Hacker is niet langer vies woord op kantoor

Zijn hackers de ergste nachtmerrie voor bedrijven? Lang niet altijd. Want hackers zijn – gedreven, creatief en briljant als ze zijn – ook gegeerd. Voornamelijk als veiligheidsspecialisten, maar ook als it’ers tout court. Zo riep Google onlangs hackers op om tegen betaling lekken op te sporen in de Chrome-webbrowser. Terecht, menen experts. “Natuurlijk moet je hackers aanwerven. We hebben een tekort aan informatici.” Toch blijft het balanceren op een slappe koord, want wie garandeert je dat ze de toegang tot het bedrijfsnetwerk niet misbruiken?

Pieter Colpaert (22), vanaf september doctoraatsstudent bij het Multimedialab van de UGent, wiebelt wat ongemakkelijk op zijn stoel. We zitten in een kantoorruimte in een bedrijvencentrum in Gent en ik heb hem zopas gevraagd of hij nu wel of niet hacker is. Na een wat ongemakkelijke stilte antwoordt hij: “Ik ben een student, punt uit. Hacker is hoe mensen die niets van informatica kennen je noemen. Wat een hacker danwél is? Iemand die met materiaal iets doet waarvoor het niet bedoeld werd en er iets beters van maakt. Dat is een definitie die ik graag hoor. In dat opzicht: ja, ik ben een hacker, want ik pruts wel eens graag met websites en zo. Hacker is helemaal geen negatief begrip.” Colpaert kwam enkele jaren geleden samen met zijn kompaan Yeri Tiete – die daarna een tijdje voor Google België werkte – in aanvaring met de juridische dienst van de NMBS, toen ze op eigen houtje een uurrooster van de treinen op het net plaatsten.
Een verbetering tegenover het bestaande schema, maar niet naar de zin van de NMBS. “Het is een goed voorbeeld van wat ik bedoel. Als ik me erger aan iets, dan probeer ik er iets aan te doen. Leuk was die heisa niet, natuurlijk. Door de brief die we kregen van de NMBS, waarin stond dat we gebruik maakten van beschermde gegevens, moesten we ons verdedigen met een advocaat. Intussen is dat geschil bijgelegd. Ondertussen werken we zelfs samen met de NMBS, zij gaan onze iRail Summer of Code 2012 sponsoren.”

Colpaert en Tiete, die ondertussen samen een databedrijf uit de grond hebben gestampt, hadden duidelijk geen criminele bedoelingen. En ook een hackersgroep als LulzSec heeft dat niet: zij vergrijpen zich aan de gebrekkige beveiliging van producten en websites om zich te amuseren of bedrijven voor schut te zetten. Het motto van Lulzsec luidde tot voor kort veelbetekenend ‘Laughing at your security since 2011’. Maar soms gaat het ook verder dan bedrijven voor aap zetten. Anonymous bijvoorbeeld is een groep hackers die ijvert voor de vrije verspreiding van informatie en strijdt tegen elke controle van bovenaf: idealistische hackers, ofte ‘hacktivisten’ Nog andere zoeken wel bewust de illegaliteit op en zijn in de eerste plaats bezig met persoonlijk geldgewin. Dat soort cybercriminelen krijgt de naam ‘cracker’, in plaats van hacker.

Headhunten van hackers

Maar of hackers nu gemotiveerd zijn door geld of niet, feit is dat ze gewild zijn. Onder meer bij bedrijven als Google, Microsoft en Facebook. Zo verschenen in de pers de voorbije jaren berichten over hoe Apple ‘white hat hacker’ (goedbedoelende hacker) en beveiligingsexpert Matthew Murphy strikte, Google de Poolse hacker Michal Zalewski binnenhaalde als technicus in de informatiebeveiliging en Microsoft Ierland gebruik zou maken van de diensten van de 14-jarige Jake Essman. Essman was diegene die met succes de server van het spel ‘Call Of Duty: Modern Warfare 2’ hackte op de Xbox 360 en was begonnen met het verzamelen van informatie van gebruikers van het systeem. Amper twee weken geleden gaf Google nog het voorbeeld: het riep hackers op om tegen betaling veiligheidslekken op te sporen in zijn Chrome-webbrowser. Het bedrijf beloofde 60.000 dollar te betalen aan elke hacker die een computer kan overnemen via een bug in de Google-webbrowser. Het beloofde ook geld – van 20.000 tot 40.000 euro - voor wie andere fouten in het programma vindt. Totale ‘prijzenpot’: 1 miljoen dollar.
Volgens Raoul Chiesa, een voormalige (ethische) hacker die nu onder meer als cyberbeveiligingsexpert werkt voor de Verenigde Naties, en zich daar bezig houdt met het opmaken van profielen van hackers, werven niet weinig bedrijven hackers aan. Chiesa: “De reden is duidelijk: hackers zijn enorm goed in wat ze doen. Ze hebben capaciteiten die anderen niet hebben. Dat is op zich misschien al reden genoeg om ze binnen te halen, maar je moet wel altijd kijken naar waarom ze hacken. Ik zou bijvoorbeeld nooit een hacker aanwerven die louter door geld gedreven is, om de eenvoudige reden dat het nooit een goed idee is om iemand binnen te halen die alleen met geld bezig is.” Pieter Colpaert: “Als je white hat hackers kan vinden, die het opensource-idee hoog in het vaandel dragen, dan vind ik dat ideaal. Je weet precies welke kennis ze hebben, je hebt gezien wat ze kunnen en je kan er heel gericht naar op zoek gaan. Als ik Playstation was en ik zie GeoHutz bezig (hacker George Hotz kraakte begin 2010 de Sony PlayStation 3 en zou intussen aangeworven zijn door Facebook, ds): ik zou die meteen aannemen, want die weet hoe je systeem in elkaar zit. Die heeft het al helemaal doorzocht en is supergemotiveerd. We hebben bovendien informatici tekort. Een betere sollicitatiebrief kun je je niet inbeelden.”

Ook Bruce Schneier, chief security technology officer bij British Telecom en een autoriteit op het vlak van cybercriminaliteit, is het ermee eens dat hackers van onschatbare waarde kunnen zijn. “Slimme bedrijven huren de beste persoon die ze kunnen vinden. En soms is de beste persoon een voormalige hacker. Waarom niet? Je moet altijd rekening houden met de omstandigheden waarin hackers werken. Zeker vroeger waren veroordelingen van hackers niet altijd fair: men wist nog niet goed hoe daarmee om te gaan. De wetgeving stond niet op punt. Bovendien zijn veel van die hackers heel jonge mensen. Als volwassenen hebben die soms veel spijt van wat ze gedaan hebben. Wie herkent dat niet?”

Creatief

Vraag is welk profiel er op de gemiddelde hacker gekleefd kan worden. Raoul Chiesa heeft een welomlijnd idee: “Ik heb voor het Hackers Profiling Project van de VN meer dan 1.200 hackers over de hele wereld geïnterviewd. Het profiel van de gemiddelde hacker is duidelijk: hij is bovengemiddeld intelligent, is een man – 95 procent van de hackers zijn mannen – en is heel creatief. Een uiterst interessant profiel voor bedrijven, op papier. Al zijn er ook schaduwzijden aan: ze hebben het vaak moeilijk met gewone, dagdagelijkse communicatie. Je moet ook altijd voor ogen houden dat een voormalige hacker geen standaardwerknemer is, die netjes van 9 tot 5 komt werken. Ze zijn creatief en respecteren vaak de regels niet. Ze respecteren des te meer hetgeen ze mee bezig zijn. Als je daar als bedrijf mee overweg kan, heb je aan een voormalige hacker een potentieel zeer goeie medewerker.”

Het aanwerven van hackers roept logischerwijs vragen op. Hoe kan je als bedrijf hackers vertrouwen? Hoe weet je hoe ver hun kennis en macht reikt? En hoe kan je als bedrijf hun vertrouwen winnen? Moeilijke vragen, geeft Raoul Chiesa toe. “Een hacker kan een zéér waardevolle aanwinst zijn, voor een bedrijf en voor de economie in het algemeen. Maar je moet zorgen dat je als manager zelf voldoende vertrouwd bent met hackers en hacking. Anders ben je verloren, vrees ik. Het hoofd van de afdeling moet een gelijkaardige ervaring hebben of vertrouwd zijn met de materie. Je moet de psychologie van elke individuele hacker begrijpen en op basis daarvan een beslissing nemen. Ik denk sowieso dat een goeie hr-verantwoordelijke in de eerste plaats een goede psycholoog moet zijn, die mensen kan inschatten. Dat is bij gewone kandidaten zo en bij voormalige hackers is dat zeker het geval: je moet heel goed weten of je iemand met kwaadaardige of goedaardige bedoelingen voor je hebt. Enige kennis van het verleden van de hacker, zijn bedrag en zijn psychologie is een must. Daar kan je soms naar op zoek gaan. Je moet je sowieso enkele vragen stellen: hackt hij uit geldzucht of om veiligheidslekken te ontbloten, welk contract wil ik hem voorschotelen, welk aanwervingsbeleid voert mijn bedrijf en hoe soepel zijn we daar in, … ? Hoe je ooit zeker kan zijn dat je hen kan vertrouwen? Dat ben je nooit.”