Belgische regering wil regeling om ethische hackers te beschermen

De Belgische premier Charles Michel laat weten dat de regering zoekt naar een manier om ethisch hacken te decriminaliseren. Nu staat hacken strafrechtelijk nog gelijk aan fysieke inbraak. Ethisch hacken moet mogelijk worden zonder de poorten voor internetcriminaliteit te ver open te zetten.

Volgens De Standaard moet er onder andere een meldpunt voor 'digitale klokkenluiders' komen. De regering wil op deze manier de kennis van ethische hackers benutten, zonder dat ze het risico lopen strafrechtelijk vervolgd te worden. De uitwerking van de plannen ligt bij het in 2015 opgerichte Centrum voor Cybersecurity.

De directeur van het centrum, Miguel De Bruycker, laat aan De Standaard weten dat er veel jongeren zijn die niet weten dat ze met het uitvoeren van een simpele tool strafbaar bezig zijn. Door de huidige wettelijke regeling zou er een te groot grijs gebied zijn.

Kamerlid Roel Deseyn spreekt zich verder uit voor het inzetten van burgers bij het bewaken van de veiligheid op internet, ook bij gevallen van kinderpornografie. Er zou echter wel op gelet moeten worden dat dit niet te ver doorslaat, want het opzoeken en bekijken van kinderporno is nog steeds strafbaar.

In Nederland bestaat er sinds 2013 een regeling voor ethische hackers. De 'leidraad voor responsible disclosure' bevat aanbevelingen aan de hand waarvan organisaties hun eigen regels kunnen opstellen. Het NCSC speelt bij responsible disclosure een stimulerende rol en uit de leidraad vloeit voort dat een kwetsbaarheid ook daar gemeld kan worden.

Dat een dergelijke leidraad bestaat, wil nog niet zeggen dat hackers niet vervolgd kunnen worden. Dit kan het geval zijn als er bij het ontdekken van een kwetsbaarheid strafbare feiten zijn begaan. Er kan wel afgesproken worden dat de organisatie in kwestie bijvoorbeeld geen aangifte doet of civielrechtelijke stappen onderneemt.

IT-banen

Reacties (44)

Lefty_BlueHand 8 januari 2016 14:59

Ja tuurlijk want er bestaat ook 'ethisch inbreken'. Wat een kolder, ik begrijp dat er hackers zijn die geen kwade opzet hebben maar als ik bij mijn buurman ff inbreek om te kijken of zijn huis wel inbraakveilig is en hij doet aangifte krijg ik het ook wel om de oren hoe hard ik ook schreeuw: het was om te testen.

Als je iets of iemand hackt weet je waaraan je begint en dien je de risico's te begrijpen, desnoods breng je je bevindingen anoniem uit.

edeboeck @Lefty_BlueHand • 8 januari 2016 22:13

Een kleine 15 jaar geleden maakten we bij mijn toenmalige werkgever een website voor een "premium" IT-bedrijf. Binnen de 24u na het live gaan, was de site gehackt (defacement). Een "white hat" had het nieuws gelezen en heeft diezelfde nacht ook ingebroken op onze server, waarna we een nette mail kregen via welke exploits de originele inbraak waarschijnlijk was gebeurd.
Ik kan je garanderen dat onze CEO op geen enkel moment eraan gedacht heeft klacht in te dienen (t.t.z. tegen de white hat

)

Silversatin @edeboeck • 9 januari 2016 11:57

Ben je wel zeker dat dit zo'n jaar geleden was en niet 14 jaar + 9 maanden ? want eeuhmm...

edeboeck @Silversatin • 9 januari 2016 13:02

Wil je iets bepaald zeggen Silversatin?

Stel dat het wat discreter moet: pm

Verwijderd @Lefty_BlueHand • 8 januari 2016 15:15

Het is soms een lastige grens.

Zo heb ik er ook wel eens eentje gehad aan de lijn, die zei 'etisch' te handelen, maar hij moest het wel op zijn portfolio hebben.
Die heb ik simpelweg weg gekregen door de dreiging van aangifte. (en terecht vind ik nog steeds)
Dit had betrekking op een project, waar ik zelf verder niks mee te maken had en hij had zeker gelijk. Hierna is het gewoon opgelost ook.

Enige vorm van zelf verrijking (dus inclusief bovenstaand voorbeeld) = crimineel. Geen vorm van zelf verrijking zou niet crimineel moeten zijn.

Qauters @Verwijderd • 8 januari 2016 15:40

Als een journalist de beveiliging test en hier een item overmaakt (waar geld aan verdiend wordt) is het allemaal ineens wel legaal onder het mom van persvrijheid.

Het probleem is nog steeds dat bedrijven zich onvoldoende beveiligen, zich zeldzaam laten testen en alle mogelijke beveiligingsproblemen (dmv dreigen met rechtszaken) onder de pet proberen te houden.

Als ik een auto koop mag ik deze testen, of het voldoet aan mijn beveiligingsstandaarden, doe ik dit bij een online service die ik koop, is het ineens illegaal.

Uiteraard is het hacken / verkopen van databases etc illegaal, maar het moet mogelijk zijn om op een legale manier de beveiliging van een website te kunnen testen en hier ook gewoon openlijk (na het fixen) melding van mag maken. Ik ben namelijk niet degene die een ondegelijk product levert, als ik als bedrijf niet negatief in het nieuws wil komen dan zorg ik dat de beveiliging op orde is en door derde geauditeerd is.

Robin H @Verwijderd • 8 januari 2016 15:56

Goh, Indien ik een lek vind in je systeem en je dit kom melden vind ik het niet crimineel dat ik daar -na het gefixed is- een technische post op mijn blog van plaats.

Jij wel?

Verwijderd @Robin H • 8 januari 2016 17:15

Nee ja.. ligt inderdaad een beetje aan de context.
Als je bij mij aankomt met de ondertoon van een dreigement om je eigen persoon op te hemelen.. Dan klaag ik je aan tot het merg van het bot.
Verschrikkelijk mannetje was dat van mijn voorbeeld trouwens.. (niet echt iets tegen goddienst, maar hij was wel erg simpel Ghristelijk)

Ik geef toe om wederom tussen 2 partijen in te zitten, want enerzijds moet je de verantwoordelijkheid tonen/nemen als bedrijf voor je beveiliging, anderzijds mag je je niet verrijken door andersmans fouten. (van mij en in deze context)
Maar gewoon melding maken van je ethische hack praktijken.. lijkt me ook weer prima.

Conclusie van het verhaal is.. Doe het met de juiste bedoelingen en dat deed die jongen niet.

ejabberd @Verwijderd • 9 januari 2016 06:50

Ben je zeker dat die jongen zich gewoonweg niet goed kon uitdrukken; niet goed overweg kon met mensen? Dat is niet hetzelfde als slechte bedoelingen...

Finraziel

@Lefty_BlueHand • 8 januari 2016 15:07

Inbreken bij je buurman dient dan ook geen enkel maatschappelijk belang. Als er echter bijvoorbeeld een pakhuis zou zijn waar fysiek allerlei gegevens opgeslagen zijn over de gehele bevolking en je test of de beveiliging daar wel in orde is dan is al heel iets anders (en mensen die dat doen noemen we dan al snel journalisten).
Het is natuurlijk zaak om goed na te denken over wat wel en niet mag en dat is nou juist wat ze hier willen doen. Stug vast houden aan dat het gewoon helemaal niet mag is niet in het voordeel van de maatschappij want vaak is het beter als een kwetsbaarheid in de openbaarheid komt dan wanneer we net doen of het niet bestaat en ondertussen criminelen er met onze gegevens vandoor kunnen gaan (want die gaan het uiteraard niet aan de grote klok hangen).

Lefty_BlueHand @Finraziel • 8 januari 2016 15:27

Stug vasthouden is in het geval van maatschappelijk belang iid niet goed maar in zo'n geval zou je mensen kunnen inhuren om legitiem de beveiliging te testen. Net zoals je mensen kunt laten kijken naar de fysieke beveiliging van je huis en op basis daarvan advies laten geven.
Er zijn ook veel hackers (zoals WDMeaun aangeeft) die het doen voor het geld. Die proberen links en rechts zoveel mogelijk te hacken om vervolgens bij het bedrijf aan te kloppen en een beloning verwachten, zie daar maar eens een lijn in te trekken

bbob

België
Politiek en recht

@Lefty_BlueHand • 8 januari 2016 15:35

Mensen inhuren betekend betalen.

Laat geld nu niet het doel zijn van een ethicse hacker. die gaat het om het vinden van gaten. Hij krijgt dan ook niet betaald voor dit werk.

Als je mensen gaat inhuren praat je over leuke bedragen voor mensen met kennis. Daarnaast kan het goed zijn dat deze betaalde hacker niets kan vinden en de ethische hacker wel.

Het verwachten van een beloning betekend al dat je niet ethisch bezig bent, dan mag en kan nooit een doel zijn. Een duidelijke lijn. lijkt me.

Er zijn vaat wat voorwaarden te vinden en als het niet duidelijk is, heb je altijd nog een rechter die het van geval tot geval bekijkt.

Wat het probleem nu eerder is, is dat een ethische hacker iets vindt. Dit netjes meld maar het bedrijf er niets aan doet. In het algemeen belang kan de hacker dit na x tijd dan openbaar maken. Er zijn dan bedrijven die hard roepen schade daarvan te ondervinden maar die moeten eerst goed naar zichzelf kijken.

Lefty_BlueHand @bbob • 8 januari 2016 15:53

Je hebt helemaal gelijk maar het punt is dat er een onderscheid gemaakt moet kunnen worden volgens het artikel. Ik probeer aan te geven dat het gewoonweg haast onmogelijk is om voor een derde (of rechter) de daadwerkelijke intenties te bepalen.
Een hacker met kwade intenties verwacht ook geen beloning, die kan zich dan er heel makkelijk der onderuit lullen op deze manier als de bewijsvoering er niet of onvoldoende is

edit: het is gewoonweg een heel grijs gebied waar makkelijk (rechterlijk) te verdwalen is

[Reactie gewijzigd door Lefty_BlueHand op 23 juli 2024 04:49]

Finraziel

@Lefty_BlueHand • 8 januari 2016 16:50

Je hebt op zich een punt, maar op dit moment is het dus blijkbaar altijd illegaal en dat is ook geen ideale situatie. Op dit moment is het blijkbaar gewoon een misdaad en volgens mij moet justitie er dan ook actie op ondernemen. Dat is geen gewenste situatie.
Wat betreft de hacker die een beloning verwacht... tja, verwachten is niks mis mee, maar als het bedrijf die beloning niet geeft... dan? Op het moment dat hij dan dreigementen uit zoals de informatie publiekelijk prijs geven dan is dat al lang afgedekt via andere wetten dus ik zie geen probleem daar.

Verwijderd @Lefty_BlueHand • 9 januari 2016 07:40

Een hacker met kwade intenties verwacht ook geen beloning, die kan zich dan er heel makkelijk der onderuit lullen op deze manier als de bewijsvoering er niet of onvoldoende is

Denk je dat nu echt?

Neem van mij aan dat er voor "Zero-Days" (gaten in de beveiliging die nog niet ontdekt zijn door software makers) grof geld gegeven wordt door de Cyber maffia en zelfs door buitenlandse geheime diensten. Dus daar verdienen de kwade Hackers goed aan.

Ik denk dat er niks fout is dat een hacker betaald krijgt als hij een groot nieuw lek vind in de beveiliging van de software.

Wat wel zo is is natuurlijk hoe groot het gat is en waar het probleem ligt. En het probleem wel ligt bij de software en niet bij de directeur, medewerkers of systeembeheerders van een bedrijf die te laks is om een goede beveiliging op te zetten.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 04:49]

Lefty_BlueHand @Verwijderd • 9 januari 2016 09:06

Een belonging verwachten OF 'salaris' krijgen is wel wat anders hoor

[Reactie gewijzigd door Lefty_BlueHand op 23 juli 2024 04:49]

Hellie112 @Lefty_BlueHand • 8 januari 2016 15:51

Als iemand de voordeur open heeft staan en er hangt geen bordje met verboden toegang mag je gewoon legaal naar binnen lopen...

Lefty_BlueHand @Hellie112 • 8 januari 2016 16:01

Maar hier gaat het om (etisch) hacken. Hacken is je toegang verschaffen op een bepaalde manier zonder dat er een open route hoeft te zijn, het kan ook zo zijn dat de beveiliging er wel is maar gewoonweg belabberd is en dat niet gelijk aan een open deur naar mijn mening

bbob

België
Politiek en recht

@Hellie112 • 8 januari 2016 20:15

Heb jij dus geen hek ik je tuin staan mag ik er gewoon lopen. Zou het eens bij een boer gaan uitproberen als ik jou was, eens kijken naar de reactie.

Maar goed zelfs al staat de deur open ga je misschien naar binnen maar mag je nergens aankomen, meenemen of weet ik wat doen.

Een hacker ethisch of niet bekijkt dingen en komt niet door een normale open deur binnen. Hij komt binnen door een fout in het systeem, een fout die niet voor iedereen zichtbaar is

Extrema @Lefty_BlueHand • 8 januari 2016 21:53

En toch....

Wanneer door dit zogenaamd strafbare hacken misdaden tegen de mensheid bijvoorbeeld bloot gesteld worden.

Die serie moordenaar, die verkrachter dat grote corrupte schandaal etc etc

Vind jij dan nog... Dat de persoon die met die hack dat naar buiten gekregen heeft moet worden berecht volgens dat strafrecht dat geen onderscheid maakt ?

Iblies @Lefty_BlueHand • 8 januari 2016 16:01

Ja tuurlijk want er bestaat ook 'ethisch inbreken'. Wat een kolder, ik begrijp dat er hackers zijn die geen kwade opzet hebben maar als ik bij mijn buurman ff inbreek om te kijken of zijn huis wel inbraakveilig is en hij doet aangifte krijg ik het ook wel om de oren hoe hard ik ook schreeuw: het was om te testen.

Als je iets of iemand hackt weet je waaraan je begint en dien je de risico's te begrijpen, desnoods breng je je bevindingen anoniem uit.

Want dat gebeurt nu niet?

Als het raampje bij mijn buurman niet op slot zit, en kijk even binnen om te zien dat hij daar een mooie led-televisie heeft, dat er een tablet op de grond slingert, verschillende laders op een tafeltje liggen,
dan heb ik wel een aardig idee dat het niet zo verstandig is om die zonder slot te laten zitten.

Je verschaft jezelf oneigenlijk toegang, maar eigent jezelf niets toe.
Zelfs als je dat doet met de intentie om je buurman er op attent te maken dat het niet verstandig is, dan heeft dat iig nog weinig consequenties.
Als je niks meeneemt en alleen een beetje koekeloert en je buurman betrapt je, dan kan die je hooguit met huisvredebreuk je om de oren slaan.

Als de intentie is van de wet om dat aan te pakken, dan hebben ze mijn zegen.
Een recent voorbeeld in de Nederlandse wetgeving dat het nog steeds geen vrijwaring hoeft te zijn is het voorbeeld van Henk Krol;
http://www.omroepbrabant....n+Diagnostiek+voor+U.aspx
Met inloggegevens van een ander kon hij heel veel gegevens willekeurig inzien. Lijkt banaal, is het ook, maar het mag niet gebeuren. Een extra drempel was bijvoorbeeld two-way-verification.

Uiteindelijk niet veroordeeld op de hack, maar dat hij te snel de media heeft ingeschakeld.

Lefty_BlueHand @Iblies • 8 januari 2016 17:27

Ja oke als een raampje openstaat.. maar in de lijn met het hacken, staan er geen raampjes open. Je moet je ergens doorheen forceren om toegang te verkrijgen, toch?
Henk Krol kon toevallig met inloggevens van een ander de info inzien, dat is vergelijkbaar met het open raam/deur verhaal. Maar een hacker die (zwakke) beveiliging uitschakelt om zo toegang te verkrijgen is wat anders

Donvermicelli @Lefty_BlueHand • 8 januari 2016 19:14

Je moet het zo zien: ik typ bevoordeeld teveel karakters in bij mijn wachtwoord veld als ik wil inloggen op xbox live en wat blijkt dan? ik krijg gewoon altijd toegang ook als is het wachtwoord fout. Moet ik dan meteen veroordeeld worden voor inbreken? (ja dit is zowaar ook gebeurd bij xboxlive)

bron: http://www.bbc.com/news/technology-26879185

Liberteh @Iblies • 8 januari 2016 16:56

Two-factor authentication*

Oerdond3r @Lefty_BlueHand • 8 januari 2016 17:54

Je vergelijkt het hacken van een webapplicatie met het inbreken in een huis. Jouw vergelijking loopt op 2 punten krom:
1. Het betreft hier niet een persoon zijn persoonlijke bezittingen, maar persoonsgegevens van soms wel tien- tot honderdduizenden mensen.
2. De enige manier waarop je kan 'zien' of het raampje openstaat is door eigen al naar binnen te gaan. Je kan onmogelijk van een afstand weten of een lek echt bestaat, zonder het te exploiten. Als dit op magische wijze wel kon was ik het meer met je eens.

De meest voorkomende lekken zijn domme programeerfouten zoals een SQL-injectie. Als je persoonsgegevens van zoveel mensen vasthoudt heb je de verantwoordelijk deze goed te beschermen.

In mijn ogen zijn ethische hackers een van de betere dingen die je als bedrijf kan overkomen. Een noodzakelijk kwaad(?)

--Andre-- @Oerdond3r • 10 januari 2016 14:12

Als ik op een website de factuur van andere klanten kan zien door het klantnummer in de url te wijzigen.

BannerFigurezZz @Lefty_BlueHand • 9 januari 2016 17:16

Goede vergelijking, maar volgens mij is er ook een andere insteek mogelijk.

Zo worden bijvoorbeeld veiligheidsdeuren vaak getest door middel van een georganiseerde poging tot inbraak door bepaalde instanties. Er is dus wel degelijk een offline synoniem te vinden. Dit is natuurlijk wel op verzoek van.

Laat je die vergelijking met offline los, dan is "ethisch hacken" een stuk logischer. Het uittesten en vinden van lekken hoeft namelijk niet meteen te betekenen dat iemand 'binnen' is. Wat je bijvoorbeeld ook veelal terug leest in artikelen over datalekken op bijvoorbeeld Tweakers is dat men een ingang vindt, kan kwantificeren wat ermee mogelijk is en dit vervolgens meldt.

Aangezien je beveiliging probeert te omzeilen en een ingang vindt heet dit "hacken" (correct me if I am wrong). Echter hoef je dus niet per se binnen te zijn en de archiefkasten open te hebben getrokken. Je kunt het vergelijken met een verkenningsronde van een inbreker of politie, die vervolgens een briefje door de bus doet met de beveiligingslekken.

svenslootweg @Lefty_BlueHand • 9 januari 2016 21:37

Als je iets of iemand hackt weet je waaraan je begint en dien je de risico's te begrijpen, desnoods breng je je bevindingen anoniem uit.

En die angscultuur is nu precies waarom alles zo hopeloos lek blijft.

De bedoeling van een analogie is om een argument duidelijker te illustreren. Het is niet de bedoeling om een analogie als argument op zich te presenteren, zoals je nu doet met de inbraak-analogie. Er zijn vrijwel altijd zoveel verschillen tussen twee situaties dat een analogie niet zonder meer toepasbaar is.

Oftewel: beargumenteer waarom 'ethisch hacken' (een term waar ik overigens een hekel aan heb) volgens jou slecht is, an sich. Als je daarvoor terug moet grijpen op een totaal ongerelateerde andere activiteit, dan heb je dus eigenlijk geen argument, en ben je vanuit ene onderbuikgevoel aan het roepen.

Diesel002 8 januari 2016 14:47

Ik ben benieuwd waar dit op gaat uitlopen.. Zeker als je gaat nadenken over wanneer deze mensen dus wel of niet vervolgd kunnen worden. Wordt dat dan bepaald aan de hand van waar de hack is gedaan, of waar de server/computer staat die gehackt is? Zijn toch belangrijke punten om over na te denken.

Zo zou Belgie ineens een erg interessant land kunnen worden voor ethische hackers overal ter wereld als het niet uitmaakt waar de server/computer staat!

Ik denk dat ik WikiLeaks.be alvast ga reserveren..

blorf @Diesel002 • 8 januari 2016 15:10

Wordt dat dan bepaald aan de hand van waar de hack is gedaan, of waar de server/computer staat die gehackt is?

Ik denk dat ze verwachten dat een hacker dergelijke informatie gaat onthullen om door te mogen gaan voor een zgn. ethische hacker. "Niet-ethische" hackers zullen dit waarschijnlijk zien als verraad en hun banden met deze mensen breken.
Volgens mij komt het erop neer dat mensen met veel computerkennis die dat voor zich houden straks al officieel verdacht kunnen zijn voordat ze hun bed uit zijn gekomen. Als ze geen ethische hackers zijn is dat toch vanzelfsprekend?

Maar verdeeldheid zaaien onder de "vijand" is een duizenden jaren oude strategie. Ik denk niet dat de hele hackersgemeenschap zich daar zo even voor laat lenen. Alleen degenen die graag stoer willen zijn tegenover de rest van de wereld zullen hier in meegaan.

telenut 8 januari 2016 15:04

Zal dit ook mensen beschermen in hun eigen bedrijf?
Velen merken soms onveilige situaties op in hun bedrijf en melden die aan de security waarna ze op het matje worden geroepen wegens poging tot inbraak en de melding dit dit niet hun bevoegdheid of verantwoordelijkheid is. Vervolgens worden ze constant in de gaten gehouden...

TheUninvited @telenut • 8 januari 2016 15:20

Sinds 1 januari is het melden van datalekken e.d. verplicht geworden. Dus als bedrijven niet beboet willen worden hoop ik dat ze daar wel een passend beleid voor toepassen, werknemers bang maken werkt alleen maar averechts. Toch ben ik bang dat de meeste bedrijven zich hier niets van aantrekken en op dezelfde foute manier door blijven gaan totdat er torenhoge boetes worden uitgedeeld en in dat in het nieuws komt.

Petervanakelyen 8 januari 2016 15:41

Ik kan dit alleen maar toejuichen. Veel te veel bedrijven springen laks om met hun (IT-) beveiliging en gaan dan in de slachtofferrol van zodra er iets misgaat. Een onafhankelijke partij die een bemiddelende rol heeft tussen ethische hackers langs de ene kant en bedrijven langs de andere kant (zoals het NCSC in Nederland) is eigenlijk essentieel en een win-win situatie voor beide kanten. Ethische hackers kunnen veilig melding maken van gevonden lekken zonder onmiddellijke vervolging en bedrijven kunnen consequent de veiligheid van hun infrastructuur verbeteren zonder enorme schadepost.

svennd @Petervanakelyen • 8 januari 2016 15:54

Je hebt overschot van gelijk. Maar beveiliging is een eindeloze put, en ik geloof dat België ook achterloopt hierop, ondanks de investering van het afgelopen jaar. (http://premier.fgov.be/nl...bersecurity-belgi%C3%AB-1)

Bedrijven moeten aangemoedigd worden, maar of dit de goeie manier is ... scriptkidies die scripts draaien zijn nog steeds illegaal bezig en of dat moet veranderen ?

Dat de buurman een WEP key heeft betekend niet dat je die moet "hacken", ondanks "dat hij er om vraagt".

SB[NL] 8 januari 2016 15:05

"Dit kan het geval zijn als er bij het ontdekken van een kwetsbaarheid strafbare feiten zijn begaan"
Da's eigenlijk ook raar aangezien het binnendringen/poging tot inbraak sowieso een strafbaar feit is volgens mij. Dus om kwetsbaar heden te ontdekken ben je al strafbaar en kunnen zij je daarop alleen al oppakken...ik snap deze constructie niet.

Waar is de bescherming dan als je in eerste instantie al een kwetsbaarheid ontdekt bij juist de overheid en deze je het zwijgen op kan leggen door te (dreigen met) vervolgen?

Ik wantrouw het misschien te veel maar ik zou tegen die jongeren zeggen niet doen als je niet op tal van zwarte lijstjes terecht wilt komen die je leven kunnen verzieken.
Slechts een enkeling kan er juist een mooie carrière op nahouden maar die zijn de uitzondering die de regel bevestigen.

lieziewiezie @SB[NL] • 8 januari 2016 17:03

"het binnendringen/poging tot inbraak sowieso een strafbaar feit is volgens mij. Dus om kwetsbaar heden te ontdekken ben je al strafbaar..."

Dat is niet altijd zo. Het is al gebeurd dat weaknesses per ongeluk gevonden worden. Een gebruiker kan een typo maken of een onverwachte combinatie van acties die iets uitlokt, ...

SB[NL] @lieziewiezie • 9 januari 2016 02:17

Het gaat hier natuurlijk over moedwilligheid. Maar ik ben het met je eens dat de zin uit de gehele context getrokken ook "per ongeluk" omvat wat forensisch natuurlijk te bewijzen zal moeten zijn.

Nik Du Bois 8 januari 2016 16:13

voor alle duidelijkheid: dit is een echte job functie. Google maar eens rond op de termen 'penetration testing'. Je moet dit niet zien als legaal inbreken in een huis, maar eerder als de securitas mens die komt controleren of de deuren nog op slot zijn. Of zelfs als de fabrikant die zelf breektesten op zijn fietsslot doet. Op het moment kan je in België hier bijna niets in doen zonder heel veel papierwerk om zeker niet aansprakelijk te zijn.

Het is zelfs erger: als je op een webshop surft en zelfs per ongeluk een bug opmerkt waardoor je bijvoorbeeld andermans gegevens kan zien of iets dergelijks dan ben je in principe aan het hacken.

Er is de plicht om informatie van klanten veilig te bewaren, maar er is geen betere mogelijkheid om te weten of dit echt veilig is dan via bounty programs. Anders hebben kwaadwillenden altijd meer motivatie en budget. Dit is zowel voor bedrijven als ons (eindklanten) heel voordelig.

Er is een reden dat bijna alle grote bedrijven tegenwoordig bug bounties hebben voor hun websites.

[Reactie gewijzigd door Nik Du Bois op 23 juli 2024 04:49]

andreetje 8 januari 2016 16:25

Zou dit probleem op te lossen zijn met een regeling bij bijvoorbeeld een notaris?
De ethische hacker laat vastleggen dat hij een bedrijf gaat hacken. Na een bepaalde periode wordt deze intentie automatisch doorgegeven aan de politie.
Voordeel: hacker dekt zich in tegen vervolging; politie wordt automatisch op de hoogte gesteld en weet wie de "dader" is.

Verwijderd 8 januari 2016 17:04

Da's mooi. Als ik ergens een deur open zie staan (van een auto bijvoorbeeld) dan haal ik spullen uit de auto, waarschuw ik na een tijdje de media of eigenaar en geef ik de spullen terug. En dan ga ik nog vrijuit ook! Sterker nog: ik zou een flinke beloning moeten krijgen van de eigenaar. Dat is waarschijnljik het volgende deel van de wet.

Verwijderd @Verwijderd • 9 januari 2016 07:12

Deze Hackers zoeken gaten in de beveiliging.

Dat de deur open staat kan je niet zo zeer een gat in de beveiliging noemen bij een auto.

Maar neem bijvoorbeeld dat je een manier ontdekt om een auto makkelijk te ontgrendelen. Waar de fabrikant nog niet van afweet.
Dan zou die fabrikant juist blij moeten zijn als jij dat probleem zou doorgeven aan de fabrikant zodat ze hun auto's hier op kunnen aanpassen.

Op dit item kan niet meer gereageerd worden.

Belgische regering wil regeling om ethische hackers te beschermen

Lees meer

IT-banen

Reacties (44)

Sorteer op:

Weergave: