Martin Hermens (21) is ethisch hacker. Met toestemming van bedrijven probeert hij hun systemen te hacken om kwetsbaarheden bloot te leggen. Ook XS4ALL heeft hij op deze manier kunnen helpen.

Wat doet een ethisch hacker?

‘Een ethisch hacker is een computerspecialist die met toestemming van een bedrijf checkt of er veiligheidslekken in een systeem zitten. Zo ja, dan rapporteert hij deze aan het betreffende bedrijf. Een ethisch hacker wordt ook wel een white hat genoemd. Je hebt ook grey hats. Zij hebben geen slechte intentie, maar hacken zonder toestemming. En black hats dat zijn de ongewenste hackers.’

Waarom ben je ethisch hacker geworden?

‘Op mijn twaalfde al kreeg ik interesse in computers en langzaam ook steeds meer in de wereld van security. Pesten en plagen zitten niet in mijn aard, dus ik koos al snel voor de ethische kant van het vak. Twee jaar geleden maakte ik de switch naar bug bounty hunting. In ruil voor een beloning ga ik dan met toestemming – en soms in opdracht van bedrijven – op zoek naar kwetsbaarheden in hun systemen. Vrijwel alle grote techbedrijven, overheidsorganisaties en veel grote bedrijven doen aan bug bounty hunting.

Hoe belangrijk is jullie werk?

‘Heel belangrijk. Wij kunnen tijdig kwetsbaarheden opsporen in IT-systemen waarmee bedrijven kunnen voorkomen dat ze schade leiden, of erger nog: failliet gaan.’

Wie is de grootste groep hackers? De white hats of de black hats?

‘Dat grootste groep zijn de illegale hackers, de black hats. Die zijn ruim in de meerderheid. Maar onderschat ook de kracht niet van de white hats. We zijn met minder, maar we kunnen heel veel kwetsbaarheden blootleggen. En als we dat doen, worden deze vaak ook weer overgenomen door andere bedrijven. Onze reikwijdte is dus groot. Bedrijven die ons in dienst nemen, hebben een groot voordeel. We kunnen veel schade voorkomen, maar helaas nooit alles.’

Hoeveel levert het vinden van zo’n kwetsbaarheid op?

‘Doorgaans ontvang je tussen de 300 en 400 euro per gevonden bug. Soms ook zijn het cadeautjes. Als het om een kritische kwetsbaarheid gaat, kan dit bedrag oplopen van 1000 tot wel twintigduizend euro. Veel hackers doen het overigens niet voor het geld. Ook de black hats, ofwel de criminele hackers niet. Het is namelijk ook een spel en een uitdaging. Het is gewoon hartstikke leuk om te doen.’

Werk je alleen?

‘Nog wel. Ik heb een eigen bedrijf, Hackoclipse, waarvan ik vooralsnog de enige medewerker ben. Maar ik ben op zoek naar een collega.’

Kun je leven van het hacken?

‘Een beetje. Ik doe het nu nog niet fulltime. Ik werk één tot twee dagen per week bij een internetprovider als ethisch hacker en doe dit werk ook vanuit m’n eigen bedrijf. Daarnaast volg ik de opleiding OSCP (Offensive Security Certified Professional). Ook steek ik veel tijd in het lezen van blogs, het bekijken van video’s van andere hackers, en in het uitproberen van nieuwe technieken. Hacken lijkt misschien simpel, maar het vraagt heel veel oefening, training en creativiteit.’

Hoe anders werkt een ethisch hacker dan een criminele hacker?

‘We werken in feite precies hetzelfde. We kijken naar de systemen en gaan op steeds weer verschillende manier op zoek naar kwetsbaarheden. Dat is vooral zoeken, uitproberen en creatief zijn.’

Kun je een voorbeeld geven van een kwetsbaarheid die je hebt gevonden? Bijvoorbeeld bij XS4ALL?

‘Op de homepage van XS4ALL vond ik een kwetsbaarheid in de zoekfunctie. Het was niet al te moeilijk om hier een phishingpagina op te bouwen. Dat heb ik gerapporteerd. Ook heb ik een firewall-lek gevonden. De website kent vele lagen van bescherming, maar via een omweg wist ik al die lagen in één keer te omzeilen. Ook dat is nu opgelost.’

Wat was jouw grootste vondst ooit?

‘Dat was enkele jaren geleden. Ik ontdekte een flink lek op de site van een hostingprovider waarmee ik in potentie alle gebruikers van het platform kon machtigen om bepaalde handelingen te verrichten. Ook had ik in het interne netwerk van de webhost kunnen komen. Ze waren heel blij dat ik achter dit alles was gekomen. Ook heb ik eens via de site hackerone.com een flinke lek gevonden bij de SNS Bank. Het bleek een kleine programmeerfout te zijn. Ook zij waren heel blij met mijn ontdekking.’

Welke hacker is jouw grote voorbeeld?

‘Ik heb niet echt een voorbeeld. Ik leer namelijk elke dag van allerlei verschillende hackers. Sommigen bedenken echt ingenieuze oplossingen. Het is elke dag weer inspirerend en leerzaam om te lezen hoe andere hackers te werk gaan.’

Tot slot. Wat is je grootste ethisch hackerdroom? Wat hoop je te bereiken?

‘Mijn grootste droom is om eerst mijn OSCP-diploma te halen en daarna te gaan werken als security tester. Bijvoorbeeld bij FOX-IT of F-Secure. Dat zou ik écht heel leuk vinden. Bedrijven mogen mij altijd bellen voor zo’n functie.’

Over Martin Hermens

Leeftijd: 21 jaar
Opleiding: volgt de opleiding Offensive Security Certified Professional
Is: ethisch hacker bij Delta Fiber (parttime) en heeft een eigen bedrijf Hackoclipse.

Deel dit:

Reacties

  1. Erwin José says:

    Hallo Martin,

    Wat later dan bedoeld, maar interessant om te lezen. Mijn hele leven in de ICT gewerkt, dus was er ook (lokale) computerbeveiliging. Maar de komst van internet heeft héél veel veranderd. Dus goed en heel zinnig werk, ga zo door. Groetend, Erwin

  2. Fransje says:

    Heerlijk hoe jij als 21 jarige ons een zo veiliger en blij gevoel kan meegeven Martin!

    Dank je wel! En heel veel plezier en succes in alles!

    Fransje (69)

  3. Benno Geitz says:

    Geweldig dat je zover gaan kunt om komlpekse situaties uit het internetverkeer te halen, mijn petje af.

  4. Michaela says:

    Wat ontzettend leuk dit interview én dat Martin niet voor de negatieve kant gaat. Wie goed doet, goed ontmoet. De beloning is meer dan geld.
    Top ook Martin, dat je als je zo jong bent, zo goed al weet waar je naar toe wilt. Ik wens je heel veel plezier en natuurlijk succes in jouw levenspad.

  5. Louis says:

    Er staat dat de white hats met minder personen zijn, maar dat als er een kwetsbaarheid wordt blootgelegd dit vaak door andere bedrijven wordt overgenomen. Hoe gaat dat laatste in z’n werk en kun je een voorbeeld noemen?