft gedaan. Enkele hiervan betroffen grote lekken die ook in de media zijn verschenen, zonder vermelding van zijn naam. Hij doet dit namelijk niet om de eer, hij wil gewoon dat het beveiligingsprobleem wordt opgelost.

Dit jaar neemt @0xDUDE een sabbatical van zijn werk om niets anders te doen dan dat: een jaar lang lekken melden. Hij heeft hier ook samen met Vincent Toms een stichting voor opgericht: GDI.Foundation. (Gamers weten vast wel waar die naam vandaan komt…) Hier, op SecurityVandaag, zal ik elke maand verslag van doen van de bevindingen van GDI.

Teveel kwetsbaarheden
Het wordt een immense taak, want zijn voornemen is 366 dagen lang, vijftien uur per dag het internet af te scannen naar kwetsbaarheden en die op verantwoorde wijze onthullen. Daarom eerst de meest voor de hand liggende vraag: waarom doe je zoiets? Victor Gevers: “Omdat er gewoon teveel kwetsbaarheden zijn die zo makkelijk te vinden zijn en die je iedereen in vijf minuten kunt uitleggen. Ik heb een gigantische database met kwetsbaarheden die ik nog wilde afhandelen en dat ga ik nu doen.”

Hij gaat zich met name richten op kwetsbaarheden die ‘easy to get & high risk’ zijn. Ten eerste de lekkende databronnen, zoals ftp-servers, network-attached storages en MongoDB-databases die gewoon openstaan. Daar is veel laaghangend fruit te vinden, zoals bijvoorbeeld die 191 miljoen voter records in de VS. Ten tweede kritieke infrastructuur. Er staan namelijk ondanks alle SCADA- en ICS-rellen in de media nog steeds veel gemalen, verkeerslichten en andere machines onbeveiligd online. Ten derde de consumentenelektronica, zoals lekke apps en thuisnetwerken die openstaan. Neem bijvoorbeeld het kinderspeelgoed van Vtech, waarmee je via internet in het privéleven kunt kijken van onze allerkleinsten. Het gaat hem er dan ook niet om bedrijven te helpen, maar vooral de gewone gebruikers zoals u en ik, voor nu en in de toekomst.

Zwaailichten
1 januari was het dus zover. De beelden zijn nog terug te zien op het GDI YouTube-kanaal. Je ziet hem achter een computer zitten en aandachtig kijken naar de codes die over het scherm rollen. Dat is op zich geen spannende TV, maar wel duidelijk bewijs en een inkijk in zijn persoonlijke leven. Hij zit namelijk gewoon thuis, omringd door apparatuur. Als het moment daar is, gaan zwaailichten aan. Ik vraag me af wat zijn vrouw en kinderen daar nu van vinden, maar volgens Victor vinden ze het prima. Belangrijkste reden van dit thuiswerken, is dat hij daar toegang heeft tot zijn offline opslag. Bovendien scheelt het veel reistijd, zodat hij elke dag, zolang mogelijk kan doorwerken.


Hij heeft drie fysiek gescheiden netwerken: een voor zijn werkzaamheden, een voor het gezin en een voor zijn videokanaal. Hij krijgt namelijk nu al verzoeken van congressen en praatprogramma’s om iets te vertellen over zijn actie, maar die zullen het toch ook moeten doen met zijn virtuele aanwezigheid via de camera. Wie hoopt op live onthullingen via zijn kanaal, zal ik direct teleurstellen: lekken worden vooral achter de schermen afgehandeld. Gevers: “Bij het delen van de informatie zal geen informatie worden verstrekt hoe we lekken vinden en wie in gevaar zijn. Onze primaire doelstelling is namelijk dat de lekken worden gedicht en niet dat hierdoor een ieder in staat is om misbruik van te maken van onze informatie.”

Poldercultuur
Nederland loopt voorop in responsible disclosure. Geen land ter wereld heeft het verantwoord onthullen van kwetsbaarheden zo omarmd als onze poldercultuur. GDI gaat daar nu een flinke schep bovenop doen. Maar, voordat elke hacker zich nu gaat melden om te helpen: geef GDI eerst nog wat tijd om al het laaghangend fruit te verwerken. @0xDUDE heeft nu geen tijd voor begeleiding en wil ook zeker geen teamleider worden. Dat wordt Vincent Toms, de medeoprichter van de stichting. Sponsoring is uiteraard wel welkom, want het zal toch ergens van betaald moeten worden. Eerst maar eens kijken hoe we januari doorkomen. Ik hou jullie op de hoogte.


Eerdere bijdrage van Chris van 't Hof:

- Thank you for hacking us

Lees meer over