Met Nerds om Tafel - een podcast over technologie, wetenschap en popcultuur

Marieke Rijken en Mischa van Geelen laten zien waar bedrijven écht kwetsbaar zijn: niet in hun eigen systemen, maar bij hun leveranciers. Marieke Rijken en Mischa van Geelen bouwen samen aan AdversIQ, een platform dat van buitenaf in kaart brengt waar de digitale toeleveringsketen van een bedrijf lek is. Marieke zit diep in de Nederlandse hackerscommunity en vertaalt die wereld naar iets waar gewone bedrijven mee kunnen werken. Zij noemt het platform een lasagne, laag op laag aan afhankelijkheden waar je geen grip op hebt. Mischa vond als dertienjarige een kwetsbaarheid bij ABN AMRO, werd de jongste fulltime pentester van Nederland en meldde inmiddels meer dan zevenhonderd lekken. Gebruik je geen Salesforce maar je callcenter wel? Dan ben je alsnog geraakt toen de Shiny Hunters toesloegen. Pretendeer je digitaal soeverein te zijn, maar zet je sub-sub-leverancier alles bij Amazon? Dan klopt het verhaal niet. Het gesprek loopt van responsible naar full disclosure, langs een zonnepaneel-lek waarmee je half Europa kunt verstoren, naar de grote vraag: hoe soeverein is Europa écht als bijna de hele cloudmarkt bij Amerikaanse reuzen ligt, en waarom is er nog geen werkend Europees alternatief? Over Marieke Rijken Marieke Rijken (ook wel bekend als Smits..) leeft in twee werelden tegelijk: ze zit diep in de Nederlandse hackerscommunity (DIVD, projectlead van hackerkamp WHY2025) en knoopt als geen ander techniek en marketing aan elkaar. LinkedIn: https://www.linkedin.com/in/piiindakaas/ Website: https://www.adversiq.com/ Over Mischa van Geelen Mischa Rick van Geelen is ethisch hacker, pentester en forensisch onderzoeker. Hij was op zijn vijftiende de jongste fulltime pentester van Nederland, medeoprichter van incident-responsebedrijf NFIR, en meldde inmiddels meer dan zevenhonderd kwetsbaarheden. Hij is medeauteur van de MIAUW-methode en hielp bij grote incidentonderzoeken zoals de hack bij de gemeente Hof van Twente. LinkedIn: https://www.linkedin.com/in/rickgeex/ Website: https://www.mischavangeelen.nl/ In deze aflevering 0:00:00 Intro: een gat bij de bank, full disclosure en afhankelijkheden in beeld0:03:00 Dertien jaar oud tegenover drie bankdirecteuren0:10:49 Vastlopen op school, en hoe Astrid Oosenbrug hielp van de leerplicht af te komen0:16:00 Honderden lekken melden: SQL-injecties en een beheerder die vijf keer weigerde0:23:05 Wat DIVD doet, en waarom full disclosure soms niet mag (half Europa via zonnepanelen)0:28:00 Van pentester naar incident response: Hof van Twente en Lochem0:31:00 De Synology-NAS die je data niet wist, een ongedocumenteerde feature0:33:30 Hoe AdversIQ ontstond: het staat digitaal in de fik achter je0:35:35 ISO 27001, de scope die je zelf kiest en de zeldzaam goede auditor0:39:30 De lasagne: lagen vol afhankelijkheden zonder dat je het weet0:41:50 Salesforce, Shiny Hunters en de leverancier die het voor jou gebruikt0:46:43 Hoe je dit van buitenaf in kaart brengt zonder zelf lijstjes te maken0:49:20 Soeverein? Tot je sub-sub-leverancier bij Amazon blijkt te staan0:52:00 Afhankelijk van Stripe of Cloudflare, en wat als die uitvalt0:59:19 Welke fase de startup in zit, pilots in juli en de strijd om live te gaan1:10:45 Luistervraag: Europese alternatieven en de Amerikaanse wet die overnames blokkeert1:15:28 De MIAUW-methode en de motie die unaniem werd aangenomen1:19:42 MIAUW versus het piepsysteem, en de vraag die niemand stelde Genoemd in deze aflevering AdversIQ, het platform dat digitale toeleveringsketens van buitenaf in kaart brengt DIVD, het instituut dat kwetsbaarheden meldt en hackers bij disclosure helpt WHY2025, het Nederlandse hackerkamp waar Marieke projectlead is MIAUW-methode, standaard voor pentesten met auditwaarde van Brenno de Winter Synology NAS, de back-up-NAS met de niet-gedocumenteerde reset-feature Tips van de tafel Marieke: ga bij je leveranciers actief na welke diensten zij weer inkopen, want hun keuzes (zoals hosting buiten Europa) worden stilzwijgend ook jouw risico. Marieke: niet elk probleem dat je vindt hoeft meteen opgelost, bepaal per leverancier zelf wat je accepteert, mitigeert of vervangt, anders verdrink je in de meldingen. Mischa: meld een kwetsbaarheid altijd kort, vriendelijk en zonder iets terug te verwachten, dat brengt je verder dan een dreigende toon. Mischa: wil je je NAS of harde schijf echt leeg, vertrouw niet op de fabrieksreset, want die wist je data vaak niet. Jaag er desnoods een spijker doorheen.See omnystudio.com/listener for privacy information.

Voor €5 koopt een tiener een DDoS-aanval op YouTube. En dat is nog het minst schokkende dat Barry van Kampen ons vertelt. Van TikTok-kanalen die kinderen ronselen als hackers tot een 14-jarige die 170.000 bots bij elkaar bouwde — de digitale wereld van jongeren is wilder dan de meeste ouders beseffen. Barry “Fish” van Kampen is security technologist bij Exmon, digitaal specialist bij de politie én drijvende kracht achter meerdere initiatieven die jongeren cyberveilig maken. Hij neemt ons mee door de complete “trechter”: van HackShield (de educatieve game voor basisschoolleerlingen) via Hack in the Class en Rebootcamp tot de DIVD Academy, waar jonge hackers een positieve carrière in cybersecurity kunnen opbouwen. Voor wie toch de verkeerde kant op gaat, bestaat HackRight — een alternatieve straf waarbij jonge daders digitale opdrachten uitvoeren in plaats van straat prikken. Onderweg hoor je waarom verbieden zonder dialoog niet werkt, hoe kinderen via Discord en Telegram gemanipuleerd worden, en waarom e-mail eigenlijk een kutplatform is. Over Barry van Kampen Barry “Fish” van Kampen is security technologist bij Exmon en digitaal specialist bij de politie. Hij richtte Hack in the Class op, is medeoprichter en voorzitter van DIVD Academy, medeoprichter van OrangeCon, ambassadeur bij HackShield en oprichter van Hackerspace Random Data in Utrecht. E-mail: barry@xmon.nl (zakelijk), barry@divd.academy (community) LinkedIn DIVD: https://divd.nl In deze aflevering 0:00:00 Voor €5 koop je een DDoS-aanval op YouTube0:02:06 Waarom je kinderen beter kunt leren hacken dan het te verbieden0:07:48 De trechter: van HackShield tot cybersecurity-carrière0:12:55 Hoe TikTok en Discord kinderen ronselen voor cybercrime0:18:10 Smartphones verbieden zonder dialoog werkt niet0:22:16 Rebootcamp: scouting voor jonge hackers0:33:08 DIVD Academy en de weg naar een positieve carrière0:38:39 HackRight: een alternatieve straf voor jonge cybercriminelen0:47:26 Barry’s eigen origin story: van phonefreaking tot purple team0:55:53 De grootste veranderingen in cybercrime in tien jaar1:07:10 Waarom e-mail een waardeloos medium is1:11:00 Bonus: de man die 709 miljoen aan bitcoin op de vuilnisbelt gooide Genoemd in deze aflevering HackShield — educatieve cybersecurity-game voor kinderen (8-12 jaar) DIVD (Dutch Institute for Vulnerability Disclosure): DIVD Academy re_B00TCMP — interventie/scouting voor jonge hackers Hack_Right — alternatieve straf voor minderjarige cybercriminelen OrangeCon — cybersecurity-conferentie Hackerspace Randomdata Utrecht COPS (Cyber Offender Prevention Squad) MNOT 426 over HackShield (met Emily Jacometti en Tim Murck) MNOT 456 over smartphonevrij opgroeien James Howell — verloor 8.000 bitcoin op een vuilnisbelt in Newport, Wales Tips van de tafel Barry: Ga de dialoog aan met je kinderen over wat ze online doen. Verbieden zonder uitleg werkt niet — zodra het half vier is staan ze alsnog op hun telefoon. Leer ze de spelregels: “If you don’t own it, you won’t pwn it.” Randal: Wees bewust met je data in AI-tools. Gebruik ze slim (bijvoorbeeld via Claude Code op je eigen server) in plaats van alles klakkeloos in een chatvenster te slepen. Barry: Kijk eens kritisch naar je e-mail inbox. Staat er een scan van je paspoort in? Dan staat die ook in de inbox van een ander. E-mail is daar niet voor gemaakt. See omnystudio.com/listener for privacy information.

Waarom krijgt je buurman gratis glasvezel en moet jij 400 euro betalen? En waarom wil KPN nóg een netwerk aanleggen waar er al eentje ligt? Albert Vergeer van Delta Fiber legt de complete glasvezelwedstrijd bloot. Als COO van Delta Fiber zit Albert midden in wat hij “het landjepik” noemt: de strijd om de laatste onverglaasde gebieden in Nederland. In dit gesprek ontleedt hij de bizarre economie achter glasvezeluitrol. Waarom overbouwen kapitaalvernietiging is, maar partijen het tóch doen. Hoe vraagbundeling werkte tot concurrenten briefjes in de bus gingen stoppen. En ja, ook dat virale filmpje van de opdringerige deurverkoper komt voorbij – inclusief wat Delta daaraan veranderd heeft. Randal en Jurian duiken met Albert in de rekensommen die bepalen of jouw straat glasvezel krijgt, de Mexicaanse standoffs tussen providers en gemeentes, en waarom Ziggo binnenkort op Delta’s netwerk gaat leveren. Over Albert Vergeer Albert Vergeer is Chief Operations Officer bij Delta Fiber, de op-een-na-grootste glasvezeleigenaar van Nederland met 1,7 miljoen aansluitingen. Daarvoor was hij Director Internet, Telefonie & TV bij KPN en had hij tijdelijk de CCO-rol voor KPN Mobiel. Hij zit sinds 2017 bij Delta. LinkedIn: linkedin.com/in/albertvergeer Website: deltafiber.nl In deze aflevering 0:00:00 Het virale deurverkoper-filmpje: wat ging er mis en wat is er veranderd0:09:54 De glasvezelmarkt uitgelegd: van DSL en kabel naar de huidige spelers0:29:08 Vraagbundeling vs. “gratis aansluiten”: hoe de strategie veranderde0:35:00 BIS en HAS: waarom je straat eerder klaar is dan je meterkast0:43:00 Overbouwen: waarom twee glasnetwerken in één straat kapitaalvernietiging is0:54:00 KPN’s belofte van 80% glasvezel: waarom het 2030 wordt in plaats van 20261:03:00 De rol van de ACM: waarom Nederland geen centrale regie heeft1:07:30 Ziggo komt op Delta’s glasnetwerk: wat betekent dat voor klanten?1:11:41 Vraag van de luisteraar: Nextcloud of cloudopslag van je provider? Genoemd in deze aflevering Delta Fiber – deltafiber.nl KPN glasvezeluitrol Open Dutch Fiber (ODF) Odido Freedom Internet Ziggo wholesale op glasvezel ACM (Autoriteit Consument & Markt) KLIC-systeem voor ondergrondse kabels Reggefiber (historisch) Nextcloud en Immich (open source cloud) Tips van de tafel Randal: Nextcloud of Immich als privacyvriendelijk alternatief voor Google cloudopslag – zou goed passen bij een provider als Freedom.See omnystudio.com/listener for privacy information.

Wat gebeurt er als je providers dwingt tot censuur zonder duidelijke spelregels? Mathieu Andriessen (NLconnect) vertelt hoe een handvol domeinen via vage EU-sancties uitgroeide tot een zwarte lijst van bijna 800 websites; samengesteld door de branche zélf. Randal deelt hoe hij als provider tussen wal en schip belandde, met boze brieven van het OM in de inbox en een ACM die afzijdig blijft. Sander vraagt zich af: werkt dit überhaupt? Een aflevering over blokkadelijsten, technische lapmiddelen en bureaucratisch paniekvoetbal. Maar ook over transparantie, vrijheid en de grenzen van verantwoordelijkheid. Shownotes NLconnect The Digital Services Act van de Europese Commissie  Tijdschema0:03:00 Mathieu over de eerste blokkades en verwarring0:07:55 Providers verliezen rechtszaak, maar weten nog steeds niets0:11:54 Mediarel en Kamervragen zetten alles op scherp0:14:20 Openbaar Ministerie stuurt boze brief0:20:26 Mathieu knutselt de ‘lijst der lijsten’ in Excel0:27:20 Blokkade omzeilen? Dat kan dus gewoon0:33:11 Werkt DNS-blokkeren eigenlijk wel?0:39:05 Foutjes in de lijst: Indiaas sociaal netwerk en YouTube-kloon0:47:10 Litouwen vs. Duitsland: 50 domeinen of 650?0:52:14 De echte frustratie: goed willen doen, maar niemand helpt #censuur #DNSblokkade #telecom #EU #sancties #internetvrijheid #privacy #NLconnect #FreedomInternet #ACMSee omnystudio.com/listener for privacy information.