Jonge hacker is op zoek naar rolmodellen

Samenkomst in Duitsland van de Chaos Computer Club ¿ de grootste Europese organisatie van hackers. Beeld getty
Samenkomst in Duitsland van de Chaos Computer Club ¿ de grootste Europese organisatie van hackers.Beeld getty

Je hoort het met enige regelmaat: een jonge hacker opgepakt voor fraude of het inbreken op systemen. Hoe blijf je op het rechte pad als IT-student met computervaardigheden die maar weinig mensen bezitten?

"Ik was nog nooit in de Verenigde Staten geweest. En toen zat ik er opeens in een cel in een bunkerachtig gebouw waar de zon niet te zien was."

David Schrooten (1990) staat voor een zaal vol IT-studenten. Een paar jaar geleden was hij nog één van hen. Een slimme jongen die altijd met computers bezig was en zichzelf leerde hacken. Een student met vaardigheden die maar weinig mensen bezitten en die daardoor goede carrièreperspectieven had. Hackers - vaak ten onrechte per definitie als cybercrimineel gezien - kunnen interessant zijn voor grote bedrijven.

Maar David gaat het verkeerde pad op. Dat gaat geleidelijk. Hij raakt online bevriend met een internationale groep hackers. Eerst is het nog een spel: elkaars systemen proberen plat te leggen, bijvoorbeeld. Uiteindelijk raakt hij betrokken bij een website waar onder meer gestolen creditcardgegevens worden verhandeld.

In maart 2012 wordt David opgepakt op een vliegveld in Roemenië voor de ogen van zijn vriendin. Het initiatief voor zijn aanhouding komt van de Verenigde Staten. De aanklacht: onder meer digitale inbraak en fraude. De straf die de dan 21-jarige student boven het hoofd hangt: dertig jaar tot levenslang. Uiteindelijk wordt hij na een schikking veroordeeld tot twaalf jaar cel en na uitlevering aan Nederland eind 2014 vrijgelaten.

Waarschuwing
Nu is hij bezig een boek te schrijven over zijn ervaringen. En wil hij de studenten die deelnemen aan het IT Talent College - een avond waarop geïnteresseerde studenten kunnen luisteren naar presentaties van verschillende sprekers uit het veld - waarschuwen: maak niet dezelfde fout. Verpest je carrièrekansen niet door een strafblad, zoals hij deed.

David is zeker niet de enige jonge hacker die de verkeerde keuzes maakt. Misschien wel het bekendste voorbeeld is de toen 17-jarige jongen uit Barendrecht die in 2012 werd opgepakt voor het hacken van KPN. Hij wist toegang te krijgen tot klantgegevens en het systeem voor internet en bellen en hield honderden KPN-technici dagenlang bezig.

En afgelopen maand nog werden twee mannen van 18 en 22 jaar uit Amersfoort opgepakt voor het verspreiden van een virus dat computers 'gijzelt': iemand kan pas weer bij zijn bestanden als er een geldbedrag wordt betaald. Volgens Jornt van der Wiel, security onderzoeker bij Kaspersky Lab en betrokken bij het onderzoek naar die zogenoemde 'ransomware', ging het hier niet om jonge jongens die gewoon even wilden testen hoe ver ze konden gaan. "Ze leken doelbewust bezig met geld verdienen. In het onderzoek kwamen we bijvoorbeeld steeds weer nieuwe versies van de ransomware tegen. Dat ze zijn gepakt, betekent dat ze ergens een fout hebben gemaakt."

Samenkomsten van de Chaos Computer Club. Beeld anp
Samenkomsten van de Chaos Computer Club.Beeld anp

Hoe komen intelligente jonge mensen zo op het verkeerde pad terecht? Het is een vraag die David zichzelf vaak stelt, zegt hij tegen de zaal. Hij weet het zelf ook niet precies. Het was een soort verslaving. Het ging om ego, de kick van succesvol zijn.

Frustratie
Daarin speelt mee dat de hackerswereld er een is van opscheppen. Zo zou de KPN-hacker mede gepakt zijn doordat hij op een Koreaans chatkanaal te koop liep met zijn prestaties. Laten zien wat je in huis hebt, moet ook, zegt Marina Krotofil, een andere spreker tijdens het IT Talent College. "Je moet een soort van beroemd worden om wat je kunt. Wil je net als ik een gevraagde spreker worden op de grote hackersconferenties, dan moeten mensen je kennen."

Krotofil, zelf gespecialiseerd in hoe de cyberwereld en de fysieke wereld met elkaar verstrengeld zijn, begrijpt wel waarom sommige jonge hackers black hats - foute gasten - worden: frustratie. En dan doelt ze niet alleen op de frustratie dat ze niet altijd serieus worden genomen als ze een lek in de systemen melden bij een bedrijf of overheid.

Het gaat ook om de frustratie dat het niet altijd lukt om succesvol te zijn. Terwijl ze een grote persoonlijke investering hebben gedaan. Want voordat je een goede hacker bent, kost dat veel tijd, zegt Krotofil. Vooral eigen tijd, het zijn geen vaardigheden die je op school of tijdens je studie leert. "In Nederland of Duitsland, waar ik woon, zijn er nog best veel kansen en mogelijkheden op een goede baan. Maar bijvoorbeeld in Rusland of Oekraïne hebben sommige jongeren minder goede economische perspectieven. Als je dan bepaalde hackvaardigheden hebt, kun je in het criminele circuit snel veel geld verdienen." Tel daar de nog steeds geringe pakkans bij op en de criminele wereld kan erg aanlokkelijk zijn, aldus Krotofil.

De hackers die het wel lukt een gewone baan te krijgen, lukt het volgens haar vervolgens ook niet altijd om hun draai te vinden. "Wat vaak niet goed begrepen wordt, is dat hacken geen skill is. Het is een creatief vak. Je moet buiten de gebaande paden kunnen denken. Dat maakt het voor sommige hackers moeilijk om mee te draaien op een kantoor. Je ziet niet voor niets steeds meer zelfstandigen in het vak. Ze werken thuis op hun eigen wijze."

Hackerscompetitie
Toch is het niet kunnen vinden van werk, nog altijd geen excuus om het verkeerde pad op te gaan, vindt Jornt van der Wiel. Er zijn volgens hem uitdagende mogelijkheden zat voor de jonge hacker. Zo zijn bedrijven volgens hem altijd op zoek naar goede mensen. Een deel van hen heeft zich ook verbonden als partner aan het IT Talent College. Zo zijn KPN, ING en de Rijksoverheid aanwezig om met de studenten in contact te komen.

En de hacker die wil kijken en aantonen wat hij kan, hoeft heus niet een echt systeem te kraken. Die kan bijvoorbeeld oefenen op de online hackerscompetitie 'Capture the flag'. Van der Wiel: "Je leert er hoe systemen in elkaar zitten en je kunt er vaardigheden testen. Het is moeilijk en uitdagend."

Waarom sommige jonge hackers dan toch in de cybercriminaliteit belanden? Van der Wiel: "Ik kan me voorstellen dat het interessant is te kijken hoe ver je kunt gaan en waar je allemaal bij kunt komen. En het gaat vaak om ego. Maar verder heb ik zelf nooit begrepen dat mensen het verkeerde pad op gaan. Uiteindelijk maak je die keuze toch zelf."

Al moeten we volgens hem het risico dat jonge hackers foute dingen doen, ook weer niet overdrijven. De meeste grootschalige hacks, die hij voor zijn werkgever Kaspersky Lab onderzoekt, worden heus niet zomaar door tieners vanaf een zolderkamer uitgevoerd. Daar heb je veel meer voor nodig: een goed georganiseerd team van mensen, een strak tijdschema. Het valt in de categorie georganiseerde misdaad.

De andere kant
Tijdens het IT Talent College wil Van der Wiel de studenten vooral laten zien hoe boeiend het kan zijn om aan de andere kant te staan: die van de onderzoeker die de bron van een hack moet zien te vinden. Dat lijkt aardig te lukken.

De IT-studenten hangen aan zijn lippen tijdens zijn presentatie over het onderzoek, waar hij bij betrokken was, naar één van de grootste hacks van de afgelopen jaren. Een groep cybercriminelen kreeg het voor elkaar wereldwijd op de systemen van banken in te breken, waardoor geldautomaten uit zichzelf geld begonnen uit te spuwen. Van der Wiel vertelt het als een spannend verhaal waarbij hij precies op het juiste moment een stilte laat vallen.

Jonge hackers hebben behoefte aan rolmodellen, merkt Jan Willem Delfsma. Hij is oprichter van het evenementenbureau Conjugo en organiseerde het IT Talent College deze week voor de tweede keer. "We worden geadviseerd door een groep studenten. Zij kiezen ook de sprekers. Wat je merkt, is dat de studenten behoefte hebben aan contact met mensen met praktijkervaring. Mensen die op de hoogte zijn van wat er nu speelt. Dat kun je niet zomaar leren uit boeken of in de collegebanken."

Zo werd ook David uitgekozen als spreker. Een jongen vooraan in de zaal wil weten of hij het weer zou doen. Maar dit keer goed zodat hij niet wordt gepakt? David lacht. "Nee, ik probeer me er verre van te houden." Want nog meer tijd in Roemeense en Amerikaanse gevangenissen doorbrengen, dat nooit meer. Hij lijkt te zoeken naar een woord dat zijn ervaring beschrijft: "Het was er slecht. Heel erg slecht."

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden