Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 51, views: 11.352 •

De PvdA wil dat ethische hackers, die zonder kwade bedoelingen beveiligingsproblemen in ict-systemen aantonen, wettelijk worden beschermd. Nu bestaat er slechts een 'leidraad', waardoor ethische hackers in sommige gevallen toch vervolgd kunnen worden.

PvdA-Kamerlid Astrid Oosenbrug zei tijdens een debat in de Tweede Kamer woensdag dat de partij deze zomer met een wetsvoorstel wil komen om ethische hackers wettelijke bescherming te geven. Zo kan een hacker niet alleen tegen strafrechtelijke vervolging worden beschermd, maar ook tegen civiele rechtszaken door bedrijven. Nu kan een bedrijf dat niet blij is met een hack, de ethische hacker alsnog aanklagen, redeneert Oosenbrug. Bovendien vindt ze de huidige 'leidraad' te vrijblijvend.

"Vooral voor bedrijven zijn er weinig verplichtingen", aldus Oosenbrug tegenover Tweakers. "In de richtlijn zie je dat als een bedrijf niet tevreden is met de ethische hacker, dat er alsnog vervolging kan worden ingesteld", zegt het Kamerlid. Dat wil ze met de wet voorkomen, net als civiele rechtszaken door bedrijven. Het PvdA-Kamerlid vindt ethische hackers gelijk aan klokkenluiders.

Het Kamerlid wil het wetsvoorstel crowdsourcen en zal daarvoor input verzamelen tijdens het hackersevenement Observe Hack Make, dat deze zomer in een recreatiegebied bij Alkmaar wordt gehouden. Of coalitiepartner VVD het wetsvoorstel gaat steunen is onduidelijk, al verklaarde een VVD-parlementariër wel dat hij vond dat ethische hackers bescherming verdienen.

Eerder dit jaar presenteerde minister Ivo Opstelten van Veiligheid en Justitie een interne leidraad, waarin staat dat het kabinet niet wil dat ethische hackers worden vervolgd. Daartoe moet een hacker aan een aantal voorwaarden voldoen; hij moet proportioneel handelen; het hacken moet noodzakelijk zijn om het lek aan te tonen en het hacken moet 'noodzakelijk zijn in een democratische samenleving'. Ook mogen gegevens niet worden gekopieerd en mogen er geen aanpassingen worden verricht aan het systeem.

Tegelijkertijd erkent Opstelten dat het Openbaar Ministerie een zelfstandige organisatie is en dus toch tot vervolging kan overgaan en hij kan dan ook niet uitsluiten dat een ethische hacker toch wordt vervolgd. Desondanks ziet de minister niets in betere bescherming van ethische hackers.

Verder vergaderde de Tweede Kamer onder meer over het voorstel van Opstelten om verdachten van zware misdrijven te hacken. Volgens Kamerlid Oosenbrug moeten 'computerdoorzoekingen' aan dezelfde strenge voorwaarden voldoen als huiszoekingen. Kamerlid Kees Verhoeven van D66 noemt het wetsvoorstel, dat begin deze maand is gepresenteerd, ondoordacht.

Reacties (51)

En wie bepaald welke hacks ethisch zijn?
of moet je dan eerst je ethical hacking certificaat halen wil je vrijuit gaan?
En wie bepaaldt welke hacks ethisch zijn?
Wat dacht je van de rechter?
en die heeft daar verstand van;) tim kuik als rechter! poppenkast..
Elke hack is anders, ben benieuwd hoe dit in de praktijk ooit van de vloer komt.

[Reactie gewijzigd door 151407 op 29 mei 2013 19:40]

Ja, er zijn ook rechters die daar verstand van hebben. Je hoeft voor de beoordeling van het doel van een hack ook geen informatica gestudeerd te hebben.
Het gaat er natuurlijk niet om of je een rechter hebt die er verstand van heeft, immers moet een uitspraak niet gebaseerd zijn op een persoonlijk oordeel. Het is dus goed dat een regeringspartij hiermee bezig is, om de wet concrete handvatten te bieden om bij dergelijke zaken een wat concretere basis te hebben voor een bepaalde uitspraak.
Met nieuwe rechtspraak worden de studies rechten ook weer aangepast. Als de wet zegt dat er onderscheid moet worden gemaakt tussen ethische en onethische hackers krijg je vanzelf rechters die zich daarin gaan specialiseren, net zoals je rechters kreeg die gespecialiseerd zijn in intellectueel eigendom of bedrijfsfraude nadat er wetgeving rond die onderwerpen werd gemaakt.
Een rechter wordt in de rechtzaak ingelicht door de advocaten van beide partijen. He is zaak aan de advocaat van de ethische hacker om goed uit te leggen wat het is en hoe dit op zijn of haar cliŽnt van toepassing is.

On:
Ik vind dit echt een mooie stap! Als ik een bedrijf had zou ik met zulke mensen in contact willen blijven. 'Freelance' testers van je systeem zijn het eigenlijk.
Dit is helemaal geen mooie stap. Dit is een vrijbrief voor hackers om hun gang te gaan. Zolang ze de data niet hebben weggesluisd zijn ze straks volledig legaal bezig. Iedere hacker zal nu zonder problemen kunnen inbreken en de beveiliging van systemen kunnen testen op zwakke plekken zonder dat een bedrijf daar juridisch iets tegen kan doen.
Hacken blijft alsnog inbreken op andermans computersystemen terwijl je daar over het algemeen niet toe uitgenodigd bent. Je weet, of kan in ieder geval aannemen, dat je ongewenst bent. Toch jezelf toegang verschaffen kan dan nooit ethisch genoemd worden.

Een deel van de bedrijven zal er blij mee zijn maar voor genoeg bedrijven zal het alsnog erg vervelend zijn. Je moet precies uitzoeken wat de hacker gedaan heeft en of je systemen nog wel veilig zijn. Dat kost een hoop tijd en geld en dan is het vaak een stuk voordeliger daar een professioneel bedrijf voor in te huren.

Zeker civiele vervolging willen tegengaan is belachelijk. Als een bedrijf schade heeft omdat het tijd en geld kwijt was om de hack tegen te gaan of als door de hack per ongeluk productie stil kwam te liggen moet dat gewoon te verhalen zijn op de hacker.

Je wilt in de analoge wereld niet dat iemand 's nachts komt testen of je bedrijf wel goed beschermd is tegen inbrekers, waarom zou dat in de digitale wereld dan wel mogelijk moeten zijn? Alsof geen fysieke schade aan apparatuur direct betekent dat er ook geen nare gevolgen zijn.

Ik zie het al voor me. Met een paar man De Nederlanse Bank hacken en uitvoerig de beveiliging in kaart brengen. Geen probleem hoor, we doen het allemaal heel ethisch dus je kan ons niks maken. En dan, wanneer je zeker weet dat de kust veilig is, toeslaan.

Volgens mij zijn politici bezig met wetten maken over onderwerpen waar je geen verstand van hebben. Dit bekt natuurlijk mooi in de media en is mooi in het straatje praten van de "ICT'er" die leest dat ethische hackers alsnog aangeklaagd kunnen worden, maar in de praktijk is het gewoon een zeer raar voorstel.

[Reactie gewijzigd door Tsurany op 29 mei 2013 17:09]

Het gaat over ethische hackers. Mensen met volledig goede bedoelingen. Wat jij allemaal beschrijft heeft niets met het plan of de ideeŽn van de PvdA te maken.

In de analoge wereld iemand die een raam vindt dat altijd openstaat, niet inbreekt en dit vervolgens verteld aan de baas van dat bedrijf is niet bepaald een crimineel, en wordt juist bedankt voor zijn ondersteuning van de veiligheid van het bedrijf lijkt mij.

Tenslotte zullen hackers altijd blijven bestaan. Het is niet zo dat door deze wet opeens een lading hackers zullen opduiken. Deze wet zal er voor moeten zorgen dat bescherming en veiligheid juist alleen maar beter wordt. In essentie dus een goed idee, hoewel de uitvoer wellicht een stuk lastiger zal worden.
Dat heeft er juist wel mee te maken, een open raam rapporteren heeft niks met hacken te maken, ook de digitale equivalent niet. Het gaat hier niet om enkel kijken of SQL statements afgevangen worden in een login pagina, het gaat een stuk verder dan dat. Het probleem is juist dat er straks een heel juridisch gevecht gaat komen of een hack wel of niet ethisch was en wat wel of niet onder schade gaat vallen.
Je kan niet ethisch hacken door geen poging tot inbraak uit te voeren. Zeker niet bij complexe systemen waarbij je door meerdere beveiligingslagen heen moet breken. Je moet dus wel actief de aanval inzetten en dat alleen kan al schade veroorzaken. Dat die schade niet fysiek is betekent niet dat het geen schade is.

Je moet de discussie omtrend hacken niet gaan verschuiven naar een juridisch gevecht over wat wel of niet ethisch is, want daar gaat het uiteindelijk wel heen. Het moet gewoon duidelijk zijn dat inbreken op een systeem verboden is als je geen toestemming hebt gekregen.

Beveiliging testen blijkt nobel in zaken zoals de OV chipkaart maar waar ga je de grens trekken? De systemen van een financiele instelling testen is nodig in een democratische samenleving omdat ons financiŽle systeem afhankelijk is van deze instellingen. Is dan het hacken van de payment providers toegestaan omdat het "in het belang van de samenleving" is?

Concentreer je liever op het inhuren van beveiligingsexperts om dit te doen dan de samenleving hier een vrijbrief voor te geven.
Ik vergelijk het liever met een autodeur openen om te kijken of het 'pinnetje' van het slot nou wel of niet omhoog staat. Als je de deur open krijgt, is dat inbreken in een auto? Ook al ga je erna naar de eigenaar toe om te melden dat de auto niet goed op slot zat?

Ik vind het een goed plan! Wat belangrijk is, is dat er niks gestolen wordt of virussen geplaatst worden etc. Het stukje over het niks mogen veranderen is eigenlijk al twijfelachtig want meestal wordt er iets veranderd met een hack. De vraag is wŠt er dan veranderd wordt, en of dat te ver gaat.

Het meest belangrijke vindt ik dat er eerst (aantoonbaar) gewaarschuwd moet zijn, maar dat zie ik dan weer nergens terug.

Als niemand het belangrijk genoeg vindt om een (bijvoorbeeld) medisch systeem goed te beveiligen, waar MIJN persoonlijke gegevens in staan, wat moet er dan nog gebeuren om het recht te breiden? Juist, burgerlijke ongehoorzaamheid; en dat moet zich in cyberspace uiten in ethisch hacken.

Was de wereld maar zo dat beveiliging verbeterd wordt na een goede melding! Dan hadden we geen ethische hackers nodig!
Nee, burgerlijke ongehoorzaamheid heeft hier niks te zoeken. Sterker nog, een burger heeft niks te zoeken in systemen met medische gegevens. Ook niet om de testen of die wel of niet goed beveiligd is. Dit hoort getest te worden door professionele bedrijven die gespecialiseerd zijn in het testen van beveiligingen en die vertrouwd kunnen worden met de eventuele toegang tot het systeem wanneer het hacken van deze systemen mogelijk blijkt.

Je wilt niet dat iedereen zomaar kan gaan proberen zich toegang te verschaffen tot medische gegevens net zo min als dat je wilt dat iemand maar gaat proberen auto's open te breken (zonder schade) om te kijken of ze slecht beveiligd waren.
Het gaat er juist niet om of hij enkel kijkt of je auto op slot zit, dat is vergelijkbaar met kijken of de gegevens beveiligd zijn. Het gaat hier juist om het testen van de kwaliteit van de beveiliging en dus de kwaliteit van het auto slot. Proberen de auto open te breken om aan te tonen dat hij makkelijk opengebroken kan worden.

Je test beveiliging niet door te kijken of deze beveiliging actief is. Je test het door eindeloze pogingen om deze beveiliging te omzeilen en binnen te dringen in de systemen. Dat is direct mijn grote bezwaar, je zorgt dat mensen ongestraft pogingen kunnen wagen en pas wanneer ze iets met de hack doen wordt het strafbaar gesteld. Dat is dus toestaan dat mensen autosloten proberen open te breken en pas ingrijpen als ze wat uit de auto stelen, het slot beschadigen of na afloop niet melden dat je slot open te breken was. Ik wil niet dat iemand dat met mijn auto kan en ik wil niet dat iemand dat met mijn bankgegevens, medische gegevens of welke gegevens dan ook kan.
Hmm, ben bang dat we hier niet uitkomen :)
Gezien je +2 en mijn +1 zijn de meeste het nog met je eens ook.

En zoals eerder aangegeven, ik wil niet dat er gebroken wordt dat er iets kapot gaat. Dus een slot open breken is niet wat ik wil. Alleen een deur openen is mijn grens. Je probeert je punt te maken met iets waar ik het met jou over eens ben. Neem dat verhaal met Henk Krol van 50-plus. (ok=mijn mening) Dat hij eerst bij het bedrijf aangaf dat het niet goed zit; is ok. Dat hij na geen gehoor aantoonbaar 'hackt'; is ok. Dat hij iets heeft gedownload. Dat is dan weer niet goed.

Ik blijf bij mijn punt(en) en hoop dat je ideale wereld realiteit wordt, maar helaas ben ik wat minder optimistisch over het 'dit hoort getest te zijn' wat in mijn werkelijkheid dus te weinig (niet?) voor komt.

Ik kan het met je eens zijn op het moment dat de regering een blik ethische hackers in dienst neemt en deze hiervoor inzet. (en ook dan moeten ze zich eerst bewijzen) Dan ga ik mogelijk mijn mening herzien.
je zorgt dat mensen ongestraft pogingen kunnen wagen en pas wanneer ze iets met de hack doen wordt het strafbaar gesteld.
Nee, dat is het niet. Onderdeel van informatiebeveiliging is ook of je in de gaten hebt dat je wordt aangevallen - vergelijk het met een camera plaatsen die in gaten houdt of er onbevoegden aan jouw auto lopen te morrelen. Als je dat ziet kun je ze stoppen voordat ze daadwerkelijk inbreken, ongeacht hun intenties. Wat jij zegt is dat bedrijven dat maar helemaal niet hoeven te doen, ze hoeven helemaal niet te investeren in 'surveillancesystemen' en -procedures die dat in de gaten houden, en dat het voldoende is om de put te dempen als het kalf verdronken is - als er inderdaad criminelen met gegevens aan de haal gaan.
Ik wil niet dat iemand dat met mijn auto kan en ik wil niet dat iemand dat met mijn bankgegevens, medische gegevens of welke gegevens dan ook kan.
En hoe wil je erachter komen dat dat wťl kan? Wil je dat dat gebeurt door mensen die illegaal, maar te goeder trouw bezig zijn, of wil je daar achter komen doordat jouw gegevens op straat liggen?
Een ethische hacker gaat niet overal en nergens 'aan de deur' voelen. Een ethisch hacker heeft toestemming (en krijgt vaak geld) om bij een specifieke site of opdrachtgever aan de deur te voelen.

Of.. hij struikelt toevallig over een mogelijk beveiligingsprobleem en gaat dan, wanneer de verantwoordelijke niet luistert naar een waarschuwing, pas over tot het aantonen van dat gaat.

Tenslotte publiceert een ethisch hacker pas 'de hack' nadat het gat gedicht is of wanneer een bedrijf echt niet wil luisteren.

Niet allemaal heel zwart/wit, maar ik denk dat er zeker een goede richtlijn is op te stellen.
Hackers horen hun gang te gaan! Het is heel simpel. Als je nou gewoon je systemen zů maakt dat het (bijna) onmogelijk is om te hacken maakt het ook niet zo veel uit of mensen het proberen of niet...
Je weet, of kan in ieder geval aannemen, dat je ongewenst bent. Toch jezelf toegang verschaffen kan dan nooit ethisch genoemd worden.
En dat is dus nu maar net de vraag.

Als een bedrijf of instelling beschikt over gegevens, die in verkeerde handen serieuze gevolgen hebben voor betrokkenen, is er een maatschappelijk belang in beveiliging ervan. De samenleving moet dus over middelen kunnen beschikken om dat te controleren.

Nu is het nog zo dat die controles allen legaal op vrijwillige basis kunnen gebeuren, namelijk wanneer zo'n bedrijf iemand inhuurt om dat te doen. Maar wat als zo'n bedrijf dat niet wil of doet? Wie gaat dan controleren of die beveiliging adequaat is? Als een bedrijf weet dat hun beveiliging (of gebrek daaraan) een maatschappelijk belang heeft, maar het niet wil laten controleren, is dat dan wel ethisch? Ze willen wel geld verdienen aan of met behulp van jouw gegevens, maar willen niet investeren in bescherming ervan, is dat ethisch?
Als een bedrijf schade heeft omdat het tijd en geld kwijt was om de hack tegen te gaan of als door de hack per ongeluk productie stil kwam te liggen moet dat gewoon te verhalen zijn op de hacker.
En wat als die hacker daarmee vervolgschade voorkomt? Wat als die hacker daarmee voorkomt dat Russische criminelen met jou creditcardnummer of sofinummer aan de haal gaan? Wordt hij daar dan ook voor beloond? Want dŠt is het risico. Niet die ethische hacker. Criminelen zijn het risico. En die houden zich - per definitie - toch niet aan de wet, dus of je hacken legaal maakt of niet maakt daarvoor niet uit.
Je wilt in de analoge wereld niet dat iemand 's nachts komt testen of je bedrijf wel goed beschermd is tegen inbrekers, waarom zou dat in de digitale wereld dan wel mogelijk moeten zijn?
Omdat ten eerste het risico dat Ivan uit de OekraÔne even langs jouw bedrijf komt in de fysieke wereld nihil is, terwijl het in cyberspace een reŽel risico is; en ten tweede omdat het fysiek ontvreemden van iets vaak alleen schade oplevert voor het bedrijf, en niet voor zijn klanten, en er dus geen (of in ieder geval een veel kleiner) maatschappelijk belang is.
Ik zie het al voor me. Met een paar man De Nederlanse Bank hacken en uitvoerig de beveiliging in kaart brengen. Geen probleem hoor, we doen het allemaal heel ethisch dus je kan ons niks maken. En dan, wanneer je zeker weet dat de kust veilig is, toeslaan.
Er staat nergens dat bedrijven ethische hackers hun gang moeten laten gaan als ze in de gaten hebben dat ze worden aangevallen. Dus zodra ze het in de gaten hebben kunnen ze het stoppen, en als ze het niet in de gaten hebben, hebben ze een probleem. En dan heb ik liever dat dat probleem veroorzaakt wordt door ethische hackers dan door criminelen.

Kost dat geld? Jazeker. Informatiebeveiliging kost geld. Alleen is informatiebeveiliging veel en veel breder dan alleen een inlogschermpje met usernaam en wachtwoord. Maar veel organisaties beseffen dat niet, en willen niet investeren in preventie. Dat hoeven ze nu ook niet, want ethische hackers mogen toch niks, met als gevolg dat lekken pas boven water komen als het te laat is. Door ethische hackers meer vrijheid te geven worden bedrijven wel gedwongen om meer te investeren in preventie. 'Security by legally sanctioned obscurity' werkt dan immers niet meer.

[Reactie gewijzigd door Iknik op 30 mei 2013 09:28]

En als de plannen van het PvdA door gaan kan de rechter er dus geen uitspraak meer over doen omdat er geen rechtszaak komt...
Zo kan een hacker niet alleen tegen strafrechtelijke vervolging worden beschermd, maar ook tegen civiele rechtszaken door bedrijven.
Dat een wet bestaat, wil nog niet zeggen dat er geen civiele procedure kan worden gestart. De uitkomst zal alleen anders zijn.
Dat zal maar net liggen aan hoe de wet daadwerkelijk beschreven zal worden. Ik vraag me dus wel af in welke definitie dit opgenomen gaat worden.

De definitie van vervolging is het "onderzoek of beslissing van de rechter vorderen". Dat betekent dat er wanneer iets onvervolgbaar is, geen rechter aan de pas komt. Maar zo zwart/wit zal het denk ik in de praktijk niet zijn, omdat er situaties zijn waarbij het dus op voorhand niet duidelijk is of aan de criteria is voldaan.

Wat ik mij voor kan stellen:
Het bedrijf in kwestie daagt de hacker voor de rechter, de rechter besluit dat het gaat om een ethischehack, is dat het geval: zaak van de baan en anders de reguliere procedures. Volgens mij is dus gewoon mogelijk met de huidige wetgeving en is het dan zo dat de aanklagende partij niet ontvankelijk wordt verklaart en de vordering wordt gestaakt.

Op deze manier heb je een onafhankelijke toetsing en is de casus op zichzelf toch bekeken.

[Reactie gewijzigd door Passeridae op 29 mei 2013 17:40]

Maar dan bel je al een stap verder dan vervolging. Echter denk ik dat er in de wet heel erg expliciet moet worden omschreven wat valt onder ethisch hacken..

Daarbij zou je kunnen denken aan een register waar ethische hackers (met DigiD controle) kunnen melden welk systeem ze onder de loep nemen en op welk onderdeel. Daarnaast moet de hacker een eventueel lek niet alleen melden bij het betreffende bedrijf, maar ook bij het register. Deze kan dan het betreffende bedrijf in de gaten houden en na enkele waarschuwingen de pers informeren.

Zomaar een aanval via bijvoorbeeld een megasploit toolkit lanceren is dus niet ethisch. Verder dient er een commissie te komen welke op basis van steekproeven hackers om een toelichting vraagt en dus controleert of de betreffende hacker daadwerkelijk kennis heeft over het probleem welke hij/zij probeert bloot te leggen.

Dit om te voorkomen dat een hacker van alles uit probeert met diverse tools en uiteindelijk roept dat het in het maatschappelijk belang was..
Ik denk dat het begrip "Etische hack" vrij eenvoudig te vertalen is naar:
-Geen schade toedragen aan systemen
-De hack bekend maken bij de getrofenne
-Geen informatie ontnemen

Nu zal vooral die laatste lastig worden. Als je bijv. een SQL Injection wil testen haal je al snel informatie op. Maar dit is dan inderdaad aan de rechter. (1 rij met 1 klant of een tabel is best een verschil).
een rechter of jury lijkt me al een goed begin, nee?
@XennOX

Antwoord op jou vraag staat in de tekst:
Daartoe moet een hacker aan een aantal voorwaarden voldoen; hij moet proportioneel handelen; het hacken moet noodzakelijk zijn om het lek aan te tonen en het hacken moet 'noodzakelijk zijn in een democratische samenleving'. Ook mogen gegevens niet worden gekopieerd en mogen er geen aanpassingen worden verricht aan het systeem.

[Reactie gewijzigd door Mocro_Pimpģ op 29 mei 2013 21:00]

Wat de PvdA nu lijkt te vergeten is dat het extreem lastig is om te bepalen of iemand een ethische hacker was indien hij tijdens het hacken word betrapt (en sowieso is het lastig). Met een leidraad werd de verantwoordlijkheid omtrend deze beslissing bij de bedrijven gelegt wat dus betekende dat als gray hat hacker je alleen probeerd "binnen te dringen" bij bedrijven waarvan je weet dat ze het kunnen waarderen. Als je het nu een wet maakt dat gray hat hacking mag, dan gaan hackers zich er op beroepen en dan weet ik ook niet waar we eindigen. Wie weet hoeveel hackers dan alleen hun illegale activiteiten verstoppen en de rest gewoon open en bloot doen. Of iets gekopieerd is is bijvoorbeeld niet te zien vaak (hangt van de hack en nog veel meer af, maja, hacks gebeuren niet bij de bedrijven die logging naar read only media doen enzo).
"maja, hacks gebeuren niet bij de bedrijven die logging naar read only media doen enzo."

Hoe kan je loggen naar een readonly medium? Je zal toch moeten schrijven om te loggen.
Dat je de logs die niet meer worden bijgewerkt wegschrijft naar een historisch log, write once medium, ok. Maar dan nog is de actieve log (die dan ws elke dag cycled) nog te veranderen...
Soort half bakke veiligheids maatregel in mijn ogen.

[Reactie gewijzigd door jozuf op 29 mei 2013 16:53]

Dat laatste stuk is echt onzin, zelfs de meest beveiligde systemen worden gekraakt. Simpelweg stellen dat logging naar read only media een hack kan tegenhouden is onjuist en eigenlijk een vrij rare redenatie. Logging wilt zeggen dat je bijhoud wat er gebeurt, het is op geen enkele manier een beveiliging, het maakt enkel het achterhalen van wat er gebeurt is makkelijker. Echter logging blijft alsnog het werk van software waar fouten in kunnen zitten waardoor het te manipuleren is. Je hebt niks aan read only media als je logging software onderuit gehaald kan worden of als er enkel onjuiste data naar toegestuurd wordt.
Hacken is nooit te voorkomen, je kan het ze enkel zo lastig mogelijk maken. Als je ziet dat op het hoogste niveau bij defensie hacks voorkomen moet je wel heel veel lef hebben om te stellen dat het allemaal zo simpel te voorkomen is. Of je moet echt niet weten waar je over praat.
Het Kamerlid wil het wetsvoorstel crowdsourcen en zal daarvoor input verzamelen tijdens het hackersevenement Observe Hack Make, dat deze zomer in een recreatiegebied bij Alkmaar wordt gehouden.


Op een hackers event vragen of ze niet vervolgd willen worden wanneer ze ethisch hacken. Volgens mij kun je veel meer te weten komen als je andere vragen stelt. Want het antwoord op die vraag is mij wel bekend.

Ik kan me voorstellen dat bedrijven niet graag hebben dat er een hacker door gegevens zoekt. Dat voelt gewoon als inbreuk op geheime documenten ongeacht de bedoeling van de hacker.
Vreemd plan.

IRL betekent dit dat ik mag proberen in te breken, zolang ik maar 'proportioneel handel', en bij arrestatie maar beweer dat ik alleen probeerde aan te tonen dat de beveiliging van het huis niet deugde.

Deze 'ethische hackers' zijn meestal niet te beroerd om toch even rond te neuzen, en dat is een slechte zaak.
En daar ga je dus over de streef als hacker. Dat is juist wat deze wetgeving duidelijk wil maken.
En beetje rondstruinen om aan te geven en bewijzen waar je toegang tot had/hebt is nou ook niet echt met kwaad in de zin. Je moet immers aantonen dat de beveiliging niet op orde is. Dat doe je niet door het sleutelgat te turen...
Een wet lijkt me een veel beter idee. Die leidraad is leuk maar niemand hoeft zich eraan te houden en je voor de rechter moeten verantwoorden is voor individuen erg duur en risicovol.

En het zijn vaak ook gewoon een soort klokkenluiders, sommige bedrijven hebben de beveiliging gewoon niet op orde. Eigenlijk zouden de bedrijven een boete moeten krijgen als er bijvoorbeeld hele privacy gevoelige data zomaar op straat kan komen liggen.

[Reactie gewijzigd door Mr_gadget op 29 mei 2013 16:45]

"noodzakelijk zijn in een democratische samenleving"
eh.... wat?

Welllicht dat het hacken van de stemcomputer daaronder valt, maar verder?
Noodzakelijk, proportioneel, dat worden lange betogen in de rechtzaal!
D'r moet eens iemand bij al die kamerleden een autoruitje intikken.
"Ik wou effe kijken hoe gevoelig je auto is voor auto-inbraken. Nou, erg gevoelig hoor. Ik had zo je sigaretten-aansteker kunnen stelen. Heb ik niet gedaan, want ik ben een goeie. Ik zou er snel wat aan doen als ik jou was. Doei."
Misschien dat ze dan beseffen hoe onzinnig hun voorstel is.

[Reactie gewijzigd door gryz op 29 mei 2013 16:50]

Alleen hoef je bij zon hack geen nieuwe server of dergelijke te kopen ;)
En bij een ingetikte autoruit wel.
Omdat er geen fysieke schade is betekent het niet dat er geen schade hoeft te zijn. Het vervangen van een autoruit is een stuk goedkoper dan de tijd die gestoken moet worden in een computer inbraak. Enkel al achterhalen wat er gebeurt is en de stappen van de hacker nalopen en zeker stellen dat er niks gestolen is kost al ontzettend veel tijd. En met uurtarieven van professionals die een stuk hoger liggen dan dat van iemand bij de Carglass heb ik eigenlijk liever dat ze de ruit van de systeembeheerder z'n auto intikken dan inbreken op een van de systemen waar gevoelige data opgeslagen ligt.
Het vervangen van een autoruit is een stuk goedkoper dan de tijd die gestoken moet worden in een computer inbraak. Enkel al achterhalen wat er gebeurt is en de stappen van de hacker nalopen en zeker stellen dat er niks gestolen is kost al ontzettend veel tijd.
Een beveiligingslek fixen kost inderdaad tijd ťn geld maar er is een fundamenteel verschil tussen herstellen wat gebroken is en verbeteren waar al een fout in zit. Of er gehackt is of niet, de fout in de software zit er.

Het komt er op neer of je liever voorzorgsmaatregelen treft of daders straft. Bij het toestaan van ethisch hacken weet je dat er beveiligingslekken gevonden en gemeld zullen worden. Er zal daarentegen een kans zijn dat gevoelige informatie bekeken/gekopieerd wordt.
Straf je ethisch hacken daarentegen af dan zullen bestaande gaten in de beveiliging minder snel opgemerkt worden door bedrijven wat op zich weer betekent dat 'niet ethische' hackers sneller bij beveiligde info kunnen komen. Daarbij is er geen garantie dat zo'n voorbeeldhacker gepakt wordt of dat de hack Łberhaupt wordt opgemerkt. De informatie wordt dan in ieder geval gekopieerd/bekeken. Wel kan je zo iemand sneller in de boeien slaan mits hij gepakt wordt. Ik stem iig voor voorkomen in plaats van genezen.
Enkel al achterhalen wat er gebeurt is en de stappen van de hacker nalopen en zeker stellen dat er niks gestolen is kost al ontzettend veel tijd.
En dus moeten we dat maar niet doen, en het risico dat kwaadwillenden er met onze gegevens vandoor gaan op de koop toe nemen?
Maar dan slaap je het systeem (de auto)

Als ik een SQL injectie doe, dan sloop ik opzich niks. Maar ik toon wel een zwakheid aan.
Als je de deur van de auto open doet, zonder iets te slopen, en het dan gaat zeggen, dan is er toch helemaal niks aan de hand?
Nee, het zou meer zijn dat je de deur van de auto openmaakt zonder het te slopen en dan een map met documenten van de passagiersstoel pakt, open doet, zeer gevoelige informatie ziet die nooit zo in de auto zou moeten liggen, als bewijs van 1 pagina een foto maken, de map weer dichtdoen en de deur weer terug op slot zetten. Dan de politicus die foto laten zien en zeggen dat ie beter op zn spullen met letten...
D'r moet eens iemand bij al die kamerleden een autoruitje intikken.
En wat is precies het maatschappelijk belang daarvan?
Dit kwam eerder ook elders aan bod, en sindsdien zeg ik telkens dit, mailde het ook aan 3 politieke partijen:

Een hack voor de test, daar moet een meldpunt voor komen, _vooraf_ dus opgeven dat je bijv. overheid.nl gaat hacken, uiteraard met al je naw gegevens en echte ip nummer e.d.

Dan kan het nog gebeuren dat iemand "per ongeluk iets hackt" gewoon omdat de webmaster/server beheerder e.d. een open huis niet ontdekten, in dat geval dient de hacker de overheid dit te melden, maar _ook terstond de website te verlaten_.

De rest zijn foei-hackers en verdienen straf. Iets in die trant dus.

Waar een wil is een weg, maar die software, hardware, internet en crimi crackers en hackers werken niet mee....
Ojee, een bericht over hacken, daar komen alle kromme inbraakanalogieŽn weer aan. Hacken is inbreken en downloaden is natuurlijk stelen ;) .

Dat terzijde is de hack zelf over het algemeen niet de veroorzaakte schade. De schade zijn de gegevens die worden buitgemaakt/verspreid. Is dat niet het geval, dan hou je het dichten van de gaten over wat weliswaar geld kost maar in de eerste plaats al op orde had moeten zijn. Wat de intenties zijn van de hacker is voor mij dan nog minder relevant. Als er niks is buitgemaakt en het systeem er veiliger door wordt, dan is het eindresultaat positief.

Voor de rest zijn de hackers maar zelden het probleem. Het probleem zijn meestal brakke systemen en een drang om teveel gevoelige informatie op te slaan. De hacks zijn een gevolg. Wil je persoonsgegevens opslaan? Prima, maar zorg ervoor dat het systeem zo veilig mogelijk is. Kan je dat niet garanderen? Dan gaarne ver weg blijven van het internet en alles wat ermee te maken heeft.

Net als dat er een tijdje iemand was die de gehele klantendatabase van de Tivoli kon binnentrekken door een variabele in de URL aan te passen, dit meldde en vervolgens een aanklacht tegen zich kreeg. Moet je niet willen.

Op dit item kan niet meer gereageerd worden.