417 – Je bedrijf beveiligen met een appje (van zuurdeeg tot zero days)

Randal Peelen:
[0:00] In deze aflevering hoor je waarom je een handige app nodig hebt om je Microsoft 365 omgeving veiliger te maken, hoe je een leuke klant kunt zijn voor pen testers

Randal Peelen:
[0:07] en hoe Sander straks zijn eerste zuurdeegstarter uit de lucht kan trekken. Oh en let op, de eerste paar minuten klinkt Rick een beetje kut, maar dat wordt later beter. Klaar voor?

Sander Bijleveld:
[0:29] Born ready.

Randal Peelen:
[0:30] Welkom bij Met Nerds om tafel. We praten vandaag met Sander en mijn naam is Randal Peelen en onze gastnerd van vandaag is Rick van Duin. En Rick is een brave hacker en werkte bij DearBites, KPN Security en is mede oprichter van zowel Zolder als Ethic Security. En met Zolder doet Rick onderzoek om bedrijven veiliger te maken en Ethic is meer een dienst die permanente veiligheid van jouw Microsoft 365 omgeving in orde houdt. Rick zat ook, gek genoeg, maar één keer eerder aan tafel. Terwijl ik je echt wel vaker had gesproken. Dus het voelt een beetje als thuiskomen voor mij. Maar toch, ja, welkom terug Rick.

Sander Bijleveld:
[1:03] Ja, dankjewel. Blijf je te zijn.

Randal Peelen:
[1:05] Hoe is het met je?

Sander Bijleveld:
[1:06] Ja, best wel goed eigenlijk.

Randal Peelen:
[1:07] Doe ik jouw oeuvre zo genoeg recht aan? Of zeg je, nee Randal, je bent echt nog wel een belangrijk vinkje vergeten?

Sander Bijleveld:
[1:13] Wel goed koken.

Randal Peelen:
[1:14] Ja, en bakken vooral. Ja, meer bakken eigenlijk nog en koken.

Sander Bijleveld:
[1:18] Wat bak jij dan? Boat. Oké. En Kravals. Ik vind het leuk om de studeren te leren. Ik heb toevallig in november ook een nachtje meegedraaid bij een bakkerij. Oh, wat vet. Ja, dat was echt leuk. Mocht ik drie uur aantreden en dan gewoon een nacht meegedraaid als bakker. Of eigenlijk het hulpje van. Precies. De bitchboy bakker.

Randal Peelen:
[1:44] Ik had niet verwacht dat we hier al aan toe zouden zijn. Maar een vraag van de luisteraar. Jort, heb je een eigen zuurdeegstarter?

Sander Bijleveld:
[1:50] Niet meer.

Randal Peelen:
[1:52] Giskolonie.

Sander Bijleveld:
[1:52] Ja, ik had hem wel. Is het middeligend dood. Help mij even, want waarom heb ik... Ik denk aan de Prodigy bij Zuurdeegstarter. Maar wat is het en wat mocht er mee? Nou, je hoeft er niks mee. Maar je kan gist kopen in een zakje. In een supermarkt. En je kan ook je eigen starter bouwen door gewoon water en bloem te beeren. En dan uit de lucht komt er vanzelf gist in. En als je dan muzzle hebt, dan gaat het vanzelf gisteren in. Dan moet je de gisterkolonieren. Als die er wel eenmaal in zitten, dan is de, ik weet niet meer of de zuur, of de baas, of hoe het er ook. Dan kunnen andere bacteriën er niet makkelijk mee in. En als het misgaat, dan heb je een rotte bloem met water. Maar als je die hebt, dan kan je broodwee bakken. En dat geeft een beetje een zure smaak. Een smaak aan brood. Dan let je gewoon een beetje wit brood met gisteren. Heel suf. Ja, en dat heb ik een tijd gedaan. Maar dat doe ik nu niet meer. Je zou niet zeggen, maar ik probeer de afgelopen... Sinds januari ben ik aan het afvallen. En dan helpt het niet om elk weekend een vers brood of twee verse brood te maken. Dat kan ik me ook bij voorstellen.

Randal Peelen:
[3:03] En wat ik ook weet is, kijk ik heb daar helemaal geen verstand van. Maar ik wist van dit bestaan. Bijvoorbeeld, ik heb nu een flesje Heineken in mijn hand. Die gasten hebben ook een bepaald gist. En volgens mij is dat nog wat of zo aan gist. Ik weet het niet meer. Maar dat is dan het, ja, hoe moet ik het noemen? Proprietary Heineken gist. Dus alleen zij hebben dat. En GIST is een levend organisme. Dat dus ook evolueert. En op een gegeven moment een specifieke starter. Zo in de broodwereld heb je van die starters. Die hebben bepaalde bakkers alleen. En die is dan een bepaalde tak in de evolutie. En die is dus uniek. Ja, wij als LEK gaan dat verschil misschien niet proeven. Maar het is toch wel een dingetje.

Sander Bijleveld:
[3:40] Ik heb een tijdje kefir gehad thuis. En dat is misschien een beetje vergelijkbaar. Ik was toevallig vorige week voor de RSA in San Francisco. en San Francisco staat bekend om San Francisco Sourdough. Wat sterren? San Francisco is een beurs, een security verkopen beurs vooral. Dus er staan Microsoft staat daar om spulletjes te verkopen, Cisco en eigenlijk alle grote bedrijven. Wij mochten daar tevoren een presentatie geven op het congres, maar de stad staat ook heel erg bekend om zuurdezen.

Randal Peelen:
[4:13] Ja, klopt.

Sander Bijleveld:
[4:13] En vroeger was het zo dat mensen daar zuurdezen op het congres naar huis brengen. Het ding is alleen dat als je dat doet, dat eigenlijk gewoon de, en de kolonie groeit verder waar je reint en dan op het laatst is het helemaal niet meer wat daar was. Dat is toevallig die gist die daar leeft die daar in het spul komt te zitten en niet per se transporteerde. Krijg je op een gegeven moment cheap knock of zuurdezem uit? Ja, of je maakt gewoon wat voor jou het gebied is dus Amsterdam, zuurdezem.

Randal Peelen:
[4:40] Maar volgens mij is het ook een ding dat wij Nederlanders wat wij brood noemen, dat is meestal met gist wat wij normaal brood noemen en wat ze in de VS normaal brood noemen ze altijd sourdough. Dus volgens mij is dat ook gewoon een ander soort brood.

Sander Bijleveld:
[4:53] Ja, ik heb een heel lekker broodkwetje in het geef. En ik heb daar heel vins. 100 brood.

Randal Peelen:
[5:02] Smaken verschillen.

Sander Bijleveld:
[5:03] Ik wou zeggen, dat is het idee dat ik bij heel Amerika heb, dat het brood daar echt niet ten af zit. Het een soort cake is. Ja, dat is een beetje kan het wel. Maar het is niet goedkoop. Dan kopen ze dat niet.

Randal Peelen:
[5:15] Maar, Rick, Laten we het voor de grap ook eens over cybersecurity hebben. Je hebt met Etik en Zolder. Zie ik een boel vacatures langskomen. Dat is vaak een heel goed teken. Dat het goed gaat met mijn bedrijf. Maar ook dat er uitdagende tijden zijn. Misschien kun je even beginnen met. Wat doet Etik? Wat doet Zolder? Ik heb het in de intro een beetje gezegd.

Rik van Duijn:
[5:32] Ja. Met Zolder doen we veel consultancy. Spentest werk. Of security research. Dingen uitzoeken. En daar dan iets van vinden. En daar een advies over uitbrengen.

Randal Peelen:
[5:41] Pentest is proberen in te breken. En als het je lukt. Vertel je braaf hoe. En dan betalen ze jouw geld. En dan hoef je daarna de criminelen geen geld te geven.

Rik van Duijn:
[5:48] Precies.

Randal Peelen:
[5:48] Het kost gewoon altijd geld, die security.

Rik van Duijn:
[5:50] Het is altijd.

Randal Peelen:
[5:51] En het is duur ook.

Rik van Duijn:
[5:52] En het is duur ook. En om die reden zijn we dus ook Etik gestart. Niet puur voor meer geld. Maar wat wij merkten. Je hebt al aangegeven. Ik zat hier bijvoorbeeld ook bij KPN. En daar deden we pentesten bij megabedrijven. En dan deed je een pentest. En dan maak je een rapportje. En een jaar later kom je terug. En dan heb je datzelfde rapportje nog een keer. met de bevindingen van dat jaar erbij. Het gaf gewoon weinig voldoening. Je bent het elke keer aan het doen. Het was gewoon niet leuk meer. En toen hadden ze iets van. Eigenlijk zou het beter zijn. Als we bedrijven ook echt kunnen beïnvloeden. Een heel groot bedrijf beïnvloeden is moeilijk. Maar kleine bedrijven. Die kan je wel beïnvloeden. Alleen die hebben niet de euro's. Of de mensen. Laat staan dat ze zo'n rapport kunnen interpreteren. Want er zit dan gewoon een eigenaar. Iemand zonder veel ervaring. Dus toen hadden ze iets van. Kunnen we niet iets doen. waarmee we bedrijven verder kunnen helpen en iets beter kunnen beveiligen. En dat we ook wat meer voldoening voor onszelf eruit halen. Wat minder leeg.

Sander Bijleveld:
[6:53] Wat meer invloed.

Rik van Duijn:
[6:54] Ja, en dat is eigenlijk de reden dat we Ethics zijn gestart. Ons doel is om van de kleinste bedrijven, dus 1 à 2 werknemers, tot hele grote bedrijven, te helpen elke dag een klein beetje veiliger te worden. En dat doen we nu door te focussen op Microsoft 365. Want wij hebben het idee dat we daar het makkelijkste schaal kunnen halen. En ook door alle API-koppelingen kan je daar gewoon geautomatiseerd dingen in doen. En dan moet het dus zo zijn dat we ook voor de kleinste bedrijven hun security kunnen verbeteren. Zonder dat aan de overkant ook iemand zit die helemaal weet hoe dat werkt.

Rik van Duijn:
[7:28] Maar door ons te vertrouwen dat kan doen.

Randal Peelen:
[7:30] Hoe goed zijn die namen doordachtig? Want ik zie opeens Attic betekent zolder in het Engels. En zolder is zolder in het Nederlands. Maar het is dus ook security van A tot Z.

Rik van Duijn:
[7:42] Dat is heel nice. Die ga ik jatten. Vanaf morgen.

Sander Bijleveld:
[7:49] Doe ik je nog marketeers, of niet?

Rik van Duijn:
[7:51] Ik heb het net aangenomen.

Randal Peelen:
[7:55] Hadden die dit al bedacht? Nee.

Rik van Duijn:
[7:57] We hadden wel op een hele andere manier naar de business gekeken, maar niet dat. Qua doordacht, ik heb nog nooit ondernomen. Dus dit is de eerste keer dat ik dat doe. En wat ik merk is dat je gewoon de hele tijd erachter komt. Dat wat je een jaar geleden deed niet zo'n goed idee was.

Randal Peelen:
[8:16] Nee.

Rik van Duijn:
[8:17] Dat is gewoon... Dus wij zaten in het voortraject. Toen dachten we... Nederlands securitybedrijf... Wat Nederlands bedrijf verder helpt. En dan ze veilig maakt. En dat moet helemaal Nederlands. En dan een half jaar later... Nee. Engels. Dat is het. En zo zijn Zolder en Etik... Want het was gewoon Zolder. En toen dachten we... Nee, Etik. Inmiddels is het ook wel fijn. Want je hebt echt een hele duidelijke scheiding. dus we kunnen ook een functiescheiding is inmiddels ontstaan maar van origine komt dat omdat we gewoon niet konden kiezen ah.

Randal Peelen:
[8:50] Zo gaat dat soms. Maar help mij even. Want ik heb dit verhaal al een keer gehoord. Dus ik snap het een beetje. Maar kun jij dan aan Sander uitleggen? Kijk, ik heb altijd in mijn hoofd. Ik neem Office 365. En dat is van Microsoft.

Sander Bijleveld:
[9:03] Ik betaal.

Randal Peelen:
[9:04] En daar heb ik mijn e-mail en mijn Word. En dat werkt allemaal. Dat noemen we allemaal Office. Dus in mijn bedrijf, het kantoor, is de digitale tak daarvan belegd bij Microsoft. En dat is in de cloud. Dus dat hebben zij goed beveiligd. Daar hebben zij backups van. en ik gooi daar geld naartoe en dan komt het allemaal goed. Hoezo moeten jullie dan bij Microsoft in de cloud belegde shit gaan securen? Waarom kan Microsoft dat niet?

Rik van Duijn:
[9:30] Nee, dat kan ik je uitleggen. Dat heeft met een aantal verschillende dingen te maken. Je kan gewoon een hele hoop opties en settings die zijn er, maar daar maak je geen gebruik van. Dat komt omdat teveel geld kost aan de Microsoft kant. Of omdat als ze dat gaan implementeren, geautomatiseerd bij iedereen, Dat er dan allemaal vragen komen. En dat willen ze niet.

Sander Bijleveld:
[9:49] Dat willen we geen vragen?

Rik van Duijn:
[9:50] Nee, dat is het hele idee van SaaS business. Zo min mogelijk vragen, zoveel mogelijk geld. Maar dus wat wij doen is. Wij kijken naar Microsoft 365. En we kijken daar naar verschillende dingen. We hebben het opgesplitst in monitoring en hardening. Dus waar het gaat om hardening. Zeggen we bijvoorbeeld. Wist jij dat gastgebruikers nieuwe gasten uit mogen nodigen? Wil je dat? Dus als jij gasten uitnodigt in een groep. Die kunnen daar weer nieuwe gasten uitgenodig worden.

Sander Bijleveld:
[10:18] Eindeloos groeiende groep hebben we dan.

Randal Peelen:
[10:20] Ik zou dan wel denken gaast.

Rik van Duijn:
[10:22] Ja. Maar dat kan je dus dichtzetten. Maar standaard staat dat open. Dus wij zeggen van, wil je dat niet verbeteren? Dus zo proberen we dat aan de hardeningkant... gewoon gezeur een beetje te voorkomen.

Sander Bijleveld:
[10:33] Eigen settings die er gewoon standaard in zitten even...

Rik van Duijn:
[10:35] Ja, bijvoorbeeld passkeys afdwingen. In plaats van inloggen met gebruikers en wachtwoord.

Randal Peelen:
[10:40] Het eindeloze paradox tussen veilig en bruikbaar. Maar hoe veiliger je het maakt, hoe meer gedoe het geeft op de werkvloer. Dus ik denk dat Microsoft die balans gewoon anders slaat dan jullie. Ze zouden het ook by default allemaal aan kunnen zetten. En dan is iedereen veilig, maar dan kan opeens half Nederland niet meer werken.

Rik van Duijn:
[10:56] Nee, en ze hebben natuurlijk ook te dealen met een hoop... Zeg maar, als jij nu een tenant koopt, vandaag. We kopen vandaag een nieuwe, met nerds op tafel, Microsoft 365 tenant.

Sander Bijleveld:
[11:04] Met z'n allen samenwerken.

Randal Peelen:
[11:05] Tenant, dus een omgeving.

Sander Bijleveld:
[11:07] Ja, dat is een omgeving.

Rik van Duijn:
[11:08] Dus met een entra ID, identity provider. We hebben office spullenboel erbij. gewoon het hele spulletje, dat noem je een tenant.

Randal Peelen:
[11:15] Ik kocht vroeger gewoon een cd'tje en dan zat zo'n key bij en dan deed ik FCKGA.

Rik van Duijn:
[11:20] Je kan ook op cd-keys geen M365 key kopen. Dat is heel gek. Ik weet niet hoe het is dit. Ik heb het ook al proberen te torrenten. Nee, maar die is anders dan eentje die vier jaar geleden is besteld. Omdat gewoon de settings toen anders waren. En niet alles wordt helemaal doorgevoerd. Dus wat je krijgt is ook een soort van... Een tenant vandaag is veiliger. Maar die valt. Dan een tenant van twee jaar geleden. Omdat dat gewoon nog niet een ding was. En achteraf dingen die nu kunnen. En dan dichtzetten. Daar zijn ze niet zo van. Want dat is natuurlijk... Ze doen het tegenwoordig steeds vaker.

Randal Peelen:
[11:53] Ik snap wel dat dat herres geeft.

Rik van Duijn:
[11:55] Ja, natuurlijk. Maar ze hebben nu... Omdat er zoveel gezeur was met de Chinezen of de Russen. Die meerdere keren bij iedereen in de tenant konden meekijken.

Sander Bijleveld:
[12:03] Dat zijn wel de twee...

Rik van Duijn:
[12:05] Ja, ja, ja. Sindsdien hebben ze een soort van initiatief gestart wel. Om daar wat meer mee te doen. Maar wij zitten dus aan de hardeningkant en we zitten aan de monitoringkant. Dus bijvoorbeeld, ik zie nu dat deze beheerder net nieuwe authenticatie methode heeft toegevoegd. Dus je kan allemaal verschillende manieren bevoegen op je account om in te loggen. Nou, dat is voor de meeste gebruikers zou je daar misschien niks mee willen. Maar als het een beheerder is, wil je misschien een heel versijntje van... Klopt het dat Jan op dit moment net dit heeft gedaan? En zo proberen we je eigenlijk daar veilig te houden. We hebben een bepaalde inlogpoging, maar die heeft eigenschappen waarvan wij al weten dat is eigenlijk... 90% fouten op.

Sander Bijleveld:
[12:43] Eigenlijk het belletje van je bank. Er probeert iemand in Roemenië nu in jouw account in te loggen. Dat doen jullie maar dan op de werkplek.

Rik van Duijn:
[12:49] Ja en dan geautomatiseerd helemaal. Dus we moeten ook best wel moeilijke keuzes maken soms. Want soms kan je wel dingen detecteren. Maar dat vergt gewoon te veel denktijd. En ons hele ding is. Het moet ook werken voor een bedrijf met een of twee werknemers. Je kan voor een of twee werknemers. Zeg maar de pricing is ook helemaal niet

Rik van Duijn:
[13:06] daarnaar. Dus ons hele doel is gewoon. Om het voor iedereen betaalbaar te maken. Dan moet je dus soms... Oké, dit kan ik niet detecteren. Nu nog niet. En dan gaan we kijken of we dat in de toekomst natuurlijk weer wel kunnen.

Randal Peelen:
[13:17] Maar dan zal ik even de schoenen van je twee verse marketeers weer even oppakken. Want dit is hoe ik het heb begrepen de vorige keer. Ik vind aan de ene kant het ei van Columbus dat ik eerst niet zag. En jullie eerder wel. Is dat je dus een heleboel 365 omgeving hebt. Maar dat valt tot staat met de settings. En de bereidheid van zo'n bedrijf om die aan te zetten en het te snappen. Maar wat jullie hebben gedaan is wezenlijk twee dingen. Het eerste is, wat je al zei, een API gaan we met Microsoft praten. En dan kunnen wij het namens jou aan en uitzetten. Het tweede is, hoe kan elke debiel het snappen? Dan maken we een app. Dus je hebt zo'n attic app op jouw iPhone staan. En dan heeft die eigenaar, die krijgt dan een pushbericht. En die zegt, yo, er is een nieuwe security feature. Die moet je echt wel aanzetten. Zullen we dat doen? Ja, nee? En dan zeg je ja en dat staat aan.

Sander Bijleveld:
[14:04] En dan schil bovenop je...

Randal Peelen:
[14:05] Dus dat dat allemaal in die app zit. Die dus ook heel betaalbaar is. Dat vind ik wel leuk bedacht.

Rik van Duijn:
[14:10] Ja, we proberen ook de bewoording eenvoudig te doen. Dus ook de uitleg. Dat lukt niet altijd. We merken wel dat we te technisch zijn. Daar hebben we onze marketeers ook voor nodig. Maar daarmee proberen we dat zo behapbaar mogelijk te maken voor iedereen. Op dit moment onze kleinste klant is vier gebruikers. Dus wat dat betreft gelukt. En onze grootste is meer dan vijfduizend. En die betalen allemaal hetzelfde. Dus dan gaat er iets helemaal mis. Maar dat zijn we aan het leren. Want het is nog veel belangrijker om te kijken hoe dat matcht. En het lijkt nu best wel te werken.

Rik van Duijn:
[14:50] Dat zijn we allemaal aan het uitvogelen. En daar zijn we dus nu ook meer mensen aan het aantrekken. We hebben een investering opgehaald om dit op veel groter schaal te doen. Eigenlijk is onze ambitie veel groter dan Nederland. Want er zijn heel veel bedrijven die al die enterprise oplossingen... Of hele enterprise-achtige diensten niet kunnen betalen natuurlijk. Wat ook niet gek is. Want het is allemaal gericht op 1% of zo. Echt die megatoco's. Daar zijn de meeste security oplossingen voor bedacht. Want iedereen die wil dat ene contract waar je 100 miljoen per jaar binnen haalt. En dan de rest van het jaar denk ik, nou kup top. Terwijl nu doen we het zeg maar met afhankelijk van wie je bent. 25 of 80 euro per maand. Ja, daar moet je heel veel klantjes hebben. Wil je daar een boterham van kunnen eten? Maar het is wel een hele andere manier van naar kijken. Dus dat vinden we zelf heel tof. En ik vind het fijn, want ik bedenk...

Rik van Duijn:
[15:45] ...zochtends... ...ik denk dat het wel chill zou zijn als dit konden. En het framework hebben we zo in elkaar gezet... ...dat ik letterlijk einde van de dag zou het in productie kunnen hebben. Doe ik niet, want ik probeer het wel in een soort van setjes te doen.

Sander Bijleveld:
[15:56] Kun je ze een voorbeeld geven?

Rik van Duijn:
[15:58] Nou ja, vorige week kwam er een klant... En die zei van ja, wat we doen is, wij doen ook voor bepaalde klanten spinnen we geautomatiseerd een SIEM oplossing in. SIEM is een tool om allemaal logberichten in te stoppen en op basis van logberichten detecties te doen. Dat doen we op basis van Azure Sentinel, dat is van Microsoft.

Randal Peelen:
[16:19] Wat?

Rik van Duijn:
[16:20] Azure Sentinel.

Randal Peelen:
[16:22] Azure Sentinel?

Rik van Duijn:
[16:23] Ja, Sentinel.

Randal Peelen:
[16:24] Azure is de cloud.

Rik van Duijn:
[16:25] Ja, en Sentinel is de SIEM oplossing van Microsoft.

Randal Peelen:
[16:28] De SIEM oplossing van Microsoft. SIEM.

Rik van Duijn:
[16:31] Security incident event. Logs. Logs erin. En dan iets slims ervan vinden. En daar een alarm eruit.

Randal Peelen:
[16:39] Oh ja.

Rik van Duijn:
[16:40] Dat idee.

Randal Peelen:
[16:40] Dat is een monitor.

Rik van Duijn:
[16:41] En wat wij doen onder andere is zeggen van. Hé, ik zie dat Randal vanaf nu al zijn e-mail voor naar dit gekke externe e-mailadres.

Randal Peelen:
[16:48] Hoezo kijk jij mee met mijn e-mailgaans?

Rik van Duijn:
[16:51] Omdat ik dat gewoon doe. Dat is ethisch verantwoordelijk. Maar dat is dus iets waar we dan naar kijken. En toen zei op een gegeven moment een klant. Heel terecht op een gegeven moment. Ja, superleuk, ik heb het nu gekocht. Vanaf vandaag detecteren jullie dat. Maar hoe zit het eigenlijk met alle mailboxen die ik al heb, die dat al aan het doen zijn? Het zou eigenlijk best wel mooi zijn als we een baseline hebben. Dus, wat ben ik toen gaan doen? Dan ben ik voor een aantal van de rules die wij standaard in die SIEM-oplossing stoppen, ben ik baseline checks gaan bouwen. Dat zijn PowerShell-scriptjes die ons framework, op het moment dat je het nu installeert, dan wordt die SIEM-oplossing gedeployed, worden allemaal dingen gedaan. Maar dan gaan ook gelijk die checks draaien om te kijken, Oké, vanaf nu detecteren we alles wat in die ruleset zit. Maar hoe zit het nou met de huidige staat? En dat vond ik best wel een slim idee van die klant. Shout-out aan die klant. En dat zit vanaf, denk ik, volgende week zit dat er dan in. Maar dat geeft mij een hoop voldoening. Want ik heb dus niet meer die mega-rapporten waar niemand naar kijkt. Ik heb nu iets wat...

Sander Bijleveld:
[17:49] Extra bol is.

Rik van Duijn:
[17:50] Ja, en dan meteen bam, niet over één klantje, maar gelijk honderden.

Randal Peelen:
[17:54] Dat is wel tof.

Rik van Duijn:
[17:54] En dat geeft, en helemaal als we dan zelf ook met ideeën komen, want dan geef je die mensen ook iets waar ze om vragen. Want dat is wel iets waar we zeker de eerste jaren heel veel last van hadden. We hebben dit niet bedacht op basis van heel slim marktonderzoek. Dit was gewoon...

Randal Peelen:
[18:10] Onderbuik.

Rik van Duijn:
[18:10] Ja, wij denken dat dit heel goed is. Dit wil je. En toen hadden we het en toen bleek helemaal niemand wist dat die het wou. En dat was een beetje verkeerd om. En inmiddels hebben mensen...

Sander Bijleveld:
[18:20] Je marketfit was niet helemaal...

Rik van Duijn:
[18:22] Nee, en tegenwoordig zie je dat wel gelukkig. En dat mensen het doorhebben. En dat ze echt naar vragen. Maar ja, dat was het niet. Het was gewoon een soort van...

Randal Peelen:
[18:32] Ik heb vorig jaar... Nee, het jaar daarvoor, 2023... voor het eerst... de Cybersecurity Week gepresenteerd. En dan ben ik de hele

Randal Peelen:
[18:41] week op de radio. En dan ben ik aan het vertellen over... Cybersecurity. Alleen de doelgroep daar is het MKB. Dus eigenlijk ook jouw doelgroep. En wat ik daar heel interessant aan vind... is dat zeg maar heel lang de trend is geweest dat de betere hackers... die zijn gewoon op zoek naar grote vissen inderdaad. Je hebt dan een wapen met loop, dus een hacker probeert grote vis te vangen. Dat lukt dan. En op een gegeven moment zie je de trend dat de grotere bedrijven... hebben op z'n minst steeds beter nagedacht over beveiliging. Ik bedoel, die zijn heus wel te hacken, maar die hebben daar in ieder geval al... dat team daar groeit ook en de mate van beveiliging ook. Dus je ziet gewoon die trend steeds langzaam naar beneden afzakken... Het hekken wordt steeds makkelijker. En de buitenprooien worden ook steeds kleiner. Dus vroeg of laat, waar je ook zit in de MKB-keten, kom je aan de beurt. En dat moment is ongeveer nu. Dat je ook gewoon op grote schaal een heleboel kleine visjes gevangen ziet worden. Dus ik denk dat je die trend mee hebt. En de andere trend die eraan komt. We hebben natuurlijk tien jaar geleden allemaal helemaal in de paniek gelegen vanwege de GDPR die eraan kwam. En nu is NIS II in aantocht. Nou, daar heeft nog niemand echt over nagedacht. Daar gaan ze jullie massaal bellen. En ik heb me laten uitleggen dat er veel te weinig securitybedrijven zijn in Nederland... om die golf die over een aantal maanden komt aan te kunnen.

Sander Bijleveld:
[20:02] Is bij NIST2 niet ook zo dat ook toeleveranciers van grote bedrijven...

Randal Peelen:
[20:06] Dat is het hele ding. Dat is een van de grote hete hangijzers. Dat zie je bij corona. Oké, we hebben het goed voor elkaar. Alle ziekenhuizen zijn goed bevoorraad. Waar komen de mondkapjes vandaan? en wie heeft als eerste vaccins? Dan ben je opeens heel afhankelijk. Dat is bij de cybersecurity. Iedereen heeft leveranciers. Als die eruit ligt, heb je altijd een probleem. Ik heb er beter over na gedacht.

Rik van Duijn:
[20:30] Sowieso. En zeker voor die kleine bedrijven, wat we daar gewoon het meeste zien, is eigenlijk de meest simpele fraude, dus business email compromise, backfraude. Of whaling wordt het ook wel genoemd. Maar wat je hebt, is dus gewoon een manipulatie van de mailcommunicatie, Waarbij ze bijvoorbeeld net even elke keer zo'n factuur uitgaat. Dat ze het rekeningnummer aanpassen.

Sander Bijleveld:
[20:52] Echt joh?

Rik van Duijn:
[20:53] Ja, dus die schade is groter. En vele malen groter dan ransomware. Terwijl iedereen heeft het altijd over ransomware. Want dan ligt je bedrijf helemaal op...

Sander Bijleveld:
[21:00] Dit verbaast mij extreem.

Rik van Duijn:
[21:02] Dat is veel makkelijker dan de rest.

Sander Bijleveld:
[21:05] Maar ook dat de schade zoveel groter is. Ik hoorde er nog nooit iemand overhoord.

Rik van Duijn:
[21:08] Je kan eens een keer zoeken. IC3, dat is een taskforce of een ding van de FBI. En die doen elk jaar een rapportje uitbrengen. En toen zaten we daar naar te kijken en de schade daarvan is veel groter. Het is natuurlijk ook één, niet je hele bedrijf op het schat, want het is gewoon een factuurtje wat verkeerd betaald is. Twee, het is ook niet, het is nog lulliger dan ransomware. Bij ransomware kan je tenminste nog zeggen dat het een zeer geavanceerde hack was. En hier was het gewoon...

Sander Bijleveld:
[21:32] Ik moet denken aan het pathé-verhaal.

Rik van Duijn:
[21:34] Ja, nou dat is letterlijk... Ja, ja, ja. En de ene keer is het dan letterlijk facturen aanpassen. De volgende keer is het gewoon vanuit het mailaccount van de directeur de CFO mailen.

Randal Peelen:
[21:46] Met doe dit.

Rik van Duijn:
[21:47] Weet je wel. En de volgende keer is het gewoon helemaal van buitenaf met gespoefde mail. Nou, Pathé was inderdaad van, hoi, Pathé Frankrijk ging iets kopen.

Sander Bijleveld:
[21:56] We gaan een grote overname doen en we hebben geld nodig.

Rik van Duijn:
[21:58] Ja, Bol is er ook een keer in getuind. Volgens mij, de grootste die ik ken was een Zwitserse of Oostenrijkse firma die maakte vliegtuigonderdelen. En de schade was net een nieuwe CFO en die kreeg een mailtje van de CEO om wat te betalen. En het was 400 nog een miljoen. Het was 15% van de omzet. En je had die gewoon zo poep.

Sander Bijleveld:
[22:25] Ja vet. Ik las later ergens een verhaal van een gast die heeft jarenlang gewoon random facturen naar Apple, Microsoft en dat soort tokens gewoon gestuurd. Voor dingen die die helemaal niet gedaan hebben. Maar gewoon kijken en er werd gewoon allemaal niks betaald. En dan heeft die tonnen mee.

Rik van Duijn:
[22:41] Maar dat hele verkeer hebben we sowieso helemaal niet. Daar is heel weinig controle op eigenlijk. Want het is gewoon... Betaal maar alsjeblieft. En het gaat hierheen.

Randal Peelen:
[22:51] Er zijn genoeg bedrijven die hebben van die purchase orders. En nummers enzovoort. En ik zat net te denken van ja. Heel veel bedrijven hebben dat op orde. Of in ieder geval is dit vakgebied doordacht. Er zijn mensen die hebben gewoon als vak. Om facturen te controleren. En dat kan heel goed gaan. Alleen wat jij net zegt. Als ik een pdf stuur en onderweg. Dat rekeningnummer anders. Ja dan komt het aan met een correct purchase order nummer. Voor een dienst die echt is geleverd. met het correcte bedrag. En ja, het rekeningnummer copy-paste. Alsnog, dus het is een bitcoffin-outres.

Rik van Duijn:
[23:18] Wat je dus vaak ziet is dat ze maken een mailbox-regeltje aan en die moved alle mails met bepaalde inhoud naar archive of RSS in je Outlook. Dat zijn die twee mappen waar je nooit iemand kijkt. En dan Marcus Wett, geautomatiseerd. Dus elk mailtje komt daar gewoon in terecht. En dan kunnen ze vanuit daar werken. Dus ze zitten gewoon op afstand in jouw mail mee te werken. En dat zijn... Voor zover ik het heb begrepen, die clubs die vroeger dat mailtje stuurden van ik ben een prins en ik heb een eindig euro's en jij mag dat ook wel hebben. Die zijn gewoon beter geworden.

Sander Bijleveld:
[23:51] Maar dit is briljant eigenlijk. Ik bedoel, het is fout, maar je hoeft eigenlijk nul hackerskills te hebben. Iedereen kan een regeltje aanmaken in een emailadres.

Randal Peelen:
[23:58] Dat vind ik dus ook het dubbele eraan, zeker met van die large language models. Ik had laatst op mijn, ik heb zo'n Ubuntu server in een VPS. En daar stond op een gegeven moment van. Je kunt die en die updates. Ik kwam er niet uit. Dus ik copy paste mijn hele fucking scherm. Naar een chatje die ik zeg fix dit voor me. En toen gaf hij me twee commando's. Als ik gepiept. Ik zei godverdomme. En dit is ook gewoon hoe ik. Als ik hacker was. Dan zat ik gewoon te vibe coden. Weet ik zeker dat ik buit ga maken. Het enige is. Je moet wel creatief zijn. Je moet dus echt snappen hoe bedrijven werken. En hoe de cultuur is. En hoe de hazen lopen en zo.

Rik van Duijn:
[24:33] Je hebt dus nu. Want het probleem is nog. Hoe kom je dan in die mailbox terecht? Dus dat is soms gewoon wachtwoordje raden. Want hoeveel inkoop ad mailboxen. Inkoop nog wat als wachtwoord hebben. Is niet normaal. Maar wat er ook heel veel gebeurt. Dat is dus gewoon actief phishen. En daarvoor gebruiken ze dus ITM platformen. Adversary in the middle. En er zijn SaaS providers voor. Dus daar hoef je ook weer niks te kunnen. Dus je hebt gewoon een abonnementje. En voor 250 euro per maand. krijg jij gewoon een Microsoft 365 ITM phishing pagina dus dan kan je gebruikers naar een wachtwoord maar ook als we een tweede factor hebben toch phishen en jij krijgt gewoon een cookie die kopieer je in je browser en je kan gewoon surfen alsof je die persoon bent, dus die gasten die hoeven ook daar weer niks te kunnen.

Sander Bijleveld:
[25:22] Hijack je eigenlijk iemand sessie ofzo?

Rik van Duijn:
[25:24] Ja, wat je eigenlijk doet is je laat iemand inloggen via dat SaaS platform, dat heb je gehuurd dus dan weet je eigenlijk niet eens hoe het werkt en dat SaaS platform dat mailt of dat geeft in een mooie interface is op een gegeven moment een cookie terug. Sommigen doen ook een soort van de hele tijd de office pagina bekijken, zodat de cookie ook actief blijft.

Sander Bijleveld:
[25:43] Ongers blijft.

Rik van Duijn:
[25:46] En vanaf daar kan je gewoon jouw scam doen. Dus het enige wat jij eigenlijk weet is van, oké, ik weet hoe ik van toegang tot een mailbox euro's maak. Dat is mijn kleine checkbox. En de rest koop je in. Dus wie gaan we lastigvallen? Nou, dat zijn contactgevers die ik kan kopen. Hoe gaan we dat doen?

Sander Bijleveld:
[26:04] Kopen we die tool voor?

Rik van Duijn:
[26:05] Ja, kopen we die tool. En dan gaan we het volgens ons doen. En dan volgens hoe ze het geld laten verdwijnen, dat heb ik nog niet helemaal begrepen. Want het is natuurlijk wel een overboeking naar een andere bank. Dus dat zit allemaal in het bankennet. Dus dat zou denk ik terug moeten kunnen.

Randal Peelen:
[26:19] Of crypto kopen of op andere manieren wit wassen in ieder geval.

Rik van Duijn:
[26:21] Ja, maar ja, als ik als privé persoon crypto wil kopen... moet ik eerst mezelf in ieder geval in Nederland... of in ieder geval bij die exchanges moet je allemaal kenbaar maken. Je kan niet gewoon met een nieuwe account even crypto kopen volgens mij.

Randal Peelen:
[26:33] Nee, je krijgt het niet in één stap even van bitcoin... na mijn rekening bij mijn eigen bank.

Rik van Duijn:
[26:38] Nee, dat zie je bij bankfraude ook. Dat bijvoorbeeld de bankrekeningen die al geverifieerd zijn bij een exchange. Zijn meer waard. Omdat je dan alle andere bankrekeningen die je gehackt hebt. Maak je het geld over naar die ene. En bij die ene duw je het in een exchange op.

Randal Peelen:
[26:51] Maar je hebt nog steeds dat fenomeen money mules. Dat zijn van die figuren die je op een of ander.

Sander Bijleveld:
[26:56] Je had het heel suf op die pinautomaten staan.

Randal Peelen:
[26:58] Ja heel suf. Kijk soms worden mensen gewoon echt bedreigd. En dan doe je dat braaf. Maar je krijgt in feite gewoon een pinpas in je hand gedrukt. En niemand zegt dit is de pincode. Ga maar zoveel mogelijk geld uit de muur trekken. En dat is, als je dat vaak genoeg doet, heel wat euro's. Best wel zuur.

Sander Bijleveld:
[27:15] Maar even helemaal terug naar, want wat mij verbaast is, dit klinkt als iets dat Microsoft gewoon zou moeten hebben. Ik heb een omgeving bij hun, ik heb een tenant en daar kan ik dingen in aan en uit zetten. En Microsoft geeft me even een seintje van, let op, dit kan je aanzetten en dit is wat het doet.

Rik van Duijn:
[27:32] Tot op zekerheid hebben ze ook wel dingen. Dus je hebt Microsoft Secure Score. Dat geeft een soort score met tips. Op basis van dingen die zij gecontroleerd hebben. Die hebben wij ook gewoon als input genomen. En je hebt nog een aantal andere bedrijven die ook weer allemaal ideeën hebben over hoe je het moet beveiligen. Wij persoonlijk hebben dat ook weer. Maar daar is gewoon, en dan staat er een uitleg bij, van zo implementeer je dat. En ze hebben allemaal security tools. Want ze verkopen een hele security suite. Je hebt dan Azure Central, de SIEM oplossing. Maar je hebt Defender voor, nou, sterretje inmiddels. Je kan het overal op installeren. Alleen die tools zijn allemaal gebouwd, wederom, voor...

Sander Bijleveld:
[28:13] Hele grote toko's.

Rik van Duijn:
[28:14] Ja, of op z'n minst, je hebt op z'n minst één systeembeheerder nodig om dat te begrijpen. En dan loop je tegen het probleem aan. Oké, maar die één systeembeheerder doet ook de printers, het wifi, de laptop. Dus ze hebben het. En als je er slim gebruik van maakt, dan kan je hartstikke mooie spullen beveiligen. Alleen ja, kennis en tijd. Dat eigenlijk. Maar het is zeker te doen. Wacht, sorry. Kennistijd en euro's. Want de licenties, ze hebben wel door dat ze daar geld voor kunnen vragen. Ja, daar zijn ze goed in. Harken.

Sander Bijleveld:
[28:48] Ik werk ook veel met Microsoft. Een van de eerste certificaten die je kan halen. MS 800 of 700 geloof ik. Dat gaat puur over hun business model. Welke type licenties je hebt. Dat zijn ze wel goed in.

Rik van Duijn:
[29:00] Is dat de MS 900?

Sander Bijleveld:
[29:02] Of 900.

Rik van Duijn:
[29:03] Fundamentals? Ik dacht ik ga dat ook doen. Maar dat bleek de inhoud iets minder.

Sander Bijleveld:
[29:08] Er zit niet zo heel veel technisch in. Wat kun je nou aan licenties bij iemand wegzetten.

Rik van Duijn:
[29:13] Welke excuus hebben we allemaal.

Randal Peelen:
[29:15] Je hebt op een gegeven moment bedacht. dit moet internationaal, dus in het Engels.

Rik van Duijn:
[29:19] Dus etic, niet zolder.

Randal Peelen:
[29:20] En hoe gaat dat groeien in zijn werk? Want ik hoor dat je marketeers aanneemt. Ik vond de site ziet er op zich al aardig uit. Maar zoals ik het niet direct snapte en inmiddels wel. En ook steeds beter uit leert leggen in de podcasts. Ja, die drempel zie ik wel. Dus ik gok dat je nu vooral groeit met mond-op-mond reclame.

Rik van Duijn:
[29:41] Dat is het dus. Het groeit vooral als we met mensen die technisch zijn, die die speel de boel beheren. Die spreken één op één. En dan op een gegeven moment, oh, dan snap ik wat het is. En dan, oh, dus dan wil ik het wel. Vooral voor veel mensen is het gewoon een soort achtervang ook. Want ze vinden het zelf ook wel leuk om eraan te sleutelen.

Randal Peelen:
[29:58] Maar ik merk, als ik er zakelijk naar kijk, niet als consument, want daar is het ook niet voor. Dan vind ik het niet veel geld namelijk.

Rik van Duijn:
[30:04] Nee.

Sander Bijleveld:
[30:05] Wij hebben het ook hoor, want wij hebben het bedrag. Oh jee.

Rik van Duijn:
[30:07] Per omgeving.

Sander Bijleveld:
[30:09] Oh, wauw, oké. Ja, dus voor genoeg bedrijven best een no-brainer. Nee, dat klopt.

Rik van Duijn:
[30:13] Alleen het probleem is, hoe krijg je het daar? Dus daarom hebben we juist die commerciële mensen aangetrokken. Omdat we ook toch achterkomen dat we beter technisch zijn dan commerciële mensen. Dat zijn we aan het leren.

Randal Peelen:
[30:25] Ik zat trouwens net te denken dat in Europa, in ieder geval, hopelijk binnenkort ook Nederland, wel een trend gaande is om zo min mogelijk afhankelijk te willen zijn van Microsoft. Dat is natuurlijk voor jullie ook wel even een vrijdagmiddagborrelgesprek, zeg maar.

Rik van Duijn:
[30:39] Nou ja, kijk, het framework kan in principe gewoon overal voor. Want het framework dat we gebouwd hebben, het heeft connectors, het heeft checks en fixes en het heeft rules en remediations.

Rik van Duijn:
[30:53] Dus als wij nu zeggen... Google Workspace is een slecht voorbeeld... want dan heb je weer een Amerikaanse dienst. Maar stel, er komt wel een goed alternatief voor dat. En die hebben ook APIs. Dan zouden we dat in principe gewoon de checks en de fixes daarvoor kunnen bouwen... en de rules en de remediaties daarvoor. De connectors ombouwen, zodat je daarmee connectt. En dan moeten we alleen uitvogelen van... hoe kan ik aan jou vragen of ik voor jouw omgeving dit mag doen? Microsoft heeft er heel mooie consent flows voor. En dan staat er gewoon, et ik wil vanaf nu. En dan deze rechter. Nou ja, misschien dat die Europese dat op een andere manier inricht. Nou, dan gaan we dat uitvogelen. Maar dat kan je ook in het framework hangen. We kunnen ook letterlijk kijken, oh, hoe zit het met Slack? En dan voor Slack zoiets bouwen. Weer Amerikaans, maar het framework leunt zich in principe voor alles. We hebben alleen gekogen voor 3, 6, 5. Omdat we daarmee denken de grootste groep bedrijven verder te kunnen hangen.

Randal Peelen:
[31:47] Ja, dat denk ik ook.

Rik van Duijn:
[31:48] Ja, maar dat is natuurlijk wel een gesprek geweest. Want 365 hebben we nu best wel goed af. Ik zou er wel licht zuur voor worden. Maar ja, ik snap het ook wel weer. Dat sommige bedrijven zich het erg aan drukken maken.

Randal Peelen:
[32:01] Nou, denk je dat het eigenlijk allemaal vooral om e-mail gaat? Want ik blijf dat interessant zijn. Dat e-mail in feite het meest antieke protocol is dat we nog dagelijks gebruiken.

Rik van Duijn:
[32:10] Ja.

Randal Peelen:
[32:11] Eigenlijk het minst van de grond af aan security heeft. En waar ik vooral een broertje dood aan heb, is dus... Alle security maatregelen en encryptie die ooit is bedacht. PGMT is dat het allemaal niet werkt.

Rik van Duijn:
[32:24] Ja, met PGP en zo. Dat doet altijd zeer als iemand zegt. Ik moet even met PGP communiceren. Ik heb ergens ooit een sleutel gepubliceerd. Hoe werkt dit ook alweer? Ja, dat is een drama.

Randal Peelen:
[32:36] Zo is dat nooit gewoon gebruiksvriendelijk gemaakt. Want ik vind het dus vervelend. Dat ik dan naar een collega een lijst stuur met al mijn klantgegevens. En dan denk ik, ja shit, dit gaat allemaal over internet heen.

Rik van Duijn:
[32:48] Ja, er zijn een hele hoop bedrijven die hebben geprobeerd daar wat voor te verzinnen. Dus dat is allemaal bold on oplossingen.

Randal Peelen:
[32:53] Ik doe dat trouwens niet even, sorry. Dit is een voorbeeld. Ik zou dat nooit doen. Ik betransfer dat. En dan stuur ik het betransfer linkje per WhatsApp.

Sander Bijleveld:
[33:02] Dat is wel een kriptisch.

Randal Peelen:
[33:03] Dat doe ik ook niet.

Rik van Duijn:
[33:04] Best luisteraar, hij heeft mij een hele lijst gestuurd voor de uitstelling. Je kunt hem kopen ook hè?

Sander Bijleveld:
[33:08] Ja, je kunt hem kopen vanaf nu.

Rik van Duijn:
[33:12] Nou ja, dus dat is allemaal bold on oplossingen. op iets wat we allemaal gebruiken. En het probleem is een beetje, je gaat het nou maar eens eens worden over hoe we moeten gaan werken. Dus daar zie je gewoon dat dat dat soms best wel lekker werkt als je gewoon iemand hebt die zegt, zo gaat het werken.

Sander Bijleveld:
[33:28] Soms hebben mensen gewoon nodig dat ze gewoon voorgeschreven krijgen, dit is hoe we het gaan doen.

Randal Peelen:
[33:32] We zijn standaard voor, dat is het probleem niet.

Rik van Duijn:
[33:34] Nee, we zouden het ook wel kunnen doen. Alleen wie gaat zorgen dat het allemaal met elkaar gaat werken? En welk gaan we dan gebruiken? En dan gaan mensen overleggen.

Randal Peelen:
[33:42] Het is ook cultureel, men is wel fucking verslaafd aan e-mail. Je krijgt het gewoon niet aan. Of sommige mensen bellen ook voor elke scheten.

Rik van Duijn:
[33:48] Ik doe tegenwoordig dus, ik merk zelf, maar dat is ook niet best. Maar ik zit dus helemaal in teams.

Sander Bijleveld:
[33:53] Ik ook.

Rik van Duijn:
[33:53] Mijn hele wereld is teams. Als je mij mailt, dan duurt het een dag langer dat ik reageer. Want ik kijk niet.

Randal Peelen:
[33:59] Ik heb echt met jullie te doen.

Sander Bijleveld:
[34:01] Ik ook. Ik leef in Teams.

Rik van Duijn:
[34:03] Ja, snap ik.

Randal Peelen:
[34:03] Wat een treurige tool.

Rik van Duijn:
[34:04] Ja, het is niet best. Het is niet de beste tool die er is.

Randal Peelen:
[34:07] Ik snap ook niet hoezo je Skype hebt afgeschaft, zeg maar. Net zoals dat je Twitter naar X rebrandt. Dat naam Skype, weet je hoe bekend die was? Iedereen kent dat blije blauwe logo.

Sander Bijleveld:
[34:15] Maar jij kan heel boos hierom worden. Maar de half Nederland, de driekwart van Nederland zit wel op Teams.

Rik van Duijn:
[34:19] Ja, iedereen zit gevangen.

Sander Bijleveld:
[34:21] En Teams'en aan zich is ook wel echt een werkwoord geworden. Maar X'en dat niet is.

Rik van Duijn:
[34:25] Nee, maar Teams, op zich conceptueel gezien is het best slim. Want ze hebben Sharepoint. Dus voor de berichten en de dingetjes. En dan OneDrive voor files. En dan zijn teamsgroepen een soort Sharepoint dingen geworden. En je hebt chat. Dat is Skype dan, denk ik.

Sander Bijleveld:
[34:43] Ja, het is hetzelfde framework. Tenminste, ik weet niet of het nog steeds hetzelfde framework is. Maar de afkortingen van de emoticons enzo zijn nog gelijk als dat ze in Skype waren.

Randal Peelen:
[34:51] Dus het is lelijk. Niemand snapt hoe die het moet gebruiken. En het is een fucking puinhoop.

Rik van Duijn:
[34:54] Ja, honderd procent. En het is eigenlijk Chrome. Het is zeg maar allemaal elektron based. Dus het is ook nog zo'n keer gewoon eigenlijk een web app. Dus het is mega zwaar. Dus als je naar je geheugenverbruik kijkt, is het ook niet te beuken.

Randal Peelen:
[35:08] Ik heb dat ook als ik Teams...

Rik van Duijn:
[35:08] Nou heb ik die MacBook Pro nodig.

Randal Peelen:
[35:10] Ja precies, dat snap ik. Ik gun jou die ook. Dank je. Alleen ik heb dus de Teams app op mijn iPad. Dat is ook jongen als die, die iPad heeft geen ventilator, maar die begon alsnog te draaien omdat ik Teams zo nodig voor een uurtje nodig had. Die accu was half leeg. Dat is ziek bizar. Dat ik denk, hoezo is dit gegeven? Maar goed, dat is nou eenmaal zo.

Sander Bijleveld:
[35:31] Ik wil op zich wel een land spreken over Teams. Het heeft na corona wel een vlucht genomen. En ik denk dat heel veel mensen die niet per se technisch zijn. Door Teams nu wel het nieuwe manier van werken. Een beetje hebben omarmd. Dus documenten in een omgeving zetten. Eén werkelijkheid. En niet weer hetzelfde document.

Randal Peelen:
[35:51] Als Teams beter was geweest. Nog meer mensen thuis werken hadden omarmd. Teams heeft eigenlijk thuiswerken gesaboteerd.

Sander Bijleveld:
[35:58] Oh, nou, oké. Grappig.

Rik van Duijn:
[36:00] Nee, zeker niet.

Sander Bijleveld:
[36:02] Ik gaf op een gegeven moment wel, want ik geef veel teams trainingen. Toen was corona, was al anderhalf jaar bezig of zo. Toen gaf ik letterlijk trainingen aan mensen die dan gingen vragen hoe ze konden bellen. En zo. Ik dacht, wat heb je dan anderhalf jaar gedaan?

Randal Peelen:
[36:13] Ja, precies.

Sander Bijleveld:
[36:14] Dus echt wel...

Rik van Duijn:
[36:15] Die werden gewoon gebeld.

Sander Bijleveld:
[36:16] Ja, dat is echt. Echt, ja.

Randal Peelen:
[36:18] Nee, ik heb wel, moet ik eerlijk zeggen. Kijk, ik zit met name in het Apple ecosysteem. En ik vind een heleboel software van Apple ook echt niet best. Alleen als je kijkt van, oké, ik zet mijn moeder erachter neer. en ze gebruikt het voor het eerst, dan kan zij facetimen. Maar als ik mijn moeder voor het eerst achter teams zet, dan raakt ze in de war. En dat is wel een...

Rik van Duijn:
[36:36] Ja, maar ja, die chats en teams dingen onder elkaar, dat je zit kijken of zit ik nou in een chatgesprek of zit een team.

Sander Bijleveld:
[36:42] Ja, dat vind ik ook niet handig. Dat hebben ze nieuw gedaan. Dat kan ik wel weer uitzetten, maar dat vind ik helemaal...

Rik van Duijn:
[36:47] Ja, ik heb dus uitgezet.

Sander Bijleveld:
[36:47] Ik ben alles kwijt de hele tijd.

Rik van Duijn:
[36:49] Nou, dat heb ik dus ook. Ja, en ik heb dus nu twee tenants.

Sander Bijleveld:
[36:52] Ik doe het hier alweer. Ik heb dus nu twee tenants.

Rik van Duijn:
[36:55] Een zolder tenant en een attic tenant.

Sander Bijleveld:
[36:57] Ja.

Rik van Duijn:
[36:57] En dan switch ik daartussen. En dan zijn de settings van de een anders dan de...

Sander Bijleveld:
[37:02] Maar het gaat wel makkelijker dan voorheen. Het switcher tussen tenminste.

Rik van Duijn:
[37:06] Dat gaat goed. Alleen de weergave is gewoon anders. Dus dan denk ik, oh ja, want hier zijn mijn teams. En dan switch ik en dan denk ik.

Randal Peelen:
[37:13] Wat ik ook heel fijn vind. Ik heb dus meerdere slacks. Ik zit dan op de met nerds op tafel slak het meest. Daar kun je ook uitroepteken. Niet theme of thema of iets. Maar dan krijg je zo'n botje. Dat geeft dan een knop. En als je daarop duwt, dan krijg je de meneurts op tafel kleur voor die slekje. Ja, dat lijkt best wel goed. En dan zie je best wel goed in welke slek je zit. Alleen ja, lang niet iedereen heeft dat door. Dus ik ga nu tijdens het opnemen dat commando is doen. En dan kijken hoeveel mensen in de huiskamer daar dan op happen. Want dat lijkt me wel geestig als mensen dat doen. Dan moet ik alleen nog even...

Sander Bijleveld:
[37:42] Breaking the fourth wall.

Randal Peelen:
[37:43] Ja, precies. Ik moet alleen nog even verzinnen hoe dat ook alweer was. Volgens mij is het...

Sander Bijleveld:
[37:48] Maar goed, dit is een functionaliteit die jij ook niet aan je moeder uitgelegd zou krijgen, toch?

Rik van Duijn:
[37:52] Nee.

Sander Bijleveld:
[37:52] Met uitroepteken en commando's en...

Rik van Duijn:
[37:54] Maar sowieso, heeft Slack support voor files? Kan je ook echt zoals wat je in Teams bent? Je hebt een wall waar je posts kan doen. Je refereer naar bestanden. Je werkt samen op één document. Wat ik ook al...

Sander Bijleveld:
[38:06] Volgens mij zit dat allemaal in Slack. Maar ik...

Randal Peelen:
[38:09] Ik heb hem al, maar kijk, nu krijg je dus... Dan kun je zeggen,

Randal Peelen:
[38:12] doe die maar. Dit vindt de luisteraar super tof.

Sander Bijleveld:
[38:13] Ik wou zeggen, dit is zulke goede podcast.

Randal Peelen:
[38:18] Nog even een vraag over Zolder dan. Want dat is meer de maatwerk.

Sander Bijleveld:
[38:22] Als consultancy toch?

Randal Peelen:
[38:23] Wel maar voor dat dat op een bepaald front wel leuker is. In die zin dat je echt met eindklanten direct contact hebt voor langere tijd. Ben je daar dan zelf ook bij betrokken?

Rik van Duijn:
[38:36] Ik heb daar de afgelopen vijf jaar heel veel van mijn tijd besteed aan pen testen. En ook hele leuke projecten gedaan. En zeker, kijk, als iemand gewoon zegt, ja, ik heb zoveel websites, kan je pen testen? Dat zijn de minder interessante tests. Maar we hebben af en toe echt, hier heb je een kiosk. Of we hebben een...

Sander Bijleveld:
[38:55] Kun je eens, want dan ben ik wel benieuwd. En ik begrijp dat je niet kan zeggen welk bedrijf. Kun je een opdracht beschrijven waar je zegt, die was zo leuk omdat?

Rik van Duijn:
[39:03] Ja, dat was een, nou ja, heel veel verschillende. Maar we hadden bijvoorbeeld een klus waarin ze in een logistiek bedrijf, de producten die binnenkwamen moesten gescand worden. En dan hadden ze zeg maar diezelfde units voor die je bij de appie hebt. Gewoon voor de boodschappen. Maar dan ruggedized.

Sander Bijleveld:
[39:21] Wat? Ruggedized?

Rik van Duijn:
[39:22] Ruggedized met rubber.

Sander Bijleveld:
[39:23] Oh ja, ja, ja. En je kan hem echt gooien.

Rik van Duijn:
[39:25] Dat is het idee. En die hadden, die stapten over van wifi naar 4G. Zodat het op het hele overal ging werken. En toen was de vraag van ja, wat nou als iemand zo'n ding pakt en simmetjes eruit trekt? Kan je dan via dat netwerk, want ze hadden hun eigen netwerk, dan kan je dan ons netwerk op en kan je dan bij ons naar binnen? Nou en dan toen vroeg ze ook tijdens, dat was de intake. We doen het intake om te bepalen van wat wil je nou en wat moet er onderzocht worden en hoe. En toen vroeg ze ook van ja, en hoeveel ervaring heb je met het testen van barcodescanners?

Sander Bijleveld:
[39:57] Nul.

Rik van Duijn:
[39:58] Oh, maar hoe ga je dit doen dan? Google. I don't know. Ik heb nog nooit een barcode. Uiteindelijk was het gewoon een Android.

Randal Peelen:
[40:06] Tuurlijk.

Rik van Duijn:
[40:08] Maar ja. Op voorhand kan ik dat nu niet zeggen. Dus dat was heel vet. En laatst voor een grote. Financiële toko. En die ging helemaal de Azure. Cloud in. En die wilden alles. Moest gevirtualiseerd. En die hadden daar een ontwerp voor gemaakt. Dan was de vraag van. Ga dat helemaal uitpluizen. Ja, dan zit je in één keer met, want normaal gesproken zijn dingen relatief klein als we beginnen. Maar bij dat soort bedrijven is het in één keer gigantisch. En dan is het heel leuk om gewoon, oké, wat is deze risorg? Hoe kan je daarbij? Wie kan erbij? En met rechten, maar ook netwerk technisch.

Rik van Duijn:
[40:47] Het zijn vaak de, hoe beter de vraag, hoe beter de antwoord. En ook hoe leuker de test. Dus als jij gewoon zegt, is het veilig? Je kan sowieso nooit zeggen 100% veilig. Want dat bestaat niet. Er komt weer iemand voorbij. Die weet een trucje wat ik niet weet. En dat gebeurt. En dan kan je toch gehackt worden. En overigens elke pentestoco die zegt. Dat ze alles vinden. Ren. Ren weg. Ga naar een andere. Hoef niet naar ons toe. Maar ren gewoon ergens.

Sander Bijleveld:
[41:16] Liever wel?

Rik van Duijn:
[41:17] Mag. Breng je euro's.

Sander Bijleveld:
[41:19] Natuurlijk.

Rik van Duijn:
[41:20] Nee, maar dat is gewoon heel belangrijk om te realiseren. Dat je gewoon niet alles kan vinden. En ook niet alles weet. En nog belangrijker. Je hebt vaak maar een hele beperkte tijd. Dus je krijgt gewoon vijf dagen of tien dagen. Of wat er dan ook afgesproken wordt. En daarbinnen moet het gebeuren. Dus wij proberen ons altijd heel open op te stellen. En zeggen van. Hé jij hebt het gebouwd. Leg mij eens uit. Hoe werkt dit? Wat is dit? En soms krijg je dan. Jij bent toch de hacker? Hack het maar.

Randal Peelen:
[41:48] Nou ik vind het interessant. Je zei eerder dat je ook in het verleden wel voor grote bedrijven hebt gewerkt. En had je een rapport geschreven. en dan had je dingen gevonden. Maar dan zei je, volgend jaar schrijf ik hetzelfde rapport met wat nieuwe punten. Dat is eigenlijk wat ik hier ook in herken. Als ik honderd dingen vind en volgend jaar nog tien en de lijst wordt langer, dan hebben die bedrijven dat dus niet gefixt. En als ik jou nu hoor praten, dan proeft dit naar een klant die ook wel, Bereid is om daarmee aan de bak te gaan.

Rik van Duijn:
[42:16] Ja. We hebben ook gewoon klanten. Die dat voor een vinkje doen. In het beleid staat dat het elk jaar gebeurt. Dus het gebeurt. Dan krijg je vaak meer de vraag. Is het veilig ofzo. En dan is het wat minder gespecificeerd. Ze zijn ook vaak niet bereid om daar tijd in te investeren. Dus als je dan zegt. Ik heb er eens goed naar gekeken. Naar die applicatie. Ik denk dat het zoveel dagen kost. Dan is het standaard antwoord.

Sander Bijleveld:
[42:39] Gaan we niet doen.

Rik van Duijn:
[42:40] Het moet minder. Maar we hebben ook klanten. dat zijn bijvoorbeeld ondernemers die hebben een product ontwikkeld en die willen gewoon weten van ja, ik heb dit ontwikkeld, en ik weet eigenlijk niet of het veilig is we hebben de leukste klanten zijn de klanten waarmee we zelf in een Teams of een Slack chat want we gebruiken ook Slack als de klant dat doet, en dan hebben we overleg letterlijk met de ontwikkelaars of beheerders die dan vragen van daar kan je gewoon vragen in gooien ik zit tegen dit API endpoint aan te praten Er gebeurt niks. Er gebeurt niks of ik snap het niet. Kan je uitleggen hoe dit werkt. En regelmatig zit je dan opeens in een call met een of andere ontwikkelaar. Die zegt, nou kijk, zo heb ik het gebouwd. Dit zijn de code. En die zet het dan uit te leggen. En dan kan je gewoon meekijken. En dat betekent voor ons, één, we kunnen beter een antwoord geven. Want we weten gewoon precies hoe het werkt. En ook kostenefficiënt. Want ik hoef niet alle mogelijke opties te gaan testen. Ik kan gewoon vragen aan iemand, hoe werkt het? En dat is heel leuk. En dat zijn de leukste klussen.

Rik van Duijn:
[43:47] Vanaf...

Randal Peelen:
[43:47] Ben again, bij dat soort klussen moet je eigenlijk nog veel eerder betrokken zijn. Nu zit je een soort aan de ontwerptafel.

Sander Bijleveld:
[43:54] Security bij design.

Rik van Duijn:
[43:56] Ver. We hebben... We hebben een aantal klanten die letterlijk als ze een nieuw feature hebben. Dan zeggen ze, hé, deze feature komt eraan. We hebben het zo en zo bedacht. Wil je het testen? En dan in staging wordt het al getest. En dan kijk je mee. En dan probeer je daar wat slims van te vinden. Maar we hebben ze ook die... Maar dat later een idee is... Het hangt ook wel heel erg af van hoe volwassen een bedrijf is.

Sander Bijleveld:
[44:26] Security volwassen bedoel je dan?

Rik van Duijn:
[44:28] Ja, want je kan je voorstellen dat als je gewoon net aan het voor elkaar krijgt... Om die ene feature te shippen. Dat je je nog niet super druk gaat maken. Of dat wel op deze manier geprogrammeerd is. Of hier wel allemaal aan voldaan is. En of het wel getest is. Maar we hebben ook klanten waar dat helemaal... Ja, daar werken heel veel mensen. Dan kun je die luxe ook voorloven. Dat kan natuurlijk niet iedere organisatie.

Randal Peelen:
[44:51] En nu ik toch manager van je sales team ben.

Rik van Duijn:
[44:53] Yes.

Randal Peelen:
[44:54] Ik had net ook een brain fart. Dat zo'n klant die je inderdaad wil laten zien. Zo heb ik het gebouwd. Ik zou dan bijna denken. ik verkoop mezelf zo. Je hebt een soort, verkoopgesprek. Je komt dan langs en diegene zegt, dan vraagt van, mag ik het even presteren? En die klant zegt, ja is goed, ik geef je het wifi wachtwoord wel en laad ik je op het grootste scherm. Ik zo, daar zit ik al. Ja, ik weet dat dat een grijs gebied is, maar het is wel een fantastisch gebied. En eigenlijk een gebied waarvan ik jou adviseer dit voortaan zo te doen.

Rik van Duijn:
[45:24] Ik snap het, maar dan krijg je, dat werkt twee kanten op. Want als jij op die manier grappig lopen te doen met haha, je liet me zien hoe je inlogde dus ik heb toen je wachtwoord afgekeken van je, toetsenbord die krijg je ook terug als je daarna zegt van hey ik zit in dit netwerksegment en ik weet eigenlijk niet waar ik tegenaan aan praten, maar het voelt niet helemaal goed, Want dan krijg je ook van, ja man...

Sander Bijleveld:
[45:50] Kijk maar, maar dit is wat mee.

Rik van Duijn:
[45:51] Ja, jij bent toch de hacker. Zoek de documentatie maar, pik. En dat werkt niet bevorderlijk. Komt bij dat je... Voor sommige mensen voelt het echt alsof we hun werk komen controleren.

Randal Peelen:
[46:03] Ja, oké.

Rik van Duijn:
[46:03] En sommige, dat zijn sowieso... Als je echt 100 nul achter wil staan... Dat je dan... Je komt de ochtend binnen. En soms moet je intern. En dan kom je aan met je rugzak. En dan stel je je netjes voor. En dan neemt de manager je mee. en dan ga je de vloer op en dan zegt hij jongens, dit is Rick. Hij komt even controleren of jullie het allemaal goed je werk hebben gedaan. Nou, dan kan je net zo goed weer naar huis.

Sander Bijleveld:
[46:25] Dan kom jij daar als...

Rik van Duijn:
[46:27] Ik ga jou niks meer doen. Dus je kan beter... Ik snap het dat het commercieel, een soort van wauw-factor dat dat echt wel werkt, maar ja. Nee, ik brand mijn vingertjes niet aan. Want ik wil ze liever samen kijken hoe we dit veilig kunnen maken. Ook omdat je tips gaat geven. En die tips gaan helemaal niet passen. Want wij komen dan aan en zeggen, ja, dit moet je zo oplossen. Want het staat ergens in, heeft iemand bedacht. En dit is de beste oplossing. En dan, wat blijkt, dat bedrijf staat al tien jaar, er is geschiedenis.

Sander Bijleveld:
[47:01] Legacy.

Rik van Duijn:
[47:02] Ja, precies. En dan komt er iemand die zegt, kan niet.

Sander Bijleveld:
[47:06] Computer says no.

Rik van Duijn:
[47:07] Ja, en als je dan een beetje een chillere relatie hebt, dan kan je ook zeggen, oké, wat kunnen we bedenken, hoe we toch of, oké, de meest optimale oplossing is niet een ding... maar wat kunnen we dan bedenken? En zo samen... Dus de sfeer open... en samenhouden is wel echt...

Sander Bijleveld:
[47:25] Dat is wel de consultancy kant van je nu.

Rik van Duijn:
[47:27] Ja, maar ik werkte vroeger... werkte ik... bij Hofman, een bedrijfsrecherche. En dan moesten we altijd in pak... En ik heb daar geleerd dat als je altijd in pak binnenkomt, dat dat niet voor iedereen goed werkt. Ik snap dat het heel chique overkomt. En ik denk ook wel dat de type klanten waar zij mee dealen, dat het heel goed past. Alleen die IT-afdeling was niet meteen fan. En dan kwam je gewoon binnen in je pak. En dan ook nog die manager die even zegt van...

Sander Bijleveld:
[48:00] Kijk, die lul dan met zijn pak.

Randal Peelen:
[48:03] Die gast denkt dat hij een grapje maakt. Dat is echt van Henk. Fuck hem.

Sander Bijleveld:
[48:07] Fuck Henk.

Rik van Duijn:
[48:09] Hoe vaak ik wel niet gewoon zo'n gast die dan zo zijn pen over tafel gooit.

Randal Peelen:
[48:13] Dat is niet waar.

Sander Bijleveld:
[48:14] Ja, echt jongen?

Rik van Duijn:
[48:15] Heb je wel eens Pennyo gehad? Eigenlijk wil je over tafel springen en gewoon beginnen. Niet meer stoppen. Maar ja, dat is geen...

Sander Bijleveld:
[48:23] Voor de luisteraar, hij maakt een steekgebaar met hem.

Randal Peelen:
[48:27] Dat was door de speakers heen te horen.

Sander Bijleveld:
[48:29] Maar waar ik benieuwd naar Ben, want dat vind ik bij hackers, en ik weet helemaal niet of er tijd voor is, Maar ik vind hacken heeft ook altijd iets mystieks. Ik zie altijd van die jonge gasten die dan thuis aan het hacken, aan het cracken, aan het scriptkiddies zijn begonnen. Hoe ben je ooit bij begonnen? Ben je scriptkiddy?

Rik van Duijn:
[48:46] Oh, verschrikkelijk. Ik heb meer virus op mijn ouders pc gezet dan wie dan ook.

Sander Bijleveld:
[48:50] Backtrack en...

Rik van Duijn:
[48:51] Ja, ja, back office en backtrack. En ik had netbus.

Randal Peelen:
[48:57] Ja, dat begint het met.

Rik van Duijn:
[48:59] En wat ik dan mee bezig had, initieel was het dan gewoon de pc van mijn ouders met netbus. infecteren en dan mijn zusje een berichtje sturen van, hey, wil je een beker houden?

Randal Peelen:
[49:09] Ja, precies. Dat is de D3-opening.

Rik van Duijn:
[49:11] En daarna was het zeg maar MSN. En dan was het leuk, plaatje.exe. Sturen naar iemand. En dan was ik te dom om te snappen hoe ik dan kon achterhalen wat iemand zijn IP was. Dus wat ik dan deed, was de hele tijd netstad draaien. En als het gedownload werd, was er een een-op-een verbinding. Dus dan kon je precies zien.

Sander Bijleveld:
[49:28] Ah, dat is de IP.

Rik van Duijn:
[49:30] En daarna ging ik dan proberen op de poort die ik had opgegeven, in de hoop dat ze die dan, als dat ze hadden gedubbelklikt. Dan ging ik op die poort, dat IP-adres ging, dan netbes open en dan ging ik proberen te verbinden en zo. En elke tool downloaden.

Randal Peelen:
[49:42] Totdat nat een ding werd. Toen was je fucked.

Rik van Duijn:
[49:44] Ja, nee, dat snapte ik al helemaal niet. Nat. Dat kwam jaren later pas.

Randal Peelen:
[49:50] Maar dit is wel wat hacken is, want wij doen dit af als scriptkiddy, maar dit is het probleemoplossend vermogen.

Sander Bijleveld:
[49:55] Ik heb dit ook allemaal meegemaakt. En daarom vind ik het zo leuk om het hierover

Sander Bijleveld:
[49:58] te hebben. Tegenwoordig is het inderdaad, je schrijft rapporten en je komt met dat wat wel.

Rik van Duijn:
[50:02] Het is nu echt een business geworden. Dat was het niet. Ik zat op Astela Vista. Dat was zo'n forum. En daar had je allemaal tools die gepubliceerd werden. En ik snapte het allemaal niet. En dan had iemand Shellcode geschreven. En dan dacht ik Shellcode, I don't know. En later werd dat wat meer de wares zien. Dus de GTA 3 hebben. En dan was daar een hele scene omheen. Om te zorgen dat er ook... Hoe zeg je dat? Ehm... Die Wers moest gedownload worden, maar er was niemand die het wou hosten. Maar die hosting kan je creëren.

Sander Bijleveld:
[50:40] Ja, precies. Er zijn vast ergens servers waar dat gewoon oppast, toch? Waar het met die ruimte is.

Rik van Duijn:
[50:47] En degene die dat kan faciliteren, mag als eerste de nieuwste Wers downloaden. Dus die heeft als eerste de nieuwe Toonbreder of de nieuwe GTA.

Sander Bijleveld:
[50:56] Een beetje een voort-wat-hoort-wat-netwerk.

Rik van Duijn:
[50:58] Ja, en als je dan toevallig wel die nieuwe GTA 3 wil, Dan moet je kijken of je een manier kan vinden om die ook te krijgen. Dus dat was toen. Toen heb ik de hele tijd helemaal niks meer mee gedaan. Ik heb zelfs gedacht om kok te worden. Ik werkte zelf in heel veel keukens. En ik vond het ook heel leuk. En ik heb serieus getwijfeld. Want ik was een bijzonder slechte student op het hbo. Ik was er niet. Ik haalde hele slechte cijfers. En met name...

Sander Bijleveld:
[51:24] Maak hand in hand, hè? Als je dan niet bent...

Rik van Duijn:
[51:26] Ja, nee, fair. Maar je had ook mensen die kwamen niet. En die haalden dan goede cijfers. Magier ben jij.

Sander Bijleveld:
[51:30] Fuck them.

Rik van Duijn:
[51:31] Ja, sowieso. Maar uiteindelijk wiskunde, B2 en bedrijfseconomie. Oh, en telematica. En die drie vakken, daar bleef ik echt op hangen. Goed, toen heb ik een tijdje fulltime in keukens gewerkt. Ook een hele leuke tijd. En toen ging ik stage lopen bij Logica CMG toen nog. En dat was mijn afstudeerstage, zeg maar. Dan heb ik een mobiele app gebouwd. De Logica Locator.

Randal Peelen:
[51:58] Helemaal goed.

Rik van Duijn:
[52:00] En dan kon je navigeren waar is contexten waar je navigatie routenavigatie was sowieso nog niet echt een ding toen en ik hijjackte zeg maar, dus de Google Maps navigatie, dus je kon Google Maps kon je een API callen en dan kon je met door een PARM dan gaf je KMS mee als PARM of KMI, en dat is blijkbaar dat was een format voor routenavigatie van punt naar punt naar punt en wat ik dan deed was onderweg naar die route bekijken van in die buurt zit daar misschien koffie of kan je daar misschien, dus dan zei die van hé, je bent nu in de buurt van een koffietentje, wil je? En zo probeerde ik een soort moderne, eigenlijk wat Google Maps nu gewoon standaard inschrijft, heb ik dan geprobeerd daar te maken. Nou, daar heb ik een hele leuke demo van weet te produceren.

Rik van Duijn:
[52:44] Dus dat heb ik toen, en toen per ongeluk, toen kreeg ik een baan aangeboden, nou, ik denk dat dat wel expres was, maar toen kwam ik mijn, ik kwam een collega tegen die in mijn team zat, die onder mijn manager viel. En die zaten bij een bank en die deden daar allemaal code reviews. En allemaal dingen met security. Ja, dit is vet. En we stonden, het was zeg maar het bedrijfsfeest of zoiets. En ik stond daar en ik hoorde een beetje wat ze deden. Ik dacht... mag ik meedoen? Is dit een optie? Ik wist ook niet hoe dat werkte toen. Ze zei ze, nou, we zijn wel op zoek. Maar ja, eigenlijk wel een media. Ik zei, nou, dat kan ik niet. Maar toen zei ze, nou ja, misschien kunnen we dan wel juist, want we kunnen toch niemand vinden. Misschien wel wat voor jou. En toen heb ik daar, was dat mijn eerste echte gedeticheerde job. En heb ik daar code reviews gedaan. En heel eerlijk, daar snapte ik het deels, maar nog steeds niet echt. In die zin dat ik toen later ging ik, zeg maar, dan heb ik nog wel tijd bij Logica nog andere dingen gedaan, maar toen kwam ik bij Hofman terecht, ging ik daar solliciteren.

Sander Bijleveld:
[53:49] Een pak.

Rik van Duijn:
[53:51] Nou, solliciteren? Ja, solliciteren was ook een pak. En toen gaven ze me zo'n test, zo'n web-app die helemaal kwetsbaar was, en die moest ik laten zien. En na een uur ploeteren kwamen ze terug, zeiden ze, en wat heb je gevonden? Ik zei, nou, hier zit een cross-site scripting, daar zit een C-conjectie, en daar zit... Ja, maar waarom heb je dat niet uitgebouwd? Ik weet niet hoe. Ik weet nu inmiddels hoe ik het een beetje moet vinden. Maar daar houdt het wel echt op. En toen hebben ze mij... Dat was echt heel tof. Toen mocht ik daar cursussen doen. Van Offensive Security. Om dat beter te leren. Dan heb ik heel lang met mensen meegelopen. Een soort van hulpje. En daar viel eigenlijk al dat gecleer van al die tijd daarvoor.

Sander Bijleveld:
[54:31] Viel op een plek.

Rik van Duijn:
[54:32] Ja, en dat was heel chill. Want toen merkte ik ineens... Oh, ik begin het een beetje te begrijpen. en toen heb ik zeker een half jaar gedacht, nu snap ik het en eigenlijk sindsdien heb ik geleerd dat ik het niet snap en nooit.

Randal Peelen:
[54:44] Meer gaat snappen ook.

Rik van Duijn:
[54:46] Nee, ik ben nu tien jaar verder en ik heb eigenlijk elke keer denk ik, oh kan het?

Sander Bijleveld:
[54:50] Het is ook relaxed voorstellen dat je iets doet, dat doe je al dertig jaar en je snapt het.

Randal Peelen:
[54:56] Bij al die dingen dat het plafond verschuift en andere mensen hebben het niet al dertig jaar gedaan dus je hebt echt wel op een gegeven moment van die figuren die komen iets te weten dat jij niet wist Maar die body of knowledge en dat zesde zintuig dat je op een gegeven moment wel ontwikkelt, dat is niet zomaar...

Rik van Duijn:
[55:11] Nee, ja en ik merk ook dat er ook gewoon een soort van... Je hebt van die gasten die ontdekken allemaal bizarre nieuwe shit. En die zijn de hele dag aan me bezig en die zijn een soort van briljant. En heel lang heb ik de ambitie gehad van ik wil dat ook worden. En ik ben er gewoon achter dat ik dat niet kan. Dat daar gewoon een grens zit. En ik kan gewoon dit vak best wel goed. En ik heb best wel soms een unieke visie op iets. En ik kan ook iets cools of unieks doen met iets wat iemand anders heeft uitgevonden. Maar al dat basisonderzoek waar mensen hele nieuwe dingen bedenken. Dat denk ik elke keer. Vroeger dacht ik echt dat moet ik ook leren. En nu denk ik van ja, dat vergt een level van.

Sander Bijleveld:
[55:55] Een bepaalde creativiteit ook of zo.

Rik van Duijn:
[55:57] Ja, en inzet. En hoeveel tijd. Ik ben niet zo slim. Ik ben niet zo creatief. En ik heb niet zoveel tijd.

Sander Bijleveld:
[56:05] Ik zou het niet op slimheid gooien.

Rik van Duijn:
[56:07] Zeker wel. Er zitten nog zulke mijlen tussen. Met sommige mensen. Maar dat is ook helemaal niet erg. Ik denk. Het geeft mij in de afgelopen twee jaar. Bevrijd dat ik dat niet meer hoef. Heel lang heb ik gedacht. Ik moet ook zo worden.

Randal Peelen:
[56:24] Is dat dan een soort berusting? Of heb je omarmd dat je ook andere talenten hebt? Niet alle heksavanten zitten in een podcast te vertellen. En komen zo goed uit hun woorden.

Rik van Duijn:
[56:35] Nou ja, iedereen heeft zijn eigen. Of kunnen ze een mooi brood bakken.

Randal Peelen:
[56:40] Ja, of een majestueuze baard aan hun kin.

Rik van Duijn:
[56:44] Nee, absoluut.

Sander Bijleveld:
[56:45] Een goede baard.

Rik van Duijn:
[56:45] Ik heb hier ook kennis in en snoepjes. Eierstruif.

Randal Peelen:
[56:50] Wat?

Rik van Duijn:
[56:52] Heb je een gast met een baard? Weet je een broodje ijs in eten. Het is niet best.

Randal Peelen:
[56:55] Oh, Ayerslaar, sorry ja. Nee, ik wil dat ook niet zien.

Rik van Duijn:
[56:58] Daarom zit je ook zo recht. Nee, maar iedereen heeft gewoon zijn eigen skillset. En ik denk dat dat juist goed is. En het geeft mij een bepaalde rust om te weten. Nou, oké, weet je, dan laat ik gewoon kijken. Waar ben ik wel goed in? Nou, dat is ouwe hoeren. En als iemand iets uitvogelt, dan denk ik van... Oh, maar dan kan ik... Dus ik kan niet de nieuwe shit bedenken. Maar wel als jij met iets nieuws komt. kan ik dan een toepassing bedenken... die wel nieuw of uniek... of net handig is. En dat is waar ik blijkbaar... dat is mijn dingetje. Het hoeft ook niet. Het zou zuurder zijn als ik heel graag die gast zou zijn... die al die nieuwe shit had bedenkt.

Randal Peelen:
[57:40] Rick, we kunnen nog uren doorpraten. Gaan we niet doen. Ik heb een bonus. En nog twee vragen die ik zou willen doen. Ja. Xorpio, wat is je mening over Paaskeys?

Rik van Duijn:
[57:51] Paaskeys zijn goud. Je moet die gaan gebruiken. Ja, de reden daartoe is... waarom een nieuwe manier van inloggen zou je dan kunnen afvragen? Paaskeys hebben als voordeel dat de wachtwoordmanager, de browser of het OS... voor jou bepaalt van, hé, we zijn nu hier. En dat er een soort van handshake plaatsvindt... om te valideren dat jij echt jij bent. En dat de overkant ook echt de overkant is. Dus dat je niet met een derde partij aan het praten bent. Ik gaf net ook aan dat backfraude best wel een probleem is. Die business email compromise waar we het over hadden. Een hele grote aanvoerder voor is ITM. Dus het visje waarbij de proxy...

Sander Bijleveld:
[58:34] Wat je net vertelt. Die ik kan kopen en ik laat jou inloggen erop. En ik heb jouw cookies.

Rik van Duijn:
[58:39] Precies. Nou, dat kan met twee factor. Dus met een code. Of er moet een barcode gescand worden. Of een dansje voor de camera. Maakt allemaal niet uit. Want ze proxie alles. Alleen met paskeys bepaalt gewoon jouw browser. Ja, ik zit nu op vagepagina.nl. Ik heb een paskey voor het spel. Ja, klaar. Dus in die zin biedt het een voordeel. En het is lastiger te stelen. Want als jij namelijk het verkeer gewoon puur onderschept. Dan kan je nog steeds niet... Ik tap nu jouw authenticatiesessie. Kan ik gewoon nog niks mee. Ik moet echt op jouw pc iets stelen. Dus paskeys zijn goud. Wat wel belangrijk is. Stel nou dat je een ontwikkelaar bent. Hiernaar zit te luisteren. En je denkt. Ik ga maar al mijn gebruikers paskie laten instellen. Denk dan over twee dingen na. Eén. Hoe zorg ik voor de recovery. Als het helemaal. Want stel dat de pc in de fik vliegt. Hoe loggen ze dan nog in? Want je hebt geen wachtwoord meer. Je hebt alleen een paskie. En twee. Laat nou. Ook als je die eenmaal hebt ingesteld. Het niet meer toe. Dat mensen nog steeds inloggen met gebruikers aan wachtwoord. En die oude wet zijn mfa.

Randal Peelen:
[59:43] Ja. Dan heb je het moeilijker gemaakt. En er niks mee opgeschoten.

Rik van Duijn:
[59:45] Precies, en je zag het bij GitHub. Daar hebben ze dus een soort van supply chain aanvallen gedaan op populaire repos waar iedereen de library van gebruikt. Dus dan wouden ze die gasten hebben. Dus die gasten hadden paskeys ingesteld. Dus dat was top. En toen deden ze een IETM aanval. En dan deden ze vlak voordat het verkeer doorgestuurd werd, haalden ze alle referenties uit de GitHub pagina, haalden ze alle referenties in de paskey weg. Waardoor de pagina default naar gebruikzaam wachtwoorden in de tweede factor. maar het back-end accepteerde dat ook dus het slachtoffer die dacht, ik heb parkies, maar blijkbaar vraagt hij nu gebruik zo'n wachtwoord en die twee vaker die heb ik ook we hebben.

Sander Bijleveld:
[1:00:27] Het van zo uitgezet.

Rik van Duijn:
[1:00:29] Toen ging het fout, dus toen konden ze uiteindelijk een belangrijke repo overnemen en zo aanval doen mensen zijn creatief gelukkig.

Randal Peelen:
[1:00:41] Ik vind het eigenlijk wel een mooie ronde aflevering. Ik zeg, tot zover deze aflevering van Met Nerds om tafel. En Met Nerds om tafel is een podcast door Jurian Ubargs en mij. Randal Peelen en onze panelleden zijn Ruurd Sanders en Sander Bijdenveld. Daar was je weer Sander, wat heerlijk.

Sander Bijleveld:
[1:00:53] Ik vond het ontzettend fijn om er even aan te schuiven.

Randal Peelen:
[1:00:55] Welke aflevering wordt beter met jou erbij?

Sander Bijleveld:
[1:00:57] Dat vind ik leuk om te horen.

Randal Peelen:
[1:00:58] Ik ben blij dat je hier naartoe hebt willen rijden.

Sander Bijleveld:
[1:00:59] Dank je.

Randal Peelen:
[1:01:00] En straks weer naar huis.

Sander Bijleveld:
[1:01:01] Ja.

Randal Peelen:
[1:01:01] Hoop ik.

Sander Bijleveld:
[1:01:03] Ja, ik ook.

Randal Peelen:
[1:01:03] Lange avond. Onze gastnerd van vandaag, Rick van Duin. Dank dat je er weer zat.

Rik van Duijn:
[1:01:08] Was leuk.

Randal Peelen:
[1:01:10] Te doen. Niet volgende maand al. Maar ik ga het toch wel weer eens in gedachten houden.

Rik van Duijn:
[1:01:15] Leuk.

Randal Peelen:
[1:01:15] Dit was een halve toevalligheid. Dan moet de volgende keer maar een hele doeltreffende, vooraf bedachte zaak zijn.

Rik van Duijn:
[1:01:23] Precies. Zin in.

Randal Peelen:
[1:01:24] Dat ik die zin nog af wist te fietsen.

Sander Bijleveld:
[1:01:26] Ik wou zeggen, waar gaat die heen hiermee?

Randal Peelen:
[1:01:28] Meer informatie over ons staat op onze website. Join onze Slack. Daar ging een 2500 jamantelijke babel. Een heel gezellig neurtje voor. Waaronder Rick van Duin. Dat was hij zelf weer vergeten. Maar gezien die Slack gebruikt, kan hij dan misschien een tapje bij plaatsen. Je kunt vragen stellen aan de volgende gasten. Het is in het kanaal. Vragen van de luisteraar. Word je nou vriend van de show. Dan hoor je tot de echte crème de la crème. Van de leukste luisteraars.

Sander Bijleveld:
[1:01:46] Knapst ook.

Randal Peelen:
[1:01:47] Ja. Echt fantastische mensen.

Sander Bijleveld:
[1:01:50] Toppers.

Randal Peelen:
[1:01:51] Mooi baarden ook.

Sander Bijleveld:
[1:01:52] Ja. Prachtig. Geen ei erin.

Randal Peelen:
[1:01:54] Nee.

Rik van Duijn:
[1:01:54] Ovex shirts.

Randal Peelen:
[1:01:56] Je krijgt dan toegang tot het clubhuis op de Slack. Daar zitten 300 hele leuke luisteraars. Je krijgt stiks en biervultjes door je brievenbus. Je kunt naar vier minuten per jaar. Je luistert zonder reclame. Eer dan de rest. en met elke week een pracht van een bonusaflevering. Voor nu hartelijk dank voor het luisteren en tot de volgende keer.