Hoe ethisch is ethisch hacken?
Recent werd bekend dat de Nationale Bank pleit voor het inhuren van white-hat (of “ethische”) hackers; computerdeskundigen die inbreken op systemen, maar in plaats van gegevens te ontvreemden of schade aan te brengen, het verantwoordelijke euvel melden aan het slachtoffer, zodat een gepaste oplossing kan gevonden worden. Onder andere Belgische grootbanken zoals BNP Paribas Fortis en KBC, geven al gevolg aan het voorstel, volgens De Tijd.
Witte of zwarte hoed
Ethische hackers zijn met andere woorden specialisten die de zwakheden in een systeem kunnen opsporen, maar niet uitbuiten. In tegenstelling tot een zogenoemde black-hat hacker, zal een ethische hacker het probleem melden aan het bedrijf in kwestie. Zo kunnen tekortkomingen in systemen worden achterhaald en opgelost, zonder nadelige gevolgen, legt expert Erik Van Buggenhout uit.
Zoek de fout
Van Buggenhout is een lesgever aan het SANS Institute, waar hij “Ethisch Hacking”-opleidingen verzorgt voor organisaties in de EMEA-regio. Tijdens deze cursussen legt hij uit hoe men op een ethische manier aanvallers kan imiteren, om zo kwetsbaarheden in systemen op te sporen en op te lossen. Hij onderwees reeds honderden studenten uit een heleboel verschillende landen en industrieën.
Daarnaast is hij medeoprichter van NVISO, een Belgisch beveiligingsbedrijf dat zich bezighoudt met zowel het uitvoeren van ethisch hacken, als het ondersteunen van bedrijven wanneer ze ‘echt’ gehackt worden. Hij verklaart waarom bedrijven ervoor kiezen om ethische hackers toe te laten:
“Geen enkel systeem is onfeilbaar. Er kunnen kwetsbaarheden ontstaan, bijvoorbeeld door een kleine vergetelheid van de ontwikkelaar, of een beveiligingssysteem dat bestand is tegen doorsnee aanvallen, maar niet opgewassen is tegen een sterk, gepersonaliseerd offensief. Voor een bedrijf is het veiliger om zelf die gaatjes op te sporen en op te lossen, in plaats van te wachten tot een kwaadaardige aanvaller ze vindt. Die aanvaller zal er waarschijnlijk slechtere bedoelingen mee hebben.”
”Ethisch” hacken?
Hij legt duidelijk uit dat er een verschil is tussen wat een bedrijf als NVISO doet, en individuen die zonder voorafgaande afspraken op zoek gaan naar kwetsbaarheden. Van Buggenhout verdeelt het ethisch hacken onder in drie verschillende categorieën:
“Ten eerste zijn er organisaties die aan een derde partij – bijvoorbeeld NVISO – vragen om een ethische hack of security-audit te doen, waarbij deze partij op zoek gaat naar kwetsbaarheden en aanbevelingen formuleert om de kwetsbaarheden op te lossen. Hierbij is het erg belangrijk dat er vooraf een akkoord is in de vorm van een duidelijk contract en afgesproken “spelregels”, waarin beschreven staat wat er exact gaat gebeuren, wie het werk gaat uitvoeren en wanneer het werk wordt uitgevoerd.”
“Dat soort ethisch hacken gebeurt in België al een 10-tal jaar en er zijn een aantal bedrijven die dit soort diensten aanbieden,” voegt hij toe. “De organisatie neemt een bedrijf als NVISO aan als dienstverlener met een duidelijke omschrijving van de opdracht, en weet te allen tijde perfect wat er gaande is.”
Responsible disclosure
“Dat in tegenstelling tot een tweede categorie van “ethisch hacken”, waar mensen zonder voorafgaande toestemming een website of systeem testen op kwetsbaarheden. Ze kunnen deze kwetsbaarheden melden aan de eigenaar van het systeem, zonder de kwetsbaarheden publiek kenbaar te maken. Dit wordt vaak in het Engels omschreven als responsible disclosure.” gaat Van Buggenhout verder.
Bug bounty hunters
Als derde categorie omschrijft Van Buggenhout nog de momenteel in populariteit stijgende bug bounty-programma’s, die zich ergens tussen de eerste twee categorieën bevinden. Hierbij worden onderzoekers of ethische hackers aangespoord door organisaties om kwetsbaarheden te zoeken in hun systemen en deze te melden in ruil voor een beloning of bug bounty. Hier is er geen sprake van een vooraf opgesteld contract, maar organisaties trachten de risico’s van zo’n programma in te perken door duidelijke spelregels te publiceren.
Vooral in Amerika wint dit fenomeen enorm aan populariteit. Goede voorbeelden zijn grootmachten zoals Facebook en Google, waarbij beloningen sterk oplopen: zo kan je bij Google tot 20.000 dollar verdienen voor het melden van een serieuze kwetsbaarheid.
Grijs
“De tweede en derde categorie die ik daarnet beschreef zijn natuurlijk een grijze zone, daar er hier in België geen wettelijk kader voor bestaat.” zegt Van Buggenhout. “Ook al heeft men geen slechte bedoelingen, niet alle bedrijven staan open voor ethische hackers die ongevraagd kwetsbaarheden zoeken en melden. Je zou als ethische hacker zo al snel in gerechtelijke problemen kunnen komen.”
“Ik denk dat het zeker de moeite waard is om een duidelijk wettelijk kader te definiëren dat bepaalt wat kan en wat niet kan. Momenteel bestaat het risico dat mensen kwetsbaarheden of fouten opmerken, maar die bewust niet rapporteren, uit angst om vervolgd te worden.” gaat Van Buggenhout verder.
“Ik ben me ervan bewust dat dit een moeilijk onderwerp is. Wat gebeurt er bijvoorbeeld wanneer een ethische hacker onvrijwillig toch schade berokkent aan het systeem dat hij aan het testen was?” vraagt Van Buggenhout zich af. “Wanneer je een duidelijk dienstencontract met een bedrijf hebt, worden dit soort problemen typisch opgevangen door clausules in een officieel contract. Dat heb je meestal niet wanneer je met ongevraagd ethisch hacking of bug bounty hunting bezig bent.”
Professionele hackers
Van Buggenhout merkt op dat de Nationale Bank met zijn oproep niet specifiek aanspoort om individuele hackers of bug bounty hunters te lokken, ondanks wat in veel media wordt geschreven. “Waar de Nationale Bank op aandringt, is dat organisaties, in dit geval organisaties in de financiële sector, hun eigen systemen laten testen op kwetsbaarheden door onafhankelijke, interne of externe experts. Dit kan dus al dan niet met bug bounty-programma’s gebeuren.”
“Ik ben ervan overtuigd dat er naast de klassieke dienstverlening met vooraf gedefinieerde objectieven en afspraken ook ruimte kan zijn voor alternatieven zoals bug bounty-programma’s. Het is hiervoor echter wel van belang dat er op voorhand een wettelijk kader gedefinieerd wordt, zodat zowel ethische hackers als organisaties die hieraan deelnemen juridisch beschermd worden. Ik ben natuurlijk een IT-expert en geen jurist, dus laat ik de details over het opzetten van zo’n wettelijk kader over aan anderen,” besluit Van Buggenhout.