Ethisch hacken en GDPR: de anti-virus van het internet.

Hacken wordt één van dé belangrijkste tools tegen datalekken.

TL;DR
Laat je applicaties en systemen testen door ethische hackers om lekken en kwetsbaarheden op te sporen en te dichten vóór ze misbruikt worden.

Dit artikel is geschreven voor De Privacyproef en is verschenen op de blog van deJuristen.


Hacken. Dankzij de media roept de term spontaan beelden op van duistere figuren in donkere kamertjes die netwerken en computers kraken om VISA-nummers te bemachtigen, of meer recentelijk met de Guy Fawkes-maskers van Anonymous.

Maar wat is hacken, wat is ethisch hacken, en hoe kan het onze veiligheid en privacy drastisch verbeteren?

Een beetje geschiedenis

Eigenlijk heeft hacking niet per definitie iets maken met illegale activiteiten, of het proberen stelen van bankgegevens of uw facebook-account. Dat is voornamelijk de invulling van de media.

Historisch gezien wordt MIT, de Massachusetts Institute of Technology, en meer bepaald hun studentenorganisatie Tech Model Railroad Club, beschouwd als de geboorteplaats van de hacker-cultuur.

Een bekende MIT hack: de TARDIS verscheen op het gebouw

De term ‘hack’ stond voor een slim uitgewerkte grap door de studenten om hun vindingrijkheid en skills te demonstreren, zoals het ’s nachts plaatsen van een politiewagen (geleegd en geschilderd) bovenop het dak van het gebouw, of het lanceren van een spandoek met een modelraketmotor vanuit de end zone tijdens een Football-match.

Gaandeweg werd een hack beschouwd als het slim omgaan met technologie, in al zijn facetten.

Hacken is een uiting van de menselijke inherente innovatiedrang.

Enkele bekende historische ‘hackers’?

Om het verschil aan te tonen met de hackers uit de media:

  • Alan Turing, beschouwd als de vader van de computer, die de Duitse Enigma-machine kraakte met een eigen ‘rekenmachine’ (computer, something that computes, get it).
  • Tim Berners-Lee, uitvinder van de World Wide Web. Surfen naar gelinkte informatie. U wellicht bekend.
  • Steve Jobs en Steve Wozniak, die de blue box (om gratis te telefoneren) commercialiseerden, ook wel bekend als de oprichters van Apple Computers.
  • Of onze eigen Dries Buytaert, uitvinder van het CMS Drupal, wereldwijd gebruikt door onder ander het Witte Huis.

Hack the planet!

Een (IT) security hacker is iemand die voornamelijk geïnteresseerd is in de veiligheidsaspecten van software, netwerken en systemen. Het porren in systemen, applicaties en toestellen om te kijken waar er lekken zitten.

Deze komen doorgaans in drie smaken:

White hat hacker: zij proberen kwetsbaarheden (of vulnerabilities) te detecteren met het doel lekken of bugs te ontdekken en te rapporteren. Zij hacken dus voor positieve doeleinden. The good guys.

Grey hat hacker: doet het soms voor goed, en soms voor minder onbaatzuchtige redenen.

Black hat hackers zijn de hackers die hun talenten gebruiken voor criminele doeleinden en meestal geld. Veel geld. Bankgegevens, botnets, de Ashley Madison of Playstation datalekken, systemen gijzelen met ransom ware, sloten openen met spoofed RFID-kaarten, those guys.

Ethisch Hacken

Ethische hackers zijn white hat hackers die proberen veiligheidsproblemen op te sporen met het doel die te te melden.

Hoe laat je de veiligheid van je poorten testen? 
Juist, laat er eens goed tegen duwen.

Veel bedrijven hebben ook zogenaamde bounties of beloningen voor het succesvol bewijzen van veiligheidslekken (zonder destructieve factoren).

Google en facebook hebben bij voorbeeld Security Reward Programs of Bounty Hunter Awards voor wie hacks kan demonstreren, die soms oplopen tot tienduizenden Euro. Waarom, is duidelijk, liever een melding van een white hat zonder dataverlies, dan een black hat die je gegevens verkoopt of systeem onderuit haalt.

Keren Elazari — Hackers zijn het immuniteitssysteem van het internet.

Zeer goed dus voor onze privacy en de veiligheid van onze data.

Zoals Keren Elazari het mooi verwoorde op haar TED talk: Hackers zijn het immuniteitssysteem van het internet.

België

In De Tijd verscheen nog vorige week:

Belgische bedrijven totaal niet gewapend tegen dure datalekken
Terwijl cybercriminelen continu op hun data-infrastructuur inbeuken, dreigen toezichthouders met monsterboetes als ze die niet adequaat beveiligen. Weinig ondernemers lijken echt voorbereid.
76 procent van de Belgische bedrijven heeft nog niets ondernomen om in orde te zijn met de Europese databeschemingsregels. Dat leert een studie van de verzekeringsmakelaar Vanbreda.
36 procent hoorde nog nooit van het vierletterwoord GDPR, 40 procent enkel vaag. Slechts 24 procent deed al stappen om zich te beveiligen en gepast te reageren.

Bron: Belgische bedrijven totaal niet gewapend tegen dure datalekken
De Tijd, 20 Mei 2017

Hoog tijd én opportuniteit dus om er iets aan te doen.

GDPR

Mocht de term je nog wat vaag zijn — de GDPR ofte de General Data Protection Regulation zijn een set nieuwe Europese richtlijnen rond persoonlijke databescherming en privacy, en het exporteren van data buiten de EU.

Data kan eender wat zijn — een naam, adres, foto’s, email-adres, bankgegevens, posts op sociale media, maar ook medische gegevens of een IP-adres (het directe adres naar je thuis- of werknetwerk).

Het komt hier op neer:

Bedrijven moeten een set maatregelen nemen, en moeten kunnen bewijzen dat er initiatieven zijn genomen om de beveiliging te verbeteren.

Dit is de website van GDPR voor meer details.

Zoveel is duidelijk: 
Ethisch hacken is duidelijk een zéér krachtige tool om, zelfs los van deze regels, onze data beter te beschermen door lekken op te sporen, en liefst vóór ze misbruikt worden.

Hack van de dam

Met de komst van de GDPR zal het enorme belang en vooral de voordelen van ethisch hacken eindelijk worden erkend, en zal de toepassing ervan drastisch verhogen, met meer veiligheid als direct gevolg.

Als er iets wordt gedaan met de bevindingen, uiteraard.

Het “ethisch hacken” is naar Belgische recht op dit moment toegelaten op voorwaarde dat een interne hacker (die een vorm van toegang had) geen bedrieglijk oogmerk of oogmerk om te schaden heeft en de externe hacker door de verantwoordelijke van het informaticasysteem toelating had gekregen om de handelingen te stellen en zich uiteraard aan de voorwaarden houdt.

Vooralsnog dus (nog) géén random bedrijven of applicaties proberen hacken zonder toestemming, graag.

Daar komen nog een pak nuances bij naar persoonlijke levenssfeer en wet op de privacy, onze vrienden van deJuristen gaan daar met plezier dieper op in.

Kunnen we helpen?

Wij van Cloudoki zijn gespecialiseerd in applicatie-architectuur en ontwikkeling, en organiseren hands-on hackathons voor bedrijven (onder andere rond security).

We faciliteren ethisch hacken én kunnen de technische opvolging verzorgen.

Vorig jaar zijn we erin geslaagd 79% van de wachtwoorden bij een miljardenbedrijf te ontfutselen (op hun uitnodiging), en ik kom dat verhaal vertellen op De Privacyproef.

Like what you read? Give OrT a round of applause.

From a quick cheer to a standing ovation, clap to show how much you enjoyed this story.