Ethisch hacken in België: Illegaal, maar het tij keert
Wie hackt, kan de cel in vliegen, of er goed zijn brood mee verdienen. Ethisch hacken is voorlopig nog illegaal in België, maar het tij lijkt te keren. Maar goed ook, want België telt honderden hackers die maar al te graag hun witte tanden laten zien.
Er zijn twee soorten hackers: ‘black hat’ hackers die te kwader trouw digitaal inbreken of vandaliseren en ‘white hat’ hackers die hetzelfde doen maar dan met goede bedoelingen. Beiden hebben dezelfde skills. Het gaat er maar om hoe u ze inzet. Dat we vandaag meer en meer horen over white hat hackers, betekent dat het taboe verdwijnt. U mag vandaag luidop zeggen dat u Windows, Android of Facebook aanvalt om te testen hoe goed hun systeem is. Meer nog : u word er voor betaald als u hen daadwerkelijk op een lek wijst.
Wie aan de slag gaat als security consultant of aan pen-testing (penetratietesten) doet, hoeft zich financieel geen grote zorgen te maken. Maar ook aan de minder propere kant zit er geld : als de FBI of een criminele bende de beveiliging van een iPhone wil kraken, dan valt daar grof geld mee te rapen. Aan u om het pad te kiezen.
“We moeten daar niet flauw over doen, vroeger was het heel verleidelijk,” zegt Vincent Laurens, security practice executive en vicepresident bij Sogeti Luxemburg, “Je had minder kansen om gepakt te worden en in de gevangenis te vliegen. Maar je moet zelf met die grens kunnen omgaan. Zodra ik één professionele opdracht voor een klant aannam, verdween die slechte kant.”
Laurens: “Ethical hackers moeten zich geen zorgen maken over hun salaris, dus het is het risico om slechte dingen te doen vaak niet waard.
Volgens Laurens gaat het daarbij niet noodzakelijk om het geld : “Hackers zijn gepassioneerde mensen die vaak enkel aan het hacken zelf denken.” Ook niet voor meer geld? “Dat maakt niet noodzakelijk iets uit. De ethische hackers van vandaag moeten zich geen zorgen maken over hun salaris, dus is het risico om slechte dingen te doen het voor hen vaak niet waard. Er zal altijd georganiseerde misdaad bestaan, maar het is vandaag minder verleidelijk om voor die kant te kiezen.”
Hacken in de kerstvakantie
Diezelfde passie horen we bij Inti De Ceukelaire. De jonge Aalstenaar kreeg de smaak te pakken toen hij de parameters van Ketnet Kick, een spelletje van de gelijknamige zender, aanpaste en zo kon valsspelen. Later deed hij hetzelfde met flashgames en als 15-jarige slaagde hij erin om de browser van een (toen onkraakbare) PSP te crashen om hem zo alsnog te jailbreaken. Hij meldde het lek aan een hacker community en zo rolde hij in een gemeenschap waar hacken geen taboe was. Toen Google in de winter van 2011 hackers begon te vergoeden voor lekken, wou hij kijken of ook hij iets kon bijverdienen.
De Ceukelaire: “Voor mij was Yahoo een speeltuin. Er zat zoveel slechte code dat ik daar deftig heb leren hacken.
“Ik ben alles van Google beginnen inventariseren en ik heb vanalles geprobeerd. Na anderhalve dag had ik een fout gevonden en dat leverde me honderd dollar op. Ik ben blijven zoeken en op die week had ik 11 lekken ontdekt, goed voor 1.200 dollar. Ik was toen 16 en dan is dat mooi om wat extra cash te verdienen,” zegt De Ceukelaire. Toen ook Facebook met een gelijkaardig programma begon stortte hij zich daarop, al heeft hij naar eigen zeggen ook veel geleerd van Yahoo.
“Voor mij was Yahoo een speeltuin. Er zat zoveel slechte code dat ik daar deftig heb leren hacken. Ik vond er zoveel lekken dat ik lessen op school miste om in hun systemen fouten op te sporen. Dat ze zopas moesten toegeven dat de wachtwoorden van 500 miljoen accounts op straat liggen, verbaast me niets.”
Zelf heeft De Ceukelaire nooit de reflex gehad om de criminele kant op te gaan. Al is hij zich zeer bewust van de grijze zone. “Voor ik dit deed had ik al lekken gevonden bij een aantal bedrijven, ook bij banken. In de meeste gevallen heb ik daar wel goede respons op gekregen. Maar je loopt altijd het risico dat je de gevangenis in vliegt, ook al heb je goede bedoelingen.”
Inti De Ceukelaire is ondanks zijn ervaring vandaag als jonge twintiger geen security professional, een bewuste keuze. “Ik werk als creative developer bij VRT. Voor mij is het belangrijk om mijn hobby en werk gescheiden te houden, wat veel mensen in het milieu doen. Anders zou ik er ook geen creativiteit meer voor over hebben. Ik kan bijvoorbeeld niet hacken als ik die dag een presentatie over security heb gegeven. Dan zit mijn hoofd vol. Mocht ik voltijds met hacking bezig zijn, dan krijg ik een burn-out. Het is iets heel creatiefs en dan doe je best overdag iets anders.”
Begeleiden en uitdagen
Als we Laurens en De Ceukelaire mogen geloven, is het vooral een kwestie van passie. Al is enige sturing weliswaar welkom. Dat is het werkveld van Kurt Callewaert, docent Toegepaste Informatica op het traject Computer en Cybercrime Professional aan de Howest. Van de 270 eerstejaars toegepaste informatica op de Howest kiezen er nu 200 om hacker te worden. Maar dat vraagt een eigen aanpak. Wie betrapt wordt op illegale praktijken vliegt er uit.
“We laten studenten bij hun start een document ondertekenen waarin staat dat ze hun kennis niet voor kwade wil aanwenden. We geven hen ook stages, uitdagingen, een eigen netwerk waarop ze zich kunnen uitleven. Maar onze studenten willen ook ‘s avonds en in het weekend aan de slag en daar zijn de bug bounty programs een antwoord. Eigenlijk mag het niet in België, maar Amerikaanse bedrijven zijn zelf vragende partij, dus proberen we onze mensen die richting uit te sturen. Vaak met succes. In België zijn er heel wat systemen en sites met veiligheidsproblemen, maar we mogen er niet aankomen”, aldus Callewaert.
In België zijn er heel wat systemen en sites met veiligheidsproblemen, maar we mogen er niet aankomen.
Hij heeft met de Howest intussen met Hackmysite.be zelf een initiatief op poten gezet. Hier kunnen bedrijven zich aanmelden en akkoord gaan dat studenten proberen veiligheidslekken te vinden. “Alles staat klaar maar we lanceren het nog niet officieel omdat we niet willen dat onze studenten vervolging riskeren.” Hij beschouwt het project als een ideale tussenoplossing, onder meer voor kmo’s. “Die hebben de budgetten niet voor dure consultants, terwijl er bij ons 350 jongeren rondlopen die ethical hacker willen zijn. Ze willen proberen en bijleren op een manier die innovatiever is dan wat ze in de les krijgen.”
Momenteel werkt het Center voor Cybersecurity Belgium (CCB) aan een richtlijn maar Callewaert wacht ook op een volwaardige wetgeving. “Als je hackt, dan kom je vaak in de buurt van de privacywetgeving, ook daar kan je voor opgepakt worden. Maar we zouden veel bedrijven kunnen helpen die vandaag niet eens weten dat er een probleem is.” De docent informatica ziet een wettelijk kader voor ethisch hacken dan ook als een win-win. “Als je ziet hoe vaak Facebook en Google premies betalen voor gevonden lekken, dan wil je niet weten wat er bij bedrijven in ons land kan schelen. Met een wettelijk kader krijg je meteen een pak meer middelen en mensen op de markt en wij krijgen betere afgestudeerden.”
Legaal hacken in 2017?
In Nederland is er een richtlijn voor wie ethisch hackt en zijn bevindingen wil rapporteren. Zo moet u aantonen dat u geen misbruik hebt gemaakt van de inbraak. Maar ook in België is er beterschap op komst. Zo is minister voor de Digitale Agenda Alexander De Croo voorstander van de Nederlandse aanpak, verklaarde hij onlangs in een interview op Datanews.be. “Het Centrum voor Cybersecurity in België is bezig met het uitwerken van zo’n code. Ik denk dat we openheid moeten hebben om daar een paar dingen in uit te testen, maar we moeten ook niet blind zijn voor het feit dat we hier een grijze zone raken. “
De Croo vindt het Nederlandse voorbeeld niet slecht maar beseft ook dat een richtlijn voorzichtig aftasten is. “Alles moet je inderdaad kunnen rapporteren. Die omstandigheden staan ook in de richtlijn en daarin wil ik wel meegaan. Maar het is een domein waarbij je in voortschrijdend inzicht moet werken en voorzichtig moet zijn. Nu moet je ook niet flauw doen. Elk bedrijf staat vandaag onder bedreiging van cyberaanvallen – niet alleen de groten. Als je de cijfers in de industrie opvraagt, zie je dat 60 procent van de cyberaanvallen bij kmo’s zit. “
Het CCB werkt momenteel de gedragscode voor ethisch hacken uit. “Ik verwacht daar aan het eind van dit jaar naar te kijken en zie dan hoe we hierin voort kunnen bewegen. ” Al hoeven bedrijven voor hem niet te wachten op de wetgeving: “Het zou ook interessant zijn als een aantal vooraanstaande Belgische bedrijven zeggen dat ze daar niet negatief tegenover staan. In een omgeving als deze moet je een zekere nederigheid tonen. Er zit geen waarde in om te zeggen dat je op het gebied van cyberveiligheid onfeilbaar bent. Daar open voor staan geeft aan dat je het belangrijk vindt en bereidt bent het te verbeteren denk ik. “
Fout opgemerkt of meer nieuws? Meld het hier