Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 36 reacties

De Belgische minister voor telecom, Alexander de Croo, wil de eerder aangekondigde regeling voor ethische hackers eind dit jaar presenteren. Dat zegt hij in een interview met Datanews. Het Centrum voor Cybersecurity werkt de regeling nu uit.

Door de regeling moeten ethische hackers zonder risico op strafvervolging lekken kunnen melden bij bedrijven. Na de presentatie gaat De Croo 'kijken hoe we hierin voort kunnen bewegen', zegt hij in een interview met Datanews. De minister zegt verder: "Het zou ook interessant zijn als een aantal vooraanstaande Belgische bedrijven zeggen dat ze daar niet negatief tegenover staan. In een omgeving als deze moet je een zekere nederigheid tonen. Er zit geen waarde in om te zeggen dat je op het gebied van cyberveiligheid onfeilbaar bent. Daar open voor staan geeft aan dat je het belangrijk vindt en bereid bent het te verbeteren denk ik."

Het is nog onbekend hoe de richtlijn, die De Croo laat opstellen naar Nederlands voorbeeld, eruit gaat zien. "Het is een domein waarbij je in voortschrijdend inzicht moet werken en voorzichtig moet zijn. Nu moet je ook niet flauw doen. Elk bedrijf staat vandaag onder bedreiging van cyberaanvallen - niet alleen de groten. Als je de cijfers in de industrie opvraagt zie je dat 60 procent van de cyberaanvallen bij kmo's zit."

De Croo spreekt zich in het interview ook uit tegen het verzwakken of verbieden van encryptie, iets dat de Duitse en Franse regeringen willen. "Al onze communicatie hangt vast met encryptie. Niet enkel hoe we elektronisch communiceren. Het moment dat je zal zeggen dat encryptie niet mag, weet je niet wat daar de gevolgen van zijn. Encryptie is een van de bouwstenen van de manier van werken van vandaag, dus laat ons daar alstublieft geen vragen over stellen."

Hij merkt op dat kwaadwillenden de door overheden gewenste backdoors ook kunnen gebruiken. "Ik wil niet dat men zwakheden in communicatiemiddelen gaat inbouwen die iedereen in gevaar brengen. Daar heb ik echt een probleem mee. Want ook al krijg je toegang tot die diensten, er is altijd wel ergens een technologie die je een stap voor is. En als dat niet het geval is gaat men wel weer in codetaal spreken - net als vroeger."

De Croo stelt zich daarmee op hetzelfde standpunt als de Nederlandse regering, maar de baas van de Nederlandse geheime dienst denkt daar anders over. In een interview zei hij zaterdag de encryptie in chatapps te willen beperken.

Moderatie-faq Wijzig weergave

Reacties (36)

Maar is van encryptie afstappen (dus iedereen die het kan onderscheppen kan het inzien) niet vele malen erger dan een backdoor? Verder kan ik uit ervaring spreken als ik zeg dat het goed is dat er serieus wordt nagedacht over regelingen rondom ethisch hacken.

Ondanks dat hij absoluut geen leek is moet ik zeggen dat het wat makkelijk is om de uitspraak te doen "gaat men wel weer in codetaal spreken - net als vroeger" want als iets makkelijk te ontcijferen is dan is het wel het gebruik van codetaal, zeker die van de gemiddelde 'crimineel'.

[Reactie gewijzigd door Sneek op 19 september 2016 11:15]

Het is een kul verhaal waar we niet te lang bij stil moeten staan. Immers, als je versleuteling in chat apps gaat afzwakken, ga je dit dan ook voor TLS verbindingen doen? Dan kan je dus meteen stoppen met het internet want dan wordt al het betalingsverkeer meteen onveilig. Alle webshops moeten dan sluiten. Pinnen wordt dan onmogelijk. Zo niet, dan gaan chat apps gewoon TLS end-to-end gebruiken.

Ik denk dat Bertholee aan een stukje 'ass covering' doet, omdat hij weet dat er ooit eens een aanslag gepleegd gaat worden in NL. Dan kan hij natuurlijk roepen dat hij er voor gewaarschuwd had maar dat de politiek hem niet gegeven had wat hij wilde en dus dat hij het niet kon voorkomen.

[Reactie gewijzigd door ArtGod op 19 september 2016 12:12]

Wat je aan het eind benoemd doet mij ook hard afvragen waarom de beste meneer niet allang op het matje geroepen is wegens stemmingmakerij danwel het vals voorkaderen van de implicaties van zijn wensen. Een persoon in zijn positie is ZEER gevaarlijk bezig gezien mensen door zijn positie (normaliter) mogen verwachten dat hij ook wel weet waar hij het over heeft, zijn mening krijgt daardoor automatisch een soort draagvlak, zeer gevaarlijk.
Helaas zijn er nog steeds heel veel mensen die toch niets te verbergen hebben en simpel weg niet voldoende kennis hebben om te overzien wat de directe impact zou zijn van het verbieden van encryptie. Dus of hij het nu roept of een ander dat draag vlak is er al lang helaas zijn er veel mensen die echt denken dat encryptie verbieden een optie is. En als je ze uitlegt waarom dat misschien niet zo'n goed idee is dan willen ze het zo verzwakken dat de overheid altijd overal bij moet kunnen. Als je ze ook uitlegt dat dat niet kan omdat dat betekend dat iedereen overal bij kan dan lachen ze eerst een beetje maar als je ze uitlegt waarom dat het geval zou zijn dan is de reactie vaak: Oh dus de terroristen moeten gewoon maar hun gang kunnen gaan!?!? |:(

Veel al houd ik dan ook simpel weg mijn mond maar in dit soort discussies omdat flink wat mensen simpel weg niet kunnen bevatten dat je moet kiezen tussen of veilige communicatie of het stoppen van internet zo als wij het nu gebruiken en dan nog steeds geen de zelfde mensen met boze bedoelingen het zelfde zien doen en encryptie zien gebruiken.
De code taal opmerking van De Croo vind ik trouwens wel aandoenlijk, het is echt zo'n opmerking van een oudere man die dat als kind ook wel eens deed... Code taal gaat simpel weg niet werken omdat als de overheid of de vijand alles kan zien/horen dan kun je met redelijke zekerheid zegen dat ze ook instaat zijn de code te breken als dat nodig is.
Die opmerking over "dus terroristen moeten gewoon hun gang kunnen gaan?", is natuurlijk een drogreden. Namelijk een slechte oplossing met zeer beperkt effect (gaan terroristen stoppen met encryptie om zich aan de wet te houden?) met zeer grote gevolgen voor het dagelijks leven en vrijheid van ieder individu.

Ik denk dat er meer mensen zijn gestorven in de strijd voor vrijheid en zelfbeschikking dan er ooit zullen sterven door een terroristische aanslag. Kans om om te komen bij een terroristische aanslag in vele malen kleiner dan omkomen door een auto-ongeluk of misschien zelfs bliksem. Dus ja, ik kies liever voor dat risico dan mijn vrijheid en belangen als consument, burger, (niet-)gelovige, kiesgerechtigde en mens op te geven voor altijd waar zelfs generaties naar mij in toekomstige politieke en economische omstandigheden veel last van kunnen hebben, bijvoorbeeld als zorgverzekeraars zoals in de VS consumenten mag weigeren of hogere premies mag vragen op basis van risicoprofielen gebaseerd op vage informatiebronnen zoals vermoedelijk aanleg of boodschappen.
Dat hangt er net van af hoe je het bekijkt, iemand die graag zijn privacy waarborgt vind het vast vervelend dat iedereen kan zien wat hij of zij verstuurt, aan de andere kant zou je het argument kunnen maken dat op het moment dat /iedereen/ kan zien wat er wordt verstuurd er ook geen vage rechtzaken of arestaties zullen zijn over zogenaamd bewijs
Tuurlijk maar ik ben voorstander van geen van beiden. Als ik een privé chat heb dan is dat privé en gaat het niemand, dus ook niet de overheid, aan wat ik verstuur behalve de ontvanger. Als ik bepaalde zoekwoorden op mijn chatservice naar keuze intyp dan kom ik genoeg opmerkingen tegen die (in een verkeerde context) misschien voor problemen hadden kunnen zorgen.
Dat klopt, en ik ben het ook met je eens dat geen van beide de beste optie is, maar mocht dat niet mogelijk zijn dan heb ik liever dat iedereen het kan zien dan enkel een select aantal bij de overheid.
Let's agree to disagree. Ondanks dat ik je standpunt begrijp en we beiden van mening zijn dat 'geen van beiden' de beste optie is heb ik liever, als ik toch moet kiezen zoals nu het geval is, dat de NSA en wat andere vage organisaties een aantal analyses op mijn data doen en mij eruit pikken als ik te vaak 'IS' en 'aanslag' in mijn berichten zet dan dat ze dit alsnog doen maar met ze nog 20.000 hobbyisten die weer andere interesses en filters hebben.
Beide is erg want een backdoor kan ook misbruikt worden door kwaadwillenden...
...
Ondanks dat hij absoluut geen leek is moet ik zeggen dat het wat makkelijk is om de uitspraak te doen "gaat men wel weer in codetaal spreken - net als vroeger" want als iets makkelijk te ontcijferen is dan is het wel het gebruik van codetaal, zeker die van de gemiddelde 'crimineel'.
Codetaal veranderd mee en is geen vast gegeven. Daarnaast wordt de term codenaam ook gebruikt voor iets wat niet gebruikelijk is in een gangbare taal en moet je maar zien hoe je het gaat verklaren.

Dit soort wetten wordt vaak ingegeven met het argument terrorisme. Alleen is dat juist een groep mensen die een totaal eigen taal hebben ontwikkeld dat vlees noch vis is.

Een mooi voorbeeld is een forum als http://forums.marokko.nl waar een groep Nederlanders zich nauw verwant mee zich voelt. Is een mix van Marokkaans/Arabisch/amazigh/Nederlands en op het moment dat je een dergelijk persoon aanspreekt op zijn taalgebruik smijt men met termen als discriminatie en racisme en zondert men zich verder af van de samenleving wat weer een voedingsbodem is voor malloten die terrorisme als ultiem doel zien in hun beperkt leven.

In Marokko worden ze uitgelachen en hier zitten we met het probleem met een groep waarop je geen beleid kunt voeren.


Internationaal zie je soortgelijke problemen, de 'terroristen' zijn vaak groepen mensen die overal en nergens vandaan komen en ergens flink gaan huishouden. Al-Qaeda in Afghanistan zat belachelijk veel buitenlanders in. Die groep is deels verbrokkeld en doorgeschoven naar Daesh in Syrië/Irak.

[Reactie gewijzigd door Iblies op 19 september 2016 12:33]

Ik ben wel eens bij toeval op het forum gekomen waar jij naar verwijst en zie inderdaad dit patroon terugkomen. Zelf ben ik echt geen fan van terrorisme/pedofilie (of vergelijkbare termen) om alles maar goed te praten qua maatregelen en ik denk dat er zeker met afluisteren niet veel te bereiken is qua preventie van radicaliseren - wel preventie van daadwerkelijk een aanslag plegen.

Als een winkel een grote order krijgt van materiaal om een bom te maken, als een al 'verdacht' persoon opeens al zijn geld uitgeeft voor een enkel ticket met de trein naar Parijs zonder daar een hotel te boeken of verdere contacten heeft of als iemand zich meermaals op het internet zich sterk heeft uitgesproken tegen homosexualiteit en vervolgens een plaats op een boot van de gaypride weet te bemachtigen dan vind ik het prima dat deze persoon even goed wordt gecontroleerd en om een van deze patronen te kunnen vinden is er nou eenmaal héél veel data nodig.

Denk jij overigens dat ingrijpen bij radicaliserende jongeren invloed gaat hebben op de radicalisering? Als je ze feedback geeft op taalgebruik krijgen we al termen naar ons hoofd gesmeten.

Ik wijk wat af van de term codetaal maar vond het een interessante invalshoek.

edit: het lijkt nu alsof ik goed praat dat er backdoors zijn maar ik wil benadrukken dat ik dit niet zo bedoel. Ik heb het in deze over data die publiekelijk toegankelijk is (zoals twitter, facebook en het prachtige marokko forum). Als iemand een chat voert met encryptie van end to end dan hebben 'wij' maar gewoon pech. Als ze hetzelfde in de woonkamer bespreken kunnen we 9 van de 10 keer ook niet afluisteren wat ze bespreken, als we uberhaubt al weten dat ze iets gaan bespreken in de woonkamer.

[Reactie gewijzigd door Sneek op 19 september 2016 12:17]

Als een winkel een grote order krijgt van materiaal om een bom te maken, als een al 'verdacht' persoon opeens al zijn geld uitgeeft voor een enkel ticket met de trein naar Parijs zonder daar een hotel te boeken of verdere contacten heeft of als iemand zich meermaals op het internet zich sterk heeft uitgesproken tegen homosexualiteit en vervolgens een plaats op een boot van de gaypride weet te bemachtigen dan vind ik het prima dat deze persoon even goed wordt gecontroleerd en om een van deze patronen te kunnen vinden is er nou eenmaal héél veel data nodig.
Volgens mij blijven er niet veel onschuldigen over als je zo ver gaat graven. Om de fameuze woorden van Richelieu aan te halen "Geef mij 6 regels van een onschuldig man en ik vind een excuus om hem op te hangen."
Denk jij overigens dat ingrijpen bij radicaliserende jongeren invloed gaat hebben op de radicalisering?
We kunnen het er over hebben hoe je moet ingrijpen, maar niks doen gaat ook niet helpen. Zoals Sneep aangaf komt radicalisatie vaak voort uit frustratie. Als je die frustratie kan aanpakken dan zou dat de meest efficiente oplossing zijn en prettiger voor iedereen (inclusief de potentiele terrorist).
Het is voor mij heel eenvoudig: een backdoor inbouwen staat voor mij gelijk aan het afschaffen van encryptie. Als je een backdoor inbouwt is het gewoon een kwestie van tijd (en dat zal zelfs geen jaren zijn) voordat deze publiek gemaakt wordt en ben je je encryptie kwijt.

En hij heeft gelijk. Om te beginnen kan je encryptie bijna niet gaan verbieden. Er zijn vandaag algoritmes die met de huidige stand van zaken eigenlijk niet gebroken kunnen worden. Criminelen en terroristen kunnen daar gewoon gebruik van blijven maken. En als die op een dag toch onveilig worden is het een kwestie van een eigen codetaal af te spreken. Een goede codetaal hoeft niet moeilijk om te breken te zijn. Wat codetaal moeilijk breekbaar maakt is de hoeveelheid die je te pakken krijgt en de herkenbaarheid in het patroon. Dat heeft de Duitsers en hun Enigma genekt. Elke dag op het zelfde uur het weerbericht uitzenden dat met dezelfde woorden begint. Het duurde daarna slechts enkele uren voordat men de code van die dag had gebroken. Daarbij moet opgemerkt worden dat de zeemacht versie van de Enigma nooit gebroken is geweest.
Wat ik mij altijd afvraag bij het inbouwen van een backdoor: Wordt de overheid dan ook aansprakelijk als de backdoor "uitlekt" en in verkeerde handen valt?

Kan ik als burger dan een schadevergoeding eisen van de overheid, als die backdoor door criminelen wordt misbruikt om mijn gegevens te onderscheppen en ontsleutelen?

Als de overheid die backdoor wil, moet ze ook maar de volledige verantwoordelijkheid nemen als het misgaat.
Ondanks dat hij absoluut geen leek is moet ik zeggen dat het wat makkelijk is om de uitspraak te doen "gaat men wel weer in codetaal spreken - net als vroeger" want als iets makkelijk te ontcijferen is dan is het wel het gebruik van codetaal, zeker die van de gemiddelde 'crimineel'.
Hoezo is een codetaal makkelijk te ontcijferen? De Navajo code bijvoorbeeld is nog steeds niet gekraakt en is door de Amerikanen tijdens Tweede Wereldoorlog, Koreaanse Oorlog en de Vietnamoorlog gebruikt.

Als jij een aanslag wilt plegen en ongebruikelijk kanaal (bijvoorbeeld de chat van de Playstation) gebruikt om te communiceren dan kost het niet veel moeite om een codetaal te verzinnen die het een paar maanden volhoudt.
Jij kent zeker veel 'gemiddelde' criminelen? Blaaskaak.
Er mogen van mij meer mensen als De Croo in ónze overheid zitten!
Zijn standpunten komen overeen met mijn meningen over cybersecurity
de samenwerking met hogeschool howest die de richting computersecurity en cybercrime heeft werpt duidelijk vruchten af.
en toch zou ethisch hacken ook illegaal moeten blijven, want er zijn genoeg bedrijven die dit als dienst aanbieden en dus per definitie legaal werken in opdracht van de targets.
Als je hiervoor de deur op een kier zet, dan moet de wetgeving al héél duidelijk zijn, want voordat je het weet zit ieder scriptkiddie de lokale kruidenier of boekhoudkantoor aan te vallen.
Laat duidelijke wetgeving in de digitale wereld nu juist het grootste gemis zijn dat al tientallen jaren een probleem is
Zolang die scriptkiddie het meld als hij iets vindt zie ik het probleem niet echt.. Als ze het niet melden zijn ze gewoon strafbaar
en dat is nu net wat je niet wil: de keuze om eender welk target te gaan aanvallen. De toestemming om dit te doen zou vooraf moeten gegeven worden, want ook dit soort aanvallen kan zware economische schade veroorzaken.
Een beetje hetzelfde als een inbreker zn gang laten gaan totdat ie echt iets uit je huis meeneemt dus?
Beetje kromme vergelijk, eerder een oplettende buur die komt vertellen dat je deur nog openstaat voordat er inbrekers naar binnenlopen.
Maar misschien dat die buur zelf wel naar binnen zou zijn gegaan als jij hem niet eerst gezien had. Mijn punt is dat mensen dit als excuus kunnen gebruiken
Ja, maar een ethische hacker is niet echt zomaar de "oplettende buur" in dit verhaal. In dit verhaal is hij eerder een vreemde die over mensen hun hek kruipt, vanuit de struiken hun huis dagen lang in de gaten ligt te houden en dan doodleuk komt aanbellen om te zeggen dat ze gisteren 10 minuten lang hun achterdeur hebben opengehouden en dat best wel eens gevaarlijk zou kunnen zijn.
De naamt "ethische hacker" zegt het zelf al. Een hacker is volgens Van Dale "iemand die inbreekt in een computer". Hoe je het nu ook draait of keert, inbreken is illegaal.
Dus als ik morgen op een probleem uitkom zoals we dit weekend nog gezien hebben met eenvoudig oplopende factuurnummers in de URL en ik meld dit dan mag wat jouw betreft de tegenpartij direct een aankalcht indienen voor hacken omdat ik op een ongeoorloofde manier toegang heb verkregen tot die data?

Er is een verschil tussen een scriptkiddie die een aanval lanceert om schade aan te brengen en een ethische hacker die een probleem wenst aan te tonen en te rapporteren om dit op te lossen.
voel je zelf het verschil niet? Er is een verschil tussen bij toeval ergens op uit te komen en er doelbewust naar op zoek te gaan. Het verschil tussen white en black zijn niet de tools maar wat er met de resultaten gedaan wordt. Het genereren van 50.000 bestelnummers in een webshop om een patroon te herkennen in de URL's moet volgens jouw redenering dan ook gewoon toegelaten zijn, dat de achterliggende database het niet meer kan trekken of de webserver op een kwartiertje plat gaat en niet meer online geraken zijn dan gewoon pech voor de lokale bloemenwinkel?
Inhakend op garreij, Als die whitehats doen waar ze hun naam aan hebben te danken, en het desbetreffende bedrijf stelt het zeer op prijs, kan ie die 'hack'/melding bij zijn CV erin duwen en wellicht sneller een baan in de ICT Security te pakken krijgen.

Win-Win lijkt me :)
Prima dat NL en BE zich uitspreken tegen verzwakken van versleuteling, tegen de wil van de de twee groten in de EU. Wij moeten ons eigen beleid voeren en ons niets laten opdringen door FR en DE.
Wel,

De Croo (Telecom) zegt dat encryptie moet blijven.
Jambon (Veiligheid en Binnenlandse zaken) en Geens (Justitie) zeiden beide vanochtend nog op de radio dat het niet kan dan zij WhatsApp, Skype en andere niet kunnen lezen.
Ik vrees dat de regering toch eerder het 2e standpunt zal innemen...
Dus dan moet de OpenVLD (De Croo) een partner uit de oppositie vinden om die twee andere partijen tegen te houden.
Wordt het niet tijd dat responsible disclosure meer vanuit de overheid verplicht moet worden, in plaats van dat bedrijven nu nog mogen doen wat ze willen? Iemand die een veiligheidsrisico ontdekt moet nu nog door allerlei documenten en juristentaal graven voordat deze weet welke policy een bedrijf hanteert, als het bedrijf dit al doet. Zo voorkom je dat mensen dit simpelweg niet gaan melden uit angst voor stappen van het bedrijf tegen iemand die een beveiligingsrisico vindt.
Wat ik me afvraag:
Ethische hackers, zijn dat enkel professionals; of ook hobbyisten?
Ethisch slaat op de bedoeling van de hacker, niets over de professionaliteit ervan. Kunnen dus ook hobbyisten zijn.
Jambon (Veiligheid en Binnenlandse zaken) en Geens zijn eigenlijk een gelijk gestelde aan Ivo Opstelten.
Daar luisterd toch geen kat naar.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True