Hackers moet je koesteren

Hackers hebben geen prettige reputatie. Tik het woord ´hacker´ in via Google en je ontdekt dat hackers eng, gevaarlijk én man zijn. Bij voorkeur zitten ze voorovergebogen achter een pc in een ongedefinieerde ruimte. Ze werken alleen en zitten het liefst met een bivakmuts op achter de pc; soms volstaat een hoodie.

Flauwekul natuurlijk. Dit stereotiepe beeld van een hacker klopt niet, maar neemt niet weg dat er een negatieve associatie met het woord hacker is.

Onlangs was ik op het Cybercrime Security Forum en heb daar Edwin van Andel, hoofdevangelist en hacker bij Zerocopter, zien spreken. Ik ben blij dat ik het betoog van deze sympathieke man heb kunnen horen. In zijn sessie ‘hackers moet je knuffelen’ legde hij uit dat niet alleen de stereotypes niet kloppen, maar dat ik zelfs van hackers gebruik kan maken. Dankzij Edwin weet ik nu waarom je dat moet willen en hoe je dat aanpakt.

Om te beginnen: niet alle hackers hebben kwaad in de zin. Je kunt onderscheid maken tussen black hat-hackers en white hat-hackers.

Black hat-hacking

De black hat-hackers zijn de slechteriken, de computerkrakers die zichzelf onbevoegd toegang tot je informatiesystemen verschaffen om je systemen plat te leggen, dingen te wijzigen of te verwijderen. Dit zijn de personen die virussen en internetwormen verspreiden, bot-nets aanleggen en phishing-mails sturen. Meestal is het doel financieel gewin, soms spelen politieke doelen een rol.

White hat-hacking

White hat-hackers zijn de zogeheten ethische hackers. Deze hackers zetten hun kennis en ervaring in om organisaties weerbaarder te maken tegen cybercriminelen. Security-specialisten dus, die vaak worden ingehuurd om de beveiliging naar een hoger niveau te tillen.

Maar wat maakt ethische hackers nu ethisch verantwoord? Als je niet bent ingehuurd, is het toch nog steeds inbreken? Allereerst zetten deze white hat-hackers zich in met als doel de veiligheid te verbeteren. Maar inderdaad, als een hacker vroeger inbrak, was hij strafbaar, zelfs als hij het deed om de organisatie te helpen en hen op de hoogte bracht. Bedrijven profiteerden wel van de informatie die werd gegeven, want zo konden zij hun it-beveiliging verbeteren. Om het risico op vervolging weg te nemen voor hackers met goede bedoelingen is er nu iets dat responsible disclosure-beleid heet. Organisaties met een dergelijk beleid kun je onder voorwaarden hacken zonder vervolgd te worden.

Disclosure

De manier waarop je omgaat met gevonden lekken heeft gevolgen voor wat er gebeurt. Er zijn drie gebruikelijke methodes voor het melden van kwetsbaarheden.

Full disclosure

De hacker informeert meteen de hele wereld over de kwetsbaarheid. Dit dwingt de organisatie om een lek per omgaande te dichten, maar dat kan meestal niet direct. Dit is erg handig voor de black hat-hackers, want die kunnen er wel direct misbruik van maken, met alle gevolgen van dien.

Non-disclosure

Hierbij informeert de hacker niemand, dus ook de organisatie niet. Dat betekent dat je niet van het probleem af weet en het ook niet kunt verhelpen. De kwetsbaarheid voor een aanval blijft.

Responsible disclosure

Hierbij maak je in overleg met de organisatie de kwetsbaarheden openbaar. Dit gaat op basis van een door de organisatie vastgesteld beleid voor responsible disclosure. Hierdoor kunnen organisaties het probleem oplossen voordat het bekend wordt. Responsible disclosure gaat dus over het veilig bekendmaken van kwetsbaarheden.

Responsible disclosure toepassen

Je plaatst als je een responsible disclosure-beleid wilt voeren een melding op je website waarin je uitlegt binnen welke kaders er gewerkt moet worden en geeft aan dat je, als er binnen die kaders wordt gewerkt, geen aangifte doet.

Met zo’n statement nodig je de hackinggemeenschap min of meer uit om te proberen iets te vinden. Dat stelt je in staat om zelf goed voorbereid te zijn en je beveiliging te verbeteren. ING hanteert een dergelijk statement. Hierin staat aan welke regels je je moet houden, hoe je het aanbiedt en dat je in aanmerking komt voor een beloning. Ze geven ook aan voor welke zaken het statement wel en niet geldt. Zo helpen hackers de ING om bankzaken beter te beveiligen.

Kortom, denk ook eens aan hackers in Hawaï-shirts, blouses en jurkjes. Hackers die ons helpen bouwen aan een betere en veiligere wereld. We hebben ze nodig zodat we weten waar onze zwakke punten liggen. Deze mannen, én vrouwen, verdienen een knuffel.

Bron: Petra Eikenboom, Computable

Next up