Achtergrondartikel


CyberLympics-veteraan Thijs Bosschert:

‘Nederland is gewoon erg goed in hacken’

De Global CyberLympics zijn de jaarlijkse wereldkampioenschappen voor ethical hackers. Dit is het toneel waar Thijs Bosschert floreert. In september van dit jaar voegde hij een zilveren medaille toe aan zijn toch al indrukwekkende palmares. “Er is wereldwijd maar één ethical hacker die een betere ‘track record’ heeft op het gebied van de CyberLympics.” Wat is het geheim achter het succes van deze ‘Jobless Hacker’?

Sinds 2012 organiseert de International Council of E-Commerce Consultants (EC-Council) jaarlijks de ‘Global CyberLympics Security Challenge’. Op 14 september veroverde Bosschert met zijn team ‘Jobless Hackers’ het zilver tijdens de finale van de Global CyberLympics 2016 in het Amerikaanse Atlanta. Eerder sleepte hij al een zilveren en twee gouden plakken in de wacht. Niet dat Bosschert dit als persoonlijke overwinningen ziet. “Je kunt in je eentje nog zo goed zijn, het succes hangt echt af van het team en hoe goed je op elkaar bent ingespeeld. Het gaat om de ervaring en kennis die je als team inbrengt.”

Jobless Hackers
Jobless Hackers is een nieuw team dat dit jaar voor het eerst deelnam aan de CyberLympics en naast Thijs Bosschert onder anderen bestaat uit broer Bas Bosschert en Erik van Eijk. De naam van het team moeten we overigens niet letterlijk nemen. “We werken allemaal freelance en hebben dus geen werkgever. Op die manier is de naam ‘Jobless Hackers’ als grap ontstaan”, verduidelijkt Bosschert.

Met de samenwerking binnen het team bleek het direct bij de openingsopdracht al goed te zitten. Binnen de snelste tijd slaagden Bosschert en zijn drie collega-hackers erin om een cryptex zonder een code te openen. Daarna volgde tijdens de negen uur durende finale nog een lange reeks losse opdrachten.

Ethical hacking-games
Tijdens de CyberLympics-finales krijgen de deelnemers een serie ‘ethical hacking’-games voor hun kiezen waarin zowel de offensieve, defensieve als de IT-forensics-vaardigheden op de proef worden gesteld. “Naast real-life challenges zoals lockpicking moesten we bijvoorbeeld ook via het netwerk een vingerafdruklezer hacken, een RFID-tag klonen, informatie in een ‘crime scene’ zoeken, encryptie kraken, malware analyseren en zelfs zo snel mogelijk een Lego-autootje in elkaar zetten.” Bosschert met een lach: “Die laatste opdracht bracht bij mij en mijn broer Bas wel herinneringen naar boven.”

“Op de finale van de CyberLympics zoals die nu is opgezet, kun je je bijna niet voorbereiden”, zo is de ervaring van Bosschert. “Wij zijn de avond ervoor met een bevriend Nederlands team gaan eten en drinken; dat was onze voorbereiding.” Dat bevriende team – de ‘Hack.ERS’ waar Bosschert voorgaande jaren deel van uitmaakte– ging een dag later overigens met het goud aan de haal. Brons was er voor het Russische team KLHT.

Nederland in de top
“De Nederlandse teams scoren altijd goed tijdens de CyberLympics en bezetten vaak de eerste twee plaatsen”, constateert Bosschert. “Tijdens de voorrondes waar zo’n 140 teams en ruim zevenhonderd securityprofessionals aan meededen, eindigden zelfs vijf Nederlandse teams in de top-10. Dat geeft wel aan dat Nederland gewoon heel erg goed is in hacken. We lopen voorop op het gebied van security. Wereldwijd zijn we misschien niet de nummer 1, maar we doen gewoon heel erg goed mee.”

De CyberLympics leven in Nederland ook, zo merkt Bosschert. En dat is volgens de ethical hacker belangrijk, onder andere om nieuwkomers op de arbeidsmarkt enthousiast te maken voor het securityvak. “Ik heb zelf luchtvaarttechnologie en psychologie gestudeerd, maar ben me pas professioneel met security bezig gaan houden nadat ik hierover een item op televisie had gezien, en tot de ontdekking kwam dat ik daar werk in kon vinden.”

Beter dan cursussen
Jaren later is het deelnemen aan de CyberLympics en Capture The Flag (CTF)-wedstrijden voor Bosschert een manier om nieuwe kennis te vergaren en zichzelf te blijven trainen. “Tijdens opdrachten waarbij je bijvoorbeeld het netwerkverkeer moet analyseren, leer je weer nieuwe trucjes die tijdens mijn dagelijkse werkzaamheden op het gebied van incident-response van pas komen”, aldus de ethical hacker die werkzaam is als Freelance Incident Response and Security Professional.

“Op een gegeven moment zit je op een punt dat je niets meer leert van cursussen en zoek je naar nieuwe manieren om jezelf te blijven verbeteren”, besluit Bosschert. “Het spelen van wedstrijden, waar simulatie vaak een belangrijk deel van uitmaakt, is bovendien ook gewoon leuk om te doen. Je moet wel de ruimte krijgen om aan dergelijke wedstrijden deel te nemen. Met mijn laatste werkgever had ik bijvoorbeeld de afspraak dat het deelnemen aan hackwedstrijden in plaats kwam van het volgen van cursussen.”


Lees meer over