Hacken voor je droombaan

Soms duikt er een bericht op als ‘Facebook neemt bekende hacker aan’ Maar kun je je baan hacken? „Een veroordeelde hacker komt hier niet aan de bak”

Foto ISTOCK

Volgens de Britse onderzoeksjournalist en schrijver Misha Glenny zijn er twee soorten bedrijven: zij die weten dat ze gehackt worden en zij die dat niet weten. In zijn boek Dark Market, over internationale cybercriminaliteit, pleit hij ervoor niet alleen meer te investeren in cyberveiligheid, maar ook beter na te gaan wie hackt en waarom. Want, zo zegt Glenny, „terwijl er een overschot is aan technologie, hebben we in de cybersecurity-industrie een duidelijk gebrek aan menselijke intelligentie”. Zijn boodschap is kort samen te vatten: hire the hackers.

Eens in de zoveel tijd duikt in de media inderdaad een bericht op als ‘Facebook neemt bekende hacker aan’ of ‘Twitter-hacker krijgt baan aangeboden’. Dit voorjaar nog mocht een 19-jarige jongen zich melden voor een stage bij Google nadat hij een app ontwikkelde die de downloadbeperkingen op iPhones en iPads verwijderde – iets wat door Apple lang niet voor mogelijk werd gehouden. „Now it’s been done by some kid we had never even heard of”, zei Apple-medewerker en voormalig analist voor de Amerikaanse spionagedienst NSA Charlie Miller over de prestatie van de jonge hacker. „He’s totally blown me away.”

Aanmoedigen om in te breken

Kan dat zomaar, je droombaan hacken? „Het gebeurt”, zegt Herbert Bos, hoogleraar netwerk- en systeembeveiliging aan de Vrije Universiteit van Amsterdam. „Maar het is een beetje controversieel. Het wordt toch vaak gezien als het aanmoedigen van inbreken.” Net als onderzoeksjournalist Glenny is Bos van mening dat er een „schreeuwend tekort” is aan mensen met diepgaande kennis op het gebied van systeembeveiliging: „Ik word wekelijks platgebeld door bedrijven die zitten te azen op mijn studenten.”

De vraag zal in de toekomst exponentieel oplopen, denkt Bos, want er zijn steeds vaker incidenten. Met botnets bijvoorbeeld, een netwerk van geïnfecteerde computers die automatisch aanvallen uitvoeren. „Dat soort problemen zijn reuze ingewikkeld en ontzettend lastig op te sporen. Een goed antivirusprogramma is niet meer voldoende.” De laatste jaren zijn informaticaopleidingen hier volgens hem meer op in gaan spelen, bijvoorbeeld met ‘hackvakken’ waarbij studenten leren denken vanuit de aanvaller.

Veroordeelde hackers

Ronald Prins, directeur van het tweehonderd werknemers tellende veiligheidsbedrijf Fox-IT (dat onder meer voor de overheid werkt), noemt het aannemen van een hacker met een klein smetje „geen probleem”. Maar een veroordeling voor computerinbraak zou hij niet kunnen verkopen aan zijn klanten. „Een veroordeelde hacker komt bij Fox-IT niet aan de bak. Hetzelfde geldt voor de rest van de veiligheidsindustrie.”

Want wat in het echte leven niet mag, mag op het internet ook niet: zonder toestemming toegang proberen te krijgen tot de gegevens van iemand anders is strafbaar. Maar hoe zit het dan met die succesverhalen uit de media? Meestal blijkt ergens wel een addertje onder het gras te zitten. Zo werd Geohot – de hacker die naam maakte met het jailbreaken (inbreken met ongeautoriseerde software) van de eerste iPhone en de Sony Playstation 3 – inderdaad door Facebook ingeschakeld om mee te helpen met het ontwikkelen van de iPad-app, maar was hij na acht maanden weer vertrokken. Mikeyy, die duizenden ongewenste tweets de wereld instuurde met teksten als ‘Twitter please fix this’ en ‘Twitter hire Mikeyy’, werd aangenomen, maar niet bij Twitter, dat een rechtszaak overwoog. Voor de Hongaarse hacker die vorig jaar Mariott aanviel, pakte het helemaal slecht uit: in plaats van de felbegeerde baan bij de hotelketen kreeg hij dertig maanden cel.