382 – Hacken voor de lol: van zonnepanelen tot grasmaaiers

Randal Peelen:
[0:43] In deze aflevering hoor je hoe Hidde en Wietse uit verveling zonnepanelen van Enfees hekten. Wat erbij komt kijken om daar braaf melding van te doen. En waarom het leven van een pentester echt niet altijd dankbaar is. Welkom bij Met Nerds om tafel. Mijn naam is Randal Peele en onze gastnerds van vandaag zijn Hidde Smit en Wietse Boonstra. Hidde en Wietse zijn allebei pentesters. En ze werken samen met opdrachtgevers een security in kaart te brengen. En dan heb ik het natuurlijk over cybersecurity. Want we zijn met Nerds om tafel. Ik heb het niet over het hek om je pand. Hoewel, misschien ook goed te weten als die lek is. Maar jullie zijn ook actief als responsible disclosure hackers. Verantwoordelijke hackers die proberen meldingen te doen bij bedrijven waar dingen mis zijn. En in die hoedanigheid zitten jullie hier ook aan tafel. Want ik zag bij DIVD een mooi persbericht voorbij komen. Daarin stond DIVD heeft een verantwoordelijke melding gedaan van zes zero-day kwetsbaarheden aan een vendor. Een verkoper. Zeg het maar, wat hebben jullie onderzocht?

Wietse Boonstra:
[1:57] Wij hebben zonder panelen onderzocht van het merk Enphase. Die, wat je zegt, zes kwetsbaarheden ingevonden hebben. Dus die hebben we gemeld bij de DIVD.

Randal Peelen:
[2:09] Dat is wel heel kort in de bocht. Dat komt er wel op neer. Snel klaar. Laten we even beginnen bij jullie werk. Want ik zei al, je bent pentester. Ik heb dat verhaal een aantal keer gehoord. Maar voor de luisteraars, wat doet een pentester?

Hidde Smit:
[2:22] Ja, nou ja, een pentest is in opdracht van een klant een onderzoek uitvoeren. Een security onderzoek. En dan probeer je eigenlijk kwetsbaarheden te vinden. En de impact daarvan aan te tonen.

Randal Peelen:
[2:33] Ja, een pen is in dit geval penetration test. Ja, penetration test inderdaad. Want als je zou zeggen pentester en je maakt voor de miljardste keren woordgrap, het gaat niet om een pen, maar om penetratie van systemen en dergelijke, dan zit je dichter bij wat je doet.

Hidde Smit:
[2:48] Maar ja, dus denk bijvoorbeeld aan patiëntendossiers, dat is een applicatie en dan is de vraag dus van, kan je daar meer uithalen dan de bedoeling is? Of... Hackers komen een bedrijf binnen, een netwerk. En dan is dus de vraag van als ze eenmaal binnen zijn, wat kunnen ze dan allemaal? Kunnen ze het netwerk overnemen, ransomware uitrollen? Bij een pentest ga je dat soort dingen allemaal onderzoeken. En dan vind je de kwetsbaarheden. Je toont de impact aan, dat is ook heel belangrijk. Want je kan wel een lijstje zetten, maar als je daar geen impact aan toont, dan is het voor mensen ook niet duidelijk. En dan met adviezen erbij. Dus je schrijft een rapport op basis van je onderzoek. En dat is een pentest.

Randal Peelen:
[3:23] Oké. En jullie werken daar vrij vaak samen. Hoe gaat zoiets in z'n werk? Dan krijg je een mailtje, joh kun je onze systemen testen? Dan zeg je ja graag en dan gaan jullie aan de bak.

Wietse Boonstra:
[3:35] Ja, over het algemeen als wij een pentest uitvoeren, ja wij vinden het eigenlijk zo leuk om te doen dat we eigenlijk nooit nee zeggen. Maar ja nee, we doen een intake en dan kijken we wat die mensen eigenlijk gedaan willen hebben. Wat voor software wil je getest hebben? Wat is het voor software? Hoe werkt het? Waar zit de gevoelige informatie? En dan gaan we aan de hand daarvan kijken. Maken we een inschatting voor hoe lang we ermee bezig zijn? Ja, dan gaan we eigenlijk altijd met z'n tweeën aan de gang.

Randal Peelen:
[4:10] We hebben laatst een aflevering gemaakt. Die ging eigenlijk ook over cybersecurity. Dat was met Dave Aaldering van SPL Security. En die heeft eigenlijk zoiets gezegd als... Op dit moment zijn er veel te weinig cybersecuritybedrijven. De lat komt steeds hoger te liggen NIS 2 komt eraan, dus er is ook regelgeving Over dat je erover na moet denken En je beveiliging op orde moet hebben In steeds grotere mate, Maar, het is natuurlijk ook steeds meer Een cowboy wereld daar buiten Vroeger werden vooral grote bedrijven gehackt Steeds meer zie je dat dat ook MKB wel treft, Ja, dan heb je wel meer handjes nodig Om dat allemaal veilig te houden En nu hoor ik jullie zeggen Wij vinden die kwetsbaarheden wel Dan krijg je een rapport en adviezen En dan zeggen we toedeledokie Wie mag dat dan gaan patchen?

Wietse Boonstra:
[4:55] Ja, de softwareleveranciers of de netwerkbeheerders. Ik bedoel, wij zijn geen netwerkbeheerders. Of wij weten hoe we in één keer jullie netwerk dicht moeten timmeren. Of er zijn duizend en één soorten firewalls. Dus dat kunnen wij niet. Wij kunnen adviseren, kijk hierna, kijk zo. Pas dit wellicht aan. We geven een advies. Je hoeft dat niet per se op de letter te volgen.

Hidde Smit:
[5:19] Ja, het is ook moeilijk om goed advies te geven. Ik bedoel, je vindt iets. En dan zeg je van, nou ja, dat zou je zo moeten oplossen. Maar misschien dat die organisatie niet op zo'n manier iets kan oplossen. Wij hebben dus niet de context van hoe het echt uitziet. Het hele interne verhaal.

Randal Peelen:
[5:34] Je kijkt van buiten naar binnen.

Hidde Smit:
[5:36] Ja, weet je wel. Dus wij hebben niet alle context. Dus dan is het soms heel moeilijk om echt passend advies te geven. En daarom moet dus eigenlijk iemand daar intern dat weer bekijken, beoordelen. En daar moet ze dan een plan voor opstellen. Je kan niet altijd één op één alle adviezen overnemen.

Randal Peelen:
[5:49] Nee, dat snap ik. En je hebt ook zoiets als red teaming en blue teaming. Dus dat je de boefjes tegen de politie laat vechten. En dan kijken wie er wint. En dan is het vaak ook wel leerzaam. Daar komen soms ook wel dingen bij. Als dat je jezelf bij de receptie naar binnen probeert te lullen. En dan iemand spasje probeert te klonen. Om ze op de juiste verdieping te kunnen komen. Is dat ook iets wat in jullie wereld gebeurt?

Hidde Smit:
[6:13] Als pentester niet echt. Als pentester is het gewoon van. Dit is de scope. Ga bezig. En vind zoveel mogelijk En wij houden ons dus ook niet bezig met stil zijn Bij een redteam wil je niet ontdekt worden Je wil stilletjes zijn Je wil niet de blue team een alert geven Dus bij een pentest is het gewoon Je hebt zoveel tijd, dat is de scope Ga bezig, sloop het helemaal Niet altijd, het ligt of het, Acceptatieproductie is Ga gewoon bezig, probeer zoveel mogelijk Te vinden in de tijd die je hebt.

Randal Peelen:
[6:43] Maar bij iemand langsgaan is natuurlijk Wel degelijk ook een pentest Kan het zijn.

Hidde Smit:
[6:49] Ja, volgens mij gaat dat meer in de term van een redteam meestal, denk ik. Ik heb het nog nooit gedaan in ieder geval.

Wietse Boonstra:
[6:56] Ik ook niet.

Randal Peelen:
[6:56] Maar hoe gaat dat dan in z'n werk? Want als jij gewoon lekker thuis of vanuit kantoor gaat zitten werken en je wil overal bij proberen komen, dan krijg je dan ook bepaalde toegang, zeg maar? Ga je het VPN op of rij je juist naar dat kantoor of wil je juist simuleren dat je volledig buitenstaander bent?

Wietse Boonstra:
[7:16] Eigenlijk doen we van alles wel een beetje. Want soms wordt er gevraagd, kun je van buitenaf kijken of de deur dicht zit of de ramen dicht zitten. Dus dan testen we dat vanaf het internet. Maar we krijgen ook wel heel vaak toegang tot het netwerk middels een VPN. Of we gaan er naartoe. Of er wordt een VM of virtuele machine in hun netwerk gezet waar we toegang tot krijgen. En van daaruit kijken we dan verder. En dan simuleren we eigenlijk al dat we in het netwerk zitten. Dus dat zal de firewall voorbij zijn. Of een account gecompromised hebben.

Hidde Smit:
[7:50] Eigenlijk doen we nu alles alleen nog maar remote praktisch. Tenzij het netwerk dat we moeten testen niet benaderbaar is. Via een VPN of wat dan ook. Maar bij een vorige baan ging ik dus altijd met een laptopje langs de klant. En dan ging je gewoon tussen de medewerkers zitten. Pak je kabeltje uit de TIN client. Haar je eruit. Doe je je eigen laptop. En dan ga je bezig vanuit een KA werkplek.

Randal Peelen:
[8:10] En als het goed is krijg je dan geen IP. Want dan denk je. Je bent zo lekker bezig. Moet ik beter mijn best doen.

Hidde Smit:
[8:14] Een NAC was er niet altijd. En anders moest je gewoon het MAC-adres klonen. En dan werkt het ook wel. Tenzij het op certificaat is natuurlijk.

Randal Peelen:
[8:22] Dan draai je je hand niet voorom. Oké, dus dat is jullie day job. We gaan het nu hebben over iets dat je eigenlijk voor de lol slash hobby hebt gedaan. Hoe ziet die hobby eruit? Mag ik een hobby noemen? Je bent dus overdag aan het hacken en dan denk je s'avonds, nou, ga ik ook nog even hacken.

Hidde Smit:
[8:37] Ja, klinkt wel sneu eigenlijk.

Randal Peelen:
[8:39] Als dat je roeping is, dan... Ik wou dat ik zo makkelijk was.

Wietse Boonstra:
[8:44] Ja, nou ja, ik zeg altijd, we hebben geen leven, dus wij... In dit geval ook. Ik heb die zonnepanelen thuishangen, dus ik denk, ja, dan gaan we eens kijken. Wat doen ze? Maar ik doe dat niet alleen met zonnepanelen. Ik doe het... Ik heb een grasmaaierrobot in de tuin rondrijden. Daar heb ik exact hetzelfde mee gedaan, dus dat...

Randal Peelen:
[9:01] Was die ook lek?

Wietse Boonstra:
[9:02] Ja, dat kon ze ook allemaal van dat merk over de hele wereld overnemen. Het verbaast me eigenlijk. Ja, mij wel. Ik weet niet, als we iets binnenkrijgen, dan gaat het eigenlijk al meestal kapot. Dus dan moet het gewoon los of kijken hoe het werkt. Laten we maar eens kijken.

Hidde Smit:
[9:22] Ja, ik bedoel, een pentest, dan heb je één of twee weken de tijd. Dat is gewoon niet genoeg, niet altijd in ieder geval. Soms dan denk je van, ja, maar hier zit wel iets. Het voelt niet goed. Goed, en dan ga je s'avonds verder gewoon onderzoek doen. Maar ja, dan kan je één of twee maanden bezig zijn. Dan vind je misschien wel wat, of je vindt niet, maar je vindt niks. Maar ja, dat kan je niet zo bij een klant neerleggen, weet je wel. Dus dat doen we dan gewoon in onze vrije tijd. En meestal begint het met één van ons die een berichtje stuurt op Slack. Zo van, je moet even hier naar kijken. Ik zit ernaar te kijken en volgens mij zit er wel wat, weet je wel. En zo gaat het dan. En dan, oh, nou is goed, ik schuif morgen aan. En dan ga je zelf ook even verkijken. Nou ja, dan maak je aantekeningen, dat deel je. En dan elke dag even berichtjes. Oh, heb je daar al naar gekeken? Ja, nee, nee. Ga ik daar nou naar kijken. Zo zit je dan samen overal naar te kijken.

Wietse Boonstra:
[10:08] Ja, maar we hebben ook wel gehad hoor. Nu hebben we dan wel een paar maanden tijd erin gestoken. Maar het is ook eens kleine stapjes verder. Maar we hebben ook wel een stuk stof met z'n drieën onderzocht. Nou, we zijn maanden mee bezig. We hebben gewoon helemaal niks. Het enige wat we gemaakt hebben is een key generator. En dat was het zeg maar. Dus ja, helaas.

Randal Peelen:
[10:25] Nou ja, dat is ergens ook wel weer goed nieuws. Ik bedoel.

Wietse Boonstra:
[10:28] Voor ons niet. Voor ons is er echt geen klap aan dat we niks vinden. Tenminste, dat heb ik. Jij ook, denk ik.

Hidde Smit:
[10:34] Het is zonde. Want ik bedoel, je kan je tijd maar één keer besteden. Dus ik ben of aan het gamen, of met mijn vriendin tijd aan het spenderen, of aan het hacken. En als je dan gaat hacken en er komt niks uit, dan is het echt heel te lustig.

Randal Peelen:
[10:46] Hoe is dit op jullie pad gekomen? Want ik vind het wel even interessant... Als je er in je vrije tijd mee doorgaat. Ja, dan vind je het gewoon ook wel heel leuk. Of in ieder geval belangrijk misschien. Ik kan me ook wel dingen voorstellen die ik zou doen uit een soort van plichtsbesef. Of gewoon een moreel kompas misschien. Of zo. Ik weet het niet. Maar is het echt gewoon puur voor de lol? Of is het ook wel, ja, ik weet niet, dat je vindt dat je dat moet doen of zo. Dat het juist is.

Hidde Smit:
[11:12] Misschien ook wel nieuwsgierigheid. Zo van, ja, hier moet ik gewoon naar kijken. Maar misschien ook een soort van een stukje ere. Als je ernstig mee begonnen bent, dan heb je niet zo van, ik ga ermee stoppen. Nee, dan is het gewoon van, ga gewoon door. Er moet wat uitkomen. Daarom is het ook extra teleurstellend als er niks uitkomt.

Randal Peelen:
[11:30] Ik heb ook wel eens podcasts zitten editen die volgens de opdrachtomschrijving al lang en breed af waren. Of hadden moeten zijn. Dat ik denk, ja, weet je, ik kan dit niet publiceren. Want dan slaap ik minder goed. Dus ik ga door. En dat is...

Wietse Boonstra:
[11:43] Ik denk dat bij mij ook wel een beetje een verslaving is op een gegeven moment. En dat je denkt, dit is leuk om in te duiken. En te kijken waar het heen gaat. En kan het kapot. En dat is denk ik in dit geval was voor mij zoiets van.

Randal Peelen:
[11:56] Wat ik wel heel mooi vind is wat je zegt. Ik vind het vervelend als het me niet lukt. Terwijl ik als opdrachtgever zeg. Nou kunnen jullie me hacken. Twee weken later. Nee, niet gelukt. Ik ben blij. Jullie niet. En kijk, ik ben een ontzettende ADRD'er. Dus ik wil gewoon nu dopamine. Nu succes. Nu iets voor elkaar boksen. Nu beloning. Terwijl, ja, jullie hebben wel een baan waarin die beloning best wel eens ver weg kan liggen. Je weet niet eens zeker of je hem krijgt. En ik stel me wel voor dat je daar een bepaald slag mens voor hebt. Dus stel je voor dat ik de capaciteit wel heb om te kunnen hacken. Dan zou ik nooit het geduld op kunnen brengen. Dus het is wel een bepaald soort mens, denk ik.

Hidde Smit:
[12:32] Je moet echt die drive hebben. Als je niet die drive hebt. Je hebt sommige mensen die gaan googlen. Oh, nou komt niks uit op Google. Dan zal het wel veilig zijn, weet je wel. Dat is niet hoe het werkt.

Wietse Boonstra:
[12:42] Bij mij is het heel erg dat ik, nou jij zegt ADHD, maar volgens mij heb ik dat ook. En ik schiet de hyperfocus in en ik ga gewoon helemaal de code door, net zo lang. En ik stel eigenlijk aan het begin een doel van ik wil toegang tot dit systeem krijgen. En dan ga ik ook net zo lang klooien, prutsen, totdat ik dat heb, zeg maar. Of dat ik er heel erg zeker van ben, oké, het lukt niet.

Randal Peelen:
[13:06] Het hoeft geen psychologie podcast te worden, maar ik kan dat wel hebben bij vlagen over bepaalde onderwerpen. Maar ik heb dan nooit jarenlang over eenzelfde onderwerp gehad.

Wietse Boonstra:
[13:15] Ja, absoluut. Ja, maar volgens ons is het elke dag anders eigenlijk. Nou ja, misschien in de zonnepanelen niet. Maar als wij testen ben je een week bezig met applicatie X. En daarna ben je met een andere applicatie bezig. Of een andere programmeertaal. En dat maakt het dan weer uitdagender. Weet je, oh, dit werkt weer op een andere manier.

Randal Peelen:
[13:34] Heb je daar ook een achtergrond in? Ik denk dat als je of heel goed snapt hoe netwerken of hardware werkt. of je kunt aardig een beetje programmeren, dat je kansen wel groter zijn om in dit vak succes te hebben. Je moet wel weten hoe dingen werken.

Wietse Boonstra:
[13:49] Ja, ik ben elektricien, maar ik ben wel opgegroeid in de techniek. Mijn vader hekte eigenlijk ook alles wat losse vaste, maar dan met hardware. En ik zei als klein kind, ik wil graag dit hebben.

Randal Peelen:
[14:01] Toen noemde je dat nog geen hekken, denk ik misschien.

Wietse Boonstra:
[14:03] Nee, nou ja, ik weet het niet. Ik zei, pap, ik wil graag dit. En pap was, hij kan niet. En drie dagen later lag er iets omgebouwd op tafel wat deed wat het moest doen. Ja, dat is denk ik hekken in de puurste vorm. Ja, en dat noemde je toen niet hekken.

Randal Peelen:
[14:15] Autodidactische, pragmatische nerds die doorzettingsvermogen hebben. Dan ben je eigenlijk al wel een hacker.

Wietse Boonstra:
[14:20] Ja, nou ja, dat.

Randal Peelen:
[14:22] Laten we in het NV's verhaal duiken. Want jullie hebben een artikel gepubliceerd. En ik vond het een heel sexy persbericht. Daar stond DIVD responsibly discloses 6 new 0D vulnerabilities to vendor. Ik had ook een kop kunnen schrijven die zegt... 4 miljoen zonnepaneelomvormers zijn knijteronveilig. Red jezelf. Waar is het begin van dit verhaal? We hadden een luisteraar die heeft een vraag ingestuurd, vond ik wel heel goed. Annelies Verhelst, zat trouwens in de vorige aflevering, dus is er nog wel een luisteraar. Explain this to me like I'm five.

Wietse Boonstra:
[15:04] En dan de zonnepanelen, hoe we dit, ja maar goed, het hacken is dus gewoon, we vinden kwetsbaarheden, maar wat de DVD gedaan heeft, heeft het aan de vendor, Dus degene die de zonnepanelen gemaakt heeft. Of het kastje die de boel regelt.

Randal Peelen:
[15:20] Dat is toch de omvormer?

Wietse Boonstra:
[15:23] Nou, in dit geval niet helemaal. Maar het is het brein. Deze zonnepanelen hebben allemaal micro-omvormers. En die worden allemaal los aangestuurd door dat kastje.

Randal Peelen:
[15:31] Dus een derde kastje in je huis?

Wietse Boonstra:
[15:33] Elk zonnepaneel heeft een klein kastje waar hij aan vast zit. En die praten met het brein.

Randal Peelen:
[15:40] En dat brein zit fysiek wel in de...

Wietse Boonstra:
[15:43] In de meterkast.

Randal Peelen:
[15:44] In de meterkast? Oké, dat wist ik dan weer niet. Oké.

Wietse Boonstra:
[15:49] Dus dat ding stuurt alles aan. Communiceert ook met de cloud. Krijgt updates. Noem het allemaal maar op. Dus die hebben we onderzocht.

Randal Peelen:
[15:57] Maar die hinkt bij jou thuis. Daar is het verhaal begonnen.

Wietse Boonstra:
[15:59] Daar begon het. Ik ben een paar jaar geleden verhuisd. Ik zei nou, nu ik hier ga wonen. Blijf ik hier wonen hopelijk voor de rest van mijn leven. Nu zonnepanelen. Dus toen heb ik voor dat merk gekozen. Omdat het een Amerikaans merk was. En ik denk nou weet je. Ik hoef geen Chinese spullen in mijn huis.

Randal Peelen:
[16:14] Ik voel mij aangevallen.

Wietse Boonstra:
[16:16] Want?

Randal Peelen:
[16:17] Ik heb wel Chinese spullen in mijn huis.

Wietse Boonstra:
[16:19] Ja, oké, oké. Nou, dat wou ik dus niet.

Randal Peelen:
[16:23] Snap ik.

Wietse Boonstra:
[16:24] Ik denk, nou, Amerikaans spul zal wel iets beter gecheckt zijn en dat soort dingen. Maar ja, dat was het dus niet.

Randal Peelen:
[16:31] Maar het is ook wel oudshorst. Het is nieuwsgierigheid. En die vat ik. Maar het is natuurlijk ook wel een klein beetje eigenbelang in dit geval. Het is voor jou fijn dat dat ding veiliger is.

Wietse Boonstra:
[16:43] Nou, voor mij is het eigenlijk meer, als jij mij zo'n ding verkoopt, Dan mag ik er toch aan zitten om te kijken of het veilig is. En dat is meer de uitdaging voor mij. Het is niet van, ik had ze ook gewoon niet aan het netwerk kunnen hangen. Dan was het ook prima geweest. Ik hoef niet per se statistiekjes te zien van hoeveel stroom ik opwek en dat soort dingen.

Randal Peelen:
[16:59] Tot zover deze aflevering van met nerds om tafel. Want er zijn hier geen nerds te bekennen.

Wietse Boonstra:
[17:05] Jawel, maar anders denk ik dus. Nee, dat is mijn uitdaging. Ik vind statistiek ook leuk. Maar op een gegeven moment denk ik, nu levert het weer dezelfde dag.

Randal Peelen:
[17:17] Ik heb dezezelfde frustratie. Dus ik heb mijn omvormers, zijn er twee van verschillende merken. En die hangen allebei op een manier in mijn netwerk waar ik zelf niet gelukkig of trots mee ben. Maar ik heb nou een keer een router die niet beter dan dit ondersteunt. En daar moet ik op een dag wel wat mee. Dat is... Iets waar ik me heel bewust van ben. Maar ook elke dag dat dat ding tussen aanhalingstekens open staat. Ik bedoel, mijn netwerk is nog steeds wel beveiligd op een manier die te doen gebruikelijk goed genoeg zou moeten zijn. Maar zodra mijn omvormers geowned zijn, iemand zit erin, dan kan die wel meer dan mij lief is. Dat jeukt mij wel.

Wietse Boonstra:
[17:58] Ja, dat snap ik. Maar goed, als het maar smart is, dan is het toch wel te hacken, denk ik.

Randal Peelen:
[18:04] Ik denk dat mijn tv is inmiddels al gehackt. Mijn omvormers zijn al gehackt. Zo kan ik mijn netwerk wel afgaan. Dat staat inderdaad genoeg.

Wietse Boonstra:
[18:14] Ja, precies. Ik denk dat je daar rekening mee kan houden als je dat wil in ieder geval.

Randal Peelen:
[18:19] Kun je iets vertellen over die zes kwetsbaarheden?

Wietse Boonstra:
[18:23] Niet in details volgens mij nog. Maar het zijn.

Hidde Smit:
[18:29] Drie fases zoals het ware. Dus we hebben een kwetsbaarheid gevonden die werkt voor oude versies. En als jij dan je omvormer aan het internet hebt hangen. Want er zijn dus mensen die dat hebben. Dus als je Shodan, dat is de Google zoekmachine voor apparaten die aan het internet hangen. Shodan.io Daar kan je dus zoeken naar die omvormers. En dan vind je er honderd of zo. En als die dus verouderd zijn, dan met de eerste kwetsbaarheid kan je die dus overnemen. Dat is de eentje. En de andere is, die had Wietse dan gevonden in de afgelopen paar maanden. Dat je de nieuwste versie kan overnemen. Maar dan moet die dus alsnog aan het internet hangen. Om erbij te kunnen. En dan eigenlijk de derde fase, dat was het laatste deel. Dan kan je er via de monteursportaal erbij. En dan kan je ze allemaal overnemen. Ik denk dat dat een beetje hoog over opgesplitst is. Wat die kwetsbaarheden inhoudt.

Randal Peelen:
[19:28] Dus je kunt ze eerst vrij makkelijk vinden. Nou, dat is altijd wel zo, denk ik. Met alles wat aan de cloud hangt.

Hidde Smit:
[19:32] Ja, maar ze hangen dus niet allemaal aan het internet. Het zijn er maar een paar honden. Dus die mensen hebben misschien niet goed geconfigureerd. Of die monteurs hebben gewoon...

Wietse Boonstra:
[19:40] Nou, vooral dat. Ik denk dat het monteur is dat je gewoon het IP-adres invult. En je komt op het kastje uit.

Randal Peelen:
[19:45] Nee, maar als ik op jouw verjaardagsfeestje ben. En ik zeg, joh, wat is je wifi-wachtwoord? Dan ben ik er ook.

Wietse Boonstra:
[19:50] Ja, dat ook. Jij hebt het gehad dat je bij een Airbnb zat, toch? Waar je ook in het netwerk hing.

Hidde Smit:
[19:55] Ja, ik zat in Texel.

Randal Peelen:
[19:58] Op Texel?

Hidde Smit:
[19:59] Op Texel. Klik op dat marktknopje. Maar ja, ik was thuis zo. En toen was ze een beetje aan het vertellen. Ik zeg ze, oh jullie hebben ook zonnepanelen. Ik zeg ze, heb je van Enphase? Ja, van Enphase. Ik zeg ze, dat is niet goed hè. Hoezo dan? Ik zeg ze, dat is niet veilig. Nou volgens, het wifi was wel afgeschermd. Maar de tv die zat, nou ja het was wel helemaal netjes weggewerkt. In de muur die tv. Dus ik kon niet het kabeltje eruit halen. Maar de tv zat op een kabeltje. Dus die zat wel gewoon op het thuisnetwerk. Dus ik kon via de internetbrowser van de tv naar de omvormer toe om even te kijken of die kwetsbaar was.

Randal Peelen:
[20:34] Oh, wat ben jij gezellig op feest.

Hidde Smit:
[20:36] En daarna heb ik dus een betoog op LinkedIn geschreven dat ze die tv dus ook maar op het gasten wifi moet doen. Want dat is anders onveilig. Maar ik kon dus gewoon ook zien wanneer ze de wasmachines, dat soort dingen. Ik kon gewoon zien wat ze thuis deden als wij druk waren.

Randal Peelen:
[20:50] Ja, dat is wel vet hoor. Oké, dus dan heb je dat ontdekt. Er zijn een aantal kwetsbaarheden. Je zegt ook van dit zijn hypothetische scenario's waarin je dat kan misbruiken. Maar ik moet wel zeggen, zodra je niet... 4 miljoen van die dingen op internet treft. En er ook niet zomaar bij kan. Ja dan is het natuurlijk wel van een bepaalde. Mate van urgentie zeg maar. Dan denk ik bij deze van. Is het te overzien of ben ik dan naïef.

Wietse Boonstra:
[21:13] Nee maar de echte. De high impact kwetsbaarheid. Was dat ik ze allemaal. Via de installer portal. Kon benaderen en daarmee kon ik ze. Kon ik ze aan of uitzetten.

Randal Peelen:
[21:26] Maar alleen die 400.

Wietse Boonstra:
[21:28] Nee allemaal.

Randal Peelen:
[21:30] Allemaal. Als.

Wietse Boonstra:
[21:31] Ze maar een verbinding hebben met internet Dus dan Je.

Hidde Smit:
[21:35] Hebt het verschil van de omvormers Die rechtstreeks aan het internet hangen Omdat.

Randal Peelen:
[21:39] Ze onveilig geconfigureerd zijn En je.

Hidde Smit:
[21:42] Hebt alles dat aan het Portaal hangt.

Randal Peelen:
[21:44] Maar hier heb je in potentie Flink klopken Kloot op het stroomnet Als je allemaal tegelijk down tieft Iemand zei.

Wietse Boonstra:
[21:55] Je moet er geen mossen mee gaan oefenen.

Randal Peelen:
[21:56] Nee Dan ga je het stroomnet flinke tikken geven Ja.

Wietse Boonstra:
[22:01] Ik weet niet precies hoeveel ervoor nodig is in Nederland. Maar ik denk wel dat we in Europa wat schade hadden kunnen aanrichten. Als je ze gaat laten flipperen.

Randal Peelen:
[22:10] We hebben een aantal afleveringen gemaakt over het stroomnet. En in theorie noemen ze dat in heel Europa een kopere plaat. Dus in theorie kan iedereen ergens in Europa iets opwerken. En het elders in Europa gebruiken. Dat is in de praktijk ook wel zo. Maar je hebt wel laagmidden hoogspanningsnetten. Die wel echt losse eilandjes zijn. En het is niet zomaar van de ene kant van Nederland in de andere.

Wietse Boonstra:
[22:30] Nee, maar als jij... Ik denk als jij in heel Noord-Nederland alles uitzet...

Randal Peelen:
[22:35] Maar wijken, provincies of gemeentes platleggen... Zo minimaal wel.

Wietse Boonstra:
[22:40] Ja, maar ik ben benieuwd... Ik heb het niet geprobeerd, maar ik ben wel benieuwd wat er gebeurt... Als je Noord-Nederland gewoon zonnepanelen uitschakelt... En dan in het zuiden aan... En dat de hele tijd heen en weer laat gaan. Wat gebeurt er dan uiteindelijk?

Randal Peelen:
[22:53] Nou ja, en je kunt in veel omvormers... Zeker als je die monteursportel bent... Ook instellen vanaf... Kijk, als jij op een gegeven moment te veel stroom opwekt, dan zie je in de straat het voltage stijgen. Nou, dat is binnen een bepaalde bandbreedte niet gek, want je zit altijd tussen de 220 en de 240. Soms een uitschieten naar 250, daar gaan de meeste apparaten ook niet kapot van. Maar jouw omvormer moet dus weten van nou, bij 240 ga ik gewoon stoppen met leveren. Want anders, terwijl als jij dat uitzet, je gaat moedwillig 300 volt net opgooien.

Wietse Boonstra:
[23:23] Vraag maar af of die, volgens mij zijn ze daartegen beveiligd, maar dat weet ik niet zeker.

Randal Peelen:
[23:27] Als je die beveiliging uit kunt zetten.

Wietse Boonstra:
[23:30] Ja, maar ik weet niet of die... Ja, natuurlijk zou andere firmware erin kunnen flashen en dat soort dingen.

Hidde Smit:
[23:34] Het is gewoon root toegang. Dus je kan de code die daarvoor verantwoordelijk is, zou je kunnen aanpassen.

Randal Peelen:
[23:38] Ik heb in mijn omvormer een keer ingelogd en ik zag een parameter. Ik heb... Voor de zekerheid maar niet getest wat ik daarin kon vullen.

Hidde Smit:
[23:46] Maak mij te bang.

Randal Peelen:
[23:47] Ik heb daar ook geen zin in.

Wietse Boonstra:
[23:49] Nee, maar ja. We hebben het allemaal niet verder getest. Zo gauw we dit zagen. Want ik kon ze echt gewoon zeggen. Stop maar met het stroom aan het net leveren. Of zet maar weer aan. Toen hebben we het eigenlijk direct gemeld. Oké, dit gaat te ver dus. En ik heb dat allemaal getest. Ik heb drie van die Enphase kastjes. Vier zelfs. Ik heb er twee thuishangen. En twee gekocht om mee te testen. En daar heb ik het eigenlijk alleen maar op gedaan. Want ik heb ondertussen wel eentje gebrikt uiteindelijk. Dus mijn productie per ongeluk. Doordat ik een verkeerd IP-adres ingetypt had.

Randal Peelen:
[24:19] Dat zou ik wel schappelijk vinden van ze. Dat ze even een nieuwe sturen.

Wietse Boonstra:
[24:21] Nou ja, goed. Ze hebben het allemaal weer gefixt. Dus dat hebben ze echt wel gedaan. Maar die kwetsbaarheid die we vonden. Die hebben ze binnen 24 uur opgelost. Dus dat was echt supersnel.

Randal Peelen:
[24:33] En neem me dan eens mee in dat verhaal. Want je hebt nu iets gevonden. En dat snap ik. Maar meestal heb je een klant. Die vindt het. Die heet jou van harte welkom om een pentest te doen. Dit keer meld je iets waar zo'n bedrijf niet per se op zit te wachten natuurlijk. Er zijn natuurlijk bedrijven die daar beter mee omgaan dan anderen.

Wietse Boonstra:
[24:50] Ja, ik moet zeggen, deze duurde even voordat we contact met ze hadden. Maar uiteindelijk, toen we eenmaal contact hadden, kregen we ook gewoon een teamsmeeting. En uitleggen, wat heb je gedaan?

Randal Peelen:
[25:05] En hoe ging dat dan? Je wil contact, je gaat naar hun site.

Wietse Boonstra:
[25:08] Ja, we hebben wat mensen binnen de DIVD die dat makkelijker contact leggen.

Randal Peelen:
[25:14] Ja, want je hebt het wel gelijk via DIVD gespeeld.

Wietse Boonstra:
[25:16] Ja, dat doe ik meestal wel.

Randal Peelen:
[25:18] Kun jij schetsen voor luisteraars die dat niet weten wat DIVD is?

Wietse Boonstra:
[25:22] Wil jij dat doen?

Hidde Smit:
[25:23] Moet ik dat doen?

Wietse Boonstra:
[25:24] Ja, doe.

Hidde Smit:
[25:25] Oké.

Randal Peelen:
[25:26] Het wordt te ongemakkelijk als je het niet doet.

Hidde Smit:
[25:28] Het kent twee onderdelen eigenlijk. Ik bedoel, Wiets en ik doen dus de zero days, dus de security onderzoeken. Er komen kwetsbaarheden uit en dat melden we dan aan de dvd. En de dvd ondersteunt ons dan met het vinden van een communicatiekanaal naar de vendor, de ontwikkelaar, de eigenaar. En dan die houdt dat communicatiekanaal open en actief om te monitoren of het opgelost is en dan publiceren ze het. En wat de dvd nog meer doet is bekende kwetsbaarheden, waar die van ons dan bij opkomen. die monitoren en dan het internet afscannen en kijken wie er kwetsbaar is. Dus af en toe heb je zo'n hele grote kwetsbaarheid dat bedrijven treft. En dan gaat de DVD het internet afscannen. Maar wat wij voornamelijk de DVD voor gebruiken is de security onderzoeken.

Wietse Boonstra:
[26:18] Dus ja, de DVD meldt dus gewoon. Ze scannen het internet. Of is er een bekende kwetsbaarheid? Die scannen ze af het internet en dan melden ze dat aan de personen die kwetsbaar zijn.

Randal Peelen:
[26:29] Ja, we hebben ze vaker op bezoek gehad, mensen die daarbij betrokken zijn, de Dutch Institute of Vulnerability Disclosure. Maar wat ik het mooist vind, we hebben recent een clubhuis meet-up gedaan bij hen op kantoor. Dat was ook wel mooi en gezellig. Ze vinden het steeds minder leuk dat ik ze de vrijwillige digitale brandweer van het internet noem. Maar totdat zij een betere slogan hebben verzonnen, blijf ik het wel doen. En ik vind dat wel mooi. Het hangt wel vooral van vrijwilligers aan elkaar, toch?

Wietse Boonstra:
[26:54] Ja, alleen maar, denk ik. Ja, zo is het begonnen. Dus ja, ik denk dat dat belangrijk is. Ik denk dat mensen het ook, daar zitten die het leuk vinden om te doen.

Randal Peelen:
[27:09] Hoe gaan mensen zich hier nou tegen beveiligen? Want ja, je wil eigenlijk het liefst dat zo'n partij gewoon petjes uitbrengt die uitrolt. En dat het allemaal de volgende dag veilig is.

Wietse Boonstra:
[27:19] Ja, dat zijn ze nou ook aan het doen. Of hebben ze gedaan. Ze hebben al de laatste versie uitgerold. En ja, wat je kan doen, wat jij ook zegt. Gewoon thuis het liefst in een eigen netwerkje knuppen. En niet aan internet hangen. Ja, weet je. Dan denk ik dat je moet afvragen. Zijn die statistieken echt zo belangrijk dat het apparaat überhaupt in mijn netwerk moet zitten? Dus daar heb ik veel.

Hidde Smit:
[27:41] Misschien je eigen IP-adres even poortscannen. Kijken wat eruit komt. Ik heb mijn modem toen vervangen voor mijn eigen hardware. Dan denk je dat je het goed hebt geconfigureerd. Maar toch even paranoïde even poortscannen. Want wie weet heb je toch iets fout gedaan. Dus ja, als je een nieuw apparaat ofzo. En die monteur doet dat allemaal voor jou. Ik zou hem niet helemaal vertrouwen. Misschien toch even dubbelchecken.

Randal Peelen:
[28:05] Ja, ik denk als je een menig apparaat aansluit. En je zegt next, next, next tot het werkt. Dan weet je in ieder geval dat het werkt. En dat is fijn. Maar that's it. Dat betekent dat alles op standaard setting staat.

Hidde Smit:
[28:16] Dan werkt het ook voor iedereen. Ja.

Randal Peelen:
[28:20] En dan maken we nu een moment voor de sponsor van deze aflevering. Team Leader Focus. Terug van weg geweest. En Jurian is er even niet. Dus ik vertel het verhaal even in mijn eentje. Je weet vast hoe frustrerend het is om aan het eind van een project te merken dat je nauwelijks winst hebt gemaakt. Zelf zit ik ook wel eens met het gevoel dat ik het overzicht verlies. en ook niet meer precies weet wat er allemaal binnenkomt of wat eruit gaat. En dan voelt het soms als een constante strijd om alles in de gaten te houden. Daar wil ik gewoon geen gedoe mee hebben. Kijk, ik hou elke maand gewoon geld over, dus dan zal het wel goed zijn, denk ik dan. Maar soms raak je echt even de draad kwijt. Een aantal afleveringen geleden hebben we ook al verteld over Team Leader Focus. En ik herinner me opeens dat ze toen ook al zo handig klonken. Met Team Leader Focus kun je namelijk al je inkomsten, uren, taken en deadlines op één plek beheren. Zo weet je dus precies wanneer je buiten budget dreigt te gaan. Klinkt ideaal, toch? Geen constant stressen meer over budgetten. En als een project klaar is, dan stuur je met één klik een factuur naar de klant. Dat zou mij echt een hoop stress schelen. Alles op één plek, zodat ik precies weet waar ik aan toe ben. Dus voor alle MKB'ers die luisteren. Check focusopjebedrijf.nl en ontdek hoe Teamleader Focus je kan helpen om winst te maken op al je projecten. Het is echt dé bedrijfssoftware die je leven makkelijker maakt. Ga naar focusopjebedrijf.nl en ervaar het zelf. Heb je nog uitdagingen? Want we hebben nu dit verhaal getekken. Maar het komt vast ook wel eens voor dat een bedrijf minder blij is dat je zo'n melding doet.

Hidde Smit:
[29:43] Ja, ik heb het één keer meegemaakt. Dat was ook mijn reden om bij de DVD te gaan. Ik had tijdens mijn werkwank wat tegen. En dat heb ik in mijn vrije tijd verder onderzocht. En toen kon ik overal, ondanks dat registratie uitstond, kon ik registreren en ik kon mezelf de adminrechten toekennen.

Randal Peelen:
[30:03] Ja, dat is niet zo goed.

Hidde Smit:
[30:04] Nee, dat was dus niet zo al te best. En dat trof allemaal organisaties. Zoals Digizet ofzo. En KVK. En een paar van die grote partijen. Dus die heb ik allemaal netjes gewoon gemaild. Van yo, dit en dat. En haal het misschien van het internet af. Net zolang totdat de Vendel het heeft opgelost. Want het was ook niet zo moeilijk. Dus toen heb ik dat gedaan. En daarna hadden ze gereageerd. Gingen ze het oplossen. Wat je dan normaal doet is. is zo van, omdat, dat zit in die versie en nadat ze het gepatcht hebben, zit het er niet meer in. Dus die versie in lager is allemaal kwetsbaar. Dus wat je dan wil doen, dan wil je daar een CVE, zo'n nummertje wil je eraan toekennen, zodat de hele wereld weet.

Randal Peelen:
[30:45] CVE?

Hidde Smit:
[30:46] Ja, dat is een Common Vulnerabilities Exposure, bedacht door de organisatie Mitre. En die hebben dus een lijst met CVE's en een CVE is dus gewoon een nummertje. En dan, als je daar dan en op klikt, dan staat het zo van, nou, dit product, die versie, en in hoog overtaal wordt het beschreven van deze kwetsbaarheid, en zo ernstig is het ongeveer, wordt een score aan toegekend.

Randal Peelen:
[31:07] Doe me een beetje denken aan RFC's. Het is wel publiek, en het heeft een nummertje.

Hidde Smit:
[31:11] Ja, alleen dan voor kwetsbaarheden, ja. Dus ik zeg ze van, nou, goed dat je het opgelost hebt, ik ga er een cv voor aanvragen, en dan weet de hele wereld in ieder geval dat ze even moeten updaten, weet je wel, want anders wordt het allemaal onder de pet gehouden, niemand weet dat dit speelt en opgelost wordt, want in de changelog staat ook niet dat er een kwetsbaarheid zat. En toen kreeg ik dus van de CTO een hele dreigende mail. Zo van, je gaat niks publiceren. En zo gauw er wel wat gepubliceerd wordt. Dan is dat smaak en lastig ofzo.

Randal Peelen:
[31:38] Is het ook altijd een bedankje of een taart of een t-shirt gestuurd? Of is het alleen maar...

Hidde Smit:
[31:42] Nee, niks. Gewoon met een boze mail is het geëindigd. Dus dan acties van...

Wietse Boonstra:
[31:47] Daar heb je vaak hoor. Dat je iets meldt en dan zie je... Of je hoort niks meer. En dan zie je later, oh het is gefixt.

Randal Peelen:
[31:52] Oh ja.

Wietse Boonstra:
[31:53] Ja, dus het is vooral...

Hidde Smit:
[31:55] Ik had toen mijn vriendin. Die ging naar de sportschool. En dan moest ze gewogen worden. Op zo'n fancy systeem en alles. Werd uitgeprint. Even de bedrijfsnamen zoeken. En ik eindigde in een... Microsoft Storage van regio Azië, Europa en Amerika. En ik kon van iedereen de gewichten en de hele dossiers van mensen. Ik kon gewoon alles eruit halen. Heb ik gemeld. Niks van gehoord. Super moeilijk ook. Want ik ben ook het regio kantoor alles afgebeld. Gemailed. Berichtjes op LinkedIn. Nou, ze hebben het opgelost. Maar nooit wat van gehoord.

Randal Peelen:
[32:32] Ik vind het echt zandalig.

Wietse Boonstra:
[32:34] Eeuwige roem. Daar doen we het voor.

Randal Peelen:
[32:36] Ja, nee. Maar ook hoeveel tijd erin zit. Want ik denk, als ik even zo moet schetsen. Het kan best regelmatig zijn dat je 20% van de tijd bezig bent met het hacken. En 80% met het melden.

Wietse Boonstra:
[32:48] Ja, daarom ook. Ik vind het niet leuk, daarom de DVD ook. Mensen die het wel leuk vinden om dat te doen. Maar ja, ik haal daar echt geen voldoening uit. De eerste keer voor mij de DVD was dat... Het was een Amerikaanse partij, Kasea, waar ik kwetsbeheden toen in vond. En die waren echt wel heftig. En ik was bang voor een Amerikaanse partij. Dat ik denk van, joh, wat gaan die ermee doen? Hoe gaan die me aanpakken? Nou, is dat allemaal super positief geweest. In dit geval weer, want de NV is ook Amerikaans. Dus dat, ja, ook niet. We hebben niks, geen moeilijke brieven of wat dan ook gehad.

Randal Peelen:
[33:27] Nou ja, dat is mooi samenwerken, weet je wel. Als zij daar goed in zijn en zij doen dat ook goed, dan is dat heerlijk. En hoe kijken jullie naar het idee dat er natuurlijk genoeg mensen van jullie kalibre zijn die daar wel rottigheid mee willen uithalen of zichzelf via de achterdeur verrijken?

Wietse Boonstra:
[33:47] Ja, maar daar kunnen we niks aan doen.

Hidde Smit:
[33:50] Zeggen vooral doen wat je tegen de lamp aanloopt, jammer joh. Het gaat een keer mis.

Wietse Boonstra:
[33:55] De kasseervalen waren zeven kwetsbaarheden. We konden ze voor anderhalf miljoen per stuk op de zwarte markt verkopen. Ja, via via gehoord als we wat gedaan hadden. Maar ja, ga je dat doen? Dan ben je constant over je schouder aan het kijken. Maar hoe dan?

Wietse Boonstra:
[34:11] En het is me nooit echt... Dat is niet waar ik het voor doe. Ik wil gewoon de wereld beter maken. Ik kan de wereld op mijn eigen manier beter maken. En dat is door kwetsbaarheden te vinden.

Randal Peelen:
[34:21] Dat is een Robin Hood-streek zijn. Dat je een paar keer een miljoen opstrijkt en daar in een nieuw braaf bedrijf steekt. En daarmee ga je proberen.

Wietse Boonstra:
[34:30] Ja, nou ja, ik denk niet dat ik met mezelf zou kunnen leven als ik dat zou...

Hidde Smit:
[34:33] Maar wat het ook is, ik bedoel... Het gaat goed totdat het goed gaat. En als het niet meer goed gaat. Dan heb je gewoon je carrière gewoon verknald. Je kan niet meer door de screenings komen. Je komt niet meer door de vaardigheidsscreenings. Dan kan je nergens meer werken. Kort gewin is dan wel prima. Maar op de lange termijn is het gewoon dom.

Randal Peelen:
[34:52] Ja en zelfs dan. We hebben een keer een aflevering gemaakt met Rikkie Gevers. Dat is ik denk wel de meest bekende Nederlander op het gebied van. Een keer gepakt zijn en daarna braven hekken. Maar wat die ook doet de rest van zijn leven. als je zijn naam op Google typt is dat verhaal 1, 2, 3 tot en met pagina 5. En dat imago wil je op een gegeven moment ook gewoon wel kwijt. Want het is in eerste instantie in je voordeel dat je een beetje naamsbekendheid hebt. Maar op een gegeven moment heb je genoeg klanten en een prima leven. En dan denk je, joh, ik zou dat liever niet meer op Google hebben staan, zeg maar.

Hidde Smit:
[35:22] Lijkt mij verschrikkelijk. Daar gaat het dan nog wel redelijk goed, weet je wel. Maar als je dus echt flink aangepakt wordt, dan moet je op een gegeven moment, wil je eens werken, moet je een IVD-screening hebben of je volgt.

Randal Peelen:
[35:31] Of is je 30 jaar in de cel, dat kan ook.

Hidde Smit:
[35:33] Ja, dat kan ook, weet je wel.

Randal Peelen:
[35:36] Dat is vrij levensontwrichtend.

Wietse Boonstra:
[35:38] Ja, het ziet er... Ja, wat ik zeg. Bij mij gaat dat er niet echt in. Ik vind dat niet echt... Het hoeft niet van mij, weet je. Ik heb een leuk leven. En ja, ik hoef daar niet... op zo'n manier rijk van te worden.

Randal Peelen:
[35:54] Wat zouden bedrijven moeten doen? Maar als ze goed willen reageren.

Hidde Smit:
[36:00] Nou ja, je hebt security.txt. zo'n standaard, dat je in ieder geval weet waar je naartoe kan. Wie je contact op kan nemen, want het is voor ons heel vaak zoeken. Je hebt zoiets van, ja, waar moet ik heen? En dan ga je naar het algemene contact e-mailadres. Ja, dan krijg je iemand die snapt het niet. En dan die zegt van, ah, oké, dankjewel. En dan verdwijnt het.

Wietse Boonstra:
[36:23] Ja, dat of je moet superveel kwetsbeheer, of zware kwetsbeheer melden. En dat moet je dan naar de info of de supportbox sturen. Maar ja, daar heb je een team van twintig mensen zitten die dan in één keer allemaal weten, oh, onze organisatie.

Randal Peelen:
[36:35] Ja, maar je moet ook inschatten van, wat is dit, zeg maar.

Wietse Boonstra:
[36:38] Ja, nou ja, ik kijk het vanuit het punt, dus nu in één keer in plaats van één persoon of twee, wij weten hoe dit kwetsbaar is, heb je in één keer een ticket in je ticketsysteem staan waarin het staat van, joh, als je dit en dit doet, dan, is het game over voor je.

Randal Peelen:
[36:54] Ik heb twaalf en een half jaar bij de provider Tweak gewerkt en we hadden een responsible disclosure beleid, ik bedoel wij waren nerds dus dat was het minste wat je kon doen, maar we hadden ook zo'n hacking hall of fame, daar stond gewoon een lijstje van deze mensen hebben ons gehackt, prima, of iets gemeld, ik kreeg ook een taart maar dat is meer ludiek, je wil niet geld tegenover zetten, want dan wordt het voor het geld maar alleen al het feit dat de juiste persoon terug mailde en die techneuten even met je chatten en je een taart krijgt, dat vind ik al heel wat dat is meer dan veel bedrijven doen, Het nadeel was wel, op een gegeven moment werd die lijst wel heel lang, want elke keer dat er een nieuwe WordPress update kwam, dan gingen mensen alle scans doen en dan hadden ze zeg maar de oude bukjes. En als ik dan de volgende dag de WordPress had geüpdatet, zeg ik ja, nu is het gefixt. Ja, toen had ik wel zoiets van nou, dan kun je ook een paar maanden weer je lijstje aanvullen, weet je wel. Dan wordt het een beetje onzinnig van.

Wietse Boonstra:
[37:48] Ja, maar dat is dan meer aan jullie kant, zeg maar. Maar ondertussen is de kwetsbaarheid nog steeds aanwezig. Is er een kwetsbaarheid? Omdat ze melden het dan wel.

Randal Peelen:
[37:56] Ik vind een website die een bepaalde WordPress gebruikt. Je kunt een of andere hypothetische cross-site scripting uitvoeren. Als alle sterren op een rij staan.

Hidde Smit:
[38:07] Dat is het vooral. Van die theoretische dingen die ze zelf ook nauwelijks kunnen aantonen. Daar doen wij ook gewoon niet aan. Dat is gewoon, in mijn ogen is dat gewoon tijdsverspilling. Want je bent best wel lang bezig om het toch een beetje geloofwaardig uit te werken. Dan moet je dat helemaal, dat noemen ze ook wel een back bounty. Je stuurt iets dat niet helemaal klopt. En dan hoop je dat ze je wat geven. Zo was er bij één bedrijf. Er kwam een vraag binnen. Weet jullie wat we hiermee moeten? Leek het ook op cross-outscripting. Ja, ja. En als je naar die link gaat. Bam, cross-outscripting. Oh, het ziet er legit uit. Maar dan moeten wij dus advies geven of het echt wat is of niet. Ik heb er volgens mij wel twee uur aan besteed. Of drie uur of zo. Ik moest me helemaal verdiepen in de pdf-sandbox van Firefox. En welke functionaliteiten die pdf.js aanbiedt. Nou wat bleek dus de pdf.js binnen Firefox. Die kent om onbekende redenen een alert functie. Weet ik niet waarom. En de andere functie was dat je dat menubalkje bovenin hebt. Waar je op knopjes kan klikken en op print. Dat zijn de twee hele functies die die PDFJS aanbiedt. En hij heeft dus gewoon die alert gedaan. Maar die alert kan geen code uitvoeren. Het is alleen die alert met tekst. Dus het heeft gewoon helemaal geen impact. Maar het ziet er precies uit als zo'n cross-site scripting proof of concept. Waar je ook een alert pop-up krijgt. En dan denk je van, oh dat is echt cross-site. Maar het was dus gewoon niks. En daar heb ik echt heel veel tijd aan besteed.

Randal Peelen:
[39:26] Ja, je kon tekst op je scherm krijgen waarop stond dat er iets heel ernstigs aan de hand was. Dat voelt inderdaad wel heftig, kan ik me voorstellen.

Wietse Boonstra:
[39:33] Het is niks, dat is het. Het lijkt heel heftig.

Randal Peelen:
[39:37] Maar het is evengoed wel zo dat hij dat niet zou moeten kunnen doen. Dus in die zin is er wel iets stuk.

Hidde Smit:
[39:41] Wat je meestal eens doet als je ergens cross-site scripting ziet. Cross-site scripting, dat betekent dus dat je JavaScript code in de context van de browser kan uitvoeren. Dus dan zou je mogelijk wat meer kunnen doen. De meest makkelijke manier om dat aan te tonen is met een alert pop-up. Dat er gewoon een pop-up komt waar dan bijvoorbeeld het domein van de website in staat. En dan heb je zo van, nou, er wordt in ieder geval Java script uitgevoerd en het is de alert pop-up. Dus dit is constant scripting. Het is een beetje hetzelfde als als je ergens toegang krijgt tot een systeem, en je popt via een exploit pop je de calculator. Dat doen ook heel veel mensen. Omdat dat is een bekend iets, dat is altijd hetzelfde. Dus als je niet te veel tijd aan wil besteden, calculator of alert. Nou ja, dat doen ze dan dus ook met die PDFJS alert, maar die alert kon alleen.

Randal Peelen:
[40:23] Het was gewoon nep. Ja, het was vrij kansloos.

Hidde Smit:
[40:25] Dat is gewoon nep. Maar dat hebben bedrijven dus heel erg. En dat valt dus eigenlijk onder een soort van back bounty. Een beetje smeken om iets. Zet mij een halve, geef mij een t-shirt. Ik heb wat gewonnen.

Randal Peelen:
[40:37] Ik denk ook dat je aanvliegroeten van ik ga lekker vinden en dat melden en daar geld mee verdienen. Lijkt mij minder zinvol dan wat jullie doen. Dat je gewoon klanten hebt die jou een pentest laten doen, toch?

Wietse Boonstra:
[40:49] Nou ja, dat denk maar goed. Je hebt natuurlijk ook de bug bounties en dat soort dingen. En ik denk dat je het niet moet vergeten dat... Dat we hier in een rijk land zitten. En als je in India woont en denkt. Ik ben goed met computers en ik kan dingen vinden. Dan is 100 euro voor een cross-site scripting. In één keer wel heel veel geld.

Randal Peelen:
[41:07] Dat is waar. Dat is heel wat anders.

Hidde Smit:
[41:09] Je hebt mensen die doen bug bounty als fulltime job. Bug bounty is dus gewoon zo'n platform. Waar bedrijven zich op kunnen aansluiten. En dan is het zo van. Hier is een scope lijst per bedrijf. En dat is een soort van no cure no pay. Als je niks vindt, krijg je niks. Vind je wel wat. En jij bent de eerste. Dat gebeurt ook heel vaak dat je niet de eerste bent. Als je de eerste bent, dan krijg je wel wat. Naarmate hoe risicovol het is. En je hebt dus mensen die hebben dat hun fulltime job. Maar als je dat dan hier in Nederland wil doen. Dan moet je dat echt heel veel doen. Dan kom je gewoon dag in dag uit. En wat het ook is. Naarmate je meer rapporten indient. Dan krijg je dus ook meer privé invites. Tot de private programma's. Maar dan is het zo van. Zo gauw je een invite binnenkrijgt. Het is nu zaterdag negen uur ochtend. Meteen knallen. Want dan ben jij de eerste die die klasse wil geven. Het is maar net een levensstijl die je wil hebben. Ik heb liever gewoon vier dagjes werk en een paar opdrachtjes ernaast. En dan vind ik het prima. Ik hoef ook niet altijd te werken.

Randal Peelen:
[42:05] Je bent ook wel heel erg afhankelijk. En heel erg... Ja, je ziet ze toch een beetje als ratten op een schip duiken met z'n allen. En dat heeft ook iets treurigs, vind ik. Omdat je zet die mensen die dat moeten gaan doen ook een beetje voor blok.

Wietse Boonstra:
[42:19] Nou ja, als dat je levensstijl is. Als je dat wil doen, dan prima.

Randal Peelen:
[42:22] Ja, ja, ja.

Hidde Smit:
[42:22] Ja, het was via de DVD of via Wiets heb ik toen een uitnodiging gekregen naar Zerocopter. En dan begin je met de publieke programma's. En dan krijg je dus nog geen uitnodiging omdat je net nieuw bent. Nou ja, en die programma's die zijn zo uitgelubberd als makkan. Die werken half niet meer. Iedereen is er al doorheen geweest. Je ziet tienduizend dingen overal ingevallen. Alles kapot gemaakt. En dan moet jij er maar even wat vinden. Want anders krijg je geen invite voor privéprogramma's. Dus ja, dat is zo.

Wietse Boonstra:
[42:52] Ja, maar dat is bij al die bug bounty platformen. Dat kan je als bedrijf ook doen. Aanmelden voor bug bounty platform of iets dergelijks.

Randal Peelen:
[43:00] Maar hoe ziet dat er voor jullie uit? Maar dan gaan mensen, jullie klanten,

Randal Peelen:
[43:05] dat zal mond-op-mond reclame zijn. Of heb je mooie Instagram advertenties draaien die ik tegen kan.

Hidde Smit:
[43:10] We hebben er zelfs een klant misgelopen omdat we geen fancy website hadden.

Randal Peelen:
[43:14] Heb je überhaupt een website?

Hidde Smit:
[43:15] Ja, we hebben allebei een website. Dat maakt het ook niet duidelijker. Het hoort allebei om hetzelfde bedrijf te opereren.

Wietse Boonstra:
[43:20] Ik heb heel lang gewoon mijn visitekaartje als plaatje op mijn website. En dat was het. Maar ja, ik denk dat we gewoon naamsbekendheid is gewoon op een gegeven moment.

Randal Peelen:
[43:29] Als je er happy mee bent. Ik bedoel, elke ondernemer die een boek leest, die zou zeggen dat dit als buitenstaander makkelijk manieren kan verzinnen om dit te doen groeien. Maar als je zegt, nou, we vinden het met z'n tweeën wel top.

Wietse Boonstra:
[43:41] Ja, maar ik denk niet dat we de tijd hebben om te groeien, zeg maar. Ik bedoel, we hebben allebei ook nog ons privéleven en moeten we dan nog meer gaan werken?

Randal Peelen:
[43:49] Dat zeggen alleen mensen die niet geboren ondernemers zijn, zeg maar.

Wietse Boonstra:
[43:54] Ja, maar dat betekent...

Randal Peelen:
[43:55] Tijd om te groeien maak je. Of als je te weinig tijd hebt. Dan is groeien juist een manier om jezelf vrij te spelen.

Wietse Boonstra:
[44:02] Maar dan denk ik eerder dat ik dat... Natuurlijk heb ik daarover nagedacht. Maar dan moet ik iemand inhuren. En dan hoop ik dat hij hetzelfde niveau is als wat wij willen aanbieden aan klanten. En dan wil ik niet zeggen dat wij supergoed zijn. Dat zijn we natuurlijk wel. Dus als je ons wil inhuren...

Randal Peelen:
[44:19] Zoek ons eerst maar eens op.

Wietse Boonstra:
[44:20] Ik denk dat wij dit ook bijnaast doen omdat we het leuk vinden.

Randal Peelen:
[44:29] Maar dat kan goed genoeg zijn. Ik bedoel, ik maak podcasts fulltime als werk. En ik heb nog geen seconde van mijn leven acquisitie gedaan. Tenzij je die random encounters op LinkedIn meetelt. Maar ja, dat zijn dingen. Ik noem het een beetje toeval, serendipity. Maar ook gewoon als je al twintig jaar in een branche zit. Dan ken je mensen. En dan komen kansen vanzelf voorbij.

Wietse Boonstra:
[44:53] Nou ja, dat.

Randal Peelen:
[44:54] Als je daar gelukkig mee bent, dan is dat genoeg.

Wietse Boonstra:
[44:56] Ja, maar ik denk dat wij ook wel een beetje nu op zo'n punt zijn. zijn dat we denken van, joh, dit is wel leuk, dit is niet leuk. Hier halen we voldoening uit om te testen.

Hidde Smit:
[45:06] We willen ook niet alles aannemen. Ik bedoel, we doen wat we weten dat we dat kunnen doen. En waar we ook van denken van, ja, dit is wel leuk. Ik bedoel, er was eentje zo'n, ja, ga even naar Frankrijk toe. Voor een paar dagjes.

Randal Peelen:
[45:18] Ja, wil ik niet.

Hidde Smit:
[45:19] Ja, geen zin in, weet je wel. Ik bedoel, dat gaan we niet doen. Geen zin in.

Randal Peelen:
[45:22] En hoe is het in deze markt dan qua concurrentie? Want meestal heb je bedrijven die wel een website hebben, waar prijzen op staan, dan krijg je een beetje concurrentie. Maar moeten jullie de bedragen die je factureert uit je duim zuigen? Of is daar een soort van markt voor?

Hidde Smit:
[45:42] Maar ja, je zei aan het begin dat je het over cowboys maar onder de pentesters zijn er ook gewoon cowboys. Ik bedoel, je hebt mensen die noemen zich een pentester, maar die draaien gewoon een vulnerability scan. En die leveren een rapport op. Ja, dan heb je mensen zoals ons die echt gewoon alles met het handje doen. Daar zit gewoon enorm veel verschil in.

Randal Peelen:
[45:59] Ik zie wel kans hoor. Dan maak ik een website die is mooier dan jullie website. En dan doe ik een cursusje Kali Linux. En dan ben ik hacker. Dan kan ik gewoon los.

Hidde Smit:
[46:07] Kijk, als jij gewoon klanten werft tijdens je podcast... dan krijg je een bonus van ons.

Randal Peelen:
[46:11] Nee, dat vind ik niet.

Hidde Smit:
[46:13] Ja, dat mag van ons. Dat doen we wel vaker. Ik bedoel, mijn oud-collega... die gaat van bedrijf naar bedrijf. En elke keer krijgen we nieuwe pentes binnen. Dus dan krijgt hij ook een kleine bonus.

Randal Peelen:
[46:22] Oh, dat is wel nice. Ja. En Simon, luisteraar, die vraagt zich af. Hoe vaak kom je nog ergens binnen met admin, admin? Ik zie dit even als metafoor.

Wietse Boonstra:
[46:32] Veel te vaak.

Randal Peelen:
[46:34] Waarom vraag je me überhaupt voor een pentest? Want dit is toch wel echt een inkoppetje, dat niveau.

Wietse Boonstra:
[46:38] Nou ja, maar dat zie je toch nog wel eens gebeuren. Of software van de default wachtwoorden die in de handleiding staan of zo. Ja, lees de handleiding maar een keer. Ik bedoel, dat doen niet veel mensen. En vooral nerds niet, denk ik. Maar ja, hier lees de handleiding. Daar staat het standaard wachtwoord in. of je gaat door de code heen de hardcoded credentials ja.

Hidde Smit:
[46:56] Maar admin admin is wel iets voor interne netwerken meestal, dus een applicatie dat aan het internet hangt is meestal wel redelijk goed beveiligd en dan als je ergens intern bij een bedrijf zit dan is het zo van, nou een servietje voor jou een servietje voor jou, dan worden overal service en applicaties neergekwakt en dan wordt er niks geconfigureerd dan heb je gewoon admin admin of inderdaad die standaard bedrijfswacht worden het is echt vooral een interne ding dat je altijd Ik.

Randal Peelen:
[47:21] Heb het tegenovergestelde wel meegemaakt. Ik ben op een gegeven moment. Toen ik thuis over moest stappen. Ik ben overgestapt naar Odido. Zakelijk. Voor vast internet. Heb ik vaak op zitten bitchen hier. Want die hebben dus geen IPv6. Waarvan ik dus zeg. Ja jij zegt ik ben een internet provider. Maar vervolgens krijg ik maar het halve internet. Anyhow. Die hebben dan zo'n best wel voor de zakelijke markt. In ieder geval zo'n heel erg dicht getimmerd modem. Waar ik enig respect voor kan hebben. Want ik heb heel lang bij een internet provider gewerkt. Ik weet dat klanten kunnen slopen.

Randal Peelen:
[47:51] Maar deze modem wordt dus compleet provisioned vanuit hun systeem in ieder geval. Ik weet niet precies hoe ze het doen, maar ik heb wel zoveel moeders. Als ik het wifi wachtwoord wilde aanpassen, dan moest ik dus inloggen op mijn Oledo op internet. En daar mijn wifi wachtwoord aanpassen. En dan heb ik zoiets van, dit is voor mij niet acceptabel.

Randal Peelen:
[48:14] En op een gegeven moment wil ik dan gewoon settings uit dat ding trekken. En dan denk ik, die heb ik nodig voor mijn eigen modem. Dus als je je PPPoE gegevens wil hebben, dus een gebruiksnaam, wachtwoord en de settings van je, de manier waarop dat modem inbelt, dus aanhangstekens, dan kun je Odido nog wel bellen en dan moeten ze van de ACM vrije modemkeuze mogelijk maken. Dus dat krijg je dan wel. Maar ik had ook zo'n backup internet stick, daar zit een simkaartje in. En ik zeg nou, ik heb backup internet, dus dan wil ik dat 5G stickie in mijn eigen modem steken. Nee, dat mag niet. Ik zei, waarom niet? Geef me gewoon die pincode van die simkaart en dan lukt het. Ze zei, nee, dat doen we niet. Want dan zou jij ook in Frankrijk met die stick onbeperkt internet kunnen gaan gebruiken. Ik zei, nou A, bedankt voor de tip. Dat had ik nog niet bedacht. Maar B, ja, sorry, vrije modemkeuze. Volgens mij moet jij dit toestaan. Nou, ik heb de klacht bij de ACM nog liggen. Dus ik weet niet wie dat gelijk gaat krijgen. Maar ik heb wel gezegd. Wacht eens even. Als ik dat modem herstart. Dan is er een window van een seconde of drie. Waarin ik wel de login pagina van dat ding krijg. Als je daar een beetje slim gebruik van maakt. En je weet op het juiste moment toch in te loggen. Kon je er dus wel in komen.

Randal Peelen:
[49:30] Toen heeft iemand mij ook wel voorgekoud. Op een gegeven moment was ik niet slim genoeg meer voor de rest. Hoe je dan toch wat settings eruit kan trekken. En daar kan ik dan wel van genieten. Want ik voel op dat moment van mezelf dat ik in mijn gelijk sta om dit te doen. Dus ik heb daar geen problemen mee. Tegelijkertijd is het ook wel onschuldig. Want ik doe ook heel braaf dat 5G-stikje zit in mijn eigen meterkast. Ironisch genoeg nul ontvangst. Dus het werkt niet. Maar gewoon toch het principe dat het me is gelukt vind ik ook wel heel mooi. Maar het is eigenlijk een beetje het tegenovergestelde. Je hebt een apparaat waarvan ik dan voel dit moet ik zelf kunnen beheren. Wat dusdanig dichtgetimmerd zit. terwijl je hebt ook apparaten dan denk ik wacht effe dit bedien mijn hele huis is van de internet bereikbaar een standaard staat op admin admin wat de vak mensen die laat mag wel wat hoger liggen toch ja.

Wietse Boonstra:
[50:20] Ja volgens mij gaan dan ook nieuwe regels voorkomen dus dat.

Randal Peelen:
[50:23] Bedoel je op nes 2 of is dat waar is of.

Wietse Boonstra:
[50:26] Was het in engeland en ik niet meer.

Randal Peelen:
[50:27] Nou ik vind wel dat die lat wat hoger mag liggen ja nee tuurlijk ja bedoel.

Wietse Boonstra:
[50:32] Eerst keer inloggen is waar wordt wijzigen en als je je het dan zelf nog een keer naar admin toezet, dan is het gewoon je eigen schulden, zeg maar.

Randal Peelen:
[50:40] Maar ja.

Hidde Smit:
[50:42] We zijn uitgenodigd voor een panel bij TNO, waar ze dit soort dingen gaan bespreken, zo van... Hoe ga je zoiets aanpakken? Dus ja, weet je, dat zou eigenlijk een soort certificeringsproces moeten zijn. Want het moeilijke met die zonnepanelen bijvoorbeeld, of met die omvormen, dat is, je moet de firmware krijgen. Als je eenmaal de firmware hebt, dan kan je onderzoek doen naar wat er gebeurt en wat er fout gaat en wat hardcoded is. Dan kan je dingen gaan vinden. Maar ja, je krijgt dus apparaten in je huis, je krijgt modems van je providers. Ja, is dat ooit onderzocht? Kan die firmware bekeken worden, weet je wel? Maar je weet het niet. En ja, meestal is de business toch belangrijker dan de veiligheid. Dus...

Randal Peelen:
[51:21] Nou, wat ik hier een eng aspect aan vind, is gewoon... Zodra het je lukt, is het ook eigenlijk bijna altijd gelijk schaalbaar.

Randal Peelen:
[51:27] Weet je wel? Als er vier miljoen van die apparaten hangen in de wereld... en je kunt er in één en je weet ze allemaal te vinden... ja, dan kom je de rest ook in. Weet je wel? Dat is gewoon één plus één is twee. Ik vind dat heel lastig, hoor.

Wietse Boonstra:
[51:38] Ja, maar goed. Het is natuurlijk... Het is heel dubbel allemaal, weet je wel? Die firmware is natuurlijk ook een beetje zo van... als jij een nieuw product op de markt zet... en het is helemaal speciaal en noem het maar op. Ja, moet je dan je firmware gaan afstaan.

Hidde Smit:
[51:49] Het is toch wel je IP inderdaad.

Randal Peelen:
[51:51] Nee, maar het argument van de open source minded mensen is dat dat juist een goed idee is. Omdat dit nu, jullie responsible disclosure, daar wel uit voortvloeit.

Wietse Boonstra:
[52:01] Ja, het is dat wij toegang hebben gekregen op welke manier dan ook naar de source coating. Ja, en dan ga je spitten en kijken waar het zit. En dat kan waarschijnlijk veel efficiënter dan dat wij dat gedaan hebben. Dus dat... Ja, weet je. Maar dat klopt. Als het dan open source is, ja, dan heb je al... Dan was je er al eerder achter gekomen. Waarschijnlijk al tien versies hiervoor.

Randal Peelen:
[52:24] Ik ben hier dus met afstand niet zo goed in als jullie, maar ik heb wel altijd in mijn eigen netwerk het gevoel van, nou, hier zitten de Chinezen in, daar de Russen. En de Amerikanen luisteren vast ook wel mee. Hoi, Nederlandse geheime diensten. Ik ga ervan uit dat mijn nas geïnfecteerd is, bij wijze van spreken. En Maar je hebt ook die uitdrukking dat bij een schilder thuis de boel niet zo netjes geschilderd is. Heb je het gevoel van, we hebben het zelf thuis wel goed op orde? Of denk je... Dat hoop ik wel.

Wietse Boonstra:
[52:53] Ja. Ik heb wel wat velannetjes lopen met testnetwerken. En waar ik deze dingen ook in geknipt heb, zeg maar.

Hidde Smit:
[53:01] Nou ja, ik baalde er wel van dat ik altijd een modem van de provider had. Ik weet nog bij KPN, dan klik je zo door hun website heen. En dan kan je via hun website jouw modem rebooten. En dat voelt gewoon heel mies, weet je wel. Ik wil niet dat jullie dat kunnen. Of zo van, oh, we hebben je modem geüpdatet. En dan al je settings weg, weet je wel. Daar kan ik nou echt van balen. En dat voelt gewoon niet goed. Dus ja, ik heb nu wel mijn eigen Unify-setup. Maar om je nou zorg te maken om smart apparaat dit, smart apparaat dat.

Randal Peelen:
[53:32] Het is vanuit het perspectief van de internet provider ook echt wel een dingetje hoor. Want ze noemen dat eigenlijk in de volksmond het ACS. Dus de manier waarop jouw provider jouw modem dingen kan laten doen. En ik vind het niet juist dat jouw provider jouw modem het wifi wachtwoord en de wifi naam beheert. Dat vind ik niet juist. Maar ik snap wel dat een provider kan zeggen tegen dat modem doe even een update. deed en daarna ook kan zeggen reboot even. En ja, dat doe je dan voor al je klanten een keer om drie uur s'nachts, maar dat kan echt wel voor het goede doel zijn, believe me. En precies bij dit soort dingen.

Hidde Smit:
[54:05] Maar dan niet aan de instellingen zitten.

Randal Peelen:
[54:06] Ja, exact. Dat moet je niet doen, vind ik. Maar goed, dat vind ik dan wel mooi aan zo'n provider als Freedom nu, die even gewoon grote pagina opstaat hoe schakel ik de ACS toegang uit. Die klant die dat wil, be my guest. We hebben wel in mijn tijd bij Tweak toen, je kunt wel een lijst uitdraaien van Van welke versies draaien mijn klanten. Ja, er zijn wel een paar klanten geweest. Waar we op een gegeven moment een mail naartoe hebben gestuurd. Van joh, prima dat je het zelf wil doen. Maar als jij nog firmware uit 2013 draait. Doe even niet. Voor je eigen best wil.

Wietse Boonstra:
[54:39] Ja, maar ja. Dat is ook een soort responsible disclosure dan toch?

Randal Peelen:
[54:42] Ja, vind ik wel. Andersom. En een soort van collega van jullie. Marieke Smits. Die heeft ook hier bij ons aan tafel gezeten. Zit ook in de Meneert om tafel community. Maar doet ook communicatie voor de EVD.

Randal Peelen:
[54:55] Welk advies willen jullie aan ouders geven om kinderen digitaal veilig op te voeden? En ervoor te zorgen dat ze op het rechte plat blijven?

Wietse Boonstra:
[55:02] Zo. Nou, kom maar.

Hidde Smit:
[55:04] Moet ik wel?

Randal Peelen:
[55:06] Is dit een stokpaardje voor jou?

Hidde Smit:
[55:08] Nee, nee, nee. Maar ik bedoel, kijk. Je hebt allemaal oplossingen. Ik bedoel, je hebt parental controls en zo. Kan je overal doen.

Randal Peelen:
[55:13] Je hebt geen kids toch?

Hidde Smit:
[55:14] Nee, maar als kiddo kan je dat. En dan ga je gewoon een beetje googlen hoe je er omheen kan natuurlijk.

Randal Peelen:
[55:20] Jij kunt niet googlen op als jij mijn kind bent hoor.

Hidde Smit:
[55:23] Nee. Nou ja, ik zat vroeger op de basisschool. Zat ik al te klooien met pc's. Maar kijk, je kan daar helemaal moeilijk en technisch dichtzetten. Maar ja, je moet gewoon overal open over communiceren natuurlijk. Ik bedoel, ik deed als kiddo ook al dingen die een beetje grijs gebied waren. Maar je hebt toch van je ouders een soort van moreel kompas meegekregen. Waar je dan zegt van, misschien moet ik dit niet doen. En zoiets bereik je door gewoon open te communiceren over dingen.

Randal Peelen:
[55:49] Dat ben ik een beetje eens, ja. Dingen die je taboe maakt of heel hard van leer trekt qua straffen. En dit mag allemaal niet. ja dat wordt interessant en dan ga je ook over zwijgen dus ik denk inderdaad dat dat beetje open kaart spelen wel wel goed idee is ja.

Wietse Boonstra:
[56:04] Ik heb laatste mijn vriendin haar dochter was jarig dus vier van die kinderen achter in de auto en nou was ze was die dochter was het uitleggen wat ik deed dus hacker nou prima dus interessant en dan ging ook over de zonnepanelen en wat nou als je kreeg ik de vraag zo van, dat ik het dan ik zei tegen hem ik doe het op een, responsible white hat manier ik vind iets, ik meld dat netjes want anders kunnen kwaadwillenden daar misbruik van maken dus toen zag je hem denken wat nou als je dat zelf gedaan zou hebben als je dat nou tegen niemand vertelt en je maakt er zelf misbruik van je doet dat zelf toen zei ik, ja maar dan ben ik ook een crimineel en dat is niet iets waar ik mee kan leven Dat vind ik niet. Ik denk dat je zo'n gesprek met een 9-jarige aan moet gaan. Het is ook niet altijd duidelijk. Het is ook super grijs. Wat is een computer en wat doet het? En er gebeuren allemaal magische dingetjes in dat kastje.

Randal Peelen:
[57:00] Maar je hebt ongetwijfeld een keer in je leven... Iets gedaan dat in essentie niet mag. Maar dat dan daarna wel gemeld. En er het beste van willen maken. Maar niet alles wat jij vindt. Is strikt genomen legaal toch? Als je op andermans admin pagina zit. En je duwt op enter. Je bent er binnen. Is dat computervredenbreuk?

Hidde Smit:
[57:19] Er zijn wel eens van die momenten inderdaad. Dat je zo hebt van. Ik wil eigenlijk even verder kijken. Wat valt er allemaal te halen? Maar je zit al binnen op zo'n server. En heb je zoiets van.

Randal Peelen:
[57:27] Eigenlijk mag ik hier al niet zijn.

Hidde Smit:
[57:28] Nee want we zijn hier al klaar.

Randal Peelen:
[57:30] Strikt genomen is dat al.

Hidde Smit:
[57:31] Ja, dat moment heb je af en toe inderdaad. En dan heb je toch van, we stoppen er wel gewoon mee.

Randal Peelen:
[57:37] Ik heb dat meegemaakt toen ik nog systeembeheer deed. Netwerkbeheer. Dat is heel lang geleden. Ik ben weleens bij een bedrijf bezig geweest met migratie van een server. En zo ging dat toen. Dan doe je gewoon kopie. Waarschijnlijk was het rsync of zo. Van de ene server naar de andere server. Lekker plat. En op een gegeven moment kom je ook bestandsnamen voorbij. op je scherm die je liever niet had gelezen. En dan denk ik ook van ja. En dat je mailaccounts voor mensen instelt op een computer en die mail stromen binnen en dan tegenwoordig kijk ik liever weg. Er zijn gewoon dingen waarvan je in het leven hebt geleerd dat je ze gewoon niet wil weten. Je wordt nieuwsgierig geboren en op een gegeven moment zie je shit en denk je weet je wat?

Wietse Boonstra:
[58:22] Het gaat nog een keer voorkomen.

Randal Peelen:
[58:24] Je hoeft niet alles te weten.

Hidde Smit:
[58:25] Ik heb toen een pentest gehad. Dat was een interne pentest. Ik zat een beetje vast. Ik kwam niet meer verder. We moesten van kantoorautomatisering naar procesautomatisering. En ik zat vast. En op een gegeven moment kwam ik een backup tegen. Even kijken. Foto's. Oké, nog meer foto's. En de hele tijd dezelfde persoon. Oh, vakantiefoto's. Volgens mij is het iemand zijn persoonlijke backup. En daarnaast van... Hoe ga je dit melden? Wat moet je hiermee? Moet ik die man bij hem melden? Hij heeft gewoon zijn privézaken gebackupt. Uiteindelijk gemeld. Het was een heel leem verhaal. Want ik had dus gezegd... Hij heeft allemaal backups en zo. Moet je even naar kijken. Moet je even wat van zeggen. Toen is hij dus inderdaad op aangesproken. Toen hadden we daarna pauze. Even eten. Toen kwam ik terug en toen plakte er een post-it aan mijn laptop. Ik heb je laptop gehackt. En dat was dus die man van die privéfoto's die boos was. Dat we dat gevonden hadden. En dat hij erop werd aangesproken. Dus die had een post-it op mijn laptop geplakt. Ja, je laptop is gehackt. Dus ik zo, maar ik heb hem toch echt gelokt. Weet je wel, kijken, overal kijken. Alle logs nalopen. Ik ben denk ik een half uur bezig geweest om alle logs na te lopen. Om zeker te weten dat er niks gebeurt. Nou, er is gewoon niks gebeurd. Maar die man was gewoon zo boos dat hij dacht. Ik ga even lekker met z'n fucken.

Randal Peelen:
[59:37] Van post-it. Ik kan die emotie begrijpen. Maakt het nog niet juist. Ja, maar ik vind kinderen in dit geval wel een listig ding. Want mijn zoontje is zich er heel erg van bewust dat ik de schermtijd beheer. Toen hij nog jonger was, kon ik gewoon zeggen, dan stop de laptop of de iPad. En dan was dat prima. Op een gegeven moment zei ik, je mag nog tien minuten. En toen wist hij dat ik het was. En hij weet nu, hij is zeven en ook best wel slim. Tim, hij weet wel dat ik een code heb waarmee ik dat kan doen. Hij weet ook dat als hij die code weet, dat hij het vanuit zijn eigen iPad kan doen. Dus er komt een dag. ooit, dat hij gewoon die code gaat zien.

Wietse Boonstra:
[1:00:19] Met mijn kinderen doe ik, het is nu klaar. Jongens, tijd is voorbij. iPads, switches, alles weg. Gewoon, het is klaar. En dat, nou ja, dat doen ze.

Randal Peelen:
[1:00:28] Dat gaat mijn oudste niet braaf doen.

Wietse Boonstra:
[1:00:32] Ja, dat dacht ik ook. Maar dat, dat, kunnen ze een keer proberen.

Randal Peelen:
[1:00:35] Ik heb vaak genoeg geprobeerd.

Wietse Boonstra:
[1:00:37] Oké.

Randal Peelen:
[1:00:37] Nee, nee, die gaat gewoon tot, die ligt tot vier uur s'nachts iPad te kijken als je hem z'n gang laat gaan.

Wietse Boonstra:
[1:00:44] Ja, maar dat moet je ook niet doen. Dan moet je ook zeggen van joh, stop er eens mee. Het is klaar nou. Het is tijd geweest. Uitleggen waarom.

Randal Peelen:
[1:00:49] Ja, maar dat doet hij gewoon wel. En als ik die iPad dan beneden verstop, dan eh, ik heb al een paar keer gehad, dan eh, kom je ochtends beneden en zit hij daar al. Dan ga je kijken in die schermtijdstatistiek en dan had hij al om half zeven die iPad aan. En dan kan die iPad pas aan. Deze makker die is gewoon eh, ja, het kan best zijn dat hij om zes uur al naar beneden is gegaan en heeft gewacht tot die iPad to date. Smart. Ik heb nog één vraag van Egon Willighagen. Voor wachtwoorden zijn er websites waar ik kan checken of er een mogelijke hack is. Zoals havehybeenpwned. Is er zoiets voor de apparaten die ik in huis heb? Zodat ik kan scannen naar het grof vuil kunnen volgens hem. Misschien wat drastisch.

Wietse Boonstra:
[1:01:32] Ik denk dat dat heel lastig is. Hoe ga je dat doen dan? Hoe ga je iets in je netwerk hangen wat gaat scannen? Ga je dan niet op false positive scannen? Dat is denk ik...

Randal Peelen:
[1:01:40] Wat waren die security meldingen die jullie...

Wietse Boonstra:
[1:01:43] Ja, die CVE's.

Hidde Smit:
[1:01:44] Met het handje kan je zoeken inderdaad op die CVE's van Mieteren. Kan je gewoon in zoeken. Dat is cve.mieteren.org zo uit mijn hoofd dacht ik. Ja, je hebt ook nog Sneak. Die heeft volgens mij een hele mooie vulnerability lijst waar je ook dingen kan zoeken. Of je zou een vulnerability scanner inderdaad in je netwerk kunnen hangen. Maar ja, het ding is, daar komt wat uit. en dan is het aan jou om te zeggen of het een vals positief is of niet. En als je daar geen verstand van hebt, dan is het gewoon heel lastig.

Randal Peelen:
[1:02:16] Ja, en misschien ben ik heel naïef, maar als ik die website bezoek, dan staat er 240.000 vulnerabilities. Dat voelt voor mij als weinig. Zeker als je nagaat dat die...

Hidde Smit:
[1:02:27] Niet alles krijgt een cv. Ik bedoel, ik kreeg die dreigmail dus dan komt er ook geen cv daarvoor.

Randal Peelen:
[1:02:32] Nee, maar tegelijkertijd ik zie met mijn blote ogen aan die website dat die uit 1999 komt. 1999 komt.

Hidde Smit:
[1:02:39] Ja, maar het is wel een goede website.

Randal Peelen:
[1:02:42] Maar dan zal sommige van die inhoud ook wel wat ouder zijn.

Wietse Boonstra:
[1:02:45] Ja, maar daar staat gewoon echt alles vanaf 1999. Oude staat er gewoon in. Je kunt gewoon zoeken op een merk of versienummer van een merk.

Hidde Smit:
[1:02:53] Windows Quest bij Heden enzo, alles staat erop.

Hidde Smit:
[1:02:57] Als Microsoft wat vindt in hun eigen producten komt er ook een CVE voor.

Randal Peelen:
[1:03:03] Nou heren, dank voor jullie nuttige werk. En fijn dat jullie het ook willen melden op het moment dat er iets aan de hand is. En als een van jullie twee hier stiekem grijnsend toch multimiljonair zitten te zijn. Dan heb je je goed doorheen geblufft.

Wietse Boonstra:
[1:03:16] Ben jij dat?

Randal Peelen:
[1:03:17] Je zou psychopaat moeten zijn. Dat maakt het een stuk eenvoudiger denk ik.

Wietse Boonstra:
[1:03:21] Ja, ik denk dat we het gewoon te leuk vinden om niet te doen.

Randal Peelen:
[1:03:26] Hebben jullie nog een tip waarmee je de mensen de week in zou kunnen sturen? En dan denk ik ook aan bedrijven. Hoe reageer je nou op zo'n melding?

Hidde Smit:
[1:03:36] Ja, menselijk denk ik. Gewoon zo van... Oh, we hebben het ontvangen. Dankjewel. We gaan er naar kijken. Dat je een keer laat weten hoe het ervoor staat. Ik bedoel, je hebt er gewoon veel tijd in gestopt. En dat je dan gewoon keihard genegeerd wordt. Maar op de achtergrond gebeurt er waarschijnlijk van alles. Maar dat krijg je niet mee. Dus een klein bedankje. Gewoon wat menselijk zijn, denk ik.

Randal Peelen:
[1:03:56] Ja, dat zou het een stuk mooier maken.

Hidde Smit:
[1:03:58] Ja, zeker.

Randal Peelen:
[1:04:00] Tot zover deze aflevering van Met Nerds Om Tafel. En Met Nerds Om Tafel is een podcast door Jurri-Jan Uwags en mij. Randal Peelen en onze panelledens. Esther Krabbenam, Ruurd Sanders en Sander Bijleveld. En onze muziek wordt gemaakt door de mysterieuze Brickmaster Cylinder. Onze gastneurds van vandaag. We waren er twee. Heerde Smit, dank voor je komst. Waar kunnen mensen meer over jou te weten komen?

Hidde Smit:
[1:04:17] Denk op LinkedIn. Klinkt een beetje leem hè. Maar ik heb ook mijn eigen website. CyberEagle.io.

Randal Peelen:
[1:04:25] CyberEagle? CyberEagle.io.

Hidde Smit:
[1:04:28] Cybereagle.io met logo gemaakt door mijn vriendin. Maar we werken samen. Dus we werken eigenlijk onder het bedrijf WBasec. Maar ja, je kan me eigenlijk overal wel vinden. Behalve op echte social media's. Niet op Facebook, Insta, dat doe ik allemaal niet aan.

Randal Peelen:
[1:04:43] Ik vind dat logo heel cool en cute. Maar het is meer een cyberpakiet. Laten we het zo zeggen.

Hidde Smit:
[1:04:51] Het design werd een beetje een soort van Angry Bird.

Randal Peelen:
[1:04:54] Ja, inderdaad. Nu je het zegt, zie ik dat er ook wel in. Zoelen blikken ook, leuk man En nou We werden ook vergezeld door Wietse Boonstra Ja, dankjewel Waar kunnen mensen meer over jouw tweet komen?

Wietse Boonstra:
[1:05:07] WBsec.nl denk ik WBsec.nl Heel af en toe kom ik een keer langs op Twitter Dat logo is wel iets saaier Ondanks dat het een leuke command line is, Het is echt een hele Saaie website Maar daar kan je eigenlijk ook niet veel vinden Een write-up ofzo Ja, write-ups staan er wel op. Voorgaande kwetsbaarheden die we gevonden hebben.

Randal Peelen:
[1:05:31] Nou ja, ik zou jullie luisteraars nog even lastigvallen met een laatste website die niet om aan te gluren is. Dat is onze eigen website, mnrt.nl. Je kunt ook op de Slack joinen. Daar gingen 2400 charmantieke babelen en gezellige nerds je voor. En je kunt vragen stellen naar de volgende gastnerds in het kanaal Vragen van de Luisteraar. En als je nou vriend van de show wordt, dan word je bij de echte Krenn de Lakrijn. Dan krijg je toegang tot het clubhuis. Vier meet-ups per jaar. Stikkens en bierveeltjes door je brievenbus met ons logo. Goh, is leuk. Geen reclame. Je luistert eerder dan de rest. En elke week een bonusaflevering. Voor nu hartelijk dank voor het luisteren. En tot de volgende keer.