Ethisch hacker Zawadi (18) breekt in op website The Washington Post

Auteur: Puntuit Redactie

3 januari 2019

Digitaal inbreken. Niet met kwaad in de zin, maar als hobby en op afroep. Zawadi Done (18) doet het. De inwoner van Heerjansdam 'onder de rook van Rotterdam' is ethisch hacker.

Binnen een uur was hij binnen. In 2017 kraakte Zawadi een onlineomgeving die leerlingen van het Albeda College in Rotterdam gebruiken om te leren programmeren. Op het platform stonden de opdrachten en konden studenten hun huiswerk uploaden. Zawadi was in staat om alles te doen met de informatie die hij op de server van school aantrof. Het zou voor hem een koud kunstje zijn geweest om de schoolopdrachten aan te passen of om ingeleverd werk te veranderen.

Zawadi deed niets, maar meldde het lek de volgende dag wel bij de docent. Veel andere jonge hackers kunnen een dergelijke verleiding niet weerstaan. Zo werden in 2017 drie leerlingen van het Hyperion College in Amsterdam geschorst omdat ze cijfers hadden aangepast. En jonge hacker Erik vertelde onlangs tegen de NOS dat hij zichzelf drie maanden had uitgeroosterd en als klap op de vuurpijl de hele school een dag vrij gaf.

Hack_Right

Erik moest voor straf op stage bij een IT-bedrijf. De politie experimenteerde het afgelopen jaar met deze alternatieve straf voor jonge hackers die illegaal bezig zijn. Met succes. Want de proef Hack_Right krijgt in 2019 een vervolg. Zawadi vindt dat een goede zaak. Een studiegenoot van hem liep stage als straf. „Hij vond het leuk en leerzaam om te doen. Als 14-jarige hackte hij een webshop en veranderde vervolgens het wachtwoord van een account.”

Zawadi begon op 16-jarige leeftijd met hacken. Toen zat hij in het eerste jaar van de opleiding applicatieontwikkelaar op het Albeda College. Daar raakte hij vertrouwd met Kali Linux, een besturingssysteem voor computers, vergelijkbaar met Windows. „Kali Linux wordt veel gebruikt door hackers. Het bevat een serie tooltjes waarmee je de veiligheid van sites kunt testen.”

Het eerste wapenfeit van Zawadi: het hacken van de website van een fietsenwinkel. „Ik kon achter alle klantgegevens komen. De volgende dag belde ik de eigenaar op. Niet veel later heeft hij het beveiligingslek laten dichten. Het programmaatje dat ik had gebruikt, maakte gebruik van SQL-injectie. Heel simpel gezegd betekent dit dat je bepaalde URL’s op een website uitprobeert via de adresbalk. Zo kwam ik aan de complete database met klantinformatie.”

Met zijn actie ging Zawadi –onbewust– over de schreef, vertelt hij. „Ik had geen toestemming om de fietsenwinkel te hacken. Maar omdat ik er geen misbruik van maakte en het direct meldde, had dat geen gevolgen. Ethische hackers kennen een gedragscode, de zogeheten responsible disclosure. Dat betekent onder meer dat er geen aangifte volgt als je de hack gelijk meldt. Het openbaar ministerie zal je ook niet vervolgen.”

Tegen betaling

Naast zijn studie werkt Zawadi zo’n tien uur per week bij het Nederlands Forensisch Instituut Response. „We hacken bedrijven, tegen betaling.” In zijn vrije tijd besteedt hij nog eens achttien uur per week aan zijn hobby. Het afgelopen jaar ontdekte Zawadi tientallen kwetsbaarheden op websites van de Nederlandse overheid. Voor elke hack die hij deed, kreeg hij als dank een T-shirt met de tekst: „I hacked the Dutch government and all I got was this lousy T-shirt.” („Ik hackte de Nederlandse overheid en het enige wat ik kreeg was dit belabberde T-shirt.”) Zawadi met een lach: „Ik heb nu al een stuk of twintig shirts hangen. Een hele kast vol. Allemaal precies hetzelfde. Overigens draag ik regelmatig zo’n T-shirt.”

Het trotst is de tiener op het hacken van The Washington Post. Een paar weken geleden ontdekte hij dat hij eigen tekst op de website van de Amerikaanse krant kon zetten. „Door bepaalde informatie toe te voegen aan de link kon ik de site elke willekeurige tekst laten tonen. Dat is natuurlijk een vervelende fout. Ik ben heel benieuwd naar de reactie van The Washington Post.”

Wie weet verdient hij er nog een aardig zakcentje aan. „Veel grote bedrijven loven prijzen uit als je een kwetsbaarheid in hun site vindt. Als je op die prijzen jaagt, doe je aan ”bug bounty hunting”. Ik wil me daar komende tijd meer op richten. Zo kun je als hacker op een dag soms duizenden euro’s verdienen.”

Veiliger

Volgens Zawadi hoef je geen speciaal hackerstalent te hebben. „Iedereen kan het leren. Je moet alleen veel achter de pc zitten, en dat wil niet iedereen. Ik heb vooral veel opgestoken door te googelen en YouTubefilmpjes te kijken. Leren doe je vooral door ander hackers na te doen. Inmiddels ken ik de top 10 ICT-kwetsbaarheden uit mijn hoofd. Op één staat de SQL-injectie.”

Uiteindelijk wil Zawadi zijn hackerskwaliteiten inzetten om kwaadwillenden de wind uit de zeilen te nemen. „Zodat ze kwetsbaarheden niet meer kunnen gebruiken om schade aan te brengen. Mijn motto is: ”De wereld veiliger maken”.”