of 59794 LinkedIn

Help de hacker

Hackers hebben een slechte naam. Maar je kunt ze ook benutten om kwetsbaarheden in de digitale beveiliging op te sporen. Mits hackers door de overheid via speciale programma’s op het rechte pad worden gehouden.
Reageer

Hackers hebben een slechte naam. Maar je kunt ze ook benutten om kwetsbaarheden in de digitale beveiliging op te sporen. Mits hackers door de overheid via speciale programma’s op het rechte pad worden gehouden.

Binnendringers dragen bij aan digitale veiligheid

door: Jornt van der Wiel, security researcher in het GReAT team bij Kaspersky Lab Benelux

Hacken houdt de gemoederen bezig en leidt nogal eens tot onrust. Want het is toch digitaal inbreken? Nou, niet per se. Artikel 138ab van het Wetboek van strafrecht lid 1 heeft het over computervredebreuk en binnendringen: ‘Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven door het doorbreken van een beveiliging, door een technische ingreep, met behulp van valse signalen of een valse sleutel, of door het aannemen van een valse hoedanigheid.’

Oftewel, wanneer iemand zonder toestemming opzettelijk een computer hackt dan is deze persoon strafbaar. In de praktijk zal er echter per geval worden gekeken of er sprake is van ‘wederrechtelijk binnendringen’. Mensen kunnen een negatieve associatie hebben met het woord hacker (zie kader). Mede om die reden zijn in de loop der jaren de termen white hat hacker en black hat hacker ontstaan, ontleend aan oude western-films. De helden droegen daarin vaak een witte hoed en de bad guys een zwarte. De white hat hackers gebruiken vaak exact dezelfde technieken als de black hat hackers, alleen zetten zij deze in voor positieve doeleinden.

Ongevraagd testen
Een goed doel kan, volgens sommigen, ook het ongevraagd testen van de beveiliging van een systeem zijn. Mits dit vervolgens netjes wordt gemeld aan de beheerder. Niet elk bedrijf of instantie is hier blij mee en elke organisatie kan hier op zijn eigen manier op reageren. Gelukkig hebben sommige partijen programma’s op het gebied van responsible disclosure: instructies die een organisatie online publiceert en waarin staat wat wel en wat niet mag.

Zo is het bijvoorbeeld toegestaan om bij Marktplaats.nl kwetsbaarheden te vinden en te kijken of ze hackbaar zijn. Maar wanneer je een kwetsbaarheid hebt gevonden, wordt wel verwacht dat je deze aan de organisatie meldt. In ruil hiervoor krijgt de melder een beloning. Om organisaties te helpen een eigen beleid voor responsible disclosure op te stellen, heeft de Rijksoverheid er een leidraad voor opgesteld. Ook melders kunnen met deze leidraad nagaan wat ze kunnen doen als ze een kwetsbaarheid ontdekken.

Controle
Het vinden van een kwetsbaarheid is vaak nog maar het begin. Het uitbuiten hiervan, zodat er controle kan worden gekregen over het te hacken systeem, is vaak het moeilijkste gedeelte. Daarvoor is het nodig om een programma te schrijven waarmee de kwetsbaarheid valt uit te buiten (de zogenaamde exploit). Vaak wordt er hierbij nog een extra functionaliteit gemaakt. Dit volledige programma noemen we malware wat staat voor malicious (kwaadaardige) software.

Vandaag de dag is er een groot aantal malwaredreigingen op het internet. Hiervan zijn ransomware en banking malware de bekendste. Bij ransomware worden slachtoffers afgeperst door hun computers op slot te zetten. Dit blijkt voor black hat hackers en cybercriminelen een steeds lucratiever businessmodel.

Rol overheid
Malware is in al zijn vormen op meerdere manieren te bestrijden. Een belangrijke, maar vaak onderschatte, manier is mensen op het rechte pad te houden. Zorgen dus dat hackers opgroeien tot white hat hackers. Hierbij kan de overheid een grote rol spelen, bijvoorbeeld door zelf mee te doen – en mee te profiteren – van responsible disclosure-programma’s.

De tijdelijke Visitatiecommissie Informatieveiligheid van de VNG is begonnen met het adviseren van gemeenten over informatieveiligheid op bestuurlijk niveau. Op ambtelijk niveau is het aanbieden van stageplekken en traineeships aan studenten met affniteit voor informatiebeveiliging een goede suggestie. Hierbij is het van belang om zowel het onderwerp informatieveiligheid als ook de trainees zelf serieus te nemen. Deze jonge professionals brengen namelijk nieuwe kennis de organisatie binnen en moeten de vrijheid krijgen om daadwerkelijk op onderzoek uit te gaan.

Serieus nemen betekent ook dat er bij een ‘lek’ snel actie wordt ondernomen. In de praktijk wordt nog niet altijd de juiste prioriteit gegeven aan randvoorwaarden zoals professionele bewegingsruimte, bevoegdheden om zaken op te pakken en besluitvaardigheid om geconstateerde problemen op te lossen. Daardoor zijn systemen onnodig langere tijd kwetsbaar, wat desastreuze gevolgen kan hebben. Bovendien werkt een dergelijke, onveilige aanpak demotiverend voor de goedbedoelende hacker. Laat dat witte hoedje geen zwarte hoed worden!


Gebrek aan eenduidigheid
Wie over de begrippen hackers of hacken begint, merkt al snel dat het een beladen onderwerp is. Volgens de een is een hacker iemand die illegaal computersystemen binnendringt door te ze te hacken. Volgens de ander is een hacker iemand ‘die vaak op een creatieve manier een apparaat iets laat doen wat het normaal niet doet’. Er is geen eenduidige definitie. Wees je er dus bewust van dat de term hacker in verschillende contexten wordt gebruikt.


Meer weten?
De leidraad voor Responsible Disclosure van de Rijksoverheid is hier te downloaden: http://bit.ly/1RQFfjA

Verstuur dit artikel naar Google+

Reageer op dit artikel
Even geduld a.u.b.

Vacatures

Van onze partners