Informaticastudent David de Muinck Keizer (24) probeert hackers op het juiste spoor te krijgen. ‘We worden elke dag aangevallen.’
Door Vincent Bongers ‘Als je zestien bent, is het leuk om te experimenteren’, zegt vierdejaars student informatica David de Muinck Keizer (24). ‘Ik heb wel geprobeerd om in bepaalde bestanden in het netwerk van mijn school, het Hageveld College in Heemstede, te komen. Ik draaide een programmaatje waarmee je kunt kijken of er in het netwerk poorten open staan zodat je verbinding kunt maken. Maar ik heb nooit cijfers aangepast of zo.
‘Dat hadden ze in de gaten. Ik werd uit de klas gehaald en beschuldigd van hacken. Ze zeiden zelfs te weten dat het systeem niet waterdicht was, maar dat ik dat niet mocht aantonen. Daar was ik verbaasd over, want ik wilde niets kwaads doen. Mijn moeder was boos, mijn vader vond het grappig. Ik ben nog wel twee of drie keer uit de klas geplukt. Iedere keer als die man weer bij het klaslokaal stond, wist ik: “Foute boel.”
Wel grappig: laatst hebben ze een beveiligingsexpert uitgenodigd om een workshop over hacken te geven.’
De Muinck Keizer is oprichter en beheerder van HackFlag, het grootste hackforum in de Benelux. ‘Het is een educatief platform met meer 5200 leden. Het kan heel aantrekkelijk zijn voor een 13-jarige om kwaadaardige dingen te gaan doen. Daarom willen we hackers verzamelen en ze de goede kant op sturen.’
Op 24 november bespreekt hij tijdens De Avond van Cleveringa in de Oude Sterrewacht hoe het beeld van hackers is veranderd. ‘Je hebt grofweg twee kampen in de hackerswereld,’ aldus De Muinck Keizer: ‘Black hat en white hat. De eerste zijn de criminelen, de white hats zijn de good guys die hun vaardigheden gebruiken om lekken in sites en netwerken aan te tonen en die vervolgens bekend te maken bij de eigenaren.
‘De techniek verandert, maar de ethiek ook. Je was vroeger ook een bad guy als je een zwakke plek aantoonde, en dat is niet meer zo. Het is verstandig om als bedrijf positief te reageren op een white hat. Omarm een hacker die op een lek wijst.’
De veranderende houding is ook terug te vinden in beleid. ‘Je hebt al een aantal jaar de zogeheten responsible disclosure-regelingen: wie onder bepaalde voorwaarden een lek meldt, wordt niet vervolgd. Ook in Nederland geldt dat: als je ergens zwakke plekken vindt kun je het Nationaal Cyber Security Centrum daarvan op de hoogte stellen. Google en Facebook betalen ook mensen die lekken vinden.’
Maar kunnen de tips op zijn forum niet ook van pas komen voor hackers met criminele bedoelingen? ‘Misschien wel, maar dat is geen reden om ze niet te noemen. De educatieve waarde moet echter wel duidelijk zijn.’
Er zijn grensgevallen. ‘DDos-aanvallen zijn vrijwel altijd crimineel, maar je wilt ook kennis aanbieden waarmee je je kunt beveiligen tegen die aanvallen. Dan moet je toch uitleggen hoe het werkt. Dan dubbelt die informatie al snel als handleiding. DDos is niet eens hacking eigenlijk. Iedereen kan een tooltje downloaden en een server platleggen. Er wordt in het wereldje op neergekeken.
‘Op mijn 17e ben ik hackersforum L33thackers gestart. Dat ging uiteindelijk mis. We kregen steeds DDos-aanvallen. Hackers vinden het cool om andere hackers te hacken. Een forum is dan een populair doelwit. Ook HackFlag ligt trouwens wel meerdere keren per dag onder vuur. De aanvallen op L33thackers werden zo heftig, dat onze provider ons offline haalde, ze konden het niet meer aan.’
Zelf is hij geen hacker, zegt De Muinck Keizer. ‘Het is niet iets waar ik tot diep in de nacht maar mee bezig wil zijn. Dan kijk ik liever een serie. Of programmeer iets dat niets dat met hacking te maken heeft.’