Nieuwe sprekers op de Meet-up XL: over ethisch hacken, InfoSec en meer

Over iets meer dan twee weken vindt in Hilversum de grootste Tweakers Meet-up ooit plaats. Het programma krijgt steeds meer vorm, en in deze update praten we je bij over een aantal van onze sprekers en de onderwerpen die ze zullen behandelen.

Een van de onderwerpen waarover je op 26 mei meer te weten kunt komen, is hacking en dan in het bijzonder de ethische variant. Rik van Duijn en Wesley Neelen werken bij Dearbytes als ethische hackers, en houden zich daar bezig met penetration testing. Oftewel: op verzoek de beveiliging van computersystemen van externe partijen het vuur aan de schenen leggen. In hun presentatie delen Rik en Wesley de leukste, vreemdste en bijzonderste situaties die ze in de afgelopen jaren zijn tegengekomen.

Ook hebben we Jacoba Sieders weten te strikken. Zij is digital identity strategist bij ABN Amro en zal het hebben over de balans tussen privacy, beveiliging en gebruiksgemak. Waarom is het zo lastig de diverse vraagstukken op die vlakken op te lossen? Uiteindelijk wordt antwoord gegeven op de vraag welke rol (jouw) digital identity speelt in de wereld van opkomende technologieën en welke technologieën de toekomst gaan bepalen.

Ook kun je op de Meet-up XL een presentatie van Andrea Krush bijwonen. Zij is bij de NS werkzaam als information security officer en houdt zich daarbij bezig met de vraag hoe de NS de organisatie zo goed mogelijk kan inrichten rondom contextueel relevante en actuele reisinformatie, met gepaste aandacht voor privacy en security.

Tussen nu en 26 mei zullen we het inhoudelijke programma compleet maken en we hopen snel de resterende sprekers aan je voor te kunnen stellen.

Kaartjes voor deze dag kosten vijftien euro en kun je aanschaffen via deze link. Voor hetzelfde tarief als bij een reguliere Meet-up in de avond ben je dus de hele dag onder de pannen. Voor de lunch kun je iets lekkers kopen bij een foodtruck die op de locatie aanwezig is.

In het kort

Datum: zaterdag 26 mei
Locatie: Gooiland
Adres: Emmastraat 2, 1211 NG Hilversum
Tijd: 10:00 – 18.00 uur
Kosten: 15 euro, inclusief twee consumpties

Reacties (28)

Verwijderd 9 mei 2018 13:44

Ethisch hacken? Wat wordt daar mee bedoelt?

Als ik het woord "ethiek" zie en ik zie een banner van twee Nederlandse grootbanken dan snapt men misschien wel dat ik dat vrij ironisch vind $_/-\o_$

[Reactie gewijzigd door Verwijderd op 23 juli 2024 06:53]

asing @Verwijderd • 9 mei 2018 16:00

Ethisch hacken of white hat hacking houdt in dat een hacker zijn/haar kennis en kunde gebruikt om op verzoek van een klant diverse tests te doen. Deze penetration tests (ook wel pentests) zijn van tevoren strikt afgebakend.

Stel je wilt een webserver laten pentesten. Dan staat in de opdracht bijvoorbeeld dat je alleen poort 80 en 443 mag gebruiken. Wie weet draait de server ook FTP server. Die kan zo lek zijn als een mandje, maar valt buiten de scope en die mag daarom niet gepentest worden.

De "ethiek" van het ethisch hacken is dat je je strikt aan de opdracht houdt en de resultaten alleen deelt met de vooraf opgegeven personen. De pentester kan meer, maar doet dit niet.

De andere kant, onethisch hacken, is een hacker die zonder toestemming (deel)systemen test en deze resultaten voor zichzelf houdt of deelt met buitenstaanders. Hierna is de kans dat de gevonden lekken worden misbruikt een heel stuk groter.

@Luctia : het Black hat hacken is per definitie verboden. Dit valt onder computervredebreuk. Er is een grijs gebied waarbij het toegestaan is om te hacken, mits je aan responsible disclosure doet. Het exposen van een politicus hoort daar dan weer niet bij.

Verwijderd @asing • 9 mei 2018 16:17

Jouw uitleg is redelijk duidelijk maar toch maak ik bezwaar tegen het gebruik van het woord ethiek. Ethiek heeft namelijk betrekking op de vraag of iets juist is (goed of kwaad vraagstuk). In het door jouw gegeven scenario kan de hacker 'ethisch' hacken voor een schurkenstaat als Noord-Korea of Iran. De benaming deugd dus voor geen kant en het is een zoveelste poging om de betekenis van woorden aan te passen of te laten doen voorkomen dat het hier een nobel of legaal doel betreft.

asing @Verwijderd • 9 mei 2018 16:34

Het ethisch slaat op de werkwijze van de pentester. Nu kan de pentester tijdens de tests op iets stuiten wat niet rechtmatig is. Bijvoorbeeld een server vol plaatjes met kleine kinderen. Dan stelt EC Council (de bedenkers van Ethical Hacking) dat de pentester het werk moet staken en zijn klant aan moet geven bij de politie.

En ja, je kan pentesten voor een schurkenstaat. Dat je klant onfris is wil niet zeggen dat je als pentester onfris bezig bent.

Overigens, ik ben gecertificeerd ethisch hacker

Verwijderd @asing • 9 mei 2018 16:41

Interessant ik wist niet van het bestaan van deze organisatie af, neemt niet weg dat ik de benaming erg misleidend vind. Het heeft namelijk nog steeds niets met ethiek van doen. Iedereen is trouwens bij wet verplicht melding te maken van illegale activiteiten als je dat verzuimd ben je namelijk mogelijk medeplichtig. De ethische hacker lijkt zich vooral te bedienen van het woord ethiek als marketing instrument, erg onethisch als je het mij vraagt

ec489

@Verwijderd • 11 mei 2018 05:06

Het heeft met ethiek van doen in de zin dat er heel zorgvuldig wordt omgegaan met informatie over kwetsbaarheden die in een geteste omgeving zitten en met eventuele gevoelige informatie die tijdens een test is verzameld. Deze kennis wordt nooit misbruikt en er wordt alleen met de betrokken partijen over gecommuniceerd. Oftewel: er wordt gehandeld naar een hoge morele standaard. Vergelijk het met een slotenmaker, die kan ook wel of niet ethisch handelen met zijn kennis en vaardigheden.

Wat misschien nog niet helemaal duidelijk was: als pentester test je nooit een systeem zonder uitdrukkelijke toestemming van de eigenaar. Dit wordt vastgelegd in een contract of tegenwoordig ook wel in een responsible disclosure programma. Hierbij dient de tester zich ook aan verdere afbakening(en) te houden die door de opdrachtgever zijn vastgesteld (waar asing het al over had). Evil corp. kan dus niet een of ander beveiligingsbedrijf inhuren om bij zijn belangrijkste concurrent in te breken en vervolgens een “vertrouwelijk” rapport ontvangen, waarin staat hoe zij zelf kunnen inbreken.

Als ethisch hacker ben je bezig om kwetsbaarheden in een omgeving te ontdekken, met als doel dat diens eigenaar ze kan verhelpen voordat onbevoegden (bijvoorbeeld niet-ethische hackers) ze misbruiken, allemaal met toestemming van de eigenaar van deze omgeving. Als het goed is, wordt door dit proces de omgeving na elke test een stukje veiliger (of als het niet goed is, net hoe je het bekijkt).

Daarnaast: als je als pentester opdracht krijgt om iets te testen, draag je een deel van de verantwoordelijkheid voor de veiligheid daarvan. Aangezien de meeste dingen die ik zelf test uiteindelijk aan het internet (gaan) hangen, draagt dit dus ook bij aan de veiligheid van het internet en haar gebruikers.
Of... zo zou je het als pentester in ieder geval moeten ervaren, vind ik persoonlijk (als ethisch hacker).

Wat betreft goed en kwaad: je hebt m.i. gelijk dat er soms onduidelijkheid bestaat over ethiek. Neem bijvoorbeeld dit hele verhaal. Veel mensen zullen het erover eens zijn dat hier niet ethisch is gehandeld. Maar was het onethisch van de hackers zelf? Ik zou zeggen dat het alleen onethisch was als ze op enig moment tijdens hun onderzoek van het doel (publiciteit ten koste van anderen en/of specifiek 1 van meerdere getroffen partijen bashen, take your pick) op de hoogte zijn gebracht en toch door zijn gegaan.

Ik ben het echter niet met je eens dat werken voor “slechte” mensen of “schurkenstaten” automatisch onethisch is. Als de directeur van evil corp. op straat omvalt en naar het ziekenhuis moet, gaat ‘ie gewoon mee met de ambulance. Zijn die hulpverleners dan onethisch bezig? Er zijn tal van dit soort vergelijkingen te bedenken. Dit is maar een voorbeeld, het is natuurlijk niet zo dat ik mezelf als hulpverlener zie. Maar ik zie mezelf wel als iemand die graag helpt om anderen veiliger te maken.

In deze sector heb je de luxe om zelf te kunnen kiezen van wie je je opdrachten aanneemt. Er is dus veel vrijheid om te kiezen om echt voor de “goede” mensen te werken. Mijn persoonlijke ervaring zegt mij dat dit soort afwegingen maar zelden gemaakt hoeft te worden.

Het is tot slot belangrijk om te beseffen dat gebruikers van de diensten van evil corp. ook gewoon normale mensen zouden kunnen zijn. Als evil corp. dan gehackt wordt, zijn die gebruikers de sjaak. Werken voor “slechte” mensen kan daarom wel degelijk ethisch verantwoord zijn.

[Reactie gewijzigd door ec489 op 23 juli 2024 04:25]

Verwijderd @Verwijderd • 10 mei 2018 13:55

Iemand die namens de overheid hackt en andere doelen aanvalt, behalve de eigen infrastructuur testen is geen ethisch hacker maar een door de staat gesponsorde hacker.

Je haalt wat dingen door elkaar en dat is ook wel logisch omdat hacken an sich toch vaak als 'eng' wordt gezien. Maar lang niet elke hacker is daadwerkelijk bezig om de boel te verzieken.

pbeer @Verwijderd • 11 mei 2018 13:17

In het door jouw gegeven scenario kan de hacker 'ethisch' hacken voor een schurkenstaat als Noord-Korea of Iran.

Bij ethisch hacken heb je enkel de toestemming om systemen te hacken in opdracht van- of met toestemming van- de eigenaar van die systemen. Moest je gaan hacken voor Noord-Korea, dan mag je dus enkel Noord-Koreaanse systemen gaan hacken. En daar schiet Noord-Korea niets mee op.
Dit is impliciet uit de uitleg wel te begrijpen, want enkel de eigenaar/beheerder van de betreffende systemen kan jouw de toestemming tot het hacken erop verlenen. Net zoals je niet het huis van de buurman kan verkopen.

Kain_niaK @asing • 9 mei 2018 21:33

pentesters en hackers is niet 100% hetzelfde.

bazzi

@asing • 10 mei 2018 07:16

Zelf geef ik dan ook een grote scope bij pentesten. Lekke FTP/elke andere service kan funest zijn en dat wil je echt weten. Maakt het wel wat duurder ;-)

Luctia @Verwijderd • 9 mei 2018 14:03

Ik vermoed dat daarbij white/grey/black hat hacking aan bod komt, of het hacken vanuit het "goede doel" (bijvoorbeeld om een politicus te exposen). Misschien dat er nog wat wetgeving aan te pas komt wat betreft hoe ver je mag gaan en of je, bij hacken zonder toestemming maar zonder de fout gebruiken voor eigen doel, bijvoorbeeld door het aan te geven aan het desbetreffende bedrijf, beschermd bent door de wet of dat je zomaar aangegeven en opgepakt kunt worden.

En ik denk dat dat wel meevalt hoor

Wat vind jij zo onethisch aan banken?

[Reactie gewijzigd door Luctia op 23 juli 2024 06:53]

Verwijderd @Luctia • 9 mei 2018 14:14

Serieus? Jij vind banken een toonbeeld van ethiek? Banken zijn juist instanties die de mazen in de wet opzoeken en als ze de risico's zo ver hebben opgerekt dat de gevolgen daarvan enorme consequenties hebben voor de samenleving dan komen ze de staat vragen om een bail out. Systeembanken zijn vergelijkbaar met criminele organisaties, mogelijk is het jouw jeugdige leeftijd dat je dit ontgaan is

Luctia @Verwijderd • 9 mei 2018 14:20

Dat heb ik niet gezegd

Je hebt gelijk dat ze niet altijd even ethisch bezig zijn, zelfs ik heb daarover geleerd op school en de films erover gezien, maar ik denk ook dat banken zodanig groot zijn dat je hun technische tak wel gescheiden kunt zien van de economische tak. Die wordt namelijk steeds groter naarmate beleggen geautomatiseerd wordt en IT zwakheden een grotere dreiging worden voor banken.

Wat je ook vind, banken passen goed bij een evenement als deze door hun ervaringen met beveiliging, en er valt veel van hen te leren, lijkt mij.

Verwijderd @Luctia • 9 mei 2018 14:27

De grootste bedreiging voor banken is het afnemen van het monopoly op geldcreatie en de uitgifte van contant geld. Banken willen heel graag al het geld giraal maken, overheden zien dit ook als een groot voordeel zodat alles via de fiscus kan. Als banken zeggen dat zij de voortrekkers zijn van digitale veiligheid dan moeten wij ons echt zorgen gaan maken. Als er een organisatie te noemen is waar de privacy niet veilig is dan zijn het banken wel. Mij is dan ook behoorlijk onduidelijk waarom een platform als Tweakers zich met deze instanties inlaten. Sponsorgelden? Mooie connecties? Maar om het woord ethiek daarmee in verband te brengen is ronduit lachwekkend

Luctia @Verwijderd • 9 mei 2018 14:40

Wistjedatje: Wist je dat de banken geen geld creëren, maar De Nederlandsche Bank dat doet? En ja, ik kan me voorstellen dat banken graag giraal geld zien, en ik vind giraal ook veel fijner dan chartaal. Sterker nog, ik draag nooit contant geld bij me.

Wie had jij dan graag gezien als voorloper van digitale veiligheid? De Nederlandse overheid? Want dan koester je valse hoop. Niets werkt beter als een drijfveer om een veilig systeem te maken dan je eigen welzijn, en zoals je begrijpt vinden banken dat nogal belangrijk. Waarom vind je dat banken je privacy niet veilig houden?

Verwijderd @Luctia • 9 mei 2018 15:20

Banken willen graag een veilig systeem waar niemand buitenom kan, het monopoly is heilig want het is hun bestaansrecht. Kortom het heeft alles te maken met een machtspositie van de bank en helemaal niets met jouw of mijn privacy. Giraal geld mag gewoon door een commerciële bank gecreëerd worden, de Nederlandse bank gaat over het chartale geld, op euro biljetten staat een code waarop afleesbaar is welke centrale bank uit welk land het desbetreffende biljet heeft uitgegeven.

majoh @Verwijderd • 9 mei 2018 15:35

Flinke haat tegen grote banken...

Giraal geld wordt inderdaad gecreëerd door banken. Banken moeten zich echter aan strenge regels houden, die door de Nederlandse Bank en Europese Centrale Bank opgesteld worden. Het is niet zo dat ze kunnen doen en laten wat ze willen.

Maar inderdaad, je kunt je afvragen hoe ethisch banken zijn. Echter gaat dit niet over het ethisch zijn van banken, maar over ethical hackers. Lees je even in daarop zou ik zeggen: https://nl.wikipedia.org/wiki/Ethisch_hacken
Het gaat dus om personen die hacken tot beroep gemaakt hebben, maar dan om bedrijven te helpen hun beveiling te verbeteren en te testen ipv criminele activiteiten ondernemen.

En banken zijn dus ook bedrijven die dit soort mensen nodig hebben om te zorgen dat hun beveiliging niet zo lek als een mandje is.

[Reactie gewijzigd door majoh op 23 juli 2024 06:53]

Verwijderd @majoh • 9 mei 2018 15:46

Geen haat hoor maar gezond wantrouwen tegen een systeem dat te veel macht geeft aan een select clubje.
Die regels, tja... when shit hits the fan... dan worden de regels gewoon overboord gezet toch? De regels worden strenger gemaakt als de boel weer eens te ver uit de hand gelopen is en als het daarna weer beter gaat dan worden ze weer minder streng. Niet bepaald een baken van stabiliteit lijkt mij.
Dat banken de hoogste graad van veiligheid voor hun infrastructuur willen is puur eigenbelang en heeft niets maar dan ook echt helemaal niets met het algemeen belang of privacy te maken.

the_stickie @Verwijderd • 10 mei 2018 13:43

Banken zijn financiële instanties die daarom een enorm belang hebben bij veiligheid in hun systemen, hun procedures en de mensen die ze bedienen. Uiteindelijk gaat het om miljarden...
Vanuit de industrie zelf zijn er daarom heel wat compliance voorwaarden opgesteld.
Om bepaalde gegevens te mogen (kunnen) verwerken zijn ze onderworpen aan best strenge voorwaarden uit PCI-DSS (payment card industry data security standards, met verschillende "levels", afhankelijk van wat je wil beheren of doen). Ze moeten op regelmatige basis dmv interne en externe audits aantonen dat ze daaraan voldoen, of hun bankkaarten en betaalservices worden niet (meer) geaccepteerd door de partners zoals andere banken maar ook payment services/gateways/processors (denk bv aan Visa/Mastercard, paypal, Worldline, Ingenico,...)
In mijn persoonlijke ervaring zijn financiële instellingen (bij) de best presterende organisaties wat betreft IT Security

[Reactie gewijzigd door the_stickie op 23 juli 2024 06:53]

pven 9 mei 2018 13:17

Zo jammer dat het in een weekend is ...

ShellGhost @pven • 9 mei 2018 13:19

Inderdaad. Doordeweeks had mij beter uitgekomen. Daarbij worden alle interessante bijeenkomsten doordeweeks gehouden.

pven @ShellGhost • 9 mei 2018 13:33

Door-de-weeks regel ik iets met mijn werkgever, dat gaat makkelijker dan in het weekend iets met mijn vrouw regelen.

GlennMartens @pven • 9 mei 2018 18:14

Dat herken ik wel haha

Samsonait 9 mei 2018 15:59

Ziet er cool uit! Altijd een leuk onderwerp Privacy & Security, jammer dat ik dat kader Deloitte niet is uitgenodigd. Al een aantal keer mee in aanraking geweest, die hebben altijd wat leuks te vertellen :-)

Cool initiatief!

IngamerX @Samsonait • 10 mei 2018 12:02

Tja en ey, pwc, kpmg, bdo, capgemini, ordina, accenture en mis ik nog een partij?

Het is hun business dus tuurlijk hebben ze mooie verhalen te vertellen.