In de wereld van bits en bytes bestaan er grofweg twee type hackers: zij die het gebruiken voor het plegen van illegale activiteiten en misbruik. En zij die hacken inzetten om mensen te waarschuwen, zij worden ethische hackers genoemd.  Tot die laatste groep behoort de Rotterdamse cyber security expert Zawadi Done (20 jaar).

Ethisch hacken

Done doet een opleiding in de cyber security en werkt voor het NFIR, het Nederlandse Forensisch Incident Response. De instelling houdt zich bezig met het het oplossen en herstellen van schade na een cyberaanval binnen het criminele circuit.  “Simpel gezegd, wat ik doe als ethische hacker is dat ik op zoek ga naar kwetsbaarheden in computersystemen van bedrijven of organisaties.  Dit kunnen systemen van bijvoorbeeld webwinkels zijn maar ook de overheid. En dan informeer ik de eigenaar van een netwerk over een lek.”  Deze vorm van hacken is dan ook niet strafbaar. De hacker vindt het jammer dat er allerlei vooroordelen bestaan over hackers. “Soms denken mensen dat je direct een crimineel bent als je een hacker bent. De term ethische hacker is heel handig om aan te tonen wat iemand doet, alleen wil dat niet zeggen dat een niet-ethische hacker direct een crimineel is.”Sommige ethische hackers kiezen er bewust voor om zich helemaal toe te spitsen op samenwerkingen met de overheid.

Anders dan in de films

Op deze manier klinkt ‘hacken’ een stuk braver dan het standaard beeld dat we bij hackers hebben. Als kind had Done die ideeën ook.  “In films zie je dat hackers een super spannend leven hebben, maar dat valt in de praktijk wel mee (lacht).”  Ik heb ook niet per se voor dit werk gekozen om deze reden. Ik was wel altijd gefascineerd door computers en technologie en ik kon er ook goed mee overweg.”  Naast de negatieve lading bij hacken, is een ander beeld volgens Done  mainstream popcultuur dat men van hacken rijk wordt. “Van hacken rijk worden? Ik verdien niet meer dan een gemiddelde job in de IT. Het kan wel zo zijn dat je als ethische hacker erg goed bent in je werk en eens stuit op een lek bi een bedrijf zoals Facebook of Google. Dan verdien je al snel een beloning van 10k a 20k.  Dat is wel cool, maar heel uitzonderlijk.”

Hoewel de wereld van ethisch hacken een stuk minder spannend is dan in films, neemt dit niet weg dat Done soms in spannende situaties kan terechtkomen.  Want de hacker komt wel eens voor grote ethische dilemma’s te staan. “Soms moet je iets illegaals doen, om iets legaals op te lossen.”

Grijze zone

Hij legt uit dat hoewel er twee type hackers bestaan, er eigenlijk drie zones binnen hacken te onderscheiden zijn: zwart, grijs en wit gebied. “Als ethische hacker val je in het witte gebied, maar het kan gebeuren dat je eens in de meer grijze zone komt.”  Ethische hackers gebruiken immers vaak dezelfde strategieën om in te breken op computers en netwerken zoals hackers die dat op illegale wijze doen. Het verschil tussen de eerste groep en de laatste groep zit in hun intentie. Ethische hackers hebben altijd goede intenties achter hun handelingen en ook toestemming om te hacken in het systeem van de eigenaar, zoals Zawadi Done. Toch kan het gebeuren dat een ethische hacker op een lek stuit, en dit wil aantonen en daarvoor iets ‘illegaals’ moet doen. Met andere woorden, iets moet doen waarvoor hij geen toestemming heeft.  Zo kom je volgens Done in de ‘grijze’ zone terecht. Op deze manier komt een hacker soms voor een moeilijk ethisch dilemma te staan. “Soms moet je iets aantonen voor een lek, maar moet je daarvoor bijvoorbeeld in de gegevens van een ander inbreken. Je kan je eigen gegevens hiervoor gebruiken, maar soms moet je verder hierin gaan om de ernst aan te tonen.” Done legt uit dat het dan aan de ethische hacker zelf ligt of hij dan verder moet gaan met de hack. “Of ik ooit iets illegaals heb gedaan (lacht)? Nee niet zo ver ik weet, daar let ik wel goed op.  Ik kom ook wel eens voor een moeilijke keuze te staan, maar nooit zo extreem hoor. We zijn niet allemaal een Victor Gevers” (redactie: de Nederlander Victor Gevers hackte in oktober 2020 het Twitteraccount van de voormalige Amerikaanse president Donald Trump).

Geen mysterieuze wereld

Een ander vooroordeel dat over hackers bestaat, is dat hackers vaak witte jongetjes zijn die vanuit hun zolderkamer opereren en zo bakken geld verdienen. Als er iets is wat deze cyber security expert niet is, is het een wit jongetje die alleen opereert. Of bakken geld verdient.

Done: (lacht).  “Als je dat zo zegt, ben ik niet onderdeel van dat  stereotype. Maar ik heb niet bewust gekozen om in de aandacht over mijn werk te staan. Ik ben er meer ingerold. Ik vind het leuk om te vertellen wat ik doe, zodat anderen dat werk misschien ook kunnen doen. Want het komt een beetje over als een mysterieuze wereld waarin hele slimme mensen bijna magische dingen doen, maar dat is natuurlijk niet zo.” In zijn werk vindt hij het belangrijk om jonge hackers te informeren en verder te helpen. Vooral jonge hacktalenten die in het criminele circuit terecht zijn gekomen of kunnen komen. “Ik ben vrijwilliger bij de politie voor het project Hack Right. Daar kom ik ook in contact met jongeren die iets hebben gedaan wat niet goed is. Dan leg ik hen uit van: “hey, je bent heel slim. Je kan dit soort werk ook bij bedrijven  doen en hier ook een studie voor volgen.”

Mannenwereld

Wat volgens Done wel klopt aan het vooroordeel bij hackers is dat het vooral een mannenwereld is, iets waarvan hij hoopt dat hier verandering in komt. Hij hoopt dat zijn werkveld  toegankelijker wordt voor vrouwen en meisjes. “Want het doet een bedrijf ook meer goed als verschillende soorten mensen er werken. Ik vind bijvoorbeeld een collectief zoals WICCA een mooi voorbeeld van een organisatie die zich inzet voor meer genderdiversiteit in cyber security. Ik kan dat natuurlijk als man niet zeggen, maar ik denk dat het als vrouw toch anders aanvoelt wanneer je bij een event aankomt en je staat er tussen honderd mannen als enige vrouw, dan wanneer je ook andere vrouwen ziet. Dat voelt toch veiliger en fijner denk ik.” Daarom, als ik een paar meisjes of jonge gasten zo kan motiveren dit werk te doen, dan is mijn taak al geslaagd.”

CoronaMelder scepticisme

Naast opsporen van datalekken en jongeren begeleiden bij de politie,  geeft hij ook advies.  Zo is er momenteel veel te doen over de CoronaMelder-app. Done begrijpt waar de sceptische reacties vandaan komen, maar vindt ze onterecht. “Aanvankelijk dacht ik ook, als dit maar goed afloopt! Ik was erg benieuwd hoe zo’n app in elkaar wordt gezet op zo’n korte termijn en vooral hoe veilig de app is.” Maar inmiddels is hij net als andere beveilingsexperts hier helder in:  de CoronaMelder-app is veilig.  “De app slaat namelijk je persoonlijke gegevens niet, alleen codes  waarmee er wordt gekeken of je als gebruiker in contact bent geweest met iemand die besmet is geweest.”

De CoronaMelder-app mag dan wel veilig zijn, maar toch heerst er een idee dat men een hacker nooit slim af kan zijn.  Zo zien we in de NPO3 dramaserie ‘Locked Out’ hoe hoofdfiguur Souraya gemakkelijk slachtoffer wordt van hacking. In één klap wordt haar leven omgegooid. Is dat in de praktijk echt ook zo?  Done: “Wat we in Locked Out zien kan in principe iedereen overkomen, maar zo extreem zal het niet zijn.  Natuurlijk, systemen zijn nooit honderd procent waterdicht, maar je kan er zeker van zijn dat wanneer je goed oplet en niet op rare links klikt, je wachtwoorden regelmatig wijzigt  en extra maatregelen treft om aan je privacy te denken, je niks te vrezen hebt.”

Geschreven door: Sakina Elkayouhi 
Omslagfoto (D. Zuijlekom, 2019)