Belgische ethische hackers zijn niet meer strafbaar als ze bugs vinden en melden

Belgische ethische hackers zijn voortaan niet meer strafbaar als ze kwetsbaarheden melden bij een bedrijf. Hackers die zonder expliciete opdracht bugs vonden en via responsible disclosure meldden, konden tot voorheen nog worden vervolgd. Een nieuwe wet voorkomt dat.

De Belgische wetgeving is versoepeld om ethisch hacken minder strafbaar te maken. Het Centre for Cyber Security Belgium schrijft over het nieuwe beleid, dat nog wel verschillende waarborgen kent. België kende tot voor kort alleen beperkte regels rondom ethisch hacken die in een klokkenluiderswet waren opgenomen, maar die legden nog steeds veel beperkingen op aan ethische hackers. Onder die regel was het alleen toegestaan om ethische hacks uit te voeren als een bedrijf daarvoor opdracht of toestemming gaf, bijvoorbeeld door een responsibledisclosurebeleid online te hebben staan. Hackers die uit zichzelf kwetsbaarheden vonden en die bij bedrijven of instanties zonder zo'n beleid meldden, waren technisch gezien strafbaar en konden daarvoor vervolgd worden, al gebeurde dat in de praktijk amper.

Onder de nieuwe wet is het toegestaan om op zo'n manier op zoek te gaan naar kwetsbaarheden. Wel zitten daar nog regels aan verbonden. Als een bedrijf geen responsibledisclosurebeleid heeft, moeten hackers in ieder geval aankloppen bij het Centre for Cyber Security Belgium voordat ze ook het bedrijf zelf inlichten. Ook mogen ze in dat geval geen beloning eisen. Dat kan wel als daarover afspraken staan in een responsibledisclosurebeleid. Hackers moeten daarnaast proportioneel werken; ze mogen zich dus niet méér toegang verschaffen dan nodig en mogen geen schade aan systemen veroorzaken. Zo mogen ze geen ddos-aanvallen inzetten of werknemers phishen.

Een groot obstakel voor hackers is dat ze hun bevindingen ook niet zomaar online mogen zetten, behalve als het bedrijf daar expliciete toestemming voor geeft. Veel hackers willen RD-meldingen doen om vervolgens de resultaten op hun blogs te zetten, maar dat is onder de nieuwe wet nog steeds niet toegestaan.

Door Tijs Hofmans

Nieuwscoördinator

15-02-2023 • 14:14

72

Reacties (72)

72
68
32
1
0
23
Wijzig sortering
Hackers die zonder expliciete opdracht bugs vonden en via responsible disclosure meldden, konden tot voorheen nog worden vervolgd.
Zo dan, dat moet behoorlijk awkward geweest zijn als je vol trots meldt dat je een bug hebt gevonden om vervolgens een brief te krijgen dat je vervolgd wordt lol. Dan denk je ook wel twee keer na de volgende keer.

Maar goed dus dat dit is opgelost.
Blijft natuurlijk een beetje rare gang van zaken.

Je hebt niet zoveel te zoeken in de oplossingen van een willekeurig bedrijf. Ook al doe je dat met goede bedoelingen.

Verder denk ik dat het vooral onkunde en angst van die bedrijven is dat ze reageren met een aanklacht. Want ethische hacker === hacker === crimineel
Het hoeft natuurlijk niet altijd 'puur willekeurig' te zijn. Je bank of electricteitsleverancier heeft heel wat gegevens over jou - waarom dan niet eens checken of ze die gegevens wel voldoende beschermen?
Omdat je dat in de fysieke wereld ook niet doet. Je gaat ook niet proberen een bank te beroven, om te zien of ze je geld wel goed bewaren. Dat het digitaal makkelijker kan en wellicht ook met minder permanente schade, betekend niet dat het zomaar moet mogen.

Ander punt kan zijn dat ethisch hacken + publiceren op een blog en afpersing soms dicht bij elkaar kunnen liggen. Het zal vast niet de insteek zijn, maar een mailtje met de tekst "je kunt zo-en-zo inbreken en overmorgen vertel ik het de hele wereld" is niet fijn om te ontvangen. Als je weet hoe je bij een bank kunt inbreken, mag je die plannen ook niet delen.
Je vergelijkingen houden geen steek:
1. Door het woord 'beroven' te gebruiken, ga je al onmiddellijk voorbij aan dit wetgevend initiatief. De nieuwe wet laat niet toe om eender wie te beroven, maar wel om te kijken en te waarschuwen. En ja: als ik (en ik niet alleen) overweeg om van bank te veranderen, dan zal mijn persoonlijke indruk van de beveiliging van de bank belangrijk zijn.
2. Je kan *tig voorbeelden aanhalen van twee zaken die dicht bij elkaar aanleunen en waarvan het ene gewenst is en het andere niet. Dat maakt nog niet dat ze allebei moeten verboden worden.
Tja het is maar hoe je het bekijkt. Stel de deur van de betreffende bank stond nog open en je kan gewoon binnenlopen om iets mee te nemen. Is het dan een beroving? Op zijn minst stelen lijkt me.

Waarom is hacken anders? Vaak is het ‘simpelweg’ een lek vinden en daar gebruik van maken toch?

Beetje flauw van mij. Maar zo kan je het ook bekijken. Het verschil zit hem natuurlijk al snel in: heb je alleen een lek gevonden en dat gerapporteerd (de deur van de bank staat open) of heb je ook echt ergens aangezeten (gegevens van klanten bekeken bijvoorbeeld)?
Het is maar hoe je het bekijkt zoals je zegt.

Staat de voordeur van de bank nog open om middernacht en loop je even naar binnen om te kijken of er iemand aanwezig is alvorens te bellen naar de politie of bank, is dat dan inbreken/indringen?

Een lek vinden, eens kijken of het inderdaad zo erg is als je denkt dat het zou kunnen zijn en dan melden, is dat dan hacken? (profile?customerId=123 naar profile?customerId=124 veranderen, bijvoorbeeld...)

In beide gevallen ben je binnen"gedrongen" maar werd het je wel heel makkelijk gemaakt.
Ik ken een geval van iemand in mijn omgeving die eens een boete heeft gehad omdat hij ‘s-avonds laat een openstaande deur bij een bedrijf tegenkwam en er niemand van de beveiliging aanwezig was.
>Je gaat ook niet proberen een bank te beroven
Beroven niet. Maar binnenlopen en kijken of de kluis gewoon openstaat wellicht wel.

Wat tegenwoordig (wettelijk) doorgaat voor 'hacken' (de url van een website editen bv) is dusdanig ruim dat je't beter kan vergelijken met buiten openingstijd door het raampje kijken dan met beroven.
De fysieke en online wereld zijn niet helemaal te vergelijken. Dat zie je al omdat je het woord beroven gelijksteld aan hacken. Terwijl dat echt compleet verschillende dingen zijn (zelfs in de context digitaal vs. fysiek). Bij een beroving ontneem je iemand met geweld van zijn bezit. Bij ethisch hacken gebruik je geen geweld en ontneem je iemand niet van bezit.

Online en fysiek zijn wezenlijk zo verschillend, dat het maken van vergelijkingen erg lastig is.
Ik wil wegblijven van de semantische discussie, maar ik had misschien beter bestelen kunnen schrijven. Of het plegen van huisvredebreuk. Beiden strafbaar, zonder geweld en in het laatste geval ook zonder het wegnemen van zaken. Maar ik denk dat de intentie van mijn bericht wel duidelijk was.
Nee het is hopen op bounties. Sommigen doen het voor de kick.

Ik merk dat velen hopen op een financiele beloning. Hiervoor grijpen ze echt elk miniscuul dingetje aan, zoals een verkeerde header op een simpele informatieve website.

Maar ik ben groot voorstander dat er mensen meekijken in wat er openbaar toegankelijk is. Stel je eens voor wat een ellende het kan worden als er een dikke database online toegankelijk is en niemand dit aangeeft, waar hackers oneindig hun gang in kunnen gaan...

Het moet alleen 'responsible' gebeuren, niet de lijn dichttrekken enz.
Ik had ooit doordat ik mijn dev tools van mijn browser nog open had staan bij een webshop een manier gevonden om iets te bestellen zonder te betalen.

Ik had een product van 1 euro bestelt om te kijken of het echt zo was of niet. Dag of twee later had ik het netjes thuis. (Mijn bestelling die ik wou doen heb ik wel netjes betaald)

Ik bel de klantenservice op want ik kon nergens contactgegevens vinden van iets anders dan de klantenservice. Vraag netjes aan die persoon of ik in contact kan komen met iemand die iets over de beveiliging weet van de shop want ik heb een bug gevonden.

Die persoon was heel netjes en aardig en heeft haar best gedaan. Ik ben in contact met iemand die kennis zou hebben. Ik leg rustig uit wat ik gedaan had. Zeg ook dat ik een product gekocht heb om te testen van een euro. Waarop die man aardig reageerde dat, dat niet de bedoeling is dat dat kon. Ik dacht fijn word gefikst ik ga verder met leven.

Tot ik een paar weken later een brief van een advocaat op de mat had waarin stond dat ik zware schade had gedaan aan het bedrijf. Dat ze een civiele zaak aan het voorbereiden waren. Dat alle schade op mij zouden verhalen. Blijkbaar was die bug bij meer mensen bekend.

Vervolgens is het nooit tot een zaak gekomen gelukkig maar leuk was het niet.

Voor mensen denk je zult wel de bug gedeeld hebben met andere nee dat had ik niet. Tot een half jaar later heb ik het gebruikt voor een voorbeeld op school. Toen was volgens de advocaat van het bedrijf het probleem opgelost en durfde ik wel naar buiten te komen.
Ik denk dat je nog vrij goed gehandeld hebt. Als je vrijwel direct contact hebt opgenomen om het te melden na ontvangst denk ik niet dat je er zomaar voor vervolgd zou worden omdat je daarmee aantoont dat het niet je intentie was. Als zij jou hadden opgebeld was het waarschijnlijk een ander verhaal. Je had ook kunnen doen alsof je neus bloed, dat het er voor een euro stond, ik weet als webshopbouwer dat er wel vaker producten voor verkeerde prijzen uitgaan.

Ik denk dat de meeste mensen die iets met security doen wel enigszins zo'n verhaal hebben. Je moet ook ooit uitvinden aan welke kant je staat en schuldgevoel helpt wel om een kant te kiezen. Ik heb ook wel wat verhalen van onverwachte/ongewenste uitkomsten. Als je je hiermee bezig houdt kom je ook gewoon mensen tegen die anders tegen dit soort dingen aankijken, of juist gebruik willen maken van je / beschuldigen. Heb ooit een aanklacht gehad voor iets waar ik letterlijk niks vanaf wist en een vriend van me is ontslagen door het bedrijf waar ik iets wilde melden. Ik hoopte via hem het bericht direct op de juiste plek te krijgen maar dat liep dus niet zoals gepland.
Tja dingen gaan bestellen zonder te betalen is gewoon inbreuk. Niet echt slim. Je had het ook kunnen melden zonder dat te doen.
Ik denk dat als hij het niet geprobeerd had hij niet kon vaststellen dat het daadwerkelijk een risicovolle bug was. Voor hetzelfde geld wordt die niet betaalde order niet uitgeleverd (omdat er geen betaling is) en is er feitelijk niets ernstigs aan de hand. Wel een bug, maar niet ernstig.

Nu wist hij zeker dat ook het proces erachter niet in orde was.
Hij geeft zelf aan dat hij met dev tools een manier heeft gevonden om zaken te kopen zonder te betalen. Dan ben je er dus op zoek naar geweest? Dat is op zich al dubieus. Maar daarna dan ook uitvoeren is gewoon dom en wellicht ook strafbaar. Zijn vermoeden delen met de webshop had op zich voldoende moeten zijn.
Nou eigenlijk niet:
Een groot obstakel voor hackers is dat ze hun bevindingen ook niet zomaar online mogen zetten, behalve als het bedrijf daar expliciete toestemming voor geeft. Veel hackers willen RD-meldingen doen om vervolgens de resultaten op hun blogs te zetten, maar dat is onder de nieuwe wet nog steeds niet toegestaan.
Je mag het eigenlijk nog steeds niet verkondigen. Niet op de manier waarop ze het willen.

Blijf het apart vinden dat dit soort hackers aangepakt worden, als bedrijf ben je toch juist blij dat mensen zonden kwade bedoelingen dit melden lijkt mij. En ja dan moet je even op de blaren zitten omdat dit, veelal na dat je het gefixt hebt, op een blog staat. Maar aan de andere kant kan je ook als bedrijf juist positief in het licht komen door te laten zien dat je adukwaat handeld...
Blijf het apart vinden dat dit soort hackers aangepakt worden, als bedrijf ben je toch juist blij dat mensen zonden kwade bedoelingen dit melden lijkt mij.
Kwetsbaarheden fixen kost geld.
Imagoschade kost geld.

Daarom zijn bedrijven boos.
Als ze het niet melden en je wordt gehackt en hierdoor komen gegevens op staart te liggen kost veel meer geld.

Je moet alsnog de kwetsbaarheden fixen
Imagoschade is enorm

En als het blijkt dat je nalatig bent geweest kan je ook nog wel wat schadevergoedingen verwachten...
ALS je gehackt wordt. Het is deels onwetendheid maar ook deels een afweging of je de kosten 'bespaart' ten koste van het risico op gehackt te worden.
Precies, dat heet korzichtig management, the best kind.
Het is meer je deur staat op een kiertje terwijl jij denkt dat die dicht is en iemand komt je dat vertellen.
Als de buurman dat is ok, maar iemand uit een andere stad moet heel gauw wegwezen.
Als de buurman dat is ok, maar iemand uit een andere stad moet heel gauw wegwezen.
Wat een hele vreemde gedachtegang is dat, verklaar wat het verschil maakt dan? Dus als ik zou zien dat hij je auto open laat staan is het niet oké maar als het iemand is die je vaag kent dan is het wel oké?
Helemaal niet vreemd, als buren let je op elkaar is vaak gebruikelijk. Er is dan een vertrouwensband. Zo kan een klant van een bedrijf eventueel melden dat er iets mis is met de dienstverlening op basis van normaal gebruik. Als onbekende, op eigen houtje ongevraagd bewust aan andermans spullen zitten is van heel andere orde. Zorg dan dat je professioneel werkt en ga dat in zakelijk verband doen.
Die vergelijking gaat mis op het punt dat de gemiddelde huisdeur wél veilig is, terwijl de digitale wereld al 10 jaar niet eens vooruitgang boekt op de OWASP Top 10..

Achter de gemiddelde huisdeur ligt ook alleen maar spul van één huishouden, dat zelf de huisdeur kiest.
De gemiddelde lekke website heeft data van honderden mensen, en daarmee een veel hogere zorgplicht dan jij over je eigen spullen.
Neemt niet weg dat ik het niet OK vind dat zomaar iedereen even mag binnenbreken. De scheidingslijn tussen ethiek en criminaliteit is puur het aanbieden van de gebruikte zwakte. In die 72 uur kan er al veel data weggekaapt worden, en elke Belg mag zich nu botvieren op eender welk Belgisch bedrijf.

Ik had dit toch liefst gekoppeld gezien aan een certificatie ofzo …
Misschien een andere vergelijking: onveilige websites zijn zwerfvuil, die het internet oor iedereen minder aangenaam maken (dataleks en identiteitsfraude als "ziekmakende vervuiling" , de algemene frustratie als "stank") .

Je hoeft geen professionele vuilnisman te zijn om zwerfvuil op te mogen ruimen, maar als je een portemonnee vind achter een bosje, wordt je wel geacht die bij de politie af te geven (dus nu gevonden leks bij CCSB)
Dat lijkt meer op ‘goedpraten’ dan een argumentatie … zo kan je alles relativeren natuurlijk.
Goedpraten misschien, maar ik ben persoonlijk overtuigd van de noodzaak van bugbounties, en externe onderzoekers.

Ik programmeer zelf aan industriële software.
Het maakt niet uit hoe vaak ik, of mijn collega's, bij de bovenbaas melden dat de keizer geen kleren aanheeft, cq dat X écht onveilig is. "ja ja, maar eerst dit feature, en daarna eerst..."
Oftewel, er gebeurt niks en alles blijft kapot.

Maar die ene keer dat een probleem extern zichtbaar was: alarmfase rood, alles laten vallen, meteen oplossen voor we gehackt worden!
(voor een probleem wat ik al een half jaar probeerde op de kaart te zetten)

Externe freelancers zijn dus ook een manier voor de security-bewuste interne mensen, om eindelijk te bewijzen: "baas, zie je wel, ik ben niet paranoïde, dit is echt belangrijk."

Helaas is het bij voor-de-leek-onbegrijpelijke software veel moeilijker om een probleem duidelijk te maken dan "aan een fysieke deur morrelen", wat iedere manager in zijn eigen leefwereld begrijpt.

Hygiëne in restaurants is misschien een betere vergelijking.. Als de gezondheidsinspectie niet de boel dicht zou gooien, zouden er veel meer ratten in keukens getolereerd worden (want "die ziet de klant toch niet").
Ik hoop dat de CCSB en vergelijkbare diensten langzaam uitgroeien tot vergelijkbaar-machtige organisaties.

Ik ben blij dat er langzaam professionelisering van security plaatsvindt.
Dat een CCSB nu expliciet erkent dat ethische hackers, binnen regels, een nuttige taak voor de samenleving uitvoeren, maakt mij blij.

[Reactie gewijzigd door juke1349 op 25 juli 2024 16:27]

Akkoord, op de manier dat een inspectie dat doet. Door gekende en gekwalificeerd personeel dus, niet door ‘iedereen die denkt dat hij/zij een hacker is …’
Het zijn geen ethische hackers. Als iemand ongevraagd aan mijn deuren zit om te kijken of ze open zijn, dan vind ik daar niks ethisch aan. Sterker nog blijf gewoon met je poten van andermans spullen af.
Het is wat anders als ik een professionele slotenmaker of beveiliger inhuur om te kijken of mijn beveiliging en sloten wel veilig genoeg zijn.
Serieus, in wat voor sprookjeswereld leef jij?

Iemand die kwaad wil heeft maling aan wat jij vind. Als jouw beveiliging niet op orde is, dan ben je een makkelijke doelwit. Ironisch genoeg zijn er genoeg mensen die gratis voor jou willen controleren of jouw beveiliging wel op orde is, zonder van je te stelen, maar door een of andere kortsluiting in jouw hersenen zie je niet in dat dat meerwaarde heeft. Ik zou eerder zeggen dat je zelf onethisch bezig bent door koppig te zijn en toe te staan dat anderen slachtoffer worden van jouw koppigheid en gierigheid. Van jouw nalatigheid.

Laat dát nou precies de reden zijn dat bedrijven héél hard aangepakt worden. En moeten worden. Want bezittelijk danwel winstgeil zijn is géén goede reden om je aan je morele verplichtingen te onttrekken.
maar al te vaak zit er ook een stukje bij dat ze je aanbieden om hen daarna in te huren om het op te lossen en als ze op hun blog zetten dat sitename.nl een kwetsbare SQL heeft draaien, dan is dat geen responsible disclosure. Door de melding verplicht langs het CCSB of het bedrijf zelf te laten gaan zorg je ervoor dat tenminste niet heel de wereld er op gewezen wordt en het risico op misbruik nog groter wordt door de exposure die je er aan geeft.
Het gaat niet om het beveiligingsissue zelf. Elk bedrijf dient zelf maatregelingen te nemen om beveiliging op orde te hebben. Danwel een professioneel ethisch hackers in dienst te nemen. Ik noem ze liever security officers. Maar een willekeurig persoon die niets met het bedrijf te maken heeft, moet gewoon heel rap wegblijven. Het is alsof jij mijn deur checkt of die open of dicht is, dat gaat je helemaal niks aan. Van mijn buren kan ik dat accepteren. En anders regel ik zelf wel een sleutelmaker om te checken of de sloten nog veilig genoeg zijn.
Dat doen ze alleen niet, dat wegblijven, niet in de fysieke, dan wel de digitale wereld.

Dus op zich kan ik me wel vinden in je stelling, echter de praktijk wijst anders uit.

En de digitale wereld vergelijken in dit geval met de fysieke is een vergelijking die een beetje mank gaat. Dat is meer een gevoelskwestie. Een URL intikken o.i.d. is heel wat anders dan even lukraak aan iemand zijn voordeur voelen of deze dicht is, tenminste wel in mijn beleving.

En ik denk dat je digitale dingen ook veel minder snel waarneemt dan fysieke pogingen. Ik moet specifiek in logfiles kijken om te zien dat de hele wereld bij mij probeert in te loggen op port 22.

Dat rammelen aan de deur valt sneller op.

[Reactie gewijzigd door Hatseflats op 25 juli 2024 16:27]

Misschien niet helemaal vergelijkbaar, maar de essentie is hetzelfde. Als je als onbevoegde dat ethisch hacken leuk vindt, zorg dan dat je dat op professionele manier uitvoerd en al helemaal niet ongevraagd bij iemand spullen gaan neuzen. En ja, je poorten worden constant gecheckt door kwaadwillenden, maar dat staat hier los van.
Zelfs als de essentie hetzelfde is, is je vergelijking niet helemaal eerlijk.

In de fysieke wereld heb je buren. Mensen die naast je wonen. In de online wereld is iedereen je buurman/vrouw. Iedereen staat met een paar klikken op de knop bij jouw digitale voordeur.

Dus als we het vergelijken, kun je zeggen dat een ethische hacker een buurman is die ziet dat jouw voordeur openstaat, even de gang in kijkt en daarna roept/aanbelt om je te laten weten dat je de deur open hebt laten staan.

Ik zou heel blij zijn als bedrijf als een hacker contact met mij zoekt om een fout in mijn beveiliging aan te kaarten.
Nee een ethische hacker is geen buur, heeft niets met mij of mijn bedrijf te maken. Er is geen relatie, dus bezoek is ongewenst. Een buur is ander verhaal, daar is in de meeste gevallen sprake van een vertrouwens relatie. Verwacht je van elkaar dat je op elkaar let en weet je zeker dat er geen kwade bedoelingen spelen. Uitzonderingen natuurlijk daargelaten. Dit maakt een verschil met een wannebe ethische hacker, want ik noem liever een onbevoegd persoon. Die heeft gewoon niets te zoeken bij je bedrijf of voordeur vwb de vergelijking.
Volgens de Belgische wet mag een hacker helemaal niet in iemands spullen rondneuzen. Staat in het artikel. En als je de vergelijking wil trekken met je woning: De hacker kijkt of je deur wel dicht zit en zo ja, of je je sleutel voor noodgevallen niet onder je mat hebt gelegd. Vervolgens kijkt hij of je je raam hebt open staan en of je niet heel makkelijk via een bovenlicht naar binnen kan. Hij is nog steeds niet binnen geweest bij je. Heeft alleen geconstateerd dat jij een gammele toegang hebt omdat je vindt dat iedereen van je spullen af moet blijven. Vervolgens gaat hij met zijn bevindingen naar de politie en daarna vertelt hij jou dat een echte inbreker allang je huis had leeggehaald. Jij wordt vervolgens boos op hem omdat jij vindt dat hij dat niet had mogen doen.
En de volgende dag komt er een inbreker en haalt je huis leeg. De verzekering keert niet uit omdat er geen braakschade is.
Je was zelf de persoon die de vergelijking met jouw woning deed, daarom borduurde ik daarop verder. Daarnaast kan ik mij herinneren dat de politie vroeger ook kwam controleren of je voordeur wel op slot zat. Maar ja, dat zijn onbevoegde amateurs. En wie is de hele tijd moraliserend bezig. Kijk eens in de spiegel, zou ik zeggen. En sommige amateurs zijn beter dan menig professional. En zoals je weet zegt certificering ook niet alles en als er dan iemand komt om te vertellen dat er een plek is om toch binnen te komen, dan zeg jij dat die zich lekker met z'n eigen zaken moet bemoeien want jij bent gecertificeerd.
Ik zou niet graag mijn data bij jou achterlaten.

[Reactie gewijzigd door Aldy op 25 juli 2024 16:27]

Nogmaals, wij zijn bv onbekenden van elkaar.
Het gaat je dus helemaal niks aan of ik mijn deur open heb of niet. Wat kan het jou dan schelen of mijn spullen veilig achter slot en grendel zitten of niet. Het zijn mijn spullen, niet die van jou. En nee de politie heeft ook niks te zoeken vwb mijn voordeur. In het geval dat je wel een bekende bent, analoog aan een klant van een bedrijf, dan laat ik je zien dat de beveiliging op orde is, we onlangs gecontroleerde sloten hebben. Beveiliging camera's hebben geinstalleerd en dat alles goed afgeschermd tegen onbevoegden zowel digitaal als fysiek. Vwb bedrijfssituatie, we aantoonbaar de security op orde hebben. De security officier maandelijks rapportage doet van beveiligingsonderzoek en periodiek een gespecialiseerd bedrijf inhuren voor een pen test.
In dit verhaal speelt de wannabe ethische hacker dus geen enkele rol, hoe goed die ook is.
Zoals ik al schreef, mijn data zijn bij jou niet veilig. Dus is het beter dat ik een andere leverancier zoek. Niet omdat jouw beveiliging niet op orde is, zoals je zelf claimt, maar omdat je stronteigenwijs bent en geen goedbedoeld advies accepteert.
Ja, dat had ik al gauw door na de eerste reactie. :) @Ludanto

Mij bekruipt bij dit soort mensen altijd het gevoel dat, even gechargeerd gezegd, de winterschilder met Rembrandt discusieert over hoe je de nachtwacht nou echt tot zijn recht laat komen.

Op zich niets mis mee, alleen denken de meeste winterschilders het bij het rechte eind te hebben en blijven ze volharden.

Ook al kom je met de best mogelijke steekhoudende argumenten, kleed je het in Jip en Janneke taal aan, bespaar je de moeite.

Het enige wat eruit voortkomt is dat jij je niveau moet verlagen omdat hij het zijne niet wil toegeven.

[Reactie gewijzigd door Hatseflats op 25 juli 2024 16:27]

Je hebt volkomen gelijk dat ik mijn niveau moet verlagen om met drakiesoft te discussiëren. Waarom denk je dat ik anders Jip en Janneke taal gebruik.

[Reactie gewijzigd door Aldy op 25 juli 2024 16:27]

Ik heb het over drakie. Geeft niet, het is nog ochtend.

[Reactie gewijzigd door Hatseflats op 25 juli 2024 16:27]

Begon al te twijfelen, las de discussie terug en heb het aangepast. Sorry. Inderdaad, het is nog vroeg.

[Reactie gewijzigd door Aldy op 25 juli 2024 16:27]

Uiteraard moeten mensen wegblijven, maar jij doet juist alsof door dit te zeggen er plots geen dieven/hackers meer zijn. En die zijn er natuurlijk wel.

Heb jij liever dat iemand aan je deur komt voelen en je zegt dat hij open is of heb jij liever dat iemand aan je deur komt voelen en alles begint te stelen?
Moet je er wel zeker van zijn dat het een Belgische partij betreft.
Mocht je bijv. een Duitse partij targetten, kan je gewoon opgepakt worden zodra je de grens over gaat om eens een braadworst te halen.
Dit heb ik ooit voor gehad. Bug braafjes gemeld, enige dat ik terugkreeg was een niet al te vriendelijke mail van de grote baas dat dit onmiddelijk moest stoppen en indien niet er gerechterlijke stappen zouden ondernomen worden.

Heb hem simpelweg teruggestuurd dat een hacker met minder goede bedoelingen ook niet braafjes gaat stoppen omdat de CEO de ernst van cybersecurity duidelijk niet in ziet. Het ging om een bedrijf waar velen van ons wel eens mee in aanraking zouden komen qua aangeboden diensten.

[Reactie gewijzigd door kristofv op 25 juli 2024 16:27]

De bekendste hacker van Belgiē is dit overkomen:
https://twitter.com/intidc/status/1625463655381827585
Ook mogen ze in dat geval geen beloning eisen. Dat kan wel als daarover afspraken staan in een responsibledisclosurebeleid.
Er valt weinig te 'eisen'. Melders kunnen een beloning aanvragen, die mogelijk toegekend wordt (bijvoorbeeld omdat de hack geslaagd is en significant genoeg is om een beloning aan toe te kennen). 'Eisen' doet een melder niet met responsible disclosure.

Verder nog een mogelijke fout in het artikel:
Als een bedrijf geen responsibledisclosurebeleid heeft, mogen hackers alleen aankloppen bij het Centre for Cyber Security Belgium en niet bij het bedrijf.
Dit strookt niet met:
B. Welke verplichtingen hebt u in het kader van het opsporen en melden van een kwetsbaarheid?
(...)
3° U moet de organisatie die verantwoordelijk is voor het systeem, het proces of de controle zo snel mogelijk na de ontdekking van de mogelijke kwetsbaarheid (en uiterlijk op het ogenblik van de melding aan het nationale CSIRT) inlichten over de kwetsbaarheid.

[Reactie gewijzigd door The Zep Man op 25 juli 2024 16:27]

AuteurTijsZonderH Nieuwscoördinator @The Zep Man15 februari 2023 14:45
Je hebt gelijk, ik maak er van dat ze mogen aankloppen bij allebei de instanties maar in ieder geval bij CCB.
Dat soort mensen wil je juist in dienst hebben. En niet vervolgen. Zeker niet als ze dit ook nog eens melden. Dan neem je dit goed op. En dan bedank je ze. Dat lijkt mij common sense.
Ha, ik kwam gister nog een post tegen van een Belgische onderzoeker die z'n strafblad had ingelijst na deze wetswijziging.

[Reactie gewijzigd door Maurits van Baerle op 25 juli 2024 16:27]

ha, die kreeg maar 1 jaar? Ik had 3 jaar aan mijn been!
Kun je beter de Nederlands overheid hacken. Krijg je een t-shirt :+

Maar dat is toch voor te zotte dat je netjes wilt zijn en rechtzaak aan je broek krijgt.
De gedachten achter responsible disclosure is juist dat je de bevindingen onder voorwaarde publiek mag maken zodat iedereen er van kan leren en toont hoe het verantwoord is.

Dit opzettelijk belemmeren is naar mijn mening geen reponsible disclosure meer, maar onverantwoord belemmeren om die bedrijven te beschermen. Bescherming die juist niet nodig is als de betrokkenen het publiek maken verantwoord doen. Natuurlijk kan het vervelende zijn dat een bedrijf het probleem niet wenst op te lossen, maar als een bedrijf daar dan kennelijk achter staat dan kan het ook niet zomaar schadelijk zijn als dat dan publiek bekend is.
Op zich wel een goede zaak dat ze dit dan meer legaliseren maar er zit ook wel weer een keerzijde aan vast. Het is denk ik vooral de uitdaging wat een hacker triggert om een systeem proberen binnen te dringen. Als dit dan vast hangt aan bepaalde regels dan vraag ik mij wel af of een hacker dan nog wel gemotiveerd is.

Ik denk zelf dat het wel slimmer zou zijn als er toch een bepaald verdienmodel mogelijk is voor een hacker. Uiteindelijk kan het een bedrijf heel wat geld schelen wanneer een hacker beveiligingslekken ontdekt. En tja zo'n hacker is dan toch uiteindelijk uren voor niets bezig. Zelfs een bepaalde eer mag dan niet omdat de hacker ook niets ervan mag publiceren in een hackersforum.

Niet dat ik verder pro hacken zou zijn maar wil je het hele hacken indammen zal je het toch slimmer moeten aanpakken denk ik.
Wat mij betreft mogen bedrijven die zulke hackers aanklagen best openbaar gemaakt worden. Want dan weet ik als klant dat hun imago belangrijker is dan mijn privacy gevoelige informatie en/of veiligheid.
Absoluut akkoord! De wet was dan ook compleet achterhaald; Een slecht beveiligde webshop werd actief beschermd van imago schade, de ethisch hacker kon worden vervolgt, de betrokkene konden -met geluk- een mailtje verwachten dat hun data alweer op straat lag. O en de echte hacker ? Die draait al jaren lang een bitcoin farm op de web servers. Want die breekt in via één of andere exotisch VPN en is dus niet te bereiken door de politie ...
Dus als ik tijdens het inloggen op een website achter een beveiligingsprobleem kom dan moet ik eerst mijn baan op zeggen, een nieuwe baan vinden bij een ethisch hackbedrijf en dan mag ik het probleem bij de website melden? 8)7
Elk bedrijf dient zelf security maatregelingen te nemen door bv een bedrijf in te schakelen die eea aan beveiliging checkt of dan wel een security officier in dienst nemen die dat doet. Als klant dien je altijd oppervlakkige issues melden bij betreffende dienstverlening, maar op zoek gaan naar issues bij dienstverleningen waar je niks mee te maken hebt is hetzelfde als jij mijn deur checkt of die open of dicht is. Dat gaat je niks aan.
Ja, want als je een bedrijf inschakelt of een security officer in dienst neemt zijn op magische wijze al je security problemen als sneeuw voor de zo'n verdwenen... :X

Een ethische hacker die de beveiliging van een openbare dienst(verlener) controleert is toch heel wat anders als iemand die bij jou je deur checkt. Of biedt jij ook diensten aan vanuit je huis en adverteer je die ook?
Als ik hem inhuur prima. Als het een onbekende is, heel snel wegwezen. Je diensten worden niet op prijs gesteld. Of de beveiliging op orde is, is niet zijn zaak.

Op dit item kan niet meer gereageerd worden.