Hacker Loran Kloeze uit Meppel: 'Veel mensen denken dat ze niet interessant zijn voor hackers. Dat zijn ze wel'

„Echte hackers zien er niet uit als hackers”, zegt ethisch hacker Loran Kloeze uit Meppel. Foto: Jaspar Moulijn

Loran Kloeze uit Meppel hackt bedrijven om hun zwakke plekken bloot te leggen. „Veel mensen zijn zich totaal niet bewust van de risico’s die ze lopen”, zegt de cybersecurity-expert.

Een medewerker van Woonconcept Meppel raakte onlangs een USB-stick met (nog onbekende) vertrouwelijke gegevens van huurders kwijt.

Het CDA in Hoogeveen stelde daarop vragen over de internetbeveiliging van de eigen gemeente. Volgens de christendemocraten toont het voorbeeld van Woonconcept aan dat kwetsbaarheid niet alleen in techniek en systemen zit. „Mensen zijn vaak het sluitstuk van de beveiliging”, zegt CDA-raadslid Erik-Jan Kreuze.

Ethische hacker Loran Kloeze uit Meppel (31) is het daar roerend mee eens.

Roze schoenen en een overhemd met bloemen

Met zijn felle roze schoenen met graffiti-patroon, blauwe bloemen-overhemd, colbertje en vlotte babbel voldoet Kloeze op het eerste gezicht op geen enkele manier aan het stereotype beeld van een hacker.

Schijn bedriegt.

„Echte hackers zien er niet uit als hackers”, zegt hij lachend.

Kloeze is een ethische hacker

Kloeze startte dit jaar het bedrijf Ralon Cybersecurity, waarmee hij bedrijven (met toestemming) hackt en adviseert op het gebied van online-beveiliging.

Een ethische hacker is hij dus, in vaktermen een white hat , iemand die inbreekt in digitale systemen zonder daarmee kwaad te willen doen.

Inmiddels houdt Kloeze zich een paar maand fulltime bezig met het adviseren en hacken van bedrijven. Zijn werk bevindt zich niet hoofdzakelijk op het technische vlak. Vaak is het voor hem niet nodig om geavanceerde en clandestiene programma’s te gebruiken om ergens een ‘achterdeurtje’ te vinden.

Nee, Kloeze richt zich vooral op het mkb en zzp’ers. De spreekwoordelijke bakker op de hoek. En dan is het veel makkelijker om op de man te spelen.

'Er is veel onwetendheid'

De voornaamste conclusie die Kloeze de afgelopen maanden trok, is dat er veel onwetendheid is: „Mensen zijn zich vaak totaal niet bewust van de risico’s die ze lopen, de gevolgen die een hack kan hebben. Ik probeer meer bewustzijn te creëren, zodat mensen zich beter gaan beschermen.”

Onderdeel daarvan is het hacken van bedrijven. Dat doet hij niet zomaar, dat is immers illegaal. Kloeze benadert eerst een bedrijf (of andersom) en spreekt de spelregels af.

Wat geldt als een succesvolle 'hack', wat mag wel en wat mag niet?

Lukt het hem om binnen te komen, dan wordt hij betaald en geeft hij advies. Lukt het niet, dan krijgt hij niets en geeft hij alsnog advies. Want online-beveiliging kan altijd beter.

Stap 1: informatie verzamelen

Zijn eerste stap is het verzamelen van informatie. Wat is het voor bedrijf, wie werkt er? Vaak is dat op de bedrijfswebsite te vinden. Dan kiest hij een medewerker uit en stort hij zich op hem. Sociale media zijn vaak erg bruikbaar. Interesses, contacten, locaties, van alles is er te vinden.

Daarna volgt vaak een zogeheten phishingmail, oftewel een valse mail die er legitiem uitziet. Of de medewerker even op Facebook wil inloggen via een meegestuurd linkje. Dat leidt naar een pagina die niet van echt is te onderscheiden. Plotseling heeft Kloeze controle over het account. „Vaak is dat al genoeg, en schrikken mensen daar erg van. Het heeft een grote emotionele impact als iemand je online-leven binnendringt.”

'Het gaat om de kick'

Met zijn werk wil Kloeze aantonen dat mensen vaak onvoorzichtig met hun gegevens omgaan en veel bedrijven zich niet realiseren dat ze cybersecurity nodig hebben.

„Veel mensen denken dat ze niet interessant zijn voor hackers. Dat zijn ze wel. Grof geld kunnen ze misschien niet uit de spreekwoordelijke bakker om de hoek slaan, maar vaak gaat het alleen om de kick. Bovendien kunnen ze mogelijk meer dan je zou denken.”

Hij trekt het voorbeeld van de gehackte bakker door. Wat als het internet van de bakker wordt gehackt?

In eerste plaats kan een hack reputatieschade opleveren. Maar wat als de kassa en het pinautomaat daarmee in verbinding staat met een accountingprogramma? Wat als de koeling ook nog eens via internet bestuurbaar is? „En dan valt het bij een bakker nog mee. Als iemand de koeling uitzet en alle broden verpest, kan hij nieuwe maken. Een fotograaf die zijn hele archief kwijt is, heeft alweer een groter probleem.”

Bug bounty hunting

Inmiddels heeft Kloeze zo’n twintig tot dertig klanten gehad. Daarnaast doet hij af en toe nog aan 'bug bounty hunting', het technische hacken waarbij hij fouten in digitale systemen opzoekt. Veel grote websites dagen mensen zoals Loran uit om fouten te vinden en deze te melden. Dat leverde hem al eens 500 dollar van Facebook op.

Ook de Rijksoverheid heeft zo’n programma. Dat heeft Kloeze een stapel T-shirts als bedankje opgeleverd. En als het aan het CDA in Hoogeveen ligt, wordt zo'n programma daar ook ingevoerd, naar voorbeeld van Apeldoorn. Daar bevalt het goed. „We willen gebruikmaken van de kennis van de ethische hackers die sites veiliger willen maken”, meldt de gemeente Apeldoorn. „Door de meldingen die we hebben binnengekregen, hebben we interne processen aangescherpt.”

Kloeze is groot voorstander van gemeentelijke hackprogramma’s, met het USB-fiasco van Woonconcept Meppel als lichtend voorbeeld. Lachend: „Misschien moet ik Woonconcept maar eens bellen om mijn hulp aan te bieden.”

menu