De grootste hacker van Nederland

Terwijl de meesten van ons op 1 januari hun roes van de nieuwjaarsviering uitsliepen, was Victor Gevers, alias@0xDUDE, al om 7.00 uur aan de slag met wat hij het liefste doet: kwetsbaarheden op internet zoeken en die discreet melden bij de betrokkenen.

In het onderzoek van Chris van ‘t Hof naar helpende hackers in Nederland noemde hij hem al ‘the biggest dude of ‘m all’ omdat hij de afgelopen zeventien jaar al 4500 meldingen heeft gedaan. Enkele hiervan betroffen grote lekken die ook in de media zijn verschenen, zonder vermelding van zijn naam. Hij doet dit namelijk niet om de eer, hij wil gewoon dat het beveiligingsprobleem wordt opgelost.

Waartegen beschermen hackers ons?

Afgelopen jaar nam 0xDUDE een sabbatical van zijn werk om niets anders te doen dan dat: een jaar lang lekken melden. Hij heeft hier ook samen met Vincent Toms een stichting voor opgericht: G.D.I. Foundation.

Hij richt zich met name op kwetsbaarheden die ‘easy to get & high risk’ zijn. Ten eerste de lekkende databronnen, zoals ftp-servers, network-attached storages en MongoDB-databases die gewoon openstaan. Daar is veel laaghangend fruit te vinden. Ten tweede kritieke infrastructuur. Er staan namelijk ondanks alle rellen in de media nog steeds veel gemalen, verkeerslichten en andere machines onbeveiligd online. Ten derde de consumentenelektronica, zoals lekke apps en thuisnetwerken die openstaan.

Een jaar lang non-stop hacken

1 januari 2016 was het dus zover. De beelden zijn nog terug te zien op het GDI YouTube-kanaal. Je ziet hem achter een computer zitten en aandachtig kijken naar de codes die over het scherm rollen. Dat is op zich geen spannende TV, maar wel duidelijk bewijs en een inkijk in zijn persoonlijke leven. Hij zit namelijk gewoon thuis, omringd door apparatuur. Als het moment daar is, gaan zwaailichten aan.

Nederland loopt voorop in responsible disclosure. Geen land ter wereld heeft het verantwoord onthullen van kwetsbaarheden zo omarmd als onze poldercultuur. GDI gaat daar nu een flinke schep bovenop doen.

Deze column verscheen eerder op SecurityVandaag.