19.00-21.00 #hacktalk14 Bug Hunters

Elke organisatie is uiteindelijk wel op de een of andere manier te hacken. Dat kun je dan maar beter laten doen door iemand die wil helpen de beveiliging te verbeteren. Je kunt een Responsible Disclosure pagina openen, in de hoop dat hackers hun bevindingen vrijwillig bij je komen melden. Je kunt ook prijzen uitloven voor gevonden kwetsbaarheden, oftewel bug bounties. Grote IT bedrijven als Microsoft, Google en Apple doen dat al jaren, maar ook steeds meer kleine bedrijven en zelfs overheden loven bug bounties uit.

De bughunt en beoordeling van de gevonden kwetsbaarheden wordt inmiddels meer overgenomen door platformen als HackerOne, Zerocopter en Bugcrowd. Wie komen daarop af? Wie zijn die onderzoekers die net dat vinden wat anderen over het hoofd zien? Hoe gaan ze te werk? En wat levert dat op, zo'n baan zonder baas? We hebben deze avond daarom vijf Bug Hunters en twee bedrijven met een bug bounty programma. Verslag volgt nog. Hier alvast de foto's.



foto: Tabitha

Wietse Boonstra hackt al zijn hele leven hardware en is zich gaandeweg gaan specialiseren in het vinden en melden van kwetsbaarheden in web applicaties, via Responsible Disclosure en sinds 2 jaar ook via Zerocopter. Daarnaast testte hij bij LinQiot ICS/SCADA systemen en werkt hij nu als Senior Security tester bij ISatis Cyber Security. Bij Offensive Security behaalde hij zijn certificaten als OSCP en OSCE en bij de EC-Council die van Certified Ethical Hacker en CAST 611 Advanced Penetration Testing.



foto: Tabitha

Erik van Oosbree was 5 jaar actief op Bug Crowd. Nu is hij pentester bij Sincerius en studeert hij Forensische IT aan de Hogeschool Leiden. Tijdens onze eigen hack challenge Lord of the Things, won zijn team de prijs van Most Technical Hack. Tijdens H√Ęck Den Haag 2018 won zijn team de tweede prijs in de catagorie Most sophisticated Hack.



foto: Tabitha

Jorik Berkepas heeft in de afgelopen 2 jaar zo'n 200 gevonden en gemeld via de Bug Bounty programma's van Zerocopter, Intigriti (Belgie), HackerOne en Yogosha (Frans). In het dagelijks leven is hij C#/.NET developer bij Embrace SBS.



foto: Tabitha

Daniel Bakker begon ooit als software engineer en ging vervolgens bughunten via HackerOne. Hij heeft daar inmiddels 584 bugs gerapporteerd en is nu ook bij HackerOne in dienst als security analyst en beoordeelt de gerapporteerde kwetsbaarheden. Shriraj Datar was ooit pentester en is nu Cyber Security Analyst bij Booking.com, waar hij de rapportages beoordeeld die bug hunters insturen via HackerOne. Hoe is Booking.com begonnen met dit programma en hoe past het in hun bredere security beleid?



foto: Tabitha

Wouter van Rooij begon al op 11-jarige leeftijd met hacken, bezocht op zijn 13e zijn eerste hackers conferentie, vond in 2011 een fundamentele bug in WhatsApp en won in 2018 twee prijzen bij Hack Den Haag. Hij heeft veel Responsible Disclosures gedaan en doet sinds een half jaar ook aan Bug Bounties via Zerocopter. Daarnaast is hij Business Unit Leader Cyber Security Netherlands at ONEPOINT. Hij is gecertificeerd door Offensive Security als OSCP en door eLean als Security Mobile Application Tester. Ook Rob de Charro kwam aan tafel. Hij is Information Security Officer bij het Havenbedrijf Rotterdam en daar o.a. verantwoordelijk voor hun bug bounty programma. Wat zijn de ervaringen van het Havenbedrijf met bug hunters?

Wil je op de hoogte blijven? Meld je dan aan voor onze nieuwsbrief. Heb je suggesties voor ons programma? Mail ons. Toegang was gratis. Dat kan omdat we gesteund worden door organisaties die net als wij graag kennis delen over cyber security. Dus, met dank aan: