Oscar Koeroo

Oscar Koeroo: Handling Hacks at a Massive Scale

Oscar has been coordinating vulnerability disclosures, far before they were referred to as such. From 2003 to 2013 he was the IT guy at the Dutch Institute of Subatomic Physics and responsible for security within a large international research network. If one of the researchers would find a vulnerability, they could report it to Oscar’s system, where other researchers would judge its severity, act, and give the reporter credits accordingly. In the outside world things would work quite differently, Oscar discovered, when he wanted to report a vulnerability to the municipality of Veere. He discovered a pump which could be controlled online by just guessing its password: veere. The municipality at first did not want to explore the vulnerability, but ultimately had to once the national news made an item of it. The issue was even discussed in Dutch parliament.

Five years ago, Oscar switched to KPN, first as a pentester and now as a security specialist, focusing on cryptography, infrastructure, and access to hundreds of their systems. He was also one of the volunteers at SHA hacker camp – leading team Production House – where all the content of the camp was distributed. Oscar is also the guy behind Operation Cyberpaint, an annual event where nearly one hundred security freaks gun each other down with lasers and paintball guns.

Oscar Koeroo: Behandelt hacks op grote schaal

Oscar handelde al meldingen van kwetsbaarheden af, ver voordat dat bekend stond als Coordinated Vulnerability Disclosure. Van 2003-2013 was hij namelijk IT’er bij het Nationaal Instituut voor Subatomaire Fysica en daar de securityman binnen een wereldwijd netwerk van onderzoekers. Als die ergens een kwetsbaarheid vonden, konden ze dat indienen in zijn systeem. Een team beoordeelde de kwetsbaarheid, ging ermee aan de slag en de melder kreeg de credits. Dat het in de buitenwereld er anders aan toe ging, ervaarde Oscar in 2012 toen hij zelf een kwetsbaarheid meldde bij de gemeente Veere. Hij ontdekte een pomp die hij via internet kon aansturen, door slechts het wachtwoord te raden: veere. De gemeente wilde eerst niet ingaan op zijn melding, maar toen EenVandaag er een reportage over maakte wel. Er werden zelfs Kamervragen gesteld over het incident.

Sinds vijf jaar zit Oscar nu bij KPN, eerst als pentester en nu als security specialist. Hij houdt zich daar bezig met cryptografie, infrastructuur en het beheren van de toegang tot wel honderden systemen. Daarnaast was hij bij SHA een van de vrijwilligers in het team Productiehuis, vanwaar alle content van het hackerkamp via het tijdelijk snelste internet van Nederland wereldwijd verspreid werd. Hij is ook de man achter Operation Cyberpaint, een jaarlijks event waar zo’n honderd security fanatiekelingen elkaar te lijf gaan met paintball en laserpistolen.