Erwin Geirnaert
U hackt toch ook?
Vorige week werd in een Koppen-reportage op Canvas het onderwerp ‘Ethical Hacking’ behandeld. Met alle inbraakschandalen van de laatste maanden werd het inderdaad eens tijd om hackers positief in de media te brengen, schrijft Erwin Geirnaert, chief hacking officer bij Zionsecurity.
Versta me niet verkeerd: hacking is de kunst om computers/software te manipuleren zodat er iets anders gebeurt dan voorzien. De term “hacking” en “hackers” wordt in de media altijd in de negatieve zin gebruikt, terwijl men beter spreekt over cybercrime of computercriminaliteit.
In de reportage worden er beelden getoond van de Facebook Hacking Contest die plaatsvond tijdens Brucon, de Belgische hacking conference die ondertussen aand zijn 5de editie toe is. Facebook organiseerde een wedstrijd om hackers uit te dagen kwetsbaarheden te vinden op een gecontroleerde omgeving. Zoals bij een gaming wedstrijd was dit ook een Capture the Flag waarbij technische skills nodig zijn om de flag te vinden. Dergelijke Capture the Flag wordt ook elk jaar georganiseerd door Deloitte op Infosecurity, de jaarlijkse securitbeurs in Brussel.
Bijkomend werden een paar Belgische “ethical hackers” geinterviewed. Een persoon had al verschillende bugs gevonden in websites zoals Yahoo en Metallica, maar hier vergat de journalist te vermelden dat deze bedrijven een “Bug Bounty Programma” hebben. Dit programma laat toe dat als derden op een verantwoorde manier een kwetsbaarheid melden aan het bedrijf in kwestie, ze hiervoor een beloning krijgen van dit bedrijf. Die beloning is meestal geld, gaande van een paar honderd dollars tot duizenden dollars afhankelijk van het type kwetsbaarheid en de impact op de organisatie. Hiermee willen deze bedrijven vermijden dat bugs worden verkocht aan overheden of criminele organisaties. Of, nog belangrijker, dat bugs worden misbruikt door cybercriminelen.
Een andere hacker had zijn Telenet modem opengegooid, wat strikt genomen niet is toegelaten door Telenet, en had wat interessante zaken ontdekt en dit gemeld aan Telenet. Telenet heeft de jongeman uitgenodigd om te bespreken wat hij allemaal had gevonden met als gevolg dat Telenet ook is gestart met een “Bug Bounty Programma”. So far, so good.
Maar dan gaat de rapportage de verkeerde kant op!
De journalist wil aantonen dat het eenvoudig is om in te breken in Belgische bedrijven, zonder de toelating hiervoor te vragen. Dit is een inbreuk op de Belgische en Europese wetgeving. Zonder te onthullen wie effectief inbreekt, stelen ze gegevens van een universiteit, een ziekenhuis en een KMO waarbij in bepaalde netwerken de alarmbellen afgaan.Gevolg hiervan is dat UZ Leuven een klacht indient tegen de VRT. De VRT beweert alle data te hebben vernietigd, maar welke informatie hebben ze juist gezien en van wie?
Ik hoop dat niemand van de Belgische hackers uit de reportage effectief de inbraak heeft gepleegd want dit kan een serieuze impact hebben op hun verdere professionele carrière: strafblad, geen job meer vinden in de security business, …
De systeembeheerders van de aangevallen bedrijven zijn vooral de dupe: ze moeten met dikwijls heel beperkte middelen hun omgeving recht houden en waarschijnlijk waren ze heel blij dat ze klaar waren met de laatste patches voor Heartbleed, SSLv3.0, Java, Bash, … uit te rollen en dan worden ze met zoiets -illegaals!- geconfronteerd door de media en daaropvolgend waarschijnlijk ook door hun management. Inbreken in een bedrijf is inderdaad heel gemakkelijk, maar er voor zorgen dat dit niet meer mogelijk is vereist een professionele aanpak en de nodige budgetten.
Mensen die graag de kunst van ethical hacken willen leren: doe dit alleen na officiële goedkeuring van het bedrijf via een Bug Bounty of via een typische out-of-jail card! Als je een bug vindt, misbruik die dan niet en rapporteer die onmiddellijk en verspreidt die niet op het Internet.
Een dringende oproep aan de media: hou je aan de wet!
Fout opgemerkt of meer nieuws? Meld het hier