10 minute read
Interview • Inti De Ceukelaire
Inti De Ceukelaire
Advertisement
Hij was in 2018 wereldkampioen hacken en slaagde er ooit in om in te breken op het Twitteraccount van Donald Trump. Ondertussen is Inti De Ceukelaire medevennoot van een platform dat 50.000 ethische hackers met bedrijven in contact brengt en dat internationale klanten heeft. Niet slecht voor een 27-jarige uit Aalst.
Hoe bent u in de hacking-wereld gerold?
“Toen ik 14 was kreeg ik van mijn moeder voor Kerstmis een PlayStation Portable, hoewel ik eigenlijk een Nintendo had gevraagd. Toen ben ik dus, met tutorials die ik op internet vond, beginnen zoeken naar manieren om Nintendo-games op die PlayStation te laten draaien. De eerste stap in dat proces was proberen om het apparaat te laten crashen. Iedereen verklaarde me voor gek omdat men dacht dat dat onmogelijk was. Er waren heel veel mensen naar op zoek, maar niemand die al iets bruikbaars had gevonden. Na veel vruchteloze pogingen is het me bijna en stoemelings toch gelukt om die crash te veroorzaken. Voor de kenners: met een buffer overflow. Dat was mijn toegangsticketje voor de hack-scene, want ik had eigenlijk zo ongeveer de heilige graal gevonden. Per ongeluk weliswaar, maar goed, dat wist niemand natuurlijk (lacht).”
Na wat omzwervingen is daar uiteindelijk ook een bedrijf uit gegroeid: Intigriti. Wat doen jullie precies?
“Ik was al die tijd met hacken en computers bezig en ik deed ook aan programmeren, maar ik wist al redelijk snel dat ik geen consultant wilde worden die de rapporten schrijft die niemand leest. Ik werkte op mijn zestiende in een supermarkt en ik deed mee
aan een bug bounty hunt van Google. Dat wil zeggen dat Google mensen betaalt om hen te helpen om bugs en kwetsbaarheden in hun software te vinden. Na een week zwoegen vond ik uiteindelijk een bug en Google betaalde mij daar 1200 dollar voor. Meer dan ik ooit in de supermarkt had verdiend (lacht). Daarna ben ik aan almaar meer van dat soort wedstrijden gaan meedoen, tot in Las Vegas toe. En zo ben ik dan na een tijd op mede-Aalstenaar Stijn Jans gebotst. En nu bestier ik, samen met hem, Intigriti. Wij organiseren zelf bug bounty hunts in opdracht van bedrijven, met aan de andere kant een paar duizend hackers die die bugs proberen te vinden.”
Als het soort digitale identiteiten zoals de metaverse gemeengoed worden, gaan we nog iets meemaken.
ontwikkelaar ervan uitgaat dat de ander zijn werk heeft gedaan. Vaak is dat niet zo. Wat je ook veel ziet, is dat twee aparte systemen op zich goed beveiligd zijn, maar steken laten vallen als ze moeten samenwerken. Dat zijn de eerste, voor de hand liggende zaken waar
ik naar zoek als ik hack. Hacken is eigenlijk maar voor 20 procent op technische kennis gebaseerd. 80 procent is logisch denken: als ik de ontwikkelaar van deze software zou zijn, welke fout zou ik dan allicht maken? Als je zo redeneert, vind je meestal vrij snel iets (lacht).”
Hoe hackers tegenwoordig ingezet worden om de publieke opinie te beïnvloeden… dat is psychologische oorlogsvoering.
Hoe zoekt u kwetsbaarheden als u in de systemen van een gemiddeld bedrijf duikt?
“Laat me beginnen met te zeggen dat totale veiligheid onmogelijk is. Er is altijd een manier om in te breken. Alleen: je kunt het de hackers zo moeilijk mogelijk maken waardoor ze zoveel tijd en middelen nodig hebben om in te breken dat ze hun interesse verliezen. Nu, een hoop technologie van vandaag is gebaseerd op standaarden van dertig jaar oud of zelfs nog ouder. Alleen worden die standaarden ondertussen voor heel andere dingen gebruikt dan waar ze voor bedoeld waren. En dat biedt mogelijkheden aan hackers. Veel fouten zitten ook in, wat ik noem, de schaduwzone van de verantwoordelijkheid. Bijvoorbeeld als zowel een leverancier als een Bij iedereen?
“Goh, als wij een klant onder de loep nemen vinden we binnen de 48 uur bij pakweg 70 procent een kritieke fout. Dus een bug die toch al redelijk gevaarlijk is. Dat is veel, ja. Maar dat is ook weer niet erg, want elke fout die we vinden is er weer eentje die opgelost kan worden. Veel hangt ook af van hoe bedrijven daarmee omgaan. Als ze in een verdedigende kramp schieten, is dat vaak problematisch. Soms zoeken ze ook totaal niet, ah ja, want dan vinden ze ook geen lekken (lacht). Elk lek dat je vindt is eigenlijk goed nieuws.”
Speelt een klein land als België eigenlijk een rol in cyberbeveiliging?
“O jawel, hoor. Reken maar dat Intel, Google en Apple België kennen. En dat komt onder meer voor een groot deel door de KU Leuven. Daar doet men werkelijk op wereldniveau onderzoek naar computerbeveiliging. Naast bier, chocola en Manneken Pis zou ons land gerust ook voor cybersecurity gekend mogen zijn. Alleen schreeuwen wij dat niet van de daken, dat is ook typisch Belgisch allicht.” Wat zijn zaken in cybersecurity waar het grote publiek zich eigenlijk te weinig zorgen om maakt?
“Het feit dat alles wat online staat in zekere mate te manipuleren is. En de hoeveelheid data die online komt is echt wel gigantisch. Van je adres tot je bloedgroep, ergens is het wel te vinden. Hét grote probleem is natuurlijk dat je de beste hackers niet ziet. Of dat ze pas na jaren betrapt worden. Waar ik me ook wel wat zorgen om maak, is de manier waarop hackers tegenwoordig ingezet worden om de publieke opinie te beïnvloeden. Dat hebben we bijvoorbeeld bij de laatste presidentsverkiezingen in Amerika gezien. Dat is eigenlijk al psychologische oorlogsvoering. Ze hacken geen stemcomputers meer, maar de hackpogingen dienen om de mindset van mensen te veranderen. En dat is onomkeerbaar, want elke stem die werd uitgebracht is een geldige stem. Ook in bijvoorbeeld de blockchain zie ik soms kwetsbaarheden die potentieel honderden miljoenen euro’s aan schade kunnen veroorzaken. Of de metaverse… nog zoiets. Als dat soort digitale identiteiten gemeengoed worden, gaan we nog iets meemaken. Ik hoop dat het nooit doorbreekt, ik zie er totaal de meerwaarde niet van in.”
Hoe ziet u dit alles evolueren? Welke rol gaat AI bijvoorbeeld krijgen?
“Ik zie AI voorlopig de mens nog niet vervangen omdat de creativiteit van AI nog altijd op bestaande data gebaseerd is. AI zal wel een steeds grotere rol spelen, maar de mens blijft in de driver’s seat, denk ik.”
Smart Fact.
Had u vroeger nog een ander droomberoep dan hacker worden? “Ik heb de creativiteit achter reclame altijd tof gevonden. Veel mensen hebben fantastische ideeën maar kunnen die niet aan de man brengen. Met als gevolg dat hun idee nooit uitgevoerd wordt. Je moet een goed idee ook kunnen communiceren aan anderen, anders weet niemand hoe goed het wel is.”
Victor Vandermeiren
Talent acquisition specialist bij Pàu
Waarom moeten bedrijven blijven innoveren? “Dankzij innovatie kunnen bedrijven hun positie op de markt behouden. Anders val je al snel uit de boot. Kijk maar naar de grote marktleiders uit de jaren 90 zoals BlackBerry, dat nu nog amper bestaat. Vooral traditionele bedrijven denken dat het niet nodig is een innovatieve strategie aan te nemen omdat hun product ‘altijd nodig zal zijn’, zoals pakweg een wasmiddelenbedrijf. Data tonen aan dat zo’n instelling zelden werkt.”
Kun je innovatie nog los zien van digitalisering? “Vroeger wel, maar nu niet meer. Elke actie of handeling bevat een of ander digitaal format. Daarom is het belangrijk dat (klassieke) bedrijven niet denken dat ze uit de wind zitten. De digitalisering gaat zo snel dat je de vinger aan de pols moet houden en best samenwerkt met partners die de juiste begeleiding bieden en strategieën uitwerken.”
Hoe breng je innovatieve producten op de markt? “Marktonderzoek is het belangrijkste. Je kunt geen product op de markt brengen als je niet weet welke nood er heerst. Als een product niet werkt, moet je een grote inspanning leveren om mensen te triggeren en het tij te keren. Een innovatief product is dan ook enkel geslaagd wanneer er een massale adaptatie-rate is op de markt.”
Cybersecurity is er voor iedereen: ‘Elk bedrijf kan ten prooi vallen aan hackers’
- Filip Goos, CEO
Cybersecurity is niet zomaar een term uit de nieuwste sciencefictionfilm. Het is een absolute noodzaak voor elke moderne IT-omgeving, net zoals een stevig slot op de deur. Hackers en cyberdreigingen kunnen iedereen bereiken, niet enkel grote bedrijven, ook kmo’s komen meer en meer in het vizier.
“IT evolueert al jaren aan een razendsnel tempo en de beveiliging ervan dient datzelfde tempo te volgen”, legt Filip Goos, CEO van Managed Service Provider (MSP) Cheops, uit. Voor grote bedrijven en multinationals is het vanzelfsprekend om een sterke cybersecurity strategie uit te werken en te implementeren. Die vanzelfsprekendheid geldt uiteraard ook voor middelgrote ondernemingen. “We kunnen de virtuele wereld makkelijk vergelijken met de fysieke wereld. Het criminele spectrum focust zich daarbij niet enkel op de grote vissen. De kruimeldief is even reëel - en zelfs meer voorkomend - als de goed georganiseerde criminele organisaties. Bij cybercriminaliteit is dit net hetzelfde. Hackers weten dat kmo’s minder op de hoogte zijn van cybersecurity en maken hier gretig misbruik van. In een wereld waar technologie domineert kan iedereen het slachtoffer worden van een cyberaanval. Het is daarom belangrijk dat alle bedrijven, van klein tot groot, zich bewust worden van de gevaren en vooral van hoe ze die daadkrachtig kunnen controleren.”
Beveiliging op maat Het probleem limiteert zich niet enkel tot het gebrek aan bewustwording, maar ook aan een capaciteitstekort. “Middelgrote ondernemingen hebben, in tegenstelling tot multinationals, in veel gevallen maar een beperkte eigen ITafdeling. En ze hebben meestal niet de nodige expertise op vlak van cybersecurity in huis. Hier komen Managed Service Providers als Cheops op het toneel. Zij voorzien de nodige cyberbeveiliging op maat van de klant en zorgen voor de proactieve monitoring en het beheer. Indien gewenst zelfs 24/7, inclusief de nodige contractuele garanties via een Service Level Agreement of SLA.”
Door problemen te voorkomen in plaats van te genezen zorgt een MSP steeds voor de nodige bedrijfscontinuïteit. Als kmo moet je er dus in eerste plaats voor zorgen dat je beveiliging op maat is van de situatie en de specifieke behoeften van je bedrijf vooraleer je supergeavanceerde en dure security oplossingen aankoopt. Dat betekent al een wereld van verschil”, zegt Goos.
Een veelvoorkomende hackerstechniek is het inzetten van ransomware, een moeilijke naam voor het ‘gijzelen’ van bedrijfsgegevens door middel van kwaadaardige software. Nadien vragen de hackers om losgeld en pas na de uitbetaling beloven ze hun aanval te deactiveren en de bedrijfsgegevens terug vrij te geven. Hier kan je als bedrijf best niet aan toegeven, want op deze manier zullen hackers je blijven belagen. Dit lijkt misschien een geavanceerde aanval, maar in de realiteit sluipt deze gevaarlijke software gewoon via je mailbox of enkele clicks binnen in je bedrijf.
Een permanent beveiligingsbeleid Hoe valt dit te onderscheppen? Een permanent beveiligingsbeleid en bewustwording bij je medewerkers zijn het antwoord. “Door de cyberbeveiliging van je bedrijf over te laten aan een gespecialiseerde IT-partner kun je met een gerust gevoel focussen op je core-business”, haalt Filip Goos aan. Om je bedrijfsgegevens veilig te stellen is een permanent beveiligingsbeleid en opvolging een absolute vereiste. Door het proactief beheer van de beveiliging over te laten aan een gespecialiseerde firma kunnen bedrijven zich zonder kopzorgen bezighouden met hun dagdagelijkse werking.”
Technologie geeft ons de mogelijkheid om sneller en efficiënter te werken van eender welke locatie. Cybercriminaliteit mag dat uiteraard niet in de weg staan. Je doet de deur van je bedrijf toch ook op slot, dus waarom zou je aarzelen om hetzelfde te doen met je belangrijke bedrijfsgegevens?
Cheops werd opgericht in 1989 en bestaat vandaag uit 400 gespecialiseerde medewerkers. Cheops zorgt ervoor dat bedrijven technologie in hun voordeel kunnen gebruiken en er nooit door worden ingehaald. Efficiëntie, productiviteit en wendbaarheid zijn de kernwoorden van Cheops om bedrijven naar het volgende niveau te tillen. Cheops onderscheidt zich van de rest door een proactieve en permanente beveiliging van de cloud en de moderne werkplek.
