'Securityprinses' Google wil meer meisjes laten hacken

'Securityprinses' Google wil meer meisjes laten hacken

21-02-2018 13:45 Laatste update: 26-04-2018 13:33

Parisa Tabriz leidt bij Google een team van voornamelijk mannelijke security-experts. "Je voelt je soms een soort superheld."

Een aantal jaar geleden werden websites zonder beveiligde verbinding in Chrome aangeduid met een rood slotje. Het idee erachter was simpel: een groen slotje is voor beveiligde websites, een rood slotje voor websites zonder zo'n https-verbinding. Tot de zus van één van de techneuten van Chrome het rode icoontje zag: "Het lijkt wel een rode handtas."

Voor Tabriz en haar team was dit een eyeopener. Producten en diensten worden door techneuten gemaakt, maar de gemiddelde internetgebruiker weet echt niet dat een rood slotje 'onveilig' betekent. In plaats daarvan gebruikt Chrome nu een waarschuwingsbord als icoontje en zet het er duidelijk 'niet veilig' bij.

Het team achter Chrome probeert alle technische gaten in de browser te dichten, maar veel vaker zorgen menselijke fouten ervoor dat internetgebruikers gevaar lopen. Met die instelling leidt Tabriz de tweehonderd mensen die aan Chrome werken, waarvan zo'n veertig hackers die elke dag bezig zijn om de browser veiliger te maken.

Browser is lastig veilig te krijgen

Ook Tabriz is een hacker. Toen ze nog student was had ze een website bij de dienst Angelfire. Omdat ze niet betaalde plaatste het bedrijf reclame op haar website. Daar had ze niet zo'n zin in, dus hackte ze Angelfire om alle advertenties te verwijderen. Het was de eerste keer dat ze in aanraking kwam met cybersecurity, en haar studie paste ze aan op haar nieuw ontdekte interesses.

Kort na haar afstuderen liep ze stage bij het securityteam van Google, waar ze beveiligingslekken moest opsporen en dichten. Ze ging er fulltime aan de slag en kwam al snel bij Chrome terecht. "Ik houd echt enorm van het web", zegt Tabriz tegen RTL Z. "Het is een open platform dat niet door één persoon wordt beheerst, en een browser is een bijzonder lastig stukje software om veilig te krijgen."

Inmiddels werkt ze al meer dan tien jaar bij Google. Op haar visitekaartje staat nog steeds gekscherend 'security princess' - ze vond haar officiële functie 'information security engineer' zo saai klinken.

Een foutje, grote gevolgen

Doordat Tabriz met haar Chrome-team websites zonder groen slotje als 'onveilig' ging markeren, is het aantal https-verbindingen explosief toegenomen. Je wilt als uitgever of ondernemer natuurlijk niet dat jouw site als onveilig wordt gezien. Ook Let's Encrypt speelde hier een belangrijke rol in: met hun technologie kun je gratis een https-verbinding krijgen. De nonprofitorganisatie ontvangt elk jaar een donatie van 300.000 euro van Tabriz' Chrome-divisie.

De browser probeert alle websites te begrijpen en dat is volgens Tabriz een flinke klus: "Je hebt zoveel webtechnologieën: afbeeldingen, video's, javascript, html, stylesheets, pdf's of flash. De browser moet heel snel begrijpen wat er op een website staat en dat aan de gebruiker tonen. Daar is enorm veel rekenkracht voor nodig, een klein foutje in één van de miljoenen regels programmeercode kan er al voor zorgen dat een aanvaller de browser overneemt."

Tabriz' team van hackers elke dag bezig om dat soort foutjes te vinden. Zo wordt de programmeercode van Chrome bestookt met willekeurige invoer, ook wel fuzzing genoemd, om foutjes in de code te ontdekken. Of de hackers proberen een gat in één van de digitale muren van Chrome te vinden of maken, om zo de hele computer over te nemen.

Digitale muren

Inmiddels is Chrome zo'n veilig softwareprogramma dat er wordt gekeken naar andere gevaren op het internet, vertelt Tabriz. Voor veel mensen is phishing of het per ongeluk downloaden van een virus een veel groter risico dan dat hun Chrome-browser wordt gehackt. Bestanden worden altijd door Chrome gescand op mogelijke virussen, phishing-sites worden zodra ze zijn gespot door de browser geblokkeerd.

"We hebben op dit gebied nog enorm veel werk te doen", vertelt Tabriz. Eén van haar nieuwste projecten is het zogeheten site isolation, dat digitale muren bouwt om elke website die je bezoekt. Zo houdt Chrome aanvallers die bijvoorbeeld via een gevaarlijke website je wachtwoord van een andere website willen stelen buiten. Aan het einde van dit jaar wordt de functie standaard voor alle Chrome-gebruikers ingeschakeld.

Diversiteit

Tabriz' werkomgeving bestaat voornamelijk uit mannen. Niet alleen de Chrome-divisie maar ook Project Zero, het team van tophackers waar ze de leiding over heeft. Project Zero speurt naar lekken in populaire software om mensen een zo veilig mogelijk gevoel te geven als ze online zijn. 

"Je hebt in de cybersecurity verschillende perspectieven en standpunten nodig", vertelt ze. "De gevaren in de echte wereld zijn voor vrouwen en mannen verschillend, en dat is online ook zo. Maar niet alleen verschil in gender is belangrijk, ook culturele diversiteit draagt bij aan een beter product. Zo betekenen groen en rood lang niet in elk land veilig en onveilig."

Tabriz heeft in haar beginjaren vooral veel druk gevoeld. Ze was meestal de enige vrouw binnen het team en had dan het idee dat ze namens alle vrouwen moest spreken. "Dat voelde niet goed. Toen het team uit meer vrouwen bestond, voelde ik die druk niet meer. Uit studies blijkt ook dat teams waar veel vrouwen werken ook beter presteren."

Rolmodel

De cybersecuritywereld vult zich langzaam met meer meisjes en vrouwen, zegt Tabriz, en zij probeert voor hen een rolmodel zijn: "Er wordt vaak gezegd dat je al van jongs af aan bezig moet zijn met hacken. Maar dat is helemaal niet nodig. Of je nou een jongen of meisje bent, je moet dit vak leuk vinden en je eigen talenten ontdekken." Op haar blog geeft ze tips aan beginnende hackers: probeer, studeer en vraag soms om hulp.

"In deze industrie heb je de mogelijkheid om de wereld positief te veranderen", zegt Tabriz. "Je voelt je soms een soort superheld, want je probeert elke dag de wereld een stukje veiliger te maken."