Een jongensboek, dat is de geschiedenis van Jobert Abma, één van de oprichters van het miljoenenbedrijf HackerOne.
Het kantoor is te vinden op een speerworp afstand van het hoofdstation van Groningen. Stationsstraat 3F, het onderste knopje op het belplateau, trap op, eerste verdieping. Niets wijst erop dat dit het Europese hoofdkwartier is van een wijd vertakt internationaal miljoenenbedrijf. Er werken ook maar zestien man, en ze zijn er niet allemaal, of ze houden zich muisstil. Binnen staan van kleur verschoten stoelen rond de houten vergadertafel. In de boekenkast die de ruimte in tweeën klieft staan boeken over de business. The Agile Samurai, The Art of Intrusion en C#, het dikste van allemaal (wat grappig is voor een boek met de ondertitel in a Nutshell). Op de schoenplanken in een achterafhoekje liggen grijze sloffen. ‘Sommige mensen hier houden er niet van om op schoenen te lopen’, zegt Office Manager Annette.
Buiten ruist het verkeer. Stadsbussen zwenken soepel de Hereweg op, de Herebrug protesteert met ondergronds gebrom. Een open deur van één van de kamers biedt zicht op de tafeltennistafel. Op de grijze deuren van de overige ruimtes staan woorden in witte letters. Vreemde woorden, zoals Cryptolocker. ‘Dat is een virus. Alle kamers hier hebben de naam van een computervirus’, zegt Jobert Abma, die aanschuift met een juist getapt glaasje water. ‘In San Francisco gebruiken we kwetsbaarheden, Heartbleed, Poodle en Shellshock.’
Twitter, Yandex en het Pentagon
Jobert Abma (1990) is één van de vier oprichters van HackerOne, het van oorsprong Groningse bedrijf dat stevig voet aan de grond heeft gekregen in de Verenigde Staten.
‘Er zijn concurrenten, maar wij zijn het grootste en hebben de meeste klanten.’
Hoe meer hackers, hoe beter. Hackers zijn geen criminelen, integendeel, ze willen internet veiliger maken
Uit Joberts mond klinkt zo’n uitspraak niet snoeverig, niet patserig, eerder… alledaags. Met de missie van HackerOne is het net zo. We empower the world to build a safer internet. Op papier staat het pretentieus, maar als die negen woorden over Joberts lippen vloeien, denk je: ja, hem zie ik dat wel doen.
‘De meeste mensen hebben goede bedoelingen’, zegt hij, ‘dat geldt ook voor hackers. Hoe meer hackers, hoe beter. Hackers zijn geen criminelen, integendeel, ze willen internet veiliger maken. Het speuren naar kwetsbaarheden in de beveiliging is voor zulke jongens een uitdagende puzzel.’
HackerOne beheert een platform dat bedrijven en organisaties in contact brengt met goedwillende hackers. ‘Meer dan honderdduizend man. Zie ons als een Marktplaats voor digitale veiligheid.’
Onder de bedrijven die op zoek zijn naar de diensten van het vreemdelingenlegioen met hackers uit alle windstreken, bevinden zich grote jongens. Van Twitter tot Yandex (het Russische Google), van banken en oliemaatschappijen tot het Amerikaans Ministerie van Defensie. ‘Dat was het moment waarop we ontdekten dat we Nederland ontgroeiden. Onze servers stonden in het Datahotel op Zernike. Toen bekend werd dat we voor het Pentagon aan de slag gingen, kwam er een gigantische stroom aanvallen op gang, die dagen aanhield. Ineens was Groningen het strijdtoneel voor iets wat in de verte doet denken aan digital warfare. Dat konden we het Datahotel niet aandoen.’
The Bug Bounty Program
De klant die je niet zo één, twee, drie op het platform van HackerOne verwacht tegen te komen is HackerOne zelf. ‘Je kunt nog zo slim zijn, beveiliging blijft mensenwerk. Dus schiet er maar op, val de site aan, vind de gaten en de kwetsbaarheden. Onze leidraad is de Wet van Linus: given enough eyeballs, all bugs are shallow. Als je maar genoeg mensen laat kijken, ontdek je zelfs de kleinste fout.’
De hackers die zich op het platform aandienen, zijn gehouden aan spelregels die moeten voorkomen dat het internetverkeer wordt ontregeld. ‘Als duizenden hackers zich tegelijk op de site van de start-up om de hoek storten, loopt-ie binnen de kortste keren vast.’
Wanneer iemand ons team komt versterken, moet hij ook altijd beter zijn dan de mensen die er al zitten
Kleine opdrachten worden gegeven aan hackers die op weinig ervaring kunnen bogen. Grote opdrachten worden publiekelijk vrijgegeven, daar kan iedere hacker mee aan de slag. Of ze komen terecht bij hackers die er op een bepaald gebied uitspringen.
Het paradepaardje van het platform is het Bug Bounty Program: bedrijven betalen vooraf vastgestelde premies uit aan de hacker die een kwetsbaarheid in hun digitale omgeving opspoort. De teller van uitbetaalde premies staat volgens Jobert op zestien miljoen, waarvan de helft in 2016 werd uitgekeerd. ‘Dit jaar gaan we daar overheen.’
HackerOne drukt de vaardigheden van de hackers uit in een zogeheten reputatiescore, waardoor de klant een idee krijgt van hoe zwaar z’n digitale omgeving op de proef wordt gesteld. Voor hackers is de reputatiescore natuurlijk een aansprekend competitie-element, dat zelfs in de naam van het bedrijf tot uitdrukking komt: who is hacker one? ‘Ik ken ze natuurlijk niet allemaal, maar de top-250, die heb ik allemaal wel eens ontmoet. Ik ben blij dat ik de hoogste ranking heb van het personeel, maar aan die lui kan ik niet tippen. En dat is ook precies de bedoeling. Wanneer iemand ons team komt versterken, moet hij ook altijd beter zijn dan de mensen die er al zitten. De meeste van onze medewerkers werken aan het verbeteren en uitbreiden van het platform. Daar kan ik een eindje over meepraten, maar zij hebben er echt kaas van gegeten.’
Bloedfanatieke sleutelaars
Michiel Prins, één van de andere oprichters, en Jobert werden vriendjes op de kleuterschool in Drachten. Knutselen was één van hun hobby’s: apparaten uit elkaar halen en weer in elkaar zetten. Ze woonden heel hun jeugd vlak bij elkaar. ‘Op de basisschool mochten we nooit bij elkaar zitten, dat leidde de anderen te veel af. Maar verder trokken we bijna altijd met elkaar op. Een neef van Michiel gaf ons een cd waarmee je kon leren programmeren. We spraken geen woord Engels, maar dat was niet nodig. Codes intypen en kijken wat het ding doet, en later: kijken of het ding doet wat het zou moeten doen. Al snel hadden we een website gebouwd. En nu komt het: in 2003 werd die website gehackt. Ongelofelijk vonden we dat. Hoe kan dat? Hoe doen ze dat? Kan ik dat ook? We werden bloedfanatiek, het is net zoiets als Rubik’s Cube, je weet dat het moet kunnen, maar welke sleutels moet je gebruiken? Het bijzondere was dat we ontdekten dat we beter waren in hacken dan in websites maken.’
Stel dat iemand erin slaagt om Tesla te hacken, dat-ie de opdracht geeft waardoor alle Tesla’s nú rechtsaf slaan
De twee jongens uit Drachten werden student in Groningen, Op de Hanzehogeschool koos Michiel Informatica, Jobert begon aan de opleiding die hij niet zou afronden, Technische Informatica. Met hun bedrijf Online24 zetten ze de eerste stappen op het niet zo heel erg platgetreden veld van de internetbeveiliging. Ze wisten dat die beveiliging snel pure noodzaak zou worden. ‘Er hangt steeds meer aan internet. Neem de auto. Jeep is meerdere keren gehackt. Bij één van die hacks gingen alle radio’s van die auto’s op hetzelfde moment aan. Denk daar eens op door. Stel dat iemand erin slaagt om Tesla te hacken, dat-ie de opdracht geeft waardoor alle Tesla’s nú rechtsaf slaan.’
Zomaar miljoenen op de bank
Een gewone burger denkt niet aan dit soort scenario’s, maar voor Jobert en Michiel is het al jaren gesneden koek. Ze beschouwen het hun taak om die risico’s onder de aandacht te brengen. Noem het bluf, branie of gewoon weten waar je het over hebt, maar de twee jeugdvrienden nodigden zichzelf als broekies al uit bij bankiers van de City van Londen om hen te wijzen op de risico’s van data-opslag in de cloud. ‘Dan is het handig als je kunt aanwijzen waar de zwakheden zitten, als je ze laat zien hoe hacken in z’n werk kan gaan. We deden het om bewustwording te kweken. Internet veilig maken, dat kun je niet in je eentje.’
Zo drong het idee zich aan hen op: als we zoveel mogelijk ogen willen inzetten, moeten we alle hackers van de wereld verzamelen op één platform: all hackers, one platform. Weer die vraag: en de kwaadwillende hackers dan, de criminelen? ‘Die willen niet open en bloot op een platform zitten. Waarom zouden ze ook? Zij kunnen aankloppen bij malafide bedrijven en organisaties. Maar wij zijn met veel meer. Meer hackers, meer ogen, meer veiligheid.’
Dat is raar, hoor, dat er ineens miljoenen op de bedrijfsrekening worden bijgeschreven
Het platform heeft naam gemaakt. In totaal hebben Jobert, Michiel en hun mensen 76 miljoen opgehaald bij venture capitalists. Drie keer deden ze een aandelenverkoop. ‘Dat is raar, hoor, dat er ineens miljoenen op de bedrijfsrekening worden bijgeschreven.’ En dat voor een bedrijf dat nog geen dividend uitkeert. ‘Nog niet’, zegt Jobert.
HackerOne verdient geld wanneer een bedrijf betaalt voor de diensten. ‘Als bedrijf X duizend euro betaalt aan een hacker van het platform, betaalt het 200 euro aan ons’, zegt Jobert aan wie je niet afziet dat hij één van de founding fathers is van een multinational waarin miljoenen omgaan, een bedrijf met tachtig medewerkers, zestien in Groningen, vijftig in San Francisco en de rest all around the globe. Hij draagt lichtgrijze gympies, een spijkerbroek en een zwarte hoodie met het logo: een kleine letter h, zo gestileerd dat de kleinste poot kan worden gelezen als een afzonderlijk cijfer 1: HackerOne. Een bescheiden beeldmerk, zelf in elkaar gebrainstormd.
Siberische hackers
‘Er is geen reden om op te scheppen. We doen wat we noodzakelijk vinden. HackerOne is een mission-driven company. We hadden het bedrijf misschien allang kunnen verkopen. Maar wat dan? We vinden het belangrijk om het doel dichterbij te brengen.’
Iedere zes minuten verschijnt er nieuw rapport waarin ze bugs, gaten, lekken en andere kwetsbaarheden melden aan hun opdrachtgevers
Het hackerlegioen van de voormalige Hanze-studenten is de klok rond in touw, want op de aardbol is er ergens altijd wel een hacker wakker: iedere zes minuten verschijnt er nieuw rapport waarin ze bugs, gaten, lekken en andere kwetsbaarheden melden aan hun opdrachtgevers. ‘Die bepalen zelf hoeveel ze willen betalen. Als een Mexicaans bedrijf geld wil overmaken aan een Siberische hacker, weten wij hoe dat kan.’ Dat dat in dit geval veilig gebeurt, is vrijwel zeker, want QIWI (het Russische Paypal) is ook aangesloten op HackerOne.
HackerOne bewaart alle onvolkomenheden die de hackers rapporteren in een enorme database, een kennisarsenaal van jewelste. Hoe? Wat? Waar? Dat geeft Jobert niet prijs. Top secret. Je kunt niet voorzichtig genoeg zijn in dit kantoor dat uitkijkt op het Groninger Museum en over de grommende brug, waarover de autobussen zwenken. Nee, zegt Jobert, de kamer achter de deur waarop Stuxnet staat kom je niet binnen zonder dat je een geheimhoudingsverklaring ondertekent. ‘Er staan allemaal schermen aan. Die mag je niet zien.’
