21 jaar is hij en overdag kan je hem bij Studio Brussel vinden waar hij achter de schermen werkt als creatief programmeur. Toch heb je ongetwijfeld al van de stunts van ethisch hacker Inti De Ceukelaire gehoord. Zo ontfutselde hij onlangs het e-mailadres van Melania Trump en nodigde hij haar per email uit om ‘stoemp with saucissen’ te komen eten in zijn thuisstad Aalst. Vlak daarvoor kon hij een Tweet van President Trump aanpassen waardoor die doorklikte naar een carnavalslied. Daarnaast kon hij privé telefoonnummers van heel wat politici en bv’s achterhalen, ontmaskerde hij cyberstalkers, richtte hij het Belgisch Kampioenschap staken op en lanceerde hij een website die pornokijkers kan identificeren. Dat is maar een greep uit zijn indrukwekkend palmares, waarbij u zich misschien afvraagt wat hacken ethisch en broodnodig maakt. We updateten onze firewall, trokken op pad en onder het motto ‘stropers kunnen de beste boswachters zijn’, vroegen we het hem gewoon zelf.

WTNSCHP ‘Hacker’ en ‘ethisch’, het zijn twee termen die voor velen misschien impliciet onverzoenbaar lijken. Wat betekent ethisch hacken voor jou?
Inti De Ceukelaire « Ik ben in de eerste plaats heel blij dat we het vandaag over ethisch hacken kunnen hebben. Enkele jaren geleden was dat anders geweest. In 2013 heb ik me publiekelijk ‘geout’ als ethisch hacker en heb daar nog geen enkele seconde spijt van gehad. Je stuit natuurlijk op heel wat onbegrip: bij zowat elke ontmoeting moeten uitleggen dat je geen crimineel bent is best vermoeiend (lacht). Sommige mensen krijgen argwaan en denken dat je alles met hun online profielen kan doen, anderen verwachten dan weer dat je hen gaat helpen om hun ex te hacken. Blijkbaar heeft nog niet iedereen het woord ‘ethisch’ begrepen (lacht). »

« Ik heb dan wel heel wat tegenkanting gehad, maar het stelde mij in staat om telkens opnieuw uit te leggen dat ethische hackers broodnodig zijn om een veilige toekomst te kunnen garanderen. Met mijn mediastunts heb ik het geluk gehad ook op politiek niveau behoorlijk wat los te krijgen, wat er binnenkort tot zal leiden dat er eindelijk een wettelijk kader voor ethische hackers is. Het doet enorm veel deugd te zien hoeveel vooruitgang we de laatste jaren al hebben gemaakt, maar er is nog veel werk aan de winkel. Het is een eer om mee aan het sleeptouw te mogen trekken, de zware verantwoordelijkheid draag ik met veel plezier op mijn schouders. »

WTNSCHP Sommige mensen gaan paintballen, anderen spelen klarinet, wat trekt er jou zo aan in hacken?
De Ceukelaire «Ik ben altijd al een cheater geweest (lacht). Begrijp me niet verkeerd: ik wou niet per se winnen bij spelletjes, maar ik haalde als kind vaak meer plezier uit het zoeken naar manieren om idiote regeltjes te omzeilen dan uit het spel zelf. Als er kan worden vals gespeeld, moet je er vanuit gaan dat er zal worden vals gespeeld. Tegen kinderen wordt continu gezegd wat ze wel en niet mogen doen, en ik vind het gigantisch fascinerend hoe kinderen op een onschuldige manier dan toch buiten de lijntjes kunnen kleuren. Ik denk dat we dat als volwassenen soms te weinig doen. Dan heb ik het niet over wetten overtreden, maar op een creatieve manier out of the box durven denken, en dingen in vraag durven stellen. Nederlanders hebben dat bijvoorbeeld veel meer dan Belgen, en staan niet toevallig nog een stuk verder wat ethisch hacken betreft. »

________________________________

” Het is fascinerend hoe kinderen op een onschuldige manier out of the box durven denken. Ik denk dat we dat als volwassenen soms te weinig doen.”

______________________________

«Dingen kapot maken, zo de wereld beter maken en tegelijkertijd je boterham verdienen: dat is geweldig, toch (lacht)? Zoals vele mensen vond ik het begrip hacken iets enorm abstract waar ik me niets bij kon voorstellen. Ik ben toen veel gaan opzoeken en voor je het weet, raak je gepassioneerd. Sommige mensen houden van quizzen, puzzels of sudoku’s, maar voor mij is hacken een heel fijne intellectuele uitdaging. Het is als raadsels oplossen waarbij niemand de juiste antwoorden op voorhand kent. Vaak zijn er ook meerdere ‘juiste’ antwoorden waarbij je soms heel creatief te werk kan gaan. Je kan het een beetje vergelijken met goochelen: het publiek denkt dat het magie is, terwijl het in werkelijkheid gewoon om listige trucjes gaat. Er zijn honderden manieren om een goocheltruc op te voeren, elke goochelaar heeft zijn eigen specialiteiten en attributen en niets geeft zoveel voldoening als het naar buiten brengen van een nieuwe succesvolle truc. »

WTNSCHP Die trucjes leer je vast niet door als kind elke zaterdagmiddag naar de gemeentelijke ‘hackschool’ te gaan. Hoe heb jij ethisch hacken ontdekt en hoe ben je erin gerold?
De Ceukelaire « Toen ik een jaar of 15 was, had ik een PlayStation Portable (een spelconsole; nvdr). Ik zag vrienden die daarop Mario konden spelen, maar bij mij ging dat niet omdat er nog niemand in geslaagd was om mijn nieuwere versie te kraken. De maanden die daarop volgen, zat ik elke dag op het internet om te kijken of er al iemand in geslaagd was, tot op een punt dat ik het zo beu was dat ik het dan maar zelf ging proberen. Ik had op het internet gelezen dat hackers vooral op zoek waren naar manieren om het toestel te laten crashen, dus ik maakte een gigantische lijst met zaken waar mijn PlayStation van doordraaide: een corrupte afbeelding, een video vermomd als een liedje en uiteindelijk een webpagina met een paar miljoen tekens in de titel. Van heel mijn lijst bleek deze laatste de enige bruikbare en meteen ook mijn golden ticket tot de hackers community: zonder er al te veel van te weten had ik gevonden waar hackers al maanden naar zochten: een lek in de nieuwste PSP. »

« Ik ben actief geworden op hackingfora en zag dat Google begon met het verlonen van hackers. Ik was toen 16 en had geen nagel om aan mijn gat te krabben, dus een extra centje was toen zeker welkom (lacht). De kerstvakantie die daarop volgde, hebt ik Google volledig gescand op zoek naar kwetsbaarheden. Uiteindelijk leverde dat 11 lekken en $1200 op. Dat is een hele serie pinten voor een 16 jarige, dus eenmaal ik bekomen was van mijn kater ging ik op zoek naar meer en dat lukte vrij goed. Net op het moment dat ik geen Google meer kon zien, nodigde Yahoo mij uit voor hun programma op het toen pas gestarte hackerplatform “HackerOne”. Die waren toen behoorlijk lek, dus ik maakte er een punt van om elke dag enkele lekken binnen te sturen. Voor ik het wist stond ik in de top tien van HackerOne en werd ik uitgenodigd op meetings waar ik gigantisch veel kon leren van de community. Intussen telt HackerOne duizenden actieve hackers en ben ik gezakt naar plaats 35, maar ik leer nog steeds elke dag bij en probeer minstens één keer per week een “hackmomentje” in te lassen. »

WTNSCHP Hoe kon je dat combineren met het studentenleven en de daarbij horende pintjes?
De Ceukelaire «Ik heb Multimedia & Communicatietechnologie gestudeerd aan de Erasmushogeschool Brussel. Niet bepaald een richting die je een hacker zou toeschrijven, maar wel eentje waarbij creativiteit voortdurend werd aangewakkerd. Die creativiteit kwam heel goed van pas bij het hacken. Ik krijg trouwens regelmatig de vraag wat je precies moet studeren om ethisch hacker te worden. Er zijn twee opleidingen die je de basis kunnen meegeven: eentje aan de Erasmushogeschool Brussel en eentje aan HoWest. Los daarvan blijft hacken vooral een attitude. »

WTNSCHP Als we aan hackers denken, zien we iemand die met een zweetbepareld voorhoofd groene letters typt in een race tegen de klok. Dat hebben we vast aan Hollywood te danken, maar hoe gaat het er in de echte wereld aan toe?
De Ceukelaire «Echt hacken is helaas niet zo spectaculair als films je soms doen geloven. Het kan uren tot zelfs dagen duren om een lek te vinden, en dat wilt zeker niet altijd zeggen dat je gelijk toegang hebt tot het volledige systeem. Visueel is er ook niet veel aan – die groene lettertjes zal je zelf moeten instellen (lacht). Er bestaat geen boek dat alle hackingtechnieken uit de doeken doet: moest dat bestaan was het beveiligen tegen hackers even simpel. Je moet als hacker natuurlijk wel de basis kennen, maar hacken is vooral een mindset. Soms is het zelfs helemaal niet moeilijk: ik kon in een webshop ooit gratis tickets krijgen door een ticket én een negatief aantal tickets van dezelfde waarde te bestellen, waardoor de prijs op nul komt (lacht). In principe is dat een simpele rekensom die het kleinste kind kan uitrekenen. Maar je moet er opkomen. »

WTNSCHP Webshops die door een fout in het systeem tickets verliezen: het lijkt riskant. Heb je ooit juridische problemen gehad?
De Ceukelaire «Daar ben ik gelukkig gespaard van gebleven. Ik ben wel heel voorzichtig en ga enkel aan de slag als ik expliciete toestemming heb van een bedrijf. Maar het kan natuurlijk altijd gebeuren dat er iets misgaat en je vervolging riskeert, want je hebt geen wettelijke poot om op te staan. Dat is wat de rock ’n roll van het hele gebeuren, zeker (lacht)? »

WTNSCHP Dat is heel anders bij de ‘hacktivisten’ van het omstreden hackerscollectief Anonymous die wel regelmatig vervolgd en veroordeeld worden. In welk opzicht verschillen hun activiteiten met die van de jouwe?
De Ceukelaire «Ik word al misselijk als ik iets van Anonymous of aanverwanten hoor. Ze bedoelen het doorgaans niet slecht, maar het collectief is een zeer slechte ambassadeur voor mijn branche. De groep bestaat voor 95% uit minderjarige activisten en dromers die absoluut niets weten over hacken. Dat wilt niet zeggen dat ze tot niets in staat zijn: doorgaans “protesteren” ze door websites plat te leggen met een Distributed Denial of Service (DDoS) aanval. Dat is gewoon een kwestie van een programmaatje installeren en op start drukken, dat kan het kleinste kind. Alleen zijn ze zich niet goed bewust van de risico’s, gevolgen en impact van die aanvallen. Van zodra je je kan verschuilen achter een anoniem collectief dat op de kop toe ook nog eens Anonymous heet, wordt het wel heel aanlokkelijk om misdrijven te plegen – terwijl je in realiteit vaak helemaal niet zo “Anonymous” blijft voor de ordediensten. »

« Anonymous krijgt heel wat lof voor het “hacken” van Twitteraccounts van IS sympathisanten. Ik vind dat hypocriet: het is niet omdat Anonymous iets doet wat ons goed uitkomt dat het daarom allemaal ook zomaar kan en mag. Ik krijg zelf heel vaak de vraag waarom ik dan niet ga hacken tegen IS, net als Anonymous. Hoewel Anonymous in de meeste gevallen enkel accounts zoekt en rapporteert aan Twitter lijkt ook hacken mij geen goed idee. Daarmee loop je alleen de ordediensten mee in de weg en verwijder je misschien belangrijke informatie. Het enige punt waarvoor ik respect kan opbrengen voor Anonymous is de morele gedrevenheid en het enthousiasme van hun leden. Die zouden we op dit moment beter kunnen gebruiken bij onze ordediensten dan bij een zelfverklaarde internetpolitie die denkt dat ze boven de wet staat. »

WTNSCHP Trumps Tweets, Melania’s e-mailadres, het Belgisch kampioenschap staken, de Facebookscanner… Krijg je daar iets voor in de plaats?
De Ceukelaire «Mijn mediastunts zijn eigenlijk geen echte hacks. Het zou behoorlijk onethisch zijn om veiligheidslekken uit te spelen in de media in plaats van ze op te lossen. Het zijn eerder side projects die dienen om privacy wat tastbaarder te maken. Over hacken en privacy wordt gigantisch veel gezegd en geschreven, maar de man op de straat die misschien wel het meest vatbaar is, bereikt dat niet. »

WTNSCHP Aan welke vergoede opdrachten kan een ethisch hacker zich dan wel verwachten?
De Ceukelaire «Dat kan letterlijk alles zijn: van de porno-industrie (Pornhub en YouPorn werken met ethische hackers), maar ook bijvoorbeeld het Pentagon. Je wordt dan via een Bug Bounty platform (een platform waarop hackers compensatie krijgen voor het opsporen van softwarefouten en kwetsbaarheden, nvdr) zoals HackerOne door een bedrijf uitgenodigd via e-mail en bepaalt zelf hoeveel en wanneer je hackt. Die vrijheid is zalig: ik kies mijn opdrachten zelf, wanneer ik wil en wanneer ik daar tijd voor heb. No pressure. Het hacken zelf is voor mij verder gewoon een bijverdienste. Overdag werk ik als creatieve programmeur voor Studio Brussel. Ik zou niet elke dag met hacken willen bezig zijn. Zoiets ben je snel beu. »

________________________________

” De porno-industrie, het Pentagon… De opdrachtgevers zijn heel divers. Je kiest zelf wanneer je welke opdrachten aanneemt en die vrijheid is zalig.

______________________________

WTNSCHP Op welke verwezenlijkingen ben je zelf het trotst?
De Ceukelaire «Enkele weken geleden heb ik een lek ontdekt waardoor ik interne bedrijfscommunicatie kan inkijken. De impact is gigantisch: duizenden bedrijven zijn kwetsbaar en in vele gevallen kan je via het lek ook de sociale mediakanalen met miljoenen volgers overnemen. Ik probeer op dit moment zo veel mogelijk bedrijven op de hoogte te brengen. Van zodra voldoende bedrijven het lek gedicht hebben, breng ik het naar buiten. Dat is geen gemakkelijke keuze, want ik ben er mij van bewust dat het ook door slechte hackers zal misbruikt worden. Toch heeft het geen zin om lekken achter te houden: dat is precies wat de NSA (National Security Agency, nvdr) gedaan heeft en dat heeft geleid tot enkele supervirussen zoals WannaCry. »

WTNSCHP De reacties op je stunts zijn talrijk en positief in het binnen -en buitenland. Hoe zie je de toekomst? Wat zou je in de toekomst het liefste doen?
De Ceukelaire «Als ik morgen plots truckchauffeur wil worden, dan word ik morgen truckchauffeur (lacht). Ik maak niet graag plannen voor de toekomst. Ik hoop dat ik hacken nog een poosje boeiend blijf vinden en er verder in kan groeien, maar de dag dat het me niet meer interesseert, stop ik. Tegen dan hoop ik dat ik met mijn stunts genoeg volk geïnspireerd heb om zelf te gaan ethisch hacken, zodat zij het werk kunnen verderzetten. Werk zal er altijd zijn: het lijkt vaak dweilen met de kraan open, maar heel gestaag merk je toch dat online veiligheid serieuzer wordt genomen. Dat geeft enorm veel voldoening. »

WTNSCHP Wat kunnen de mensen die je zonet inspireerde in gedachte houden om dezelfde vaardigheden te ontwikkelen als jij?
De Ceukelaire «Doorzetten en durven proberen. Het eerste lek is vaak het moeilijkste. Bedrijven zoals Google en Facebook zijn sterk beveiligd, maar laat dat je zeker niet afschrikken. De beste lekken vind je vaak nét voor je wilt opgeven (lacht). Probeer te denken als een luie programmeur die op vrijdagnamiddag snel nog iets moest coderen. Hou een bepaald doel voor ogen: wil je interne bedrijfscommunicatie onderscheppen of ben je meer uit op persoonsgegevens? Het kan ook helpen om je op bepaalde onderdelen te focussen: bij Facebook zoek ik bijvoorbeeld vooral naar privacy lekken. »

« Het hacken op zich is dan weer niet zo heel erg moeilijk. Achteraf lijkt het vaak een eitje. De kunst is vooral de zwakke schakel vinden en kwetsbaarheden zien of voelen. Vooral door het lezen van blogs heb ik dat fingerspitzengefühl wat ontwikkeld: we hebben een heel open community en delen alle interessante vondsten om zo van elkaar te leren. Vooral via Twitter kan je veel opvangen. De accounts die ik zelf volg op @securinti zou ik zeker al aanraden om te volgen. »

WTNSCHP Bedankt om het internet een veiligere plaats te maken. Als je nog iets wil aanpassen in dit artikel, mag ik ervan uitgaan dat je dat zelf in de backend kan doen?
De Ceukelaire « Misschien (lacht) »