Ethisch hacken, voor fun en veiligheid

Jaspewr Bakker

Hackers hebben een slechte reputatie. Ten onrechte, want van origine is een hacker iemand die technisch geïnteresseerd zaken uitzoekt. Of iets anders kan: beter of veiliger. Crackers en cybercriminelen misbruiken dit. Ethische hackers helpen juist.

Over hackers bestaan vele misverstanden. Allereerst de misvatting dat het kwaadwillenden zijn. Vervolgens het vooroordeel dat het ongewenste bemoeials zijn. Plus nog het misverstand dat hackers gaten zoeken voor roem en hun eigen ego. Natuurlijk, er zijn zeker slechtbedoelende hackers: crackers, malwaremakers, inbrekers, datadieven en andere cybercriminelen. En vaak zit een organisatie of een drukbezette beheerder niet te wachten op een buitenstaander die hen wijst op fouten en kwetsbaarheden in hun ict-omgeving.

 

Professionalisering van het vak

Een ethische hacker wil echter helpen. Het ontdekken en aanmelden van kwetsbaarheden dient daarbij dus niet voor eigen roem of voor het te schande zetten van een kwetsbare organisatie. Het gaat erom onveiligheid weg te nemen, zodat organisaties zelf én anderen veiliger kunnen zijn. Anderen omvat direct betrokken organisaties zoals bijvoorbeeld partners, maar ook klanten, consumenten en burgers in het algemeen. Sommige ethische hackers gaat het zelfs om bredere begrippen als de hele maatschappij, die tegenwoordig immers zeer connected is en daarmee kwetsbaar.

Anno 2015 zijn ethische hackers niet alleen zelfstandig werkende idealisten. Er is sprake van een heuse professionalisering in ethisch hacken. IT-dienstverleners zoals Sogeti hebben teams van ethische hackers in dienst die – in opdracht – systemen van klanten geregeld kritisch doorlichten. Bij dat pentesten wordt er verder gegaan dan reguliere checklists op bepaalde security-eigenschappen of best practices, legt ethisch hacker Marinus Kuivenhoven uit.

Abuse-case

Hij is senior security specialist bij Sogeti en mede-grondlegger van Sogeti’s PaSS-aanpak. Deze Proactive Security Strategy is een business-gedreven manier om security te embedden in de diverse lagen van applicaties, ict-infrastructuren en ook ict-gebruikende organisaties zelf. Kuivenhoven vertelt dat checklists wel kunnen helpen, maar dat ze zeker niet zaligmakend zijn.

“Er zijn grofweg twee soorten klanten”, weet hij. “Zij die een securitytest willen laten doen, bijvoorbeeld om compliance-redenen.” Dit komt dan vaak neer op het aflopen van een checklist. “En zij die erkennen dat ze echt iets met security moeten doen.” Deze organisaties staan veel meer open voor diepergaand ‘hacken’.

“Wat wil je wel en wat wil je níet?”, is een kritische beginvraag van Kuivenhoven. Wat er niet gewenst is, wordt namelijk nogal eens over het hoofd gezien. Kuivenhoven raadt dan ook aan om een zogeheten abuse-case te maken. Net zoals in de wetenschap een theorie wordt gevalideerd door te proberen het te ontkrachten.

De opzet van een it-systeem kan zijn dat een klant zijn of haar factuurinformatie moet kunnen inzien, geeft de ethisch hacker als voorbeeld. “Doe dan het woordje ‘niet’ erbij: de niet-klant, niet-toegang, enzovoorts.” Op basis daarvan valt de werking van een systeem door te lichten op toegang voor derden, op haperende of ontbrekende toegang en op andere ongewenste zaken.

Businessbehoefte in de requirements

“Bedenk dat van tevoren”, benadrukt Kuivenhoven. Hoe eerder in de lifecycle van een project, product of systeem dit wordt gedaan hoe beter. Security en een abuse-case horen bij de businessbehoefte en zouden dus al in de requirements moeten staan voordat development begint. “Alles wat je maakt, kan iemand misbruiken”, waarschuwt Kuivenhoven. “Moet je dus wel iets maken?”

De ict-securityspecialist pleit dus niet per se voor méér technologie; soms kan het beter zijn om juist wat minder te hebben. Hij verduidelijkt met het voorbeeld van een organisatie die een externe inlog op zijn site wilde om werknemers daar hun meningen te laten uiten. De in te voeren berichten zouden echter niet automatisch geplaatst worden, maar moesten eerst via een keurende werknemer lopen. “Mijn voorstel is: schrap dat inloggen en laat het via bijvoorbeeld interne mail gaan. Er was immers in de workflow al een tussenpersoon gedefinieerd en het weglaten van een extern inlogsysteem scheelt weer een mogelijke zwakke plek.”

De waarom-vraag

Goede security draait om de waarom-vraag. “Je hebt bugs in je systemen, maar waaróm heb je die?” De oorzaak kan bijvoorbeeld een ontwerpfout zijn, of een verschil in aanpak tussen verschillende developers. Net zoals een goede arts niet slechts de symptomen bestrijdt, maar op zoek gaat naar de oorzaak. “Daarmee kun je ook toekomstige fouten voorkomen”, legt Kuivenhoven uit.

Marius Kuivenhoven

Hij stelt dat veel bugs, zoals in bijvoorbeeld de OWASP top tien, terug te voeren zijn op slechts een handjevol grondoorzaken. Het inzien en doorgronden daarvan helpt foutherhaling te voorkomen, wat ook speelt bij ingebruikname van geheel nieuwe technologie. Problemen worden daarbij vaak opnieuw uitgevonden, concludeert de ethisch hacker. “Omdat we het telkens als iets geheel nieuws zien en zo aanpakken.” In de grond valt er met het abstraheren van problemen, ethisch hacken dus, juist veel overeenkomsten te vinden en dus veel veiligheid te winnen.

Vijf kerneigenschappen

Wat elke ethische hacker in huis moet hebben om zich met recht die ‘functietitel’ te mogen aanmeten. Allereerst een eigenschap die voor elke ict-professional geldt: kundigheid. Een ethische hacker moet net als een ‘gewone’ hacker, een developer en een security-medewerker goed op de hoogte zijn van zijn of haar technologie, tools, talen, systemen en ook de trends die daarbij meespelen.

Ten tweede moet een ethische hacker natuurlijk nieuwsgierig zijn. Dat helpt al bij het volgen van de trends en het bijblijven qua ontwikkelingen. Maar het willen weten hoe dingen in elkaar steken, is de crux voor hacken. En dat is puzzelen, peuteren, uitvogelen, decoderen en ontsleutelen. Deze eigenschap is wat ethisch hacken moeilijk en tegelijkertijd uitdagend en nuttig maakt.

De derde kerneigenschap is voor de toevoeging ‘ethisch’ aan de Geuzennaam ´ethische hacker´: principes. Het gaat om ethisch besef én daarnaar handelen. Je hard maken voor een betere, digitale wereld en dus onveiligheid aanpakken. Dat laatste betekent niet per definitie het openlijk aan de kaak stellen van onveilige systemen of programmatuur. Publieke bekendmaking dient namelijk niet altijd het belang van alle betrokken partijen: organisaties, gebruikers, klanten, de maatschappij.

De vierde kerneigenschap is betrokkenheid. Het koesteren van principes levert een gedrevenheid op die ervoor zorgt dat ethische hackers net even verder gaan. Soms is dat net verder door bepaalde technieken of – wellicht vergezochte – methodes uit te proberen. Soms is dat door de grenzen van de wet op te zoeken. Ethiek speelt hierbij weer een belangrijke rol.

De vijfde en laatste kerneigenschap voor ethische hackers is teamspirit. Terwijl er genoeg hackers zijn die op zichzelf opereren, of dat het liefste doen, is samenwerking een groot goed. Een ethische hacker neemt niet alleen verantwoordelijkheid voor zijn of haar eigen werk, maar ook voor dat van anderen. Die anderen kunnen letterlijk teamgenoten zijn: twee weten meer dan één, drie nog meer, enzovoorts. Tegelijkertijd kunnen die anderen ook juist externe partijen zijn: mensen die een systeem hebben gemaakt waarin ethische hackers tekortkomingen vinden.

 

Geef een reactie

Gerelateerde berichten...