Frank Plattel komt overal binnen, maar mét toestemming

Frank Plattel van Laatjehacken.nl test online beveiliging op kwetsbaarheden (Matthijs Daniëls)
  • Home
  • Artikel
  • Frank Plattel komt overal binnen, maar mét toestemming

Hij is professioneel hacker en dat klinkt nog altijd een beetje schimmig en mysterieus, terwijl het vooral technisch werk is. ‘Maar er zitten soms ook best spannende kanten aan, als ik fysiek mag inbreken bijvoorbeeld.’

Dus nee, geen vervormde stemmen en hoodies op een donkere zolderkamer. Maar ook zéker geen doorsnee job. Frank Plattel van Laatjehacken.nl werkt vanuit een kantoorpand aan De Hoogjens in Sleeuwijk, dat hij deelt met collega-hacker Wouter. De kern van zijn werk is het zogenaamde pentesten: penetratie testen, om kwetsbaarheden te ontdekken in de online beveiliging van bedrijven en organisatie en suggesties te doen voor verbetering.

Computernerd
Het verhaal achter Laatjehacken.nl is wel degelijk het verhaal van de computernerd – zelf benoemd – voor wie het hacken als kattenkwaad begint. ,,Ik vond spelletjes op de computer leuk, maar wilde ook weten hoe het werkte, hoe je zelf spelletjes en programma’s moest maken. Als kind zag ik eens een item op tv over een meisje dat zelf een virus had gemaakt. Dat wilde ik ook. Het begon vrij onschuldig: mijn ouders plagen door alle plaatjes op hun computer op hun kop te zetten. Maar toen ik twaalf was heb ik ook de bank gehackt.’’

Ook dat klinkt gelukkig erger dan het is. ,,Ik wilde geld van mijn vader te pakken krijgen, gewoon om te laten zien dat ik het kon. Je had toen nog TAN-codes en die wist ik te omzeilen.’’ Lachend: ,,Waarop mijn vader zei: laten we maar eens naar de bank gaan. Ze konden er wel om lachen, toen ze met een jongetje van twaalf aan tafel zaten. Ze zeiden: je kunt hier snel rijk mee worden, maar dan kom je ook in de gevangenis. Of je gaat dit doen als onderzoeker. Vanaf dat moment wist ik wat ik wilde worden.’’

Plattel werd eerst software developer bij Montapacking, kon de verleiding niet weerstaan om zijn werkgever ook te hacken en mocht zich ‘als dank’ ontfermen over de beveiliging. De volgende stap was zijn eigen bedrijf.

Open zijn
Klanten van Laatjehacken.nl zijn grote bedrijven en organisaties, onder andere uit de zorg, energie of retail. De sector maakt eigenlijk niet zoveel uit, maar er is één belangrijke ‘no go’: ,,Ik wil geen informatie te pakken krijgen die door derden misbruikt kan worden. Dus ik zou geen opdracht aannemen van Defensie bijvoorbeeld.’’

Opdrachtgevers willen weten hoe veilig hun apps, websites of servers zijn en dagen Plattel uit om binnen te dringen. En dat niet alleen: Plattel maakt een rapport op met de kwetsbaarheden en adviezen en publiceert die ook. ,,Je moet er gewoon open over zijn’’, verklaart hij. ,,Zeg: dit had er kunnen gebeuren, maar het is niet gebeurd en nu is het opgelost.’’

Red Team
Soms gaat hij een stapje verder dan een bedrijf alleen online binnenkomen. Dan maakt een fysieke inbraak ook deel uit van zijn ‘aanvalsplan’: een Red Team Opdracht. Hij vertelt over zijn werkwijze, hoe hij op klaarlichte dag binnen weet te lopen en een kastje achter de printer plaatst waarmee hij de bedrijfssystemen kan enteren. Of hij komt daadwerkelijk als inbreker binnen in de late uurtjes, wel bewapend met een Get Out of Jail Free-kaart, zoals hij het zelf noemt. Een verklaring dus dat hij met toestemming van zijn slachtoffers aan het werk is. ,,Ik ken ook wel collega’s die door de politie hardhandig tegen de grond zijn gewerkt’’, lacht hij.

Instorten
Plattel schat dat er ongeveer duizend pentesters als hij zijn in Nederland. ,,Veel te weinig’’, zo is hij stellig. Hij verklaart: ,,Er zijn grofweg twee soorten bedrijven: bedrijven die gehackt zijn en bedrijven die niet weten dat ze gehackt zijn. Het geldt voor 95 procent van de ondernemers, daar ben ik van overtuigd. Ik zit maandelijks met een huilende CEO aan tafel, die zijn bedrijf ziet instorten omdat de systemen gegijzeld zijn. Dat zijn hele pijnlijke situaties. Grote ondernemingen en organisaties laten standaard álles pentesten tegenwoordig en op veel websites staat aangegeven dat je ze onder bepaalde voorwaarden mag hacken, mits je het meldt. Ik vergelijk het zelf weleens met een tandartscontrole: een periodiek onderzoek naar gaatjes.’’

Als vader van twee jonge kinderen probeert Frank Plattel een enigszins ‘standaard’ werkritme aan te houden vanuit zijn kantoor. ,,Maar eerlijk is eerlijk: ik kan het thuis niet loslaten. Omdat ik bovendien veel internationaal werk zit ik toch vaak tot ’s avonds of ’s ochtends vroeg achter mijn scherm. Mijn werk is mijn grootste hobby.’’

Bekijk ook