BitSensor: Jonge hackers uit Eindhoven in internationaal securityland

In vijftig milliseconden een hack opsporen in je webapplicaties. De plug-in van de Nederlandse ondernemers Ruben van Vreeland (21) en Alex Dings (21) belooft razendsnel een cyberaanval te detecteren en in kaart te brengen. Met BitSensor wonnen de jonge ethische hackers wereldwijd prijzen van onder andere IBM, Sprout en Accenture. Inmiddels rekenen Van Vreeland en Dings banken, overheid en verzekeraars tot hun klanten. Ook de techneuten van ON2IT zijn onder de indruk: BitSensor is geïntegreerd in het Zero Trust Security Framework en beschikbaar voor klanten.

Van Vreeland is pas negen jaar oud als hij thuis in zijn slaapkamer begint met programmeren. Op het Bonhoeffercollege in Enschede ontdekt de vwo-leerling dat de digitale leeromgeving met onder andere cijfers en lesroosters slecht beveiligd is. Het duurt niet lang voordat hij alle applicaties van zijn middelbare school weet te hacken. Van Vreeland krijgt de smaak van het ethisch hacken te pakken en stapt over naar de IT-security van kleine en daarna steeds grotere bedrijven in Nederland. Van Nederland schuift de jonge hacker op naar Europa, en daarbuiten. “Een van mijn grootste hacks was bij het online crowdfundingplatform Indiegogo. Daar vond ik een lek waarmee miljoenen dollars weggesluisd konden worden. Indiegogo heeft een geweldig security-team, maar deze fout hadden zij gemist.”

Indiegogo en Ebay

Ruben van Vreeland

Ruben van Vreeland

Van Vreeland stuurt het security-team van Indiegogo, net als de overige bedrijven waar hij in weet te breken zoals LinkedIn of Ebay, een berichtje om hen te wijzen op het security issue waar ze mee kampen. “Een kwaadwillende hacker zou zoiets niet doen: zo iemand pakt direct het geld, de wachtwoorden of andere gegevens. Het gemak waarmee ik dergelijke acties kon uitvoeren, verbaasde me. Hackers staan nog steeds niet genoeg op de radar: het kost bedrijven gemiddeld negen maanden voordat ze opmerken dat ze zijn gehackt. Veel van de huidige oplossingen zijn simpelweg niet goed genoeg, of de softwareontwikkelaars hebben de legacy security oplossingen omzeild.” Van Vreeland start een securityconsultancy bedrijfje en helpt ondernemingen bij het opsporen en oplossen van hun beveiligingsproblematiek.

Tijdens zijn studie Web Science aan de Technische Universiteit Eindhoven bedenkt Van Vreeland de tool BitSensor. BitSensor is een webapplicatie plug-in, een code die wordt meegelinkt met de app zelf, die meekijkt in de applicatie. Met ‘binnen vijftig milliseconden een hacker stoppen’ legt de jonge ondernemer uit wat het bedrijf doet. “BitSensor monitort iedere stap van de hacker, en bouwt een risicoprofiel op”, licht Van Vreeland toe.

“Hierdoor kunnen we laten zien waar een aanvaller toegang tot heeft gehad, en welke persoonsgegevens mogelijk zijn ingezien.”

De aanpak van BitSensor is voldoende innovatief om ook de aandacht van ON2IT oprichters Marcel van Eemeren en Lieuwe Jan Koning te trekken. En dat is opvallend, want die twee brengen jaarlijks meerdere weken in Silicon Valley op tech-conferenties door om de meest innovatieve security startups snel te spotten. Kennelijk biedt de Silicon Valley rond Eindhoven genoeg innovatiekracht om wereldwijd te kunnen concurreren.

De techniek achter BitSensor heeft raakvlakken met AppDefense, het nieuwste beveiligingsproduct van VMware. Ook BitSensor neemt niet het netwerk, maar de applicatie als uitgangspunt. In de code van een applicatie wordt een stuk BitSensor code meegelinkt. Daardoor kan de cloud-gebaseerde analyse-software van BitSensor elke request en response – zowel van reguliere gebruikers als van hackers – analyseren. Met AI-technieken wordt abnormaal gedrag gedetecteerd, bijvoorbeeld een SQL-injectie. BitSensor meldt dan dat de hackpoging is gezien en mislukt (omdat de applicatie goed is ontworpen) of anderzijds dat er potentieel gevaar was, maar dat dit is verijdeld door BitSensor.

Fulltime codes bouwen

Samen met compagnon en huidig BitSensor COO Alex Dings en twee medestudenten bouwt Van Vreeland de software verder uit. “Maandenlang waren we fulltime bezig met codes schrijven en algoritmes bouwen.” De jonge ondernemers werken de klok rond om de technologie achter BitSensor te bouwen, testen en verbeteren.

“Op dat moment realiseerde ik me dat we iets goeds in handen hadden: hier is tractie.”

In Amsterdam doen Van Vreeland en Dings met BitSensor mee aan de IBM SmartCamp, een wereldwijde pitch wedstrijd voor startups. Ze winnen als meest veelbelovende start-up van Nederland. Het duo besluit zich ook in te schrijven voor de pitch-ronde in San Francisco, een competitie tussen 42 steden wereldwijd. Tot hun grote verbazing wint BitSensor de wedstrijd. “Op dat moment realiseerde ik me dat we iets goeds in handen hadden: hier is tractie.” Naast de IBM SmartCamp wint BitSensor in de afgelopen jaren nog meer prijzen, waaronder de IBM Global Entrepeneur of the Year, de beste jonge ondernemers van 2017 van Sprout en de NRC-Liveprijs voor CyberSecurity Startup of the Year.

De publiciteit die bij deze prijzen komt kijken, zorgt ervoor dat BitSensor ook op het vizier van investeerders komt te staan. “Op het moment dat wij in 2016 voor het eerst op zoek gingen naar een investeerder, stonden er al veel partijen klaar. We wilden niet alleen een zak geld, maar zochten met name een team dat ons op professional vlak kon helpen, met een groot netwerk en kennis van de markt.”

Volta Ventures

De jonge onderneming kiest voor een Belgische VC: Volta Ventures. Met behulp van Volta wil BitSensor de stap maken van een ‘innovatieve tool’ naar een volwaardig bedrijf met klantsupport. Dat lukt: de kapitaalinjectie zorgt ervoor dat BitSensor in een jaar tijd groeit van een kleine start-up naar een onderneming met tien man personeel. Wie de site in de gaten houdt, ziet daar met regelmaat nieuwe vacatures op terug.

Banken, verzekeraars, de overheid en andere start-ups behoren tot BitSensor’s eerste klanten. “In het begin hebben we ons met name gefocust op kleine, startende bedrijven binnen de SNI (Security Netwerk Industrie, red.), maar we kwamen erachter dat de security-budgetten bij deze bedrijven nog te klein zijn. Snel merkten we dat organisaties die agile ontwikkeling doen in combinatie met DevOps fan zijn van onze producten, zeker als persoonsgegevens op een verantwoordelijke manier verwerkt moeten worden. ”

Open source

De plug-in code van BitSensor is open source. Dat houdt in dat de broncode is vrijgeven, zodat gebruikers de mogelijkheid hebben om de software te bekijken, aan te passen, te verbeteren, te verspreiden of zelfs te verkopen. Die vorm van programmatuur zie je nog niet veel terug in de securitybranche, vertelt Van Vreeland. “Het is relatief ongebruikelijk, maar ik vind het juist voor een beveiligingsproduct van groot belang dat je kunt zien hoe en waarom iets werkt. De echte security-nerds van deze wereld bouwen alleen maar open source producten. Als bedrijf krijgen wij veel terug voor onze openheid: nu al hebben eenendertig mensen over de hele wereld substantiële bijdragen aan onze software geleverd.”

Tot nu toe heeft BitSensor geen klanten gehad die het open source karakter van het bedrijf een turn off vonden. “Sterker nog, er zijn zelfs klanten die ons code hebben toegestuurd: zo heeft een Canadese security expert de BitSensor Drupal plug-in geschreven.

De jongste in het bedrijf

Het fysieke hoofdkantoor van BitSensor is gevestigd op de campus van de Technische Universiteit in Eindhoven. “Onze werknemers zitten echter overal ter wereld”, vertelt Van Vreeland. “Iedere ochtend starten we met een uurtje gezamenlijk skypen om de gang van zaken te spreken.”

Volgens de jonge ondernemer kent BitSensor geen concurrenten in Nederland. “Concurrerende bedrijven, die ook open source securitysoftware bieden, zitten met name in de UK en VS.” Het bedrijf is momenteel actief in Nederland, België en Duitsland. Van Vreeland hoopt in de komende jaren het aantal landen en partnerschappen uit te breiden.

CEO Van Vreeland is samen met zijn compagnon en COO Dings de jongste binnen zijn eigen bedrijf. “We hebben mensen in dienst die twee keer onze leeftijd hebben. Dat is voor ons ontzettend leerzaam en we kunnen ons goed staande houden.” Ondanks zijn grote voorliefde voor hacken, is de jonge CEO op het moment zelf weinig malware aan het analyseren. “Ik stuur ons development team aan, geef veel presentaties en ontmoet klanten en partners. Er is weinig tijd voor momenteel, maar etisch hacken zal altijd een hobby van me blijven.”