Inti De Ceukelaire: ‘Hacken is maar 20 procent technische kennis, 80 procent is logisch denken’

Hoe bent u in de hacking-wereld gerold? 

“Toen ik 14 was kreeg ik van mijn moeder voor Kerstmis een PlayStation Portable, hoewel ik eigenlijk een Nintendo had gevraagd. Toen ben ik dus, met tutorials die ik op internet vond, beginnen zoeken naar manieren om Nintendo-games op die PlayStation te laten draaien. De eerste stap in dat proces was proberen om het apparaat te laten crashen. Iedereen verklaarde me voor gek omdat men dacht dat dat onmogelijk was. Er waren heel veel mensen naar op zoek, maar niemand die al iets bruikbaars had gevonden. Na veel vruchteloze pogingen is het me bijna en stoemelings toch gelukt om die crash te veroorzaken. Voor de kenners: met een buffer overflow. Dat was mijn toegangsticketje voor de hack-scene, want ik had eigenlijk zo ongeveer de heilige graal gevonden. Per ongeluk weliswaar, maar goed, dat wist niemand natuurlijk.” lacht Inti De Ceukelaire.

Na wat omzwervingen is daar uiteindelijk ook een bedrijf uit gegroeid: Intigriti. Wat doen jullie precies? 

“Ik was al die tijd met hacken en computers bezig en ik deed ook aan programmeren, maar ik wist al redelijk snel dat ik geen consultant wilde worden die de rapporten schrijft die niemand leest. Ik werkte op mijn zestiende in een supermarkt en ik deed mee aan een bug bounty hunt van Google. Dat wil zeggen dat Google mensen betaalt om hen te helpen om bugs en kwetsbaarheden in hun software te vinden. Na een week zwoegen vond ik uiteindelijk een bug en Google betaalde mij daar 1200 dollar voor. Meer dan ik ooit in de supermarkt had verdiend.” lacht Inti De Ceukelaire.

“Daarna ben ik aan almaar meer van dat soort wedstrijden gaan meedoen, tot in Las Vegas toe. En zo ben ik dan na een tijd op mede-Aalstenaar Stijn Jans gebotst. En nu bestier ik, samen met hem, Intigriti. Wij organiseren zelf bug bounty hunts in opdracht van bedrijven, met aan de andere kant een paar duizend hackers die die bugs proberen te vinden.”

Hoe zoekt u kwetsbaarheden als u in de systemen van een gemiddeld bedrijf duikt? 

“Laat me beginnen met te zeggen dat totale veiligheid onmogelijk is. Er is altijd een manier om in te breken. Alleen: je kunt het de hackers zo moeilijk mogelijk maken waardoor ze zoveel tijd en middelen nodig hebben om in te breken dat ze hun interesse verliezen. Nu, een hoop technologie van vandaag is gebaseerd op standaarden van dertig jaar oud of zelfs nog ouder. Alleen worden die standaarden ondertussen voor heel andere dingen gebruikt dan waar ze voor bedoeld waren. En dat biedt mogelijkheden aan hackers. Veel fouten zitten ook in, wat ik noem, de schaduwzone van de verantwoordelijkheid. Bijvoorbeeld als zowel een leverancier als een ontwikkelaar ervan uitgaat dat de ander zijn werk heeft gedaan. Vaak is dat niet zo.”

“Wat je ook veel ziet, is dat twee aparte systemen op zich goed beveiligd zijn, maar steken laten vallen als ze moeten samenwerken. Dat zijn de eerste, voor de hand liggende zaken waar ik naar zoek als ik hack. Hacken is eigenlijk maar voor 20 procent op technische kennis gebaseerd. 80 procent is logisch denken: als ik de ontwikkelaar van deze software zou zijn, welke fout zou ik dan allicht maken? Als je zo redeneert, vind je meestal vrij snel iets (lacht).” 

Bij iedereen? 

“Goh, als wij een klant onder de loep nemen vinden we binnen de 48 uur bij pakweg 70 procent een kritieke fout. Dus een bug die toch al redelijk gevaarlijk is. Dat is veel, ja. Maar dat is ook weer niet erg, want elke fout die we vinden is er weer eentje die opgelost kan worden. Veel hangt ook af van hoe bedrijven daarmee omgaan. Als ze in een verdedigende kramp schieten, is dat vaak problematisch. Soms zoeken ze ook totaal niet, ah ja, want dan vinden ze ook geen lekken (lacht). Elk lek dat je vindt is eigenlijk goed nieuws.” vertelt Inti De Ceukelaire.

Speelt een klein land als België eigenlijk een rol in cyberbeveiliging? 

“O jawel, hoor. Reken maar dat Intel, Google en Apple België kennen. En dat komt onder meer voor een groot deel door de KU Leuven. Daar doet men werkelijk op wereldniveau onderzoek naar computerbeveiliging. Naast bier, chocola en Manneken Pis zou ons land gerust ook voor cybersecurity gekend mogen zijn. Alleen schreeuwen wij dat niet van de daken, dat is ook typisch Belgisch allicht.”

Wat zijn zaken in cybersecurity waar het grote publiek zich eigenlijk te weinig zorgen om maakt? 

“Het feit dat alles wat online staat in zekere mate te manipuleren is. En de hoeveelheid data die online komt is echt wel gigantisch. Van je adres tot je bloedgroep, ergens is het wel te vinden. Hét grote probleem is natuurlijk dat je de beste hackers niet ziet. Of dat ze pas na jaren betrapt worden. Waar ik me ook wel wat zorgen om maak, is de manier waarop hackers tegenwoordig ingezet worden om de publieke opinie te beïnvloeden. Dat hebben we bijvoorbeeld bij de laatste presidentsverkiezingen in Amerika gezien. Dat is eigenlijk al psychologische oorlogsvoering. Ze hacken geen stemcomputers meer, maar de hackpogingen dienen om de mindset van mensen te veranderen. En dat is onomkeerbaar, want elke stem die werd uitgebracht is een geldige stem.” legt Inti De Ceukelaire uit.

“Ook in bijvoorbeeld de blockchain zie ik soms kwetsbaarheden die potentieel honderden miljoenen euro’s aan schade kunnen veroorzaken. Of de metaverse… nog zoiets. Als dat soort digitale identiteiten gemeengoed worden, gaan we nog iets meemaken. Ik hoop dat het nooit doorbreekt, ik zie er totaal de meerwaarde niet van in.”

Hoe ziet u dit alles evolueren? Welke rol gaat AI bijvoorbeeld krijgen? 

“Ik zie AI voorlopig de mens nog niet vervangen omdat de creativiteit van AI nog altijd op bestaande data gebaseerd is. AI zal wel een steeds grotere rol spelen, maar de mens blijft in de driver’s seat, denk ik.”