7 vragen aan Niels Zondervan

‘Hacken is verdraaid makkelijk’

‘De weelde aan data betekent ook een grote bron van risico’s’

Niels Zondervan is een Wageningse promovendus in Systeembiologie en zakenman, maar ook al jaren white hat hacker, een ethisch hacker. Hij weet dus als geen ander hoe belangrijk het is om je onderzoeksdata goed te bewaren.

Hoe ben je ethisch hacker geworden?

Ik had Bitcoins en om bij mijn digitale portemonnee te komen heb je een wachtwoord nodig. Maar ik wist mijn eigen wachtwoord niet meer precies, omdat ik té secure bezig was geweest. Toen moest ik mezelf hacken. Dat is gelukt, dus dacht ik: als ik mezelf kan hacken, kan ik ook anderen hacken. Daaruit is mijn bedrijf Walletrecovery.nl ontstaan. Ik help mensen met Bitcoins die hun wachtwoord niet meer weten. Elk wachtwoord is gekoppeld aan een hash. Als je ergens inlogt, dan wordt het wachtwoord dat je typt gehashed en vergeleken met de hash van jouw wachtwoord in een datatabase. Ik hack de hashes en achterhaal zo mensen hun wachtwoorden.

Is WUR interessant voor hackers?

Absoluut. Alleen al de onderzoeksplannen die op de campus in computers zijn opgeslagen. Stel, iemand schrijft een research proposal en ik kan dat remote inzien. Ik ben van een crappy university ergens in the middle of nowhere. Ik kopieer jouw proposal, verander het een beetje en zorg dat ik het eerder bij een onderzoekspotje indien. Jouw idee is minder origineel omdat je de tweede bent. En de kans dat je aanspraak kunt maken op onderzoeksgeld is flink afgenomen. WUR kan gehackt worden. Alles kan gehackt worden, want elke plek heeft z’n zwaktes. Ik heb hier bijvoorbeeld een keylogger. Dat is een kabeltje dat je tussen het toetsenbord en de computer kunt plaatsen. Het is een soort USB-stick die alles wat getypt wordt opslaat. Heel makkelijk en heimelijk te plaatsen. Na een half jaar haal je de keylogger weg en niemand die het merkt, want wie kijkt er nou achter z’n computer? En ondertussen heb je wachtwoorden en emailcorrespondenties gehackt. Met duurdere modelletjes kan je zelfs remote aflezen, of meekijken op iemands scherm. Met zo’n remote accessible keylogger is de kans om gepakt te worden vrijwel nul. Deze keylogger heb ik overigens gekocht ergens in Oost-Europa. Niet illegaal om aan te schaffen, maar wel illegaal om te gebruiken.

Wat kunnen WUR-medewerkers leren van hackers?

Het eerste wat je kunt leren is dat hacken verdraaid makkelijk is. Je hoeft alleen een YouTube-filmpje te kijken, dan installeer je een operating system waar alle hacktools op staan. Een hacktool is een softwareprogramma dat inbreekt in een computer. Je start de hacktool, bijvoorbeeld Wireshark. Je kiest via publieke wifi een netwerk en vervolgens klik je op ‘hack het wachtwoord’. Vijftien minuten later heb je zonder daar echt moeite voor te doen, de meeste wifi-wachtwoorden achterhaald.

Foto's: Anne Reinke

Het tweede wat je moet weten is dat de meeste wachtwoorden gehackt kunnen worden. Het is dus belangrijk dat je voor de echt belangrijke accounts zoals bankaccounts, DigiD of onderzoeksgegevens een wachtwoord gebruikt dat alleen voor dat specifieke account is. Dus ook geen onderdelen van andere wachtwoorden gebruiken. Want stel, je bent gehackt en je hebt je wachtwoord van je Facebook-account ook gebruikt voor je WUR-account, dan heb je een probleem. Overigens hoeft een goed wachtwoord helemaal niet ingewikkeld te zijn. Een wachtwoord dat bestaat uit een woord in twee verschillende talen is al heel sterk. Een fonetisch geschreven woord of een moedwillig verkeerd gespeld woord doet het ook goed.

Wat zijn struikelblokken voor onderzoekers als het gaat om datamanagement en -beveiliging?

Ik zie vaak dat mensen gevoelige informatie te makkelijk delen en dat onbeveiligd doen, bijvoorbeeld als bijlage, of een link naar Google Cloud of OneDrive in een niet versleutelde email.

Als je bijvoorbeeld medische gegevens hebt van proefpersonen, dan is het enorm belangrijk dat die informatie goed versleuteld is. Dus je moet de medische informatie loskoppelen van de specifieke personen. Dat kan je doen door in plaats van naam en toenaam te gebruiken, er een hash van te maken, een random reeks letters en cijfers. Zo’n hash kan worden aangevallen door een hacker. Als wetenschapper kan je je hiertegen beveiligen door een ‘salt’ te gebruiken, een wachtwoord. De combinatie van een sterk wachtwoord plus de namen van de patiënten geeft te veel combinaties om ze makkelijk te kunnen hacken.

Naam

Niels Zondervan

WUR carrière

BSc Biotechnologie MSc Bioinformatica

Gaat promoveren bij de Systems & Synthetic Biology group Sinds 2019 werkzaam bij eigen bedrijf Walletrecovery NL

Privé

Parkour, martial arts, yoga, piano, crypto

Burgerlijke staat

Niels is getrouwd en heeft twee kinderen. De derde is op komst

Er wordt ook veel gewerkt en gedeeld via publieke wifi. Mensen werken tegenwoordig veel thuis, maar doen ook ‘work on the go’, in koffietentjes. Dat is niet echt veilig, want de wachtwoorden zijn nogal makkelijk te kraken, koffieboontje123 bijvoorbeeld.

Wat zijn de belangrijkste ontwikkelingen op het gebied van datascience, datamanagement en databeveiliging?

We gaan toe naar een tijd waarin alle data gekoppeld zijn. Web 3.0 betekent alle datasets online. Blockchain, Internet of Things, Artificial Intelligence zijn allemaal aan elkaar gelinkt. Vroeger had je een server met een dataset, tegenwoordig heb je een netwerk van datasets die als de draden in een spinnenweb met elkaar verbonden zijn. Dit is mogelijk door FAIR datamanagement, wat er toe leidt dat data Interoperable en dus aan elkaar gelinkt kan worden Maar de weelde aan data betekent ook een grote bron van risico’s, want een datalek kan in zo’n geval grote consequenties hebben. Als tien datasets aan elkaar gelinkt zijn en één iemand heeft een fout gemaakt door gebruikersnamen, id-nummers of hashes van patiënten toe te voegen, dan is dat voor een black hat hacker makkelijk te hacken en zijn de andere negen datasets dus niet meer anoniem. Als onderzoeker moet je dus nadenken over hoe je data annoteert, managet en veilig houdt, of informatie inwinnen bij een interne expert, zoals een datasteward.

Wat zijn aanbevelingen voor WUR-medewerkers om veilig te werken?

Ik begrijp dat WUR-medewerkers inmiddels via een Virtual Private Network (VPN) inloggen. Dat is behoorlijk veilig en beschermt je gegevens tegen mensen die bijvoorbeeld bij je wifi-verkeer mee willen kijken. Een andere beveiliging is de two-factor authentication (2FA). Dat betekent dat je twee handelingen moet verrichten wil je bijvoorbeeld op je computer kunnen inloggen. De meest eenvoudige vorm van 2FA is een bankpas met pincode: je hebt beide nodig om geld op te nemen. Een andere vorm van 2FA gebruikt de vingerafdruk in combinatie met een code. Ik begrijp dat WUR inmiddels 2FA heeft ingevoerd. Er bestaan accesscards waarop je wel 100.000 sleutels kwijt kan voor encryptie en 2FA. Daarmee kan je in één handeling inloggen op je computer.

Hoe Serious ben jij about Data?

Heel serieus, omdat ik als white hat hacker toegang heb tot andermans data. Als ík gehackt word, is dat een bedrijfsrisico. Stel dat een van mijn computers wordt ontvreemd, dan heeft die persoon daar niets aan. Want alles is encrypted en met 2FA beveiligd, hè.