Hackers hebben geen prettige reputatie. Tik het woord hacker maar eens in op Google en je weet meteen dat hackers eng, gevaarlijk en man zijn. Bij voorkeur zitten ze voorovergebogen achter een pc in een ongedefinieerde ruimte. Vanwege hun duistere werkzaamheden zijn ze graag onherkenbaar. Dus werken ze alleen en zitten het liefst met een masker of bivakmuts op achter de pc. Soms gaat dat blijkbaar net te ver en kun je het af met een hoodie.

We weten allemaal dat dit stereotype van een hacker niet bepaald klopt, maar het is natuurlijk wel logisch dat er een negatieve associatie met het woord hacker is.

Nu ben ik niet lang geleden op het Cybercrime Security Forum geweest en ik heb daar Edwin van Andel, Chief Evangelist en hacker bij Zerocopter, zien spreken. Ik ben blij dat ik het betoog van deze sympathieke man heb kunnen zien. In zijn sessie ‘hackers moet je knuffelen’ heeft hij laten zien dat niet alleen de stereotypes niet kloppen, maar dat ik zelfs van hackers gebruik kan maken. Dankzij Edwin weet ik nu waarom je dat moet willen en hoe je het zou kunnen vormgeven.

Om te beginnen: niet alle hackers hebben kwaad in de zin. Je kunt onderscheid maken tussen ‘black-hat hackers’ en ‘white-hat hackers’.

Black-hat hacking

De black-hat hackers zijn natuurlijk de bad-guys. Het zijn de computerkrakers die zichzelf onbevoegd toegang tot je informatiesystemen verschaffen om je systemen plat te leggen, dingen te wijzigen of te verwijderen. Dit zijn de mensen die virussen en internetwormen verspreiden, botnets aanleggen en phishing-mails sturen. Meestal is het doel financieel gewin, soms zijn er ook politieke doelen die een rol spelen.

White-hat hacking

White-hat hackers zijn de zogeheten ‘ethische hackers’. Deze hackers zetten hun kennis en ervaring in om organisaties weerbaarder te maken tegen cybercriminelen. Security-specialisten dus, die vaak worden ingehuurd om de beveiliging naar een hoger niveau te tillen.

Ethisch hacken?

Maar wat maakt ethische hackers nu zo ethisch verantwoord? Als je niet bent ingehuurd is het toch nog steeds inbreken? Allereerst zetten deze white-hat hackers zich in met als doel de veiligheid te verbeteren. Maar Inderdaad, als een hacker vroeger inbrak was hij strafbaar, zelfs als hij het deed om de organisatie te helpen en hen op de hoogte bracht. Bedrijven profiteerden wel van de informatie die werd gegeven, want zo konden zij hun IT-beveiliging verbeteren. Om het risico op vervolging weg te nemen voor hackers met goede bedoelingen is er nu iets dat ‘responsible disclosure beleid’ heet. Organisaties met een responsible disclosure beleid kun je onder voorwaarden hacken zonder vervolgd te worden.

Disclosure

De manier waarop je omgaat met gevonden lekken heeft gevolgen voor wat er vervolgens gebeurt. Er zijn drie gebruikelijke methodes voor het melden van kwetsbaarheden.

  • Full disclosure: De hacker informeert meteen de hele wereld van over de kwetsbaarheid. Dit dwingt de organisatie om het snel op te lossen, maar dat kan meestal niet direct. Dit is erg handig voor de black-hat hackers want die kunnen er wel direct gebruik van maken, met alle gevolgen van dien.
  • Non disclosure: Hierbij informeert de hacker niemand, dus ook de organisatie niet. Dat betekent dat je niet van het probleem af weet en het dus ook niet kunt verhelpen. Je blijft dus kwetsbaar voor een aanval.
  • Responsible disclosure: Hierbij maak je in overleg met de organisatie de kwetsbaarheden openbaar. Dit gaat op basis van een door de organisatie hiervoor vastgesteld beleid voor responsible disclosure. Hierdoor kunnen organisaties het probleem oplossen voordat het bekend wordt. Responsible disclosure gaat dus over het veilig bekendmaken van kwetsbaarheden.

Responsible disclosure toepassen

Je plaatst als je een responsible disclosure beleid wilt voeren een melding op je website waarin je uitlegt binnen welke kaders er gewerkt moet worden en geeft aan dat je, als er binnen die kaders wordt gewerkt, geen aangifte doet. Met zo’n statement nodig je de hacking community min of meer uit om te proberen iets te vinden. Dat stelt je in staat om zelf goed voorbereid te zijn en je beveiliging te verbeteren. ING heeft bijvoorbeeld een dergelijk statement staan. Zo helpen hackers de bankwereld veiliger te maken.

Hackers in Hawaï-shirts

Kortom, denk ook eens aan hackers in Hawaï-shirts, blouses en jurkjes. Hackers die ons helpen bouwen aan een betere en veiligere wereld. We hebben ze nodig zodat we weten waar onze zwakke punten liggen. Deze mannen, én vrouwen, verdienen een knuffel.

Certified Ethical Hacker worden?

Certified Ethical Hacker worden?

GDPR geen ICT-feestje

GDPR geen ICT-feestje

De opvolger van de meldplicht datalekken komt eraan. In mei 2018 wordt namelijk de General Data Protection Regulation, ook wel de GDPR genoemd, van kracht. In deze uitgebreide wetgeving staan de rechten van het individu centraal. Mensen kunnen straks meer inzicht en...

Lees meer