Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Belgische overheid komt met standaardverklaring voor legaal ethisch hacken

Door , 22 reacties, submitter: xss

Het Belgische Centrum voor Cybersecurity stelt een verklaring op die bedrijven op hun website kunnen plaatsen. Daarmee geven de bedrijven aan dat ethische hackers hun beveiliging mogen onderzoeken als zij bepaalde regels in acht nemen.

De krant De Tijd schrijft dat daarmee Belgische ethische hackers niet meer strafbaar zijn als zij zich aan de regels in de verklaring houden. Tot nu toe is het strafbaar om bijvoorbeeld een website op beveiligingslekken te onderzoeken. Hoewel er geen aanpassing van de strafwetgeving komt, kunnen bedrijven met de verklaring van het CCB 'stilzwijgende toestemming' geven voor het onderzoeken van hun beveiliging, aldus de krant. Eerder was al bekend dat België ethisch hacken wilde decriminaliseren, alleen was toen nog niet duidelijk op welke manier dit zou gebeuren.

De verklaring is opgesteld met behulp van ethische hackers en wordt na goedkeuring door de regering verspreid door minister van Justitie Koen Geens. De verklaring moet er door middel van responsible disclosure voor zorgen dat beveiligingsonderzoekers lekken die zij tegenkomen, kunnen melden en daarmee bijdragen aan de beveiliging van organisaties. Het is onduidelijk of de verklaring garanties bevat dat er geen aangifte tegen een ethische hacker wordt ingediend indien hij zich aan de regels houdt.

In Nederland heeft het NCSC in 2013 de 'Leidraad responsible disclosure' opgesteld, die een soortgelijke rol vervult. Aan de hand daarvan kunnen bedrijven hun eigen beleid opstellen.

Reacties (22)

Wijzig sortering
Persoonlijk vind ik ethisch verantwoord hacken per definitie legaal hoort te zijn. Zolang je niet het gevonden gat betreed, enkel zoekt en op moment van vinden rapporteert is er mijn inziens niets aan de hand.

Ik vraag me echter af hoe veel er vanaf dat gat naar binnen gaan en daar verder zoeken naar gaten, dan breek je namelijk echt in. Een beetje het verschil tussen waarschuwen dat de deur open staat en naar binnen lopen.

Bij het hacken wordt het waarschuwen dat de deur open staat door velen gezien als een misdrijf omdat je de deur zou zoeken...

Goed dat er in ieder geval een basis geplaatst wordt.
Hoewel ik niet principieel tegen ethisch hacken ben, vind ik dat de veelgebruikte 'open deur' vergelijking wel wat mank gaat. Een open deur is wat mij betreft als bijv. een persoonlijke gegevens via een link op de site toegankelijk zijn, die dat niet zouden moeten zijn. Daar hoef je niks bijzonders voor te doen om dat te zien, je ziet het net als bij een open deur gewoon als je langs komt.

Wat er bij hacken gebeurt is dat je gaat zoeken of je binnen kunt komen. Dat betekent dus niet alleen kijken of de deur open is, maar ook zoeken of je toevallig een sleutel onder een bloempot vindt, of er toevallig een raam open staat, of dat er een raam is dat niet op slot zit en dat je open kunt duwen... Dat zou m.i. de passende analogie zijn - en dan vinden we het ineens een stuk minder normaal, want je gaat toch niet bij een wildvreemd proberen of je het raam open kunt maken (zelfs al ga je niet naar binnen)?

Het grote verschil is dat een raam dat per ongeluk open staat ook door de eigenaar wel vrij vlot ontdekt zal worden - en de sleutel onder de bloempot is natuurlijk helemaal een bekend, en welbewust genomen risico. DŠt is in de digitale wereld echt anders: de mogelijkheid om binnen te komen is vaak niet iets waar het bedrijf vanzelf zelf vlot achter zal komen (en als ze erachter komen is dat waarschijnlijk omdat het al misbruikt is). Dat is dan ook de enige reden dat ik vind dat er tůch iets te zeggen is voor legaliseren van ethisch hacken.

[Reactie gewijzigd door casparvl op 8 december 2016 11:22]

DŠt is in de digitale wereld echt anders: de mogelijkheid om binnen te komen is vaak niet iets waar het bedrijf vanzelf zelf vlot achter zal komen (en als ze erachter komen is dat waarschijnlijk omdat het al misbruikt is)
En andersom is ook het vinden van de sleutel onder de bloempot wťl te automatiseren. Als er om de vijf minuten een anonieme en niet te vervolgen Chinees langs elk huis langsloopt om in bloempotten te snuffelen, dan is het helemaal niet zo gek als een ethisch hacker dit ook doet.

Maar de nuances die jij en ik nu maken worden zelden gemaakt in dit soort discussies. De digitale en 'ouderwetse' anologe wereld zijn zo verschillend dat dit soort vergelijkingen de discussie alleen maar onduidelijk maken, naar mijn idee.
Eigenlijk is het wel goed dat de Belgen eens een keer voorlopen. Veel bedrijven loven zelfs een beloning uit voor het melden van een bug of beveiligingslek. In dat geval is het krom dat je officieel strafbaar bent als je dat ook doet.
De scheiding tussen ethisch hacken en hacken voor eigen gewin is heel dun en eigenlijk pas achteraf te bewijzen. Elke keer vooraf toestemming vragen om een site of bedrijfsnetwerk te hacken gaat ook niet werken.
Wat veel mensen vergeten is dat de hele wereld zonder reistijd, paspoort en onkosten, onbeperkt en ongelimiteerd kunnen inbreken bij mensen die soms niet eens weten dat ze een server/website hebben. Of weten wat IT onderhoud Łberhaupt inhoud. Of managers die onder het mom van geld besparen veiligheids issues voor zich uitschuiven.
Is het niet zo dat, als je zoiets vindt, toch even naar binnen moet om dit ook te verifieren? SQL Injectie zou je bvb niet kunnen vinden zonder dit ook uit te voeren :/

Dit zou hetzelfde zijn als alle deuren in de straat langsgaan om te kijken of je er met een creditcard binnen kunt komen.

Sidenote: Ik ben zelf niet tegen ethisch hacken, vond enkel dat je vergelijking iets tekort schoot.

[Reactie gewijzigd door Stoelpoot op 8 december 2016 11:12]

Je zou bijvoorbeeld met SQL injectie een database kunnen dumpen in een publiek toegankelijke map onder een niet zomaar te raden naam. Zodra je heb geverifieerd dat de database daar idd staat kun je dan contact opnemen met het bedrijf zonder de database te downloaden oid. Moet het natuurlijk niet om een map gaan waar je direct kunt zien wat voor files erin staan.

Of je maakt zelf een (lege) test Database aan en dumpt die. Nog veiliger.
Het probleem is natuurlijk wel, dat je hiervoor bepaalde rechten moet hebben. En database user zou zeker geen schrijfrechten moeten hebben in de website directory, verder is het vaak evenmin mogelijk om database aan te maken.

Een sql injectie zal dus vaak daadwerkelijk moeten inbreken, maar dat betekent nog niet dat je ook alle wachtwoorden hoeft te dumpen natuurlijk. Dit lijkt me dan precies iets wat je in een dergelijke overeenkomst kan plaatsen. Een aanval op een root account kan je alleen verifiŽren als je daadwerkelijk binnen ben, iets wat al een stuk minder fijn is voor veel bedrijven.

Verder blijft het natuurlijk triest dat er bedrijven zijn die liever hun kop in het zand steken, dan dat ze dankbaar zijn dat de problemen gevonden worden. Gelukkig zie je dat de grote bedrijven steeds vaker open zijn voor dit soort meldingen.
Ik verwoorde het inderdaad niet helemaal compleet, het verifiŽren van een bevinding is natuurlijk nodig, ik doelde eigenlijk op het binnen kijken naar verdere tekortkomingen (kijken of de kluis in huis op slot staat zegmaar :))
Dat is niet wat er verstaan wordt onder etisch hacken (in BelgiŽ in ieder geval), zie daarvoor het artikel: "elke poging tot (ethisch) hacking zonder toelating blijft strafbaar".
Er moet dus altijd toelating zijn van het bedrijf.

[Reactie gewijzigd door ennekke op 8 december 2016 10:59]

Klopt, ik bedoel met de basis ook dat het bedrijf nu een keuze kan maken of het op hun website wordt toegestaan. Het is natuurlijk nog niet de meest optimale situatie, echter moet ergens een begin gemaakt worden.
Binnen de 'offline' rechtspraak heb je een verschil tussen het bewezen zijn van het feit en de strafbaarheid van het feit (en de verdachte).

Neem bijvoorbeeld een recente uitspraak over een agent die een passagier in een auto neerschiet bij een arrestatie. Het feit poging tot doodslag is bewezen, de strafbaarheid van het feit niet omdat dit noodweer was.

Dus het feit computervredebreuk kan worden geconstateerd, maar je zou met een clausule vergelijkbaar aan noodweer de strafbaarheid kunnen laten vervallen.
Probleem is dat er wel mogelijk toegang wordt verkregen tot persoonlijke informatie. Die moet gewist worden, maar gebeurd dat wel goed. Enz. Het is een lastig grijs gebied!
Ik vind er (groot) verschil zit tussen actief ethisch hacken (zeg maar, alle deuren in de buurt voelen of ze op slot zitten, als de bewoners afwezig lijken te zijn) en per ongeluk tegen een open deur aanlopen, omdat je (bijv) een pakketje moest bezorgen.

Actief op zoek gaan naar slechte beveiliging mag alleen als je daartoe opdracht hebt c.q. bevoegd gezag bent (bijv. de politie c.q. overheid). Passief/per ongeluk tegen iets aanlopen daarentegen lijkt me wel onder genoemde regels te vallen.

Het zou niet zou moeten zijn dat je - in het extreemste geval - je bedrijfsmodel op geld verdienen aan ethisch hacken gestoeld is. Daarmee ga je toch over een grens heen, en wordt het verschil met een kwaadaardige hacker wel erg klein.
Het Belgische Centrum voor Cybersecurity stelt een verklaring op die bedrijven op hun website kunnen plaatsen. Daarmee geven de bedrijven aan dat ethische hackers hun beveiliging mogen onderzoeken als zij bepaalde regels in acht nemen.
Dit is tweezijdig.
Het is inderdaad interessant voor, beginnende, ethische hackers die dat als hobby willen doen.

En de bedrijven besparen veel geld en worden waarschijnlijk beter getest dan door een firma die er een standaard security check over laat lopen.

Daarom zou het IMO goed zijn als een bedrijf geld geeft, aan de ethische hacker, voor iedere onveiligheid die gevonden wordt.
Dat van "beter getest" is natuurlijk grote flauwekul. Gespecialiseerde bedrijven als FoxIt en consorten zijn gewoon beter in pen testen dan een hackertje vanaf de zolderkamer. ZIj beschikken over meer kennis en kunde en worden daarnaast ondersteund door middel van tools die de gemiddelde hacker niet heeft.

Ik wil nog wel eens zien wat een "ethische hacker" (wat mij betreft is die term sowieso niet geschikt voor de zolderkamer, een ethische hacker is een gecertificeerde ICT specialist) aan gaat tonen t.o.v. van een volledige certificering van b.v. een DigiD omgeving door een specialist, nee, dat is heel andere koek (no offense).
Ik snap je punt maar je moet wel verschil maken tussen de grote projecten en kleine projecten. De ene zal door een specialist getest worden en andere heeft niet altijd de middel om dit te doen. En vergeet niet dat er genoeg gaten worden ontdekt door de "gemiddelde hacker". Die kijken net naar andere scenario's die wel de jongens over het hoofd zien.

Dus goed dat de grote jongens alles goed uitzoeken, als de gemiddelde hacker ook er naar kijkt, niks mis mee in mijn ogen.
Dat van "beter getest" is natuurlijk grote flauwekul. Gespecialiseerde bedrijven als FoxIt en consorten zijn gewoon beter in pen testen dan een hackertje vanaf de zolderkamer. ZIj beschikken over meer kennis en kunde en worden daarnaast ondersteund door middel van tools die de gemiddelde hacker niet heeft.
Ik neem dat je ook weet dat er maar heel weinig bedrijven FoxIT e.d. inschakelen omdat ze dat te duur vinden.
En dan een andere organisatie inschakelt die wat standaard software op de systemen los laat.

Het zijn vaak de hackers op de zolderkamer die bedrijven en landen in verlegenheid brengen door hun acties.
Ik wil nog wel eens zien wat een "ethische hacker" (wat mij betreft is die term sowieso niet geschikt voor de zolderkamer, een ethische hacker is een gecertificeerde ICT specialist) aan gaat tonen t.o.v. van een volledige certificering van b.v. een DigiD omgeving door een specialist, nee, dat is heel andere koek (no offense).
Die mening deel ik niet. Gecertificeerd is IMO ook dat ze at standaard trucjes kunnen doen (het gebruik van standaard tools).
Ik vermoed dat de kracht van FoxIT vooral voort komt uit het delen van kennis en niet zo zeer uit certificering.
Uiteindelijk is het doorgronden van systemen (programma's en hardware) en hack technieken belangrijker dan een certificering die uit gaat van het gebruik van tools.

[Reactie gewijzigd door 112442 op 8 december 2016 15:27]

Om maar even heel makkelijk te denken, wat denk je van al die bug-bounty's die google en apple al uitbetaald hebben? Denk je dat hun niet zeer goed testen?

Toch worden er kritieke bugs gevonden door "hackertje(s) vanaf de zolderkamer".

Niet zo makkelijk denken over IT, bugs zijn er altijd en er zijn veel mensen die in hun eigen tijd systemen testen om te zien of ze uberhaupt toegankelijk zijn voor mensen die er niet bij horen te kunnen. Zo ja? dan kunnen ze het melden en bijvoorbeeld bij google, apple en facebook kan je er nog een redelijk mooie som geld voor terug krijgen.
"Was jij aan het inbreken?"
"Nee meneer! Ik zocht alleen naar foute beveiliging! Ik zou echt nooit naar binnen zijn gegaan O-) "
En geen verklaring op de website betekent dus alle hackers, ook degenen die zich etisch noemen zijn niet welkom? Dan is dat een prima oplossing voor website beheerder die helemaal niks ethisch vinden aan ongevraagd hacken.
Ben wel benieuwd hoeveel en welke bedrijven zo'n verklaring zullen toevoegen...

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*