Deze Wonder Woman van de computerbeveiligingswereld hackt zó je bedrijf

En laat zien hoe kwetsbaar bijna elk systeem is

Met haar bedrijf Radically Open Security test Melanie Rieback de computersystemen van grote bedrijven. En legt het ene lek na het andere bloot. We onderschatten de gevaren schromelijk, waarschuwt ze.

Melanie Rieback is eerder dit jaar door het blad CIO Magazine uitgeroepen tot innovatiefste ict-leider van Nederland. Beeld Aisha Zeijpveld

Dit verhaal begint niet in een verlaten loods in een buitenwijk van een grote stad, met op de achtergrond het geluid van druppelend water. Geen fabriekshal met opgestapelde blikjes Monster Energy en beeldschermen met groene lettertjes. De hackers van Radically Open Security werken niet samen in een fysieke ruimte, maar in een chatroom.

Het moet geheim blijven welk bedrijf vandaag het doelwit is van de hack, of penetration test, zoals een hack in opdracht genoemd wordt. Het moet zelfs geheim blijven in welke branche het opereert. 'Maar er werken de capabelste en technisch best opgeleide mensen die er zijn', verzekert Melanie Rieback, oprichter van Radically Open Security. Ik spreek haar op een Amsterdams terras. Rieback praat snel, soms Amerikaans en soms Nederlands. En ze grinnikt vaak na een zin. Soms zucht ze. Soms zucht ze heel diep, als het over Donald Trump gaat.

Rieback is zo'n beetje de Wonder Woman van de computerbeveiligingswereld. Met haar internationale team van vijfendertig tophackers test ze de beveiliging van computernetwerken en websites. Ze heeft klanten in uiteenlopende sectoren, van verzekeraars tot universiteiten en van mediabedrijven tot de politie.

Overal waar een internetaansluiting is, kan een 'pentester' van Rieback aan het werk. Haar team kan freelancers bevatten uit Australië of Azië.

Nu heeft ze twee hackers uit Berlijn aan het werk gezet: Pierre Pronchery en Stefan Gronke. Vanachter haar laptop volgt Rieback hun verrichtingen. De avatarfoto van Pronchery is die van een piloot met een microfoontje voor de mond en een zonnebril op. Gronke heeft korte blonde haren en draagt een overhemd. Op haar eigen avatarfoto zit Rieback op een racefiets met een opblaasdolfijn in haar handen.

De hackers plaatsen zakelijke berichten, met astronaut-achtig jargon.

'We could do a connect scan via a socks proxy over SSH...'

'I can do that. Let me check the device capacity to see if that works.'

Indiana Jones

Het werk is te vergelijken met het in kaart brengen van een wijk. Welke straten zijn er, wat zijn de adressen van de huizen. Vervolgens is het aan de deurtjes rammelen en door de ramen naar binnen kijken. Of er oude software draait bijvoorbeeld. De klanten, die 'slachtoffer' zijn van de hack, mogen meekijken en vragen stellen terwijl de hackers van de ene naar de andere kamer lopen.

'Het is een beetje als Indiana Jones die een grot onderzoekt', vertelt Pronchery op de chat, we vinden nutteloze dingen, schatten, raadsels, doorgangen die naar nieuwe kamers leiden, met daarin nieuwe voorwerpen.'

Het wordt al snel duidelijk dat Pronchery en Gronke razendsnel werken. Ze zien raampjes waar niemand anders ze ziet en oude deurtjes die mensen vergeten zijn. 'Folks als Pierre en Stephan zijn echt a-typisch', zegt Rieback, 'het duurt zeker tien jaar voor je zo goed bent. En dan niet tien jaar van 9 tot 5. It's a passionate thing.'

Al binnen een dag zijn de hackers het systeem van het bedrijf binnengedrongen.

Pierre: I have good news and bad news: unicorn123 (root)

Klant: Bingo

Melanie: Is that what I think it is?

Pierre: It's a password for the local root account on the machine I dumped yesterday

Melanie: Ouch... that was quick

Pierre: I'll be off for lunch.

Binnen een paar dagen hebben de twee Berlijners volledige controle over het netwerk.

'Het was een totaal verlies voor de klant', zegt Rieback later lachend, 'we pretty much destroyed it. Je kijkt ernaar en ... get the popcorn. En als je nagaat wie het doelwit was. Als deze goede mensen al deze fouten maken. Bedenk dan eens welke fouten er worden gemaakt door minder technische mensen bij andere bedrijven.'

Ze is niet verbaasd dat haar team de beveiliging gekraakt heeft. Dat lukt namelijk altijd. In het uiteindelijke rapport, grotendeels automatisch geschreven door een robot in het chatprogramma, staat een opsomming van vijftig kwetsbaarheden, variërend in dreigingsniveau. Zeventien dragen het label 'extreem'.

Datasporen

Als geen ander weet ze hoe kwetsbaar onze samenleving is, met een economie die volledig draait op internet. Kijk alleen al naar de ransomware-aanvallen in de Rotterdamse haven. 'Een groep hackers met tijd en geld komt overal binnen', zegt Rieback. Met de nadruk op overal. Elektriciteitsbedrijven, politieke partijen, de politie, gemeenten, ziekenhuizen. 'Grote netwerken zijn zo complex en the devil is in de detail. Mensen moeten begrijpen dat alles kwetsbaar is en moeten nadenken over de datasporen die ze overal achterlaten. Er is weinig te doen aan een goed gemaakte phishing mail. Ik kan er ook intrappen.'

Het is schokkend, wat ze soms bij bedrijven aantreft, beaamt Rieback. 'We hebben pentests gedaan waarbij de resultaten zelfs binnen een kleine groep technici in het bedrijf geheim moesten blijven, omdat het zo gevoelig was. Als het uitgelekt was naar mensen zoals jij hadden we een groot publiek schandaal gehad. Ha ha.'

Reden te meer voor computerbeveiligers om samen te werken en open te zijn over de methoden, zegt Rieback. Cybercriminelen werken immers ook samen en innoveren razendsnel. Om nog maar te zwijgen van de state actors, hackers die gesteund worden door bijvoorbeeld de Amerikaanse, Russische of Chinese overheid.

Maar het gros van de cybersecuritybedrijven is helemaal niet gericht op samenwerking, zegt Rieback. Zij willen vooral zo veel mogelijk geld verdienen. Sommige van hen werken ook samen met overheden, niet altijd de good guys waar gaat het om computerveiligheid. Veiligheidsdiensten als de NSA en de AIVD hebben er juist baat bij dat bij een bedrijf soms een raampje blijft openstaan.

Een onbekende opening in het laatste besturingssysteem van een computer of telefoon kan een waardevol wapen zijn. Maar een wapen kan in verkeerde handen vallen. De ransomware die vorige week in Rotterdam containerbedrijf Maersk trof en de wereldhandel verstoorde, gebruikte luikjes die de NSA geheim had gehouden en vijf jaar geleden al had kunnen sluiten.

Rieback zag het licht toen ze werkte bij het Computer Security Incident Response Team (CSIRT) van de ING. Daar werd het zaadje geplant van haar bedrijf Radically Open Security. Het was de tijd dat er mysterieuze dingen gebeurden bij de ING. In 2013 lag de bank een paar keer plat door zogenoemde DDoS-aanvallen. Het waren de hoogtijdagen van Russische criminele hackersgroepen die de ene na de andere bank beroofden.

Rieback lacht mysterieus. Het Traffic Light Protocol (TLP) is haar tweede natuur. 'Groen betekent dat iedereen het mag weten. Oranje informatie moet in een kleine kring blijven en rood betekent dat het zo gevoelig is dat je het niet eens ergens op mag schrijven.' Het stoplicht springt op rood als het over de ING gaat. Van haar geen smeuïge verhalen. Ze heeft een hoge stapel non disclosure agreements getekend.

Hackproof

Maar het stoplicht springt op groen als het over externe cyberbeveiligingsbedrijven gaat. ING huurde deze bedrijven in om hun systemen te testen. Om te kijken of ze hackproof waren. Rieback, die zelf bij wijze van spreken geblinddoekt en met een hand op de rug computervirussen programmeerde, wilde graag meekijken. Maar de laptopjes klapten dicht als ze in de buurt was. En de adviseurs 'vergaten' de beloofde logbestanden te saven en door te sturen.

Rieback: 'Ze willen je onwetend houden en zo min mogelijk kennis overdragen. Ze zijn als een brandveiligheidsbedrijf dat zijn werk opzettelijk niet al te goed doet, omdat het bang is anders niet meer gebeld te worden. Ze willen de klanten niks leren, want dat zou ten koste gaan van hun bedrijfsvoering. Alles wat ze deden was ultracommercieel en hielp niets.' Rieback wil geen namen noemen. 'Maar bijna alle grote cybersecuritybedrijven maken zich eraan schuldig.'

Rieback merkte dat ze niet de enige was die zich hieraan stoorde, ook collega's van andere bedrijven klaagden erover. Tegelijk wist ze dat sommige hackers die ingehuurd werden door de traditionele beveiligingsbedrijven worstelden met hun geweten. Of zoals de Berlijnse hacker Stefan Gronke het verwoordt: 'Het is als toekijken hoe mensen lijden en tegelijkertijd het vaccin geheimhouden.'

Een plus een was drie voor Rieback. In mei 2014 begon ze Radically Open Security. De allerbeste hackers ter wereld willen voor haar werken. Rieback heeft de beschikking over een club mensen, onder wie ook Nederlanders, waarmee de NSA of de Russische veiligheidsdienst dolblij zou zijn. Met dit dreamteam bedient ze zo'n vijftig klanten.

Met Radically Open Security, ook wel ROS, wil Rieback het helemaal anders doen. Ze laat haar opdrachtgevers meekijken als haar hackers de computernetwerken binnendringen en zet alle tools die ROS gebruikt gratis op haar site. Zo krijgen bedrijven een veel beter inzicht in de manier waarop hackers te werk gaan. Want, zo meent Rieback, de beste computerbeveiligers zijn niet alleen technisch capabel, ze kunnen ook denken als hackers: creatief, sluw, gemeen, humoristisch en out of the box.

Per opdracht bekijkt Rieback of ze het ethisch verantwoord vindt. Bedrijven die data aan inlichtingendiensten doorgeven helpt ze niet. Een opdracht voor de politie doet ze alleen als er geen non disclosure agreement getekend hoeft te worden. En ze bouwt geen surveillancesystemen.

De winst van Radically Open Security gaat voor 90 procent naar goede doelen. Rieback keert zichzelf het wettelijk minimum uit.

Super oldskool

Ze ziet haar bedrijf als een vorm van activisme, vergelijkbaar met bedrijven die fairtradeproducten verkopen. 'Zij maken het je makkelijker de wereld te verbeteren door je aankoopbeleid te beïnvloeden. Ik geef bedrijven en overheidsinstellingen een ethisch alternatief.'

Melanie Rieback werd op 26 oktober 1978 geboren in Ohio en verhuisde naar Naperville, Illinois, een voorstad van Chicago, waar haar beide ouders werkten bij Bell Labs, de legendarische laboratoria waar de transistor, de laser en het computerbesturingssysteem Unix ontwikkeld werden. Als klein kind rammelde ze al op de machines van haar ouders. Ze leerde op haar zevende programmeren en leefde in een wereld van groene lettertjes en floppy disks. 'Super oldskool.' Op haar 9de verhuisden ze naar Florida. Als ze uit school kwam was het huis leeg, haar ouders werkten dan nog.

'Als je in de buitenwijken van Florida geen rijbewijs hebt, moet je creatief zijn in hoe je in contact komt met mensen.' Gelukkig had ze een computer en een internetaansluiting. Ze maakte vrienden op bulletinboards, sites waar je berichtjes kunt achterlaten. En daarop zaten toen ook hackers. Zelf durfde ze het niet. Maar ze verslond de verhalen die ze er las, over het hacken of over phreaking, het met hoge tonen manipuleren van het telefoonsysteem.

'Ik was altijd een beetje een geek, met alle voordelen en nadelen die erbij horen. Een loner. Ik had vrienden, maar ik was nooit super-superpopulair dus ja... Om eerlijk te zijn... Het was niet mijn favoriete tijd.' Het TLP-stoplicht springt op oranje. 'Ik wil niet te veel in persoonlijke details treden.'

Ze ging biologie studeren in Miami, en raakte door haar handigheid betrokken bij het Human Genome Project op het MIT in Boston, waar het eerste menselijke dna in kaart werd gebracht. Ze loste er computerproblemen op, 'blusklusjes', zoals ze het zelf noemt. Ze wilde graag naar Europa en kwam via de TU Delft in Amsterdam terecht, waar ze haar promotiewerk deed bij de legendarische Andrew Tanenbaum, een grootheid op het gebied van computers en netwerken.

'Bij hem promoveren en met hem werken was een van de gelukkigste dingen in mijn leven.' Ze werkte aan de chipkaart, zoals die in het openbaar vervoer wordt gebruikt. Op zo'n kaart zit een chip met een piepklein computertje. Het lukte Rieback een miniatuurvirusje te schrijven dat van de chipkaart kon overspringen naar de database-systemen. Dit kunststukje haalde de nieuwssites van CNN en de BBC. 'Het ging viraal voordat zoiets viraal gaan genoemd werd.'

Na vier jaar als universitair docent aan de VU en een uitstapje naar het Canadese bedrijfsleven belandde ze in 2013 bij de ING in Amsterdam. Nu is ze dus ceo van ROS en tevens een van de oprichters van het Nederlandse Girls Geek Dinner, een netwerkbijeenkomst voor vrouwen in de technologiesector. 'Ik wilde graag al die vrouwen laten zien die opzienbarend werk in 'tech' doen, om andere vrouwen, jong en oud, te inspireren.

Sociale onderneming

'Het is ironisch. Ik ben een socialist die een bedrijf begonnen is. Ik ben een activist, maar ik probeer niet de gemeenschap omver te werpen. Soms is de beste manier om tegen onrecht te strijden de structuur te omarmen. Omdat ondernemingen zo veel vrijheid krijgen. Een bedrijf kan alles doen zolang het maar legaal is, en zolang het de eigen kosten maar dekt. Een bedrijf heeft daardoor meer bewegingsvrijheid dan een liefdadigheidsinstelling of een stichting.'

Volgens Rieback is de sociale onderneming het beste antwoord op wat ze de 'post-Trumpwereld' noemt. 'Het probleem is dat zakendoen voor veel activisten een vies woord is. Ik denk dat we in de toekomst de sociale onderneming als nooit tevoren moeten omarmen. Een bedrijf is een uitstekend middel voor politiek activisme.'

Dit voorjaar won ze de jaarlijkse TIM Award voor de innovatiefste ict-leider van Nederland, uitgereikt door CIO Magazine. De jury was unaniem lovend: 'Ze steekt op een unieke manier de nek uit om veranderingen teweeg te brengen.'

Dat vitale infrastructuur vandaag de dag zo makkelijk te hacken is, bezorgt Rieback geen slapeloze nachten. 'Wat me wakker houdt, is wat er nu aan de hand is in de Verenigde Staten. Het hacken van de verkiezingen. Hoe Trump er nu op reageert. Hij zwakt het af omdat hij er beter van wordt. Hij bagatelliseert buitenlandse inmenging in de verkiezingen. Ik bedoel ... Wow... Hoe zijn we hier beland? Wat betekent het voor de democratie, als we niet meer kunnen vertrouwen op de integriteit van onze verkiezingen? Welke implicaties heeft dat voor onze samenleving? Wat betekent het dat een zakenman toegang heeft tot het grootste afluisterapparaat van de wereld? Daar maak ik me ernstige zorgen over.'

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.