C Y B E R SECU R ITY HELP DE HACKER BINNENDRINGERS DRAGEN BIJ AAN DIGITALE VEILIGHEID Hackers hebben een slechte naam. Maar je kunt ze ook benutten om kwetsbaarheden in de digitale beveiliging op te sporen. Mits hackers door de overheid via speciale programma’s op het rechte pad worden gehouden. Tekst: Jornt van der Wiel, security researcher in het GReAT team bij Kaspersky Lab Benelux H acken houdt de gemoederen bezig en leidt nogal eens tot onrust. Want het is toch digitaal inbreken? Nou, niet per se. Artikel 138ab van het Wetboek van strafrecht lid 1 heeft het over computervredebreuk en binnendringen: ‘Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven door het doorbreken van een beveiliging, door een technische ingreep, met behulp van valse signalen of een valse sleutel, of door het aannemen van een valse hoedanigheid.’ Oftewel, wanneer iemand zonder toestemming opzettelijk een computer hackt dan is deze persoon strafbaar. In de praktijk zal er echter per geval worden gekeken of er sprake is van ‘wederrechtelijk binnendringen’. Mensen kunnen een negatieve associatie hebben met het woord hacker (zie kader). Mede om die reden zijn in de loop der jaren de termen white hat hacker en black hat hacker ontstaan, ontleend aan oude westernfilms. De helden droegen daarin vaak een witte hoed en de bad guys een zwarte. De white hat hackers gebruiken vaak exact dezelfde technieken als de black hat hackers, alleen zetten zij deze in voor positieve doeleinden. ONGEVRAAGD TESTEN Een goed doel kan, volgens sommigen, ook het ongevraagd testen van de beveiliging van een systeem zijn. Mits dit vervolgens netjes wordt gemeld aan de beheerder. Niet elk bedrijf of instantie is hier blij mee en elke organisatie kan hier op zijn eigen manier op reageren. Gelukkig hebben sommige partijen programma’s op het gebied van responsible discloGEBREK AAN EENDUIDIGHEID Wie over de begrippen hackers of hacken begint, merkt al snel dat het een beladen onderwerp is. Volgens de een is een hacker iemand die illegaal computersystemen binnendringt door te ze te hacken. Volgens de ander is een hacker iemand ‘die vaak op een creatieve manier een apparaat iets laat doen wat het normaal niet doet’. Er is geen eenduidige definitie. Wees je er dus bewust van dat de term hacker in verschillende contexten wordt gebruikt. 28 sure: instructies die een organisatie online publiceert en waarin staat wat wel en wat niet mag. Zo is het bijvoorbeeld toegestaan om bij Marktplaats.nl kwetsbaarheden te vinden en te kijken of ze hackbaar zijn. Maar wanneer je een kwetsbaarheid hebt gevonden, wordt wel verwacht dat je deze aan de organisatie meldt. In ruil hiervoor krijgt de melder een beloning. Om organisaties te helpen een eigen beleid voor responsible disclosure op te stellen, heeft de Rijksoverheid er een leidraad voor opgesteld. Ook melders kunnen met deze leidraad nagaan wat ze kunnen doen als ze een kwetsbaarheid ontdekken. CONTROLE Het vinden van een kwetsbaarheid is vaak nog maar het begin. Het uitbuiten hiervan, zodat er controle kan worden gekregen over het te hacken systeem, is vaak het moeilijkste gedeelte. Daarvoor is het nodig om een programma te schrijven waarmee de kwetsbaarheid valt uit te buiten (de zogenaamde exploit). Vaak wordt er hierbij nog een extra functionaliteit gemaakt. Dit volledige programma noemen we malware wat staat voor malicious (kwaadaardige) software. Vandaag de dag is er een groot aantal malwaredreigingen op het internet. Hiervan zijn ransomware en banking malware
29 Online Touch Home