Hackers hebben geen prettige reputatie. Tik het woord ´hacker´ in via Google en je ontdekt dat hackers eng, gevaarlijk én man zijn. Bij voorkeur zitten ze voorovergebogen achter een pc in een ongedefinieerde ruimte. Ze werken alleen en zitten het liefst met een bivakmuts op achter de pc; soms volstaat een hoodie.
Flauwekul natuurlijk. Dit stereotiepe beeld van een hacker klopt niet, maar neemt niet weg dat er een negatieve associatie met het woord hacker is.
Onlangs was ik op het Cybercrime Security Forum en heb daar Edwin van Andel, hoofdevangelist en hacker bij Zerocopter, zien spreken. Ik ben blij dat ik het betoog van deze sympathieke man heb kunnen horen. In zijn sessie ‘hackers moet je knuffelen’ legde hij uit dat niet alleen de stereotypes niet kloppen, maar dat ik zelfs van hackers gebruik kan maken. Dankzij Edwin weet ik nu waarom je dat moet willen en hoe je dat aanpakt.
Om te beginnen: niet alle hackers hebben kwaad in de zin. Je kunt onderscheid maken tussen black hat-hackers en white hat-hackers.
Black hat-hacking
De black hat-hackers zijn de slechteriken, de computerkrakers die zichzelf onbevoegd toegang tot je informatiesystemen verschaffen om je systemen plat te leggen, dingen te wijzigen of te verwijderen. Dit zijn de personen die virussen en internetwormen verspreiden, bot-nets aanleggen en phishing-mails sturen. Meestal is het doel financieel gewin, soms spelen politieke doelen een rol.
White hat-hacking
White hat-hackers zijn de zogeheten ethische hackers. Deze hackers zetten hun kennis en ervaring in om organisaties weerbaarder te maken tegen cybercriminelen. Security-specialisten dus, die vaak worden ingehuurd om de beveiliging naar een hoger niveau te tillen.
Maar wat maakt ethische hackers nu ethisch verantwoord? Als je niet bent ingehuurd, is het toch nog steeds inbreken? Allereerst zetten deze white hat-hackers zich in met als doel de veiligheid te verbeteren. Maar inderdaad, als een hacker vroeger inbrak, was hij strafbaar, zelfs als hij het deed om de organisatie te helpen en hen op de hoogte bracht. Bedrijven profiteerden wel van de informatie die werd gegeven, want zo konden zij hun it-beveiliging verbeteren. Om het risico op vervolging weg te nemen voor hackers met goede bedoelingen is er nu iets dat responsible disclosure-beleid heet. Organisaties met een dergelijk beleid kun je onder voorwaarden hacken zonder vervolgd te worden.
Disclosure
De manier waarop je omgaat met gevonden lekken heeft gevolgen voor wat er gebeurt. Er zijn drie gebruikelijke methodes voor het melden van kwetsbaarheden.
- Full disclosure
De hacker informeert meteen de hele wereld over de kwetsbaarheid. Dit dwingt de organisatie om een lek per omgaande te dichten, maar dat kan meestal niet direct. Dit is erg handig voor de black hat-hackers, want die kunnen er wel direct misbruik van maken, met alle gevolgen van dien.
- Non-disclosure
Hierbij informeert de hacker niemand, dus ook de organisatie niet. Dat betekent dat je niet van het probleem af weet en het ook niet kunt verhelpen. De kwetsbaarheid voor een aanval blijft.
- Responsible disclosure
Hierbij maak je in overleg met de organisatie de kwetsbaarheden openbaar. Dit gaat op basis van een door de organisatie vastgesteld beleid voor responsible disclosure. Hierdoor kunnen organisaties het probleem oplossen voordat het bekend wordt. Responsible disclosure gaat dus over het veilig bekendmaken van kwetsbaarheden.
Responsible disclosure toepassen
Je plaatst als je een responsible disclosure-beleid wilt voeren een melding op je website waarin je uitlegt binnen welke kaders er gewerkt moet worden en geeft aan dat je, als er binnen die kaders wordt gewerkt, geen aangifte doet.
Met zo’n statement nodig je de hackinggemeenschap min of meer uit om te proberen iets te vinden. Dat stelt je in staat om zelf goed voorbereid te zijn en je beveiliging te verbeteren. ING hanteert een dergelijk statement. Hierin staat aan welke regels je je moet houden, hoe je het aanbiedt en dat je in aanmerking komt voor een beloning. Ze geven ook aan voor welke zaken het statement wel en niet geldt. Zo helpen hackers de ING om bankzaken beter te beveiligen.
Kortom, denk ook eens aan hackers in Hawaï-shirts, blouses en jurkjes. Hackers die ons helpen bouwen aan een betere en veiligere wereld. We hebben ze nodig zodat we weten waar onze zwakke punten liggen. Deze mannen, én vrouwen, verdienen een knuffel.
Petra Eikenboom, marketingspecialist Global Knowledge
Mooi verhaal maar…
Stel ik zit een beetje te pielen met Winux en Lindows en ik vind een manier om een willekeurige computer op afstand over te nemen.
Ik ben integer genoeg om mezelf te beperken tot een proof of concept maar ik heb er aandacht en kennis in gestopt dus vind ik dat dit ‘werk’ wel iets mag opleveren. We leven tenslotte in een commerciele wereld waar geluk weliswaar niet te koop is maar het toch wel handig is als je je eten, onderdak, zorg en energie kunt betalen.
Ik heb vrij sterk de indruk dat responsible disclosure mij dan ‘een fractie’ minder oplevert dan disclosure aan een minder scrupuleuze organisatie of (semi-)dictator.
Zo lang wij als samenleving voornamelijk uit zijn op economisch profijt en trots zijn op de enkeling die ‘het gemaakt heeft’ in economische zin mag ik toch proberen om zo veel mogelijk profijt te hebben van mijn inspanningen ?
Gelukkig heb ik kennis noch intelligentie genoeg om mezelf voor dit dilemma te plaatsen maar ik kan er begrip voor opbrengen dat echte hackers in deze situatie een minder ethische keuze maken.
Ik denk dat je vrijheid om te profiteren van jouw inspanningen, ophoudt waar je inbreuk maakt op de rechten van anderen.
Het is fijn als mensen handelen op basis van een normen en waarden kader en het is goed dat dit gestimuleerd wordt door beleid dat het juiste doen beloond. Maar dat je meer kunt verdienen met een illegale activiteiten is van alle tijden. Stelen, helen en afpersen was altijd al illegaal.
@Petra Eikenboom
Ik denk dat Martin hier een valide punt aankaart. De software die hij heeft gemaakt kan ook worden verkocht aan derden. Strikt gesproken maakt hij zich dan niet schuldig aan een misdrijf, zolang dat stuk software geen inbreuk maakt op copyright. Het zijn degenen die de software actief gebruiken die de uiteindelijke overtreding begaan.
Je zou ook de zaak kunnen omdraaien en stellen dan programmeurs die vulnerabilities in commerciele software introduceren, aan te klagen zijn. Sterker nog, een benadeelde gebruiker zou het bedrijf aansprakelijk moeten kunnen stellen dat het stuk software heeft gemaakt waarin de kwetsbaarheid zit, mocht dat aan te tonen zijn.
Thanx KJ,
Tevens kun je je afvragen of iets dat wellicht in ons land tegen de goede zeden is (of misschien wel tegen de wet) door een andere mogendheid wel eens heel anders beoordeeld kan worden.
Ik heb het vermoeden dat de mores van Poetin of Erdogan of Trump behoorlijk uit elkaar liggen.
En dan heb ik het nog maar even niet over de mores van onze eigen veiligheidsdriehoek. Daar worden ook burgerrechten ondergeschikt aan ‘het grotere belang’ geacht.
Ik denk trouwens dat het belang van ethiek en mores een kwadratisch inverse is van inkomensverschillen en emotionele afstand.
Dus, ware het zo dat ik intelligent genoeg was om zo’n hack te bedenken, dan lijkt het mij het beste om op mijn eigen morele kompas te varen. Je moet er maar van uit gaan dat ik daar dan ook intelligent genoeg voor ben.
@Martin
Dat is inderdaad een mogelijke conclusie denk ik, hoewel niet iedereen die zal trekken. Het zijn immers niet de meest vredelievende organisaties waar je dan mee in zee gaat.
Wat wel frappant is inderdaad zijn de absurd lage beloningen die aan responsible disclosure vasthangen. Vergelijk dat eens met de marktprijs voor een exploit en vraag je dan af waarom bedrijven als Google, Oracle, FaceBook, SAP etc. die miljardenwinsten boeken elk jaar weer niet een paar centen kleingeld ervoor over hebben om die zero days in de eigen producten gewoon op te kopen, zodat de eigen gebruikers een stukje veiliger kunnen werken.