Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 112, views: 17.422 •

Minister Opstelten van Veiligheid en Justitie wil niet dat bedrijven en organisaties aangifte doen tegen hackers met goede bedoelingen, die veiligheidsproblemen aankaarten. Wel moet de hacker dan niet verdergaan dan nodig om het beveiligingsprobleem aan te tonen.

Ivo OpsteltenAls hackers kwetsbaarheden op een 'verantwoorde wijze' kunnen melden bij bedrijven en organisaties, kan dat 'in belangrijke mate bijdragen aan het verhogen van de veiligheid van deze systemen'. Dat schrijft minister Ivo Opstelten van Veiligheid en Justitie in een brief aan de Tweede Kamer. Hij wil daarom dat organisaties geen aangifte doen tegen zogenoemde ethische hackers die beveiligingsproblemen aantonen en komt daarom met een leidraad. Dat had hij eerder al toegezegd.

Daarbij is het wat Opstelten betreft wel belangrijk dat hackers niet verdergaan dan noodzakelijk. Veranderingen aanbrengen in een systeem, gegevens kopiëren, verschillende keren toegang verschaffen tot een systeem of toegang delen met anderen zijn uit den boze, evenals social engineering en het plaatsen van backdoors. Van bedrijven verwacht Opstelten dat ze adequaat op meldingen reageren, deze zo snel mogelijk bij de juiste afdeling neerleggen en melders op de hoogte houden van de voortgang. De richtlijn suggereert bovendien dat bedrijven ethische hackers een beloning kunnen geven voor het melden van een probleem. In de eerste plaats is het de bedoeling om een beveiligingsprobleem te melden bij een bedrijf, maar lukt het niet, dan kan het Cyber Security Centrum in Den Haag daarbij helpen.

In zijn Kamerbrief spreekt Opstelten zich uit voor responsible disclosure: het openbaar maken van bepaalde details van een beveiligingsprobleem, maar pas nadat een beveiligingsprobleem wordt opgelost en zonder dat persoonsgegevens openbaar worden gemaakt. Wat de minister betreft moeten een melder van een datalek en een organisatie daarover afspraken maken, waarbij de melder de organisatie genoeg tijd moet geven om een beveiligingsprobleem op te lossen. Voor een lek in software suggereert hij een standaardtermijn van 60 dagen, voor hardwareproblemen een halfjaar. Als een lek niet of nauwelijks op te lossen is, kan het nodig zijn om het helemaal niet in de publiciteit te brengen, vindt de minister.

Omdat het om een leidraad gaat, kan de overheid niet afdwingen dat organisaties geen aangifte doen tegen ethische hackers. "Maar dit moet hackers meer houvast bieden", zegt woordvoerder Edmond Messchaert van het Ministerie van Veiligheid en Justitie. "Tot nu toe was er bij incidenten vaak onduidelijkheid of er wel of niet aangifte zou worden gedaan. Dat proberen we hiermee weg te nemen. Al is dit geen uitnodiging aan iedereen om maar te komen rondneuzen."

Messchaert denkt dat bedrijven de leidraad zullen volgen. "Het is in het eigen belang van bedrijven dat ze op een goede manier omgaan met beveiligingsproblemen. Dat is puur economisch bedrijfsbelang." In bepaalde sectoren, zoals de financiële wereld en in de telecom, gebeurt dat volgens hem al. Volgens de woordvoerder gaat minister Opstelten het beleid 'promoten' bij zijn collega-ministers, om de overheid zover te krijgen het beleid intern in te voeren.

Daarnaast gaat Opstelten met het Openbaar Ministerie om de tafel over de vraag wanneer hackers wel en niet worden vervolgd. Maar, zegt Messchaert, "In onze rechtsstaat heeft het Openbaar Ministerie de bevoegdheid om zelf de afweging te maken of er strafvervolging wordt ingesteld. Daar wordt niet aan getornd."

Reacties (112)

Reactiefilter:-11120109+194+216+30
Stel je eens voor: Ik breek in in een huis, zonder schade aan te brengen, of in ieder geval minimaal. Ik loop een rondje door het huis, maar neem niets mee. Ik laat dan een briefje achter met het verzoek contact met mij op te nemen, omdat het huis niet veilig is... Wedden dat ik word opgepakt?
Huisvredebreuk is toch wat anders dan 'praten met een server', dat doen we namelijk 1000en keren per dag, ergens inbreken niet, dat de een nou actief zit 'te praten' en de ander niet, maakt niet heel veel uit, uiteindelijk is het nog steeds dat je de server iets geeft en en er iets van terugkrijgt, normale gang van zaken dus.
Als een lek niet of nauwelijks op te lossen is, kan het nodig zijn om het helemaal niet in de publiciteit te brengen, vindt de minister.
Niet mee eens. Als (potentieel) gebruiker heb je het recht te weten dat een dienst niet veilig is, als dat bekend is! Alleen dan kun je geinformeerd de keuze maken of de dienst wel of niet te gebruiken.
Ja, maar zodra je het al gebruikt heb je die keuze al niet meer. En voor diegenen die het al gebruiken is het juist een veiligheidsrisico om het lek openbaar te maken, want hun gegevens worden dan (waarschijnlijk) meteen binnengehengeld. Daarom dus eerst zorgen dat de gegevens niet meer toegankelijk zijn voordat je het openbaar maakt (wel binnen een redelijke termijn natuurlijk).
Ik ben benieuwd of er ook iets met zo'n rapport gebeurd, of dat het ergens in een la terecht komt. Op zich heel mooi om hier een richtlijn in te geven lijkt mij.
Ik ben een beetje kwijt of hij dit nu voor de hackers of voor de bedrijven doet.

Maar goed, Ik lever een waardeloos systeem wat aan het licht komt, maar ik hoef dit niet te melden... Geweldig, dan investeer ik gewoon niet meer, en ga ik achter de feiten aan lopen. Immers word ik toch niet gestraft voor een slechte beveiliging.

Ik word gehacked, fix het... en wacht weer rustig af.


Het lijkt me net een puik plan om de bedrijven een boete te geven met meldingsplicht. Niet melden VERHOOGT de boete net. Ik denk dat je bedrijven daarmee meer motiveert dan zeggen... ach, als je het oplost dan is het goed.
Het blijft toch jammer dat men voor een "cracker" het woord "hacker" blijft gebruiken. Zeker op Tweakers had ik toch iets anders verwacht....
Voor de betekenis die het in dit artikel heeft, is het woord "hacker" heel gangbaar (en niet alleen onder leken) hoor. Dat een black hat hacker ook wel cracker genoemd wordt wil niet zeggen dat dat de enige juiste bewoording is.
Cracker en hackers zijn inderdaad compleet verschillend.
Maar als iemand mijn huis inbreekt en dan beweerd het een ethische inbreker is, dat geloof je toch niet?

Als ik een hacker zou zijn en wil een bedrijf een dienst bewijzen om te controleren hoe veilig zijn programmatuur is. Dan kan ik beter om hun toestemming vragen en er wat geld aan verdienen.
Het blijft toch jammer dat men voor een "cracker" het woord "hacker" blijft gebruiken. Zeker op Tweakers had ik toch iets anders verwacht....
Ik kan me ook het omgekeerde afvragen en dat lijkt me nog logischer ook eigenlijk. Waar komt die term cracker vandaan? Staat niet in het woordenboek en wikipedia komt ook niet verder dan de opmerking dat het mogelijk naar een computerkraker kan verwijzen. In het wikipedia artikel over computerkraker wordt nog wel een referentie genoemd maar dat is een vijf jaar oud artikel dat ook nog eens opmerkingen bevat als 'Nu is de term "cracker" inmiddels een zachte dood gestorven.' en 'omdat niemand meer de definitie van cracker kent, zijn alle crackers dus hackers, en is de cirkel weer rond.'. De Engelse dictionary Merriam-Webster linkt direct door naar hacker net als de Engelse wikipedia disambiguation page voor cracker.

Belangrijk probleem is bovendien dat er absoluut geen strikt onderscheid is tussen goedaardige en kwaadaardige hackers en alles wat daar tussen zit. Bij ieder artikel dat op tweakers geplaatst wordt over hackers ontstaat weer de discussie of iets nu wel of niet toelaatbaar is. Sommigen vinden een poging tot binnendringen al ontoelaatbaar terwijl anderen het gepast vinden om een bedrijf geld af te troggelen voor de 'bewezen diensten'. Krijg je straks bij ieder bericht de discussie of het nu een hack of een crack is. Bovendien is vaak bij het schrijven van een bericht niet in detail duidelijk wat er gebeurd is en dat maakt het ook lastig te oordelen welke term het beste van toepassing zou zijn.
Ik kan me ook het omgekeerde afvragen en dat lijkt me nog logischer ook eigenlijk. Waar komt die term cracker vandaan?
Je hebt een punt, maar het woord cracker zou hier bij Tweakers zeker bekend moeten zijn zoals Shark.Bait al aangaf. Tik het woord maar eens in de search, dan zie je dat het al een lange geschiedenis hier heeft. :) Voor het grote publiek staat een hacker, cracker of scriptkiddie inderdaad onder hetzelfde kopje als Hacker (helaas). Waarom? Gebrek aan inzicht over de situatie, wat niet heel gek is aangezien het snel complexe materie is. Maar dat hoeft nog niet te betekenen dat er geen onderscheid is tussen deze groepen en hun belangen/motivatie.
Sommigen vinden een poging tot binnendringen al ontoelaatbaar terwijl anderen het gepast vinden om een bedrijf geld af te troggelen voor de 'bewezen diensten'. Krijg je straks bij ieder bericht de discussie of het nu een hack of een crack is.
Welkom op Tweakers :Y)
Voor het grote publiek staat een hacker, cracker of scriptkiddie inderdaad onder hetzelfde kopje als Hacker (helaas). Waarom? Gebrek aan inzicht over de situatie
Als je iemand gebrek aan kennis verwijst is het ook wel prettig als je dan even een verwijzing opneemt naar een bron van de kennis waar je aan refereert. Alleen aangeven dat het op tweakers in het verleden zo gebruikt werd is een nog al mager argument.
Maar dat hoeft nog niet te betekenen dat er geen onderscheid is tussen deze groepen en hun belangen/motivatie.
In de praktijk zijn die afgebakende groepen er helemaal niet. Als dat zo was dan was het ook niet nodig om nu een wettelijke definitie op te stellen van de voorwaarden waar een 'ethische hacker' aan moet voldoen.
Tik het woord maar eens in de search, dan zie je dat het al een lange geschiedenis hier heeft.
Cracker 82 artikelen (waarvan 1 met het woord cracker in de titel)
Hacker 1948 artikelen

Mijn conclusie is dan ook dat het woord cracker jaren geleden een korte periode soms gebruikt werd op tweakers.

[Reactie gewijzigd door Tribits op 5 januari 2013 00:17]

Tenzij een "etische hacker" gevoelige informatie te lezen krijgt van de AIVD door een kwetsbaarheid aan te tonen in hun systeem?
Het is een heel goed initiatief, maar de 60 dagen termijn is te vaag. Er moet onderscheid gemaakt worden in risico. Voor persoonsgegevens (naw, datasets, logs, logins) zou 1-2 dagen acceptabel zijn, maar voor minder belangrijke informatie zoals pagehit counters (die incremental dingen) kan een maand+ ook prima. Direct toegang tot een dns host, machine sturing of kerncentrale moet binnen één dag verholpen zijn én gemeld worden bij NCSC.
Ik vind dit enigszins een positieve ontwikkeling. Het lijkt alsof de regering de weg wijst voor wat betreft vervolgen (of juist niet) van "ethisch hacken". De reikwijdte van de definitie van "responsible disclosure" is helaas beperkt gebleven:

"Responsible disclosure binnen de ICT-wereld is het op een verantwoorde wijze en in gezamenlijkheid tussen melder en organisatie openbaar maken van ICT-kwetsbaarheden op basis
van een door organisaties hiervoor vastgesteld beleid voor responsible disclosure"


Zie nou die "gezamenlijkheid tussen melder en organisatie" bij het openbaar maken te bereiken. Helemaal als de organisatie de economische overweging maakt om niets/weinig aan de lek te doen.
En als de door de organisaties vastgesteld beleid omtrent "disclosure" is om geen disclosure toe te staan? |:(
Bedrijf 2x schriftelijk waarschuwen met 2x 2 weken responce tijd en dan naar de media zonder concrete info over hoe de hack uit te voeren of het publiceren van klant gegevens lijkt me een beter plan. In deze leidraad van Opstelten heeft de etiche hacker geen stok achter de deur.

Persoonlijk zou ik er niet happig op zijn om lekken bij het SCS te moeten melden. Is een beetje als naar de politie gaan en zeggen dat je weet hoe je bij de juwelier moet inbreken. Vind ik een uitnodiging tot lastige vragen. De anonimiteit van de hacker moet gewaarborgd kunnen worden.
En wat doet een cracker die misleid.
Dus die beweerd dat hij een ethische hacker is.

Ik denk dat het beter is om de juiste aanpak te volgen:
- informatie voorziening;
- plan van aanpak;
- ontwerpen en uitwerken;
- testen en nog eens testen; en laten testen; gebruik een eventlist hiervoor, daarvoor zijn ze bedoeld;
- checks uitgevoerd? dan pas distributie;
- wil het bedrijf veiligheid controleren, dan zouden ze een hacker kunnen inhuren zodat hij de uren betaald krijgt;

Een ethische hacker die kan natuurlijk ook zijn behulpzaamheid/dienst eerst aanbieden en dan pas het proberen te hacken. Lijkt mij tenminste logisch als men zo ethisch is.

[Reactie gewijzigd door BoringDay op 3 januari 2013 20:03]

En wat doet een cracker die misleid.
Dus die beweerd dat hij een ethische hacker is.
Net zoveel als een cracker die helemaal niets zegt. Daar sta je dan met je adviezen, wetgeving en handhaving. Dan blijkt ineens dat die anonieme meneer met een Russisch IP-adres eigenlijk best lastig tot de orde te roepen is. Of die Nederlandse meneer die zijn naam wel bekend had willen maken, maar vreest dat hij vervolgd wordt. Kortom: ben blij dat hij zich überhaupt meldt, mocht het fout gaan dan kun je hem onderzoeken en mocht het goed gaan dan is het helemaal mooi.

De aanpak die je noemt is goed, maar zo doen veel bedrijven het nou eenmaal niet. Want dat kost geld. Dat kan veel sneller en goedkoper, en het werkt net zo goed toch? De manager vindt het er helemaal niet onveilig uit zien hoor.
Een ethische hacker die kan natuurlijk ook zijn behulpzaamheid/dienst eerst aanbieden en dan pas het proberen te hacken. Lijkt mij tenminste logisch als men zo ethisch is.
En dan zegt het bedrijf "nee, ga weg, we kennen jou helemaal niet". :P Terwijl je bij je eerste poging tot SQL-injectie al data kan binnentrekken. Wat doe je dan? Nou, de richtlijnen van Ivo opvolgen bijvoorbeeld. Een bedrijf neemt echt niet zomaar willekeurige mensen aan die mailen dat ze het bedrijf zouden kunnen helpen hoor.

[Reactie gewijzigd door bwerg op 3 januari 2013 22:34]

Nee dat gaat meestal juist niet goed.
Goedkoper en sneller betekent simpel weg, te laat en de klanten zijn dan al gedupeerd.

Terwijl het bedrijf verantwoording moet nemen en veiligheid als een serieus onderdeel dient te beschouwen.

Wil je data met gegevens van klanten bewaren, dan moet je gewoon ook voor zorgen dat het goed getest is en anders moet je het product niet eens kunnen leveren lijkt me.
Er zijn twee zaken die me telkens ongelofelijk irriteren bij het lezen van berichten over "hackers" en aanverwante onderwerpen.
  • Je kan de virtuele en echte wereld niet met elkaar vergelijken.Het is geen Johnny Quest. Dat Piet Paulusma niets snapt zonder een Disney vergelijking is zijn probleem. Daarom zit hij niet in de regering tussen de wetgevers. Helaas zitten er daar nog wel een aantal anderen met hetzelfde probleem als Piet.
  • Hoe moeilijk is het om anoniem te mailen met een bedrijf. Je kan wel een website/server/systeem, hacken, maar niet even via proxy een bedrijf een mailtje of post of telefoontje sturen waarin je ze e.e.a. duidelijk maakt? Dan heb je het misschien wel verdient** om gepakt te worden als het bedrijf je laat vervolgen, omdat je zelf even zo hard als het bedrijf zuigt in 'beveiliging'.
Het is een goede ontwikkeling dat deze richtlijn er nu is gekomen. Het is een richtlijn/leidraad! Dat betekent, naast dat het geen wetgeving is, dat het een idee geeft over wat de overheid als goed en fout ziet. Het geeft (wat wetten overigens ook niet doen) geen exacte what-to-do voor elke fictionele situatie zoals sommige Tweakers hier lijken te denken (en waarmee het niveau soms schrikbarend dichtbij de nu.nl lezers komt).

Is het werkelijk zo moeilijk je gezonde boeren verstand te gebruiken? Mensen die hacken om het vervolgens niet netjes te melden, melden het sowieso niet, of zijn al illegaal bezig door geld te vragen van het bedrijf in ruil voor de specificaties van het gevonden lek.

Mensen die wel met een goede bedoeling hacken en het netjes melden, worden met deze leidraad gesteund waar ze zich eerder (in elk geval meer dan nu) in een grijs gebied bevonden. Tegelijkertijd worden de mediageile nephackertjes er even op gewezen dat het wel echt de bedoeling moet zijn om een lek op te lossen, en niet om je naam in het nieuws te krijgen. Om het allemaal niet te vaag te houden wordt er met een tweetal termijnen gegooid (zestig dagen en een halfjaar), zodat er in elk geval iets concreets is.

En zo probeert minister Opstelten te voorkomen dat hij steeds als besluiteloze koe overkomt in de berichten die de revu passeren mbt dit onderwerp.

**nou niet allemaal dom hierop gaan reageren, is vrij duidelijk dat ik niet bedoel dat het goed is dat 1 op de 10.000 bedrijven die zon melding krijgt er moeilijk over gaat doen

[Reactie gewijzigd door rotterdams op 3 januari 2013 23:02]

De ethische hacker bestaat, wil niet in de media en rommelt slechts aan deuren om werkelijk te helpen als hij/zij iets ontdekt dat er eigenlijk niet had mogen zijn. Die zijn met deze leidraad geholpen. Het zal waarschijnlijk nooit onderdeel worden van onze wetgeving, stomweg omdat je hier te maken hebt met hele uitzonderlijke gevallen van toevallige lek-ontdekkingen. Het is nobel om deze lekken te dichten voordat er misdadige hackers voorbij komen, vandaar deze uitzondering.

Menig bedrijf dient zich echter wel beter achter de oren te krabben wanneer zij gebruikersgegevens á la plain text opslaan in hun kwakkelige databases. Dat zou langzamerhand wet-technisch wel een "strafbaar feit" mogen worden als je het mij vraagt...

[Reactie gewijzigd door kwibus op 4 januari 2013 11:47]

Een ethische hacker klopt eerst aan voordat die een vreemd huis binnenloopt.
Anders is er werkelijk niks ethisch aan.

Op dit item kan niet meer gereageerd worden.



Populair: Tablets Nokia Smartphones Beheer en beveiliging Google Apple Sony Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013