Maak kennis met de white hats

Inleiding

Het is al lang geen verrassing meer als een bedrijf aankondigt dat het hackers gaat belonen voor het opsporen van kwetsbaarheden. Grote Amerikaanse bedrijven als Facebook en Google hebben al een tijdje hun eigen programma's, ook wel bug bounties genoemd. Daarnaast zijn er in Nederland en België steeds meer bedrijven die een responsible disclosure-beleid opstellen, vergelijkbaar met de Amerikaanse term coordinated vulnerability disclosure. Daarin geven ze aan op welke manier lekken gemeld kunnen worden. Houdt een melder zich daaraan, dan wordt hij in principe niet vervolgd, bijvoorbeeld voor het plegen van computervredebreuk. Ook Tweakers heeft een dergelijk beleid opgesteld.

'White Hat', Carol VanHook, CC BY-SA 2.0

In Nederland speelt de leidraad responsible disclosure, die in 2013 werd geïntroduceerd, daarbij een belangrijke rol. Daarin is bescherming voor ethische hackers geregeld, zolang zij niet verdergaan dan nodig is. Daarnaast zijn er bedrijven die programma's aanbieden waarmee organisaties een eigen bugbountyprogramma kunnen opzetten. In feite is dat een responsible-disclosurebeleid in combinatie met een vaste beloning. Er zijn verschillende platforms die dergelijke diensten aanbieden, waaronder het mede door Nederlanders opgerichte bedrijf HackerOne in San Francisco en het volledig Nederlandse Zerocopter. In bepaalde gevallen heeft een dergelijk programma wel de restrictie dat de bevindingen niet gedeeld mogen worden, bijvoorbeeld in de vorm van een blogpost, als het lek is gedicht.

Al deze programma's hebben deelnemers nodig, degenen die uiteindelijk de kwetsbaarheden opsporen en melden. Om erachter te komen wie dat zijn en hoe ze te werk gaan, sprak Tweakers met een aantal Nederlandse en Belgische ethische hackers, oftewel white hats. In dit artikel spreken zij over hun ervaringen, werkwijze en achtergrond.

Maak kennis met de hackers

Een van de hackers is de 31-jarige Daniël Bakker. Hij houdt zich momenteel bezig met embedded systemen en werkt al ongeveer tien jaar in de ict. In de loop van de tijd kreeg zijn functie steeds minder met de techniek zelf te maken, waardoor hij zocht naar een andere manier om technisch actief te blijven. Ongeveer drie jaar geleden kwam hij via Tweakers op het bugbountyprogramma van HackerOne terecht. Hij had de nodige achtergrondkennis door het bouwen van websites tijdens zijn studie, maar miste de specifieke kennis die nodig is om aan de slag te gaan met bugbounties. Hij vertelt dat hij vervolgens ongeveer anderhalf jaar heeft bijgeleerd, voornamelijk door Twitter te volgen en write-ups en forums in de gaten te houden. Inmiddels staat hij op HackerOne op plaats veertig van in totaal honderdduizend aangemelde hackers.

Daarnaast sprak Tweakers met Gerben Janssen van Doorn. Net als Bakker is hij voornamelijk actief op HackerOne, waar hij momenteel op de twaalfde plek op de ranglijst staat. Janssen van Doorn is een 21-jarige student bedrijfskunde, die zich op het moment van schrijven in het buitenland bevindt in een uitwisselingsprogramma. Op de basisschool had hij al interesse in computers en software, wat zich uitte in diverse html- en Photoshop-activiteiten. Die vaardigheden kwamen van pas toen hij een parttimebaantje als webmaster aannam, waarin hij zich verdiepte in programmeren, voornamelijk in PHP. Toen al had hij naar eigen zeggen een ‘behoorlijke interesse in hacken’. Na veel proberen, bijvoorbeeld met xss-kwetsbaarheden, kwam hij uiteindelijk in 2014 via Google op bugbountyprogramma’s uit.

'Het is een spelletje,
bijna een soort ontspanning'

Tot de bountyhunters behoort ook de twintigjarige Olivier Beg, onderzoeker bij het Nederlandse beveiligingsbedrijf Zerocopter. Hij rolde in 2013 de bugbountywereld in, omdat hij het op jonge leeftijd al ‘leuker vond om dingen te slopen’ en te programmeren. Hij is medeoprichter van Bugbountyforum, een plek waar ethische hackers samenkomen om kennis te delen en waar geïnteresseerden een eerste stap kunnen nemen in de wereld van bugbounties, zo legt hij uit. Over ethisch hacken zegt Beg: “Het is een spelletje, bijna een soort ontspanning.”

België wordt vertegenwoordigd door de 28-jarige Arne Swinnen. In tegenstelling tot de overige hackers houdt hij zich fulltime bezig met bugbounties op verschillende platforms, waaronder BugCrowd, Zerocopter, HackerOne en het Belgische Intigriti. Hij was net als de rest al vroeg bezig met ict. Later volgde hij een opleiding computerwetenschappen met een specialisatie in security aan de KU Leuven. Inmiddels houdt hij zich vijf jaar bezig met hacken, waarvan ongeveer twee jaar met bugbounties. Daarvoor werkte hij als penetration tester. Zijn interesse voor het vakgebied werd gewekt toen hij deelnam aan een capture the flag-programma van zijn universiteit. Daar kon hij zijn theoretische kennis in de praktijk brengen.

Degene die het langst in het vak zit, is de 41-jarige Victor Gevers. Hij was al ongeveer twintig jaar bezig met responsible disclosure, voordat dit een vastomlijnd concept werd. Op het moment van het gesprek met Tweakers had hij 5252 meldingen op zijn naam staan, waarvan de eerste bij een lokale videotheek. Hij staat aan het hoofd van de non-profitorganisatie GDI Foundation, die zich tot doel stelt het internet veiliger te maken door beveiligingslekken bij de desbetreffende organisaties te melden.

In 2016 voerde de organisatie het zogenaamde Project 366 uit. Het resultaat daarvan waren 690 ernstige beveiligingslekken die aan 590 organisaties in 71 landen werden gemeld. Naast zijn activiteiten als ethisch hacker is Gevers innovatiemanager bij de overheid. Over zijn aanleg voor het vak zegt Gevers dat hij ‘als kind al vaak een schroevendraaier in speelgoed stak’. In tegenstelling tot de andere hackers in dit artikel houdt Gevers zich bezig met responsible disclosure in plaats van met bugbounties.

victor gevers global cybersecurity summit

Gevers geeft een responsible-disclosurepresentatie op de Global Cybersecurity Summit

Werk en motivatie

Voor de hackers, met uitzondering van Swinnen, geldt dat ze een flexibel, zelfingedeeld rooster hebben. Zo is er geen vast aantal uren dat ze per week aan het vinden van kwetsbaarheden en bugs besteden. Alles is afhankelijk van beschikbare tijd en zin. Bakker is er gemiddeld acht uur per week mee bezig en Beg schat zijn tijdsbesteding op ongeveer twintig uur per week. De anderen zitten daar tussenin. Daarbij speelt het een belangrijke rol of er een uitnodiging voor een zogenaamd privéprogramma binnenkomt. Die staan tegenover de publieke programma’s die door bugbountyplatforms worden aangeboden. Het verschil is dat privéprogramma’s een beperkt aantal uitnodigingen versturen, die vaak naar mensen gaan die een goede reputatie op het desbetreffende platform hebben. Vaak zijn de beloningen in dergelijke programma’s ook beter. Bakker: “In het begin zit je vast aan de publieke programma’s, maar die zijn al honderdduizend keren doorgelicht. Hoe hoger je komt, hoe meer private invites je krijgt. Het aantal verschilt, soms krijg je er een per week, soms een maand niets.”

Voor Swinnen ligt het net iets anders. Doordat hij zich fulltime met het deelnemen aan bugbountyprogramma’s bezighoudt, heeft hij een vast aantal uren dat hij aan het hacken van sites besteedt. Dat komt overeen met een gemiddelde werkdag, al gaat het dan niet standaard om tijden als van negen tot vijf. Ook Swinnen spreekt over de privéprogramma’s; elke ochtend kijkt hij in zijn inbox of er een nieuwe uitnodiging is binnengekomen. “Ik ben 95 procent van de tijd actief op de verschillende bugbountyplatforms. Daarnaast kijk ik op de eigen programma’s van Google, Facebook en PayPal, en doe ik een klein beetje als freelancer voor forensics en incident response. Ik verdeel mijn tijd tussen de platforms om overal reputatie op te bouwen.”

beloning

'$10 Reward', Eric Fisher, CC BY 2.0

Voor de 21-jarige Janssen van Doorn was de uitnodiging voor een privéprogramma het begin van zijn bugbountyactiviteiten. “Ik begon in 2014 bij programma’s van HackerOne, maar die waren in het begin best lastig. Toen kreeg ik op een gegeven moment een uitnodiging voor een privéprogramma; daar heb ik toen veel geleerd.” Beg houdt zich voornamelijk bezig met dit soort programma’s en zegt over de publieke variant: “Het is vervelend om met veel mensen in een poule te zitten die niks kunnen, maar wel willen. Op die manier komen er honderd tot tweehonderd meldingen binnen bij een bedrijf en zijn veel lekken al gevonden. Bovendien duurt de respons daardoor een stuk langer.”

Wat verdient een bountyhunter?

Hoewel tegenover het verantwoord melden van lekken niet altijd een financiële beloning hoeft te staan, is er bij bugbounties, zoals de naam al aangeeft, doorgaans wel sprake van een beloning. Die verschilt per bedrijf en is afhankelijk van de ernst van de gemelde bug of kwetsbaarheid. De vraag die dan natuurlijk opkomt, is hoeveel onze ethische hackers ongeveer met hun activiteiten verdienen.

Om begrijpelijke redenen gaf geen van hen een concreet getal, maar aan de hand van hun indicaties is er toch een aardig beeld te schetsen. Zo zegt Janssen van Doorn: “Ik besteed er gemiddeld zeven tot tien uur per week aan en ben dit jaar daarmee voor het eerst boven modaal uitgekomen.” Bakker verwoordt het als een ‘redelijk leuk extra salaris’ en Swinnen omschrijft het als hetzelfde salaris als wat hij als freelance pentester zou verdienen. Volgens Bakker verdienen de profs ongeveer twee tot drie ton per jaar en Beg legt uit dat een groot lek een beloning van ongeveer tienduizend dollar kan opleveren.

Googles bugbountyprogramma

Voor Beg speelt geld naar eigen zeggen geen rol; hij hackt omdat hij het leuk vindt. “Ik was lange tijd gestopt en heb het een tijdje geleden toevallig weer opgepakt omdat ik er zin in had. Wat beloningen betreft heb ik liever een T-shirt dan een of ander lullig bedrag, zoals honderd euro.” Gevers zegt dat zijn motivatie in de loop van de jaren niet is veranderd. Het gaat hem erom dat hij iets kan bijdragen aan de veiligheid van internet. “Ik doe het niet omdat ik er lekker geld mee kan verdienen. Ik vond het bijvoorbeeld fantastisch toen ik in 2016 bij Project 366 elke ochtend mijn mailbox opende en daar allemaal bedankjes van bedrijven aantrof.” Bakker zegt over zijn motivatie dat het voor hem een soort sport is om beter te zijn dan de ontwikkelaar die een site in elkaar heeft gezet. Hij illustreert dit door aan te geven dat hijzelf ook een ‘ontwikkelaarsmodus’ heeft, waarin hij met functionaliteit bezig is in plaats van met veiligheid. Daarnaast spelen een bijdrage aan de maatschappij en de beloningen ook een rol.

Ook de andere hackers geven aan dat interesse een belangrijke rol speelt, net als de beloningen. Bij geen van de hackers is het opgekomen om hun bevindingen op de zwarte markt aan te bieden. Janssen van Doorn: “Dat lijkt mij veel te veel gedoe. Als je van mening bent dat een lek meer waard is dan de beloning, dan kun je dit het beste vriendelijk aankaarten.” Beg moet lachen. “Daar ben ik veel te lui voor. Ik zou sowieso niet weten waar ik met die meuk heen moet, vroeg of laat word je toch gepakt.”

Werkwijze, tools en kennis

Het is duidelijk dat de geïnterviewde hackers minimaal een werkdag per week besteden aan hun activiteiten. Dat maakt nieuwsgierig naar wat ze dan precies doen. Uit de gesprekken bleek dat ze allemaal ongeveer dezelfde werkwijze aanhouden bij het benaderen van een doelwit. Bij de bugbountyprogramma’s is het zo dat van tevoren wordt vastgelegd wat wel en niet mag door een zogenaamde scope op te stellen, bijvoorbeeld alle subdomeinen van een bepaald domein, die door iedereen doorgelicht mogen worden. Over het algemeen geldt dat de hackers bij zelfgekozen doelwitten met een responsible-disclosurebeleid voorzichtiger te werk gaan, omdat daarvoor slechts impliciet toestemming is gegeven.

Output van een recon-tool

De eerste fase van het doorlichten van een doelwit bestaat bij allen uit het verzamelen van informatie. De meesten gebruiken daar tools en scripts voor, met uitzondering van Gevers, die alleen gebruikmaakt van zijn eigen Osint-platform. Doorgaans worden bijvoorbeeld tools als SubBrute, Fierce, Sublist3r en Dirsearch gebruikt om in kaart te brengen hoe de infrastructuur van een bepaald domein in elkaar steekt. Daarnaast is het mogelijk om met poortscanners en tools screenshots van domeinen te nemen en te achterhalen welke subdomeinen misschien interessant zijn. Daarbij moet gedacht worden aan loginpagina’s of andere sites waar het mogelijk is om als gebruiker gegevens in te voeren.

Over het algemeen leidt dit naar de tweede fase. Beg legt uit: “Vervolgens gebruik ik bijvoorbeeld Burp Suite om door de verschillende requests heen te stappen en te kijken of er iets geks gebeurt.” Burp Suite is software die het mogelijk maakt om communicatie met een webserver te onderscheppen, te analyseren en aan te passen. In alle gesprekken komt deze tool naar voren als essentiële software in het arsenaal van de bountyhunter. Swinnen: “Ik schrijf mijn eigen scripts, maar ongeveer negentig procent van de tijd breng ik door in Burp.” De stappen die daarop volgen, zijn afhankelijk van het doelwit. Zo nodigt een bank bijvoorbeeld uit om geld te stelen en bij andere diensten is het bijvoorbeeld interessanter om achter de databases aan te gaan of te kijken of het mogelijk is om rce te krijgen.

Specialisaties en kennis opdoen

Alle hackers hebben zo hun eigen focus. Swinnen legt uit: “Het is belangrijk om je te specialiseren, snelheid speelt namelijk een belangrijke rol. Degene die eerder is met zijn melding, krijgt de beloning. Ikzelf houd mij daarom bijvoorbeeld niet bezig met kwetsbaarheden als xss, ik kijk meer naar de server zelf. Zo zoek ik bijvoorbeeld naar idors, access control bypasses en sqli, dus dingen waar geen interactie met gebruikers voor nodig is. Gevers zegt over zijn eigen aanpak: “Ik wil geen one trick pony zijn, die zich bijvoorbeeld alleen maar op xss richt. Daarom ben ik heel blij met bugbountyprogramma’s, want dan kan ik de rest opruimen.”

'Ik wil geen one trick pony zijn,
die zich bijvoorbeeld alleen maar op xss richt'

Alle gesproken hackers hadden al vroeg aanleg of in ieder geval een gezonde dosis nieuwsgierigheid. Gevraagd naar de belangrijkste eigenschappen voor een ethische hacker komt vrijwel in alle gesprekken naast nieuwsgierigheid ook doorzettingsvermogen naar voren. Swinnen: “Je moet niet zomaar opgeven als iets niet lukt. Vaak is het zo dat je juist iets vindt als je net wat verdergaat dan anderen.” Ook creativiteit en het vermogen om jezelf vaardigheden aan te leren komen naar boven. Op de vraag waar ze hun kennis vandaan halen, zeggen de hackers dat ze dit veel uit write-ups op blogs van anderen halen, waarin wordt beschreven hoe een bepaald lek is gevonden. Daarnaast volgen ze de discussies op forums en Twitter, waar veel bugbountyhunters uithangen. Volgens Beg is veel technische kennis geen vereiste. “Je moet eigenlijk zo snel mogelijk zoveel mogelijk trucjes leren.” Programmeerkennis komt wel van pas, bijvoorbeeld om eigen Python-scripts te maken om taken te automatiseren. Al zijn er al wel veel openbare tools te vinden, aldus Janssen van Doorn.

Swinnen schrijft veel tools zelf, maar deelt ze pas op een later moment. “Ik wil eigenlijk wel zelf zo veel mogelijk profijt uit mijn eigen tools halen. Als dat is gelukt, maak ik ze weleens openbaar. Maar bugbounties zetten niet echt aan tot het delen van kennis, omdat iedereen in feite concurrent is.” Zelf heeft hij veel gehad aan het Web Hackers Handbook, dat weliswaar oud is, maar nog steeds nuttige informatie bevat. Daarnaast noemt hij Web Hacking 101 van Peter Yaworski, voor wie hij veel respect heeft. Voor beginners raadt Janssen van Doorn bijvoorbeeld de video’s van IronGeek aan, die presentaties van beveiligingsconferenties online zet. Bakker zegt dat hij veel aan zijn kennis van het bouwen van websites heeft gehad, omdat hij daardoor weet hoe een site in elkaar steekt.

IronGeek-video over webhacking

Ethisch hacken in Nederland en België

Gevraagd naar hun ervaringen zegt geen van de hackers dat zij ooit met juridische problemen te maken hebben gehad. "Het naarste wat ik in al mijn meldingen heb meegemaakt, is dat een bedrijf ontkende dat ik ooit contact had gezocht. Toen het vervolgens in de media kwam, volgden nare persoonlijke aanvallen. Gelukkig had ik genoeg bewijzen van mijn pogingen om contact te maken", aldus Gevers. Over bugbountyplatforms zegt hij: "Ik vind ze geweldig. Ze spelen een ontzettend belangrijke rol in de relatie tussen de hacker en de ontvangende partij." Ook Swinnen is positief. "Bij de ongeveer tweehonderd meldingen die ik inmiddels heb gedaan, is er bij een of twee een discussie ontstaan, maar meer ook niet. Ik merk ook dat bedrijven met een bugbountyprogramma veel beter beveiligd zijn dan bedrijven zonder. Ook is er verschil tussen die bedrijven die al langer een programma hebben en bedrijven die er net mee zijn gestart. Wat mij betreft werkt het beter dan traditionele methodes van bugs melden."

Over frustraties bij het melden van lekken vertellen de hackers over verschillende situaties die ze hebben meegemaakt. Beg vertelt: "Als je iets kritieks vindt, schieten bedrijven soms in damage control. Dan zit je ineens in een gesprek met een heleboel advocaten en wil de organisatie niet toegeven hoe kritiek iets was. Daar kan ik alleen over zeggen: embrace it en zorg voor een goede beloningsstructuur." Gevers zegt: "Soms is het nodig om computervredebreuk te plegen om een lek aan te tonen, maar je moet je wel aan de gestelde kaders houden. Ik probeer altijd uit te leggen dat ethische hackers lieve mensen zijn." Andere frustraties zijn managers die meldingen wegwuiven en ze communiceren met verschillende afdelingen, blijkt uit de gesprekken.

'Wat mij betreft werkt het beter
dan traditionele methodes van bugs melden'Leidraad en bescherming

Over de Nederlandse leidraad voor responsible disclosure zijn de hackers het eens: deze werkt goed, al zijn er nog wel verbeteringen in Nederland denkbaar. Volgens Bakker is met de leidraad een goede stap gezet, maar zouden overheidsinstanties niet alle lekken gelijk moeten behandelen en juist onderscheid moeten maken op basis van de ernst ervan.

Gevers is van mening dat de overheid helemaal geen financiële beloning moet geven. "Als de overheid een bugbountyprogramma in het leven gaat roepen, zou er eigenlijk niet betaald moeten worden. In plaats daarvan zou de overheid bijvoorbeeld een certificaat moeten uitdelen om mensen te stimuleren en te steunen. Op dit moment krijgen we onze soc's namelijk niet vol. We moeten het juist hebben van de mensen die in hun vrije tijd bezig zijn en niet alleen van de mensen met een hoop diploma's en theoretische kennis." Beg voegt daaraan toe: "We zijn momenteel lekker bezig met responsible disclosure en bugbountyprogramma's moeten nog groeien. Ik denk dat dit laatste wel wordt tegengehouden door de leidraad." Swinnen vindt dat er met de bescherming van ethische hackers in België 'een nodige stap' wordt gezet.

toetsenbord close-up

Veel van de hackers zien nog wel een verschil tussen de hoogte van de beloningen van Amerikaanse en die van Nederlandse bedrijven. Volgens Beg zijn de beloningen in Nederland 'vrij triest' en hebben Amerikaanse bedrijven uit Silicon Valley meer geld te besteden. Gevers schrijft het feit dat Nederlandse beloningen lager zijn, toe aan het feit dat er in Nederland een stuk nuchterder tegenaan wordt gekeken. Janssen van Doorn merkt op dat hij in Nederland meer problemen ondervindt bij het uitbetalen van beloningen, omdat er meer juridische obstakels zijn. Daarom heeft hij nu een KvK-nummer aangevraagd om het eenvoudiger te laten verlopen. Volgens de 21-jarige is er in Nederland geen besef van een passende vergoeding en moeten juist grote bedrijven daarin het voortouw nemen.

Toekomst

Over het algemeen zien de hackers dat er meer aandacht is voor kwetsbaarheden. Volgens Bakker is alles eromheen in een stroomversnelling geraakt, al is er voor de Nederlandse markt nog een lange weg te gaan. Janssen van Doorn merkt dat datalekken meer aandacht in de media krijgen en dat de publieke opinie op dat vlak is veranderd. Ook zouden bedrijven over het algemeen positief reageren op een melding. Alle hackers merken dat er steeds meer concurrentie komt op het gebied van bugbounties, bijvoorbeeld doordat er steeds meer mensen aan meedoen en er professioneler te werk wordt gegaan. Swinnen weet daarom niet of hij over vijf jaar nog steeds fulltime dit werk zal doen. Bakker ziet eveneens een toenemende concurrentie, maar volgens hem is het dan ook het 'beroep van de toekomst'.

leidraad rd Gevraagd naar de toekomst zegt Gevers: "De Nederlandse overheid heeft destijds met de leidraad aangegeven dat er een wil is op dat vlak. Dat heeft Opstelten toen toch maar netjes gedaan. Volgens mij is er in Nederland ook niemand vervolgd voor responsible disclosure. In de toekomst is het nodig dat we ernaar kijken hoe je het voor jongeren helder maakt. Bijvoorbeeld dat het niet oké is om een volledige database leeg te trekken, maar dat het voldoet om een aantal elementen te benoemen in je melding. Daarvoor is veel begeleiding en oefening nodig. Daarnaast is er behoefte aan een afwegingskader, omdat de techniek harder gaat dan de regels. Vroeger was het bijvoorbeeld geen goed idee om iets te brute forcen, maar als je tegenwoordig een paar combinaties probeert, is er weinig aan de hand. Bovendien denk ik dat responsible disclosure een goede nekslag kan zijn voor zero-days."

4. Werkwijze, tools en kennis
5. Ethisch hacken in Nederland en België
63Reacties

Multipage-opmaak

IT-banen

Reacties (63)

Superstoned 25 juni 2017 11:28

Wij hebben nu een jaar een Bounty programma by HackerOne en het werkt erg goed. We betalen tot 5000 euro uit, al is dat nog nooit nodig geweest - we hebben een goed ontwikkel proces met security training voor developers, attack surface analysis voor nieuwe features, automatische en menselijke reviews van de code en natuurlijk een bug bounty programma. We hebben dat allemaal door een externe partij laten evalueren (NCC Group) en kijken ook naar standaarden als de CCI Best Practices.

Toen we het project starten kregen we een flinke piek van over de 200 reports, dat kost veel tijd om te verwerken, maar het ging daarna omlaag naar 5-10 per week dus dat is wel te managen. We hebben in totaal al bijna 700 reports gehad, 77 daarvan hebben tot actie geleid en 18 daarvan hebben de reporter geld opgeleverd, met 1000 dollar als hoogste bounty.

Ik kan ieder bedrijf aanraden een HackerOne (of iets dergelijks) op te zetten. Maar je moet het wel serieus nemen. We reageren snel - gemiddeld binnen 8 uur. Als er een probleem is doen we echt ons best om de root cause te vinden maar ook om een hardening of verandering van ons development proces te ontwikkelen die de hele klasse bugs in de toekomst voorkomt.

mysticyx @Superstoned • 26 juni 2017 15:47

77 daarvan hebben tot actie geleid en 18 daarvan hebben de reporter geld opgeleverd.

Kan je dit uitleggen? Waarom hebben ze niet allemaal tot (kleine) geldbedragen geleid? Als ze het blijkbaar wel waard waren om actie te ondernemen?

[Reactie gewijzigd door mysticyx op 22 juli 2024 15:40]

Superstoned @mysticyx • 28 juni 2017 09:22

Ik ken de details niet maar er zullen aardig wat dubbele bijzitten. Of bugs die al gefixed waren - daar betalen we ook niet voor...

Veel hackers zoeken naar 'low hanging fruit' en stoppen er niet veel tijd in - ze vallen onze infrastructuur aan ondanks dat we op elke mogelijke manier duidelijk maken dat alleen onze software eligable is voor betaling (niet onze wordpress blog, ons discourse forum etc etc) en ze draaien automatische tools die veel false positives opleveren.

Dus je kunt aardig wat op zich relevante reports krijgen die verder niet aan de regels voldoen...

Het zegt natuurlijk wat over onze processen en de software zelf dat niemand een zware fout heeft gevonden (remote execution ofzo) en de 5K heeft gekregen.

PS als je onze geschreven rapport wilt lezen:
https://nextcloud.com/blo...cloud-bug-bounty-program/

[Reactie gewijzigd door Superstoned op 22 juli 2024 15:40]

0xygen500 @Superstoned • 27 juni 2017 11:07

is 1000 euro niet super weinig voor een hacker? stel hij vind 12 lekken in een jaar, dan heeft die 12.000 per jaar.

Superstoned @0xygen500 • 28 juni 2017 09:25

Zie boven, veel hackers zoeken naar low hanging fruit en gebruiken geautomatiseerde tools. Daar betalen we dus niet aan uit. Of ze checken oude versies van de software of onze infrastructuur ipv de software (wij hosten niet dus er is echt 0,0 overlap).

Maar de mensen die er serieus wat tijd insteken krijgen wel een aardig bedrag. Je moet wel meer dan 12 lekken vinden, dat is niet makkelijk in 1 stuk software maar er is veel meer ;-)

0xygen500 @Superstoned • 28 juni 2017 09:36

Meer dan 12 lekken, wat nu als je 1 zeer kritiek lek gevonden hebt. Dan krijg je niks uitbetaald?

Superstoned @0xygen500 • 28 juni 2017 10:09

ik doelde op jouw voorbeeld - dat als je 12 lekken vind van Eur 1000 heb je nog maar 12.000.

De meeste lekken betalen minder uit maar kosten ook niet zoveel werk, ik denk dat veel hackers wel enkele tientallen lekken vinden. Maar je kunt ook voor een paar grote gaan, dan krijg je meer uitbetaald - als je een remote execution vindt in Nextcloud ben je 5000 euro rijker...

Ralph.nl 24 juni 2017 07:09

Ik heb een eigen bedrijf samen met twee anderen. We bouwen een desktop applicatie met een licentie bestand, het licentie bestand wordt online opgehaald. We zouden wel willen laten controleren hoe goed beveiligd dit hele proces en de applicatie zijn. We willen dus hacker willen inhuren. Heeft iemand een idee hoe ik zoiets aanpak?

[Reactie gewijzigd door Ralph.nl op 22 juli 2024 15:40]

Jorik90 @Ralph.nl • 24 juni 2017 15:40

Je zou dit prima aan kunnen bieden op Zerocopter of HackerOne als private project. Dat zijn projecten waar een beperkte set researchers/hackers je applicatie testen totdat het vooraf gestelde budget (iig bij Zerocopter) op is.

Ralph.nl @Jorik90 • 24 juni 2017 20:06

Ik heb ons vanochtend aangemeld bij HackerOne, ik ga daar straks of morgen ons project op zetten en dan kijken wat er uit komt. Als dat niks wordt kan ik nog Zerocopter proberen, bedankt voor die tip.

AMD_Aero @Jorik90 • 24 juni 2017 22:25

Je hebt zoals het artikel ook vermeld nog intigriti.be van Belgische bodem.

Jantje2000 @Ralph.nl • 24 juni 2017 07:39

Ten eerste kun je natuurlijk gewoon zelf logisch blijven nadenken. Veel lekken voorkom je door er goed bij na te denken.
Verder zijn er communitys waar je veel kunt leren en die je eventueel kunnen leren hacken. Zelf vind ik hackenkunjeleren.nl wel een fijne community.
En je kunt natuurlijk een professionele hacker inhuren bij Sogeti/Fox-IT e.d.
Daar zitten hackers die worden gedetacheerd, die je dus zou kunnen inhuren.

MadcatIX @Jantje2000 • 24 juni 2017 10:31

Ik zou kijken naar kleinere bedrijfjes waar goeie lui gaan werken die bijv. een Sogeti ontgroeit zijn. Vergeet niet dat bij alle grote detacheerders met name starters werken.

Ralph.nl @Jantje2000 • 24 juni 2017 19:59

Sogeti/Fox-IT klinkt als te duur voor ons. We zijn een klein bedrijf en leven van een marginaal loon, omdat we hart hebben voor wat we doen en natuurlijk zit er wel een goede toekomst in.

De eerste is een beetje een open deur denk ik

Uiteraard denken we zelf na en zijn we van mening dat het veilig is. Maar we zijn geen hackers en hebben zelf ook nooit echt iets gehad met hacken. Zij zullen een hele andere kijk hebben.

SpiceWorm @Ralph.nl • 24 juni 2017 07:44

Gebruik een bestaande, grote open source bibliotheek die goed wordt bijgewerkt, verbind bijvoorbeeld via asymetrisch encrypted https en ga niet zelf sockets openen. Dan kom je al een heel eind. Ik weet niet hoe interessant de gegevens zijn?

Ralph.nl @SpiceWorm • 24 juni 2017 20:00

We gebruiken een open source encryption library en tevens gaat alles via een SSL verbinding, dus dat moet al goed zijn.

Verwijderd @Ralph.nl • 24 juni 2017 08:51

Licensie data altijd signen met bijvoorbeeld sha256 dan weet je in ieder geval al zeker dat er geen keygen komt (tenzij je de private key op een server achterlaat die gehacked wordt). Verder, zonder commerciële drm wordt het heel moeilijk om je app tegen een crack te beschermen, geloof me. Tenzij je de app niet offline kan gebruiken en je dus continu serverchecks op de licensie +signature kan doen en je een valide reden hebt voor je app om met de server te communiceren. Dus dat dat proces er niet uit te patchen is.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 15:40]

Ralph.nl @Verwijderd • 24 juni 2017 20:05

We gebruiken inderdaad een 256 bit encryptie op de license file. Ik weet zo even niet meer welke. Het licentie bestand heeft een begin datum, geen einddatum. Je zou het dus al simpelweg kunnen hacken door iedere keer de datum terug te zetten, maar ik verwacht niet dat iemand die moeite gaat nemen en als het zo is, laat het er dan 1 of 2 zijn. De licentie is dus offline te gebruiken, wat moet in onze branche. We maken software voor professionele vlieg simulatoren en die hangen zelden aan het internet.

blorf @Ralph.nl • 24 juni 2017 08:23

Verzin iets "obscuurs". En verstop dat in je binary. Een heleboel zullen afhaken als er geen bij hun bekende standaarden worden gebruikt.
Daarnaast: server-side verificatie mbv een key die op de (digitale) factuur oid staat scheelt ook een hoop. Een ontbrekend papiertje verknalt alles.

jj71 @blorf • 24 juni 2017 09:43

Security through obscurity is geen echte security, waarom zou je dit doen als er betere methoden zijn die wel echt secure zijn?

Security by obscurity is discouraged and not recommended by standards bodies. The National Institute of Standards and Technology (NIST) in the United States specifically recommends against this practice: "System security should not depend on the secrecy of the implementation or its components."

Het kan het wel moeilijker maken, maar als iets echt belangrijk is moet je hier niet op vertrouwen, want op een dag kijkt die ene hacker die nooit opgeeft naar je code en dan is je software alsnog gekraakt.

[Reactie gewijzigd door jj71 op 22 juli 2024 15:40]

Pinkys Brain @jj71 • 24 juni 2017 14:26

Onzin, er zitten haken en ogen aan. Maar niet "openlijk" gedistribueerde custom software met goede physieke beveiliging om reverse engineering te voorkomen kan wel degelijk wat toevoegen.

Voor sommige toepassingen is het zelfs noodzakelijk, kijk bijv naar secure processors ... zowel op hardware en software niveau zit er een hele hoop security through obscurity in. Dat is de enige manier waarop het kan werken, openheid zou de kosten van het hacken alleen maar omlaag halen.

PS. voor copy protection is het ook de enige optie.

[Reactie gewijzigd door Pinkys Brain op 22 juli 2024 15:40]

Gomez12 @Pinkys Brain • 24 juni 2017 20:37

Als security by obscurity noodzakelijk is dan heb je gewoon crappy security. Het kan en mag niet noodzakelijk zijn.

Kijk maar naar een pgp en consorten die gewoon open source zijn en onkraakbaar (tot nu toe).

copy protection is juist de vertegenwoordiging van crappy security. Er valt wel goede security over games etc heen te zetten, alleen kost dit te veel

Pinkys Brain @Gomez12 • 24 juni 2017 23:34

Elke offline copy protection waarvan je de machine code kan lezen kan je altijd kraken.

In de toekomst hebben we misschien zwarte doosjes in de processor waardoor (een deel van) de code verborgen kan worden, maar het is nog niet zover. Daarom zijn de beste beveiliging op het moment dongles, met name degene waar ook echt code op de dongle kan worden uitgevoerd. Code die je zonder heel veel moeite niet kan achterhalen als eindgebruiker, beveiligd door security by obscurity.

Kees BOFH

Netwerk en systeembeheer

@jj71 • 24 juni 2017 14:58

Ondanks dat het geen security is verft men in het leger de tanks nog steeds in camouflagekleuren.

Het is zeker wel security, alleen niet genoeg op zichzelf.

Ralph.nl @Kees • 24 juni 2017 20:08

Dat zullen we onthouden. Ik weet niet of we direct iets kunnen bedenken, maar er zal wellicht iets zijn, als het niet te veel implicaties heeft. Bedankt!

Superstoned @Ralph.nl • 25 juni 2017 11:29

Zie mijn reactie hieronder. Dat is wat wij doen.
Een praktische tip is om eens te kijken naar standaarden als de CCI Best Practices.

Ralph.nl @Superstoned • 25 juni 2017 15:12

Voor ons is €500 al een hoop geld... We doen dit allemaal zonder externe financiering.

Superstoned @Ralph.nl • 25 juni 2017 16:52

Daar kun je best mee beginnen, maar dan moet je ook wel zeker zijn dat je al aardige kwaliteit hebt anders gaat het snel veel kosten. Wij boden 5K omdat we er zeker van waren dat onze veiligheid erg goed was, en dat is gebleken want niemand heeft een fout ter waarde van 5K gevonden...

Ralph.nl @Superstoned • 25 juni 2017 19:30

Dan klinkt zoiets toch niet als iets waar we naar opzoek zijn.

Superstoned @Ralph.nl • 28 juni 2017 08:44

Nee je moet je proces eerst op orde hebben. Een bug bountie program is een naderhand-oplossing. Je hebt iemand nodig die helpt je ontwikkelproces op orde te krijgen, daarna nu je dat met een bug bountie program verifiëren.

Ralph.nl @Superstoned • 28 juni 2017 10:58

Maar in de tussentijd moet de software de markt op

We gaan binnenkort nog eens met een oud klasgenoot zitten die enigszins met dit soort dingen te maken heeft. Via iemand die mij aansprak op Tweakers kan ik misschien direct in contact komen met een hacker, wellicht valt er op die manier iets te regelen.

Superstoned @Ralph.nl • 7 juli 2017 23:49

Mia dat kan werken... je hebt gewoon expertise nodig, linksom of rechtsom ;-)

Ralph.nl @Superstoned • 8 juli 2017 10:43

Een hacker inhuren moest zo'n €900 per dag kosten. Dat is het ons niet waard, in één dag bereik je niet zo veel, dat gaat dan behoorlijk in de papieren lopen. En om €1500 voor een bounty op tafel te gooien gaat ons ook te ver.

Superstoned @Ralph.nl • 9 juli 2017 01:40

Je kunt vast wel wat meer low-key beginnen, iemand vinden met afiniteit voor security die een tool als de burp suite draait enzo... Er zijn aardig wat tools die al heel wat vinden.

pjottum

@blorf • 24 juni 2017 08:25

Altijd goed, security through obscurity...

Nystran @pjottum • 25 juni 2017 15:14

Altijd goed, security through obscurity...

Ook bekend als Job security through obscurity. Jij kan eigenlijk niet weg omdat jij de enige bent die weet hoe die obscure features werken, en zit binnen je bedrijf vast aan dat inmiddels verworden tot legacy systeem.

Of je zoekt elders een nieuwe baan, en twee jaar later moet er een aanpassing aan dat systeem komen. Helaas snapt niemand hoe het werkt. Resultaat: systeem afschrijven en nieuw systeem bouwen (€€€).

Probeer nou niet slim te zijn door security through obscurity, maar gebruik liever netjes, waar beschikbaar de standaarden.

josvane 24 juni 2017 08:45

Goed artikel,
Waar ik nog wel benieuwd naar ben is. Hoe herkent een netwerk beheerder dat er mogelijk misbruik gemaakt wordt.

Onlangs nog was exact in het nieuws met een wachtwoord reset voor alle gebruikers. De wachtwoorden waren via een omweg verkregen. Als dit gebruikt wordt is wordt dit gelogd als een succesvolle login. Niks verdacht en toch wordt dit waargenomen.

Wellicht dat Tweakers hier eens een artikel over wil schrijven

[Reactie gewijzigd door josvane op 22 juli 2024 15:40]

MiesvanderLippe @josvane • 24 juni 2017 10:08

Ik kan een half antwoord geven. Bij grote netwerken is vrij goed bekent wat normaal verkeer is en dat wordt allemaal weggefilterd. Verkeer als naar Twitter is bijvoorbeeld zelden* interessant. Verkeer dat niet normaal is zoals bijvoorbeeld onverwacht verkeer naar een server kan automatisch geflagged en gecontroleerd worden. Het is bijvoorbeeld heel raar als iemand 20x probeert in te loggen op een router - een sysadmin heeft hier gewoon een certificaat of een wachtwoord voor.
Daarnaast draaien op de meeste servers zogenaamde intrusion detection systems die zoals de naam doet vermoeden oneigenlijke logins en rare activiteiten in logs opmerken. Deze sturen berichten in bijvoorbeeld de vorm van mails naar een administrator gestuurd. Hierbij is het natuurlijk belangrijk dat de berichten niet verwijdert kunnen worden zoals bij systeem logs wel het probleem is.

* Mallware maakt hierom vaak gebruik van social media als command and control in plaats van een eigen server.

FavouriteSongs 24 juni 2017 09:09

Deze opmerking zal wel worden gemind omdat het offtopic is, maar de term 'ethisch hacker' zegt niets over of een hacker voor een 'goed' doel hackt of niet. Iedere hacker heeft een ethiek, net als ieder mens, of dit nu is om zelf beter te worden of om anderen te helpen. Korter gezegd: de term slaat nergens op.

Aegir81 @FavouriteSongs • 24 juni 2017 09:16

Ethisch als antoniem van onethisch, niet als hacker die handelt met een bepaalde ethiek ;-)

De filosofische tak houdt zich bezig met wat goed/juist handelen is. Dus een ethische hacker zal juist handelen. Ik vind de term wel passend.

[Reactie gewijzigd door Aegir81 op 22 juli 2024 15:40]

Lednov @Aegir81 • 24 juni 2017 10:26

En dus blijft de vraag wat juist is. Wat juist voor jou is, is niet per se juist voor mij. Het is een nietszeggende term die vooral in het leven is geroepen om zichzelf niet als crimineel te laten bestempelen.
Het artikel geeft het al aan, je pleegt computervredebreuk. Dus ben je crimineel bezig. En je koopt strafvervolging af, door dat jij de bug meldt hoe je computervredebreuk hebt gepleegd. Op de koop toe word je dan ook nog financieel beloont. Een beloning die ook slechts in het leven is geroepen om ervoor te zorgen dat bugs niet in criminele handen vallen.
Het is je reinste flauwekul dat zij aangeven dat ze niet weten waar ze heen moeten met hun bevindingen. Ik zit totaal niet in het wereldje en ik wist binnen vijf minuten waar ik heen kon. Me dunkt dat zij prima weten waar je heen kan. Dat ze er niet voor kiezen, is een ander verhaal!

MrMonkE @Lednov • 24 juni 2017 20:39

Ja, de een zijn moraal is niet de ander zijn moraal, dus ethiek is een rekbaar begrip. Een ethische moordenaar zou iemand kunnen zijn die een medewerker van een abortuskliniek doodschiet, Niet ethisch volgens jullie (neem ik aan) moraal maar wel volgens zijn (de moordenaar) moraal. Hij zal zelf vinden dat juist heeft gehandeld.

Ethische dief
Ethische moordenaar
Ethische zwendelaar
Ethische leugenaar
Ethische verkrachter
Ethische politicus
Ethische onethicus
Ethische etc

Pinkys Brain 24 juni 2017 14:17

Beveiliging in de IT is te vaak dweilen met de kraan open.

Bounty programma's zijn bijv. ongetwijfeld goed voor bedrijven als Microsoft, Google en Apple om hun sandbox systemen te verbeteren. Deze zijn ontworpen met een sluitende beveiligings specificatie in gedachte, en de hackers vormen een menselijke proof engine om de implementatie te verbeteren. De bestemming is in zicht, elk stapje is een stapje vooruit.

Voor systemen die vanuit het ontwerp onveilig zijn is het meer een uitkering voor hackers, een omkoopbedrag om ze uit de criminaliteit te houden. Bij de volgende versie hebben de programmeurs al meer gaten gecreëerd dan de hackers hebben aangewezen.

[Reactie gewijzigd door Pinkys Brain op 22 juli 2024 15:40]

Gomez12 24 juni 2017 20:48

Jammer dat het artikel slechts bij de happy-joy-joy kant blijft hangen.

Heel veel white-hackers zijn bewust of onbewust toch wel eens black-hatter geweest.

Het hele prive-systeem van bugbounty's is al een shady business op zichzelf, want je kan gewoon een pentest aanvragen op een concurrent via het prive-systeem. En dit gebeurt ook meer dan je wenst.

SpiceWorm 24 juni 2017 07:45

Ik krijg kromme tenen van dat "the hackers". We zitten niet meer op de basisschool.

@ discussie hieronder: het gaat mij om het woordje the.

Zeg gewoon ontmoet de hackers. Hackers dekt de lading. De meeste mensen die zich een beetje verdiepen weten dat er white en black hat hackers zijn. Het woordje the gebruiken komt erg kinderachtig over alsof de auteur / redactie onwijs opkijkt tegen hackers.

[Reactie gewijzigd door SpiceWorm op 22 juli 2024 15:40]

Verwijderd @SpiceWorm • 24 juni 2017 10:08

Het is ook een hele kromme term, en kort samengevat: De industrie als geheel (en ook de media) zitten dus nog wel op niveautje basisschool.

Inderdaad, je kan dat zien aan het welles nietus over wie er "ETHISCH" zou zijn en het gedoe met de goeden en de kwaden, aangeduid met hoedkleur. Een soort cowboys en indianen, maar dan zonder indianen. Zeker als je vergelijkt wat "hacker" vroeger betekende met wat het nu betekent.

Voorheen: Iemand die technische kunde en creativiteit combineert tot perceptieveranderende innovatie. De term werd slechts als "merit badge" opgespeld door gelijkgestemden, en dus nooit door de media of door jezelf!

Nu: Een term om "bad ass" te lijken, ongeacht of je wat kan of niet. Het heeft iets met computers maar wat? Niemand die het weet.

"Hacks" net zo. De eerste buffer overflow en de eerste SQL injectie waren vast wel hacks, want nieuw en perceptieveranderend. Maar de 9000ste? Al sinds de tweede niet meer. Want al die exploits zijn voor het overgrote deel kleine variaties op hetzelfde thema, dus niet vernieuwend. Zelfs het ontdekken is grotendeels gemechaniseerd. Wanneer heb je voor het laatst een echt nieuwe klasse exploit gezien?

Vandaar dat je nogal wat nieuwsberichten ziet waar "hackers" als een soort boeman worden opgevoerd en "gehackt" als term voor "geen idee wat precies, maar computers! cyberinterwebs! gevaar!" ingezet wordt. Dus zijn zelfs de nachtwaker die usb keyloggers in de baas z'n computer stopte, of de kindertjes die een standaard testcode rechtstreeks uit de handleiding op een flappentap invoerden, al snel "hackers" volgens de media, of zichzelf.

Onderhand lees ik nieuwsberichten met "hacker" of "gehackt" erin gewoon niet meer, want ze vertellen me niet wat ik moet weten. Maar de term gebruiken heeft wel gevolgen. Bijvoorbeeld, een Amerikaanse rechter heeft al geconcludeerd dat jezelf "hacker" noemen je zomaar je vierde amendementsrechten kan kosten. Dus noem jezelf dat maar beter niet. Sowieso beter om te vertellen wat je wel weet en niet je onkunde te verhullen met lege termen. Dat laatste is wat "hacker" nu doet.

Ook voor journalisten geldt, voorheen ging het in de journalistiek toch om het informeren. Dus dan heb je termen met inhoud nodig.

Dus inderdaad, dit hele stukje is niet echt serieus te nemen en de mensen die er in voorkomen eigenlijk ook niet. Ondanks dat ze vast zelf vinden heel erg nuttig bezig te zijn. Het blijft een soort kruimeldieverij, ook al worden er regelmatig hele circussen opgezet over individuele kruimeltjes.

Bijvoorbeeld "heartbleed". Mediacampagne, persberichten, hippe website, aansprekend logo, dramatische naam. Spectaculair, ja. Impact nu onmiddelijk, groot ja. Belangrijk in het grote plaatje? Uh, nee. Slechts als indicator van een groter probleem. Maar dat valt niet op want er is eigenlijk geen aandacht voor dat grote plaatje.

Dus blijven we lekker kruimeltjes zoeken. En onszelf wijsmaken dat we heel belangrijk bezigzijn, zoals kinderen op het speelplein dat zo goed kunnen.

Muncher @Verwijderd • 24 juni 2017 10:43

Ik lees hier een enorme rant op mensen die echt hun stinkende best doen om fouten van andere te corrigeren. Natuurlijk valt er wat af te dingen op de term 'hacker', maar dat heb je ook met andere beroepsgroepen (vraag eens aan een ambtenaar wat die van de classificatie 'ambtenaar' vind). En ja, de media zorgt natuurlijk lekker voor een hypetrain.

Wat ik mis in je betoog is wat nu precies de oplossing moet zijn voor dit probleem. Moeten we een andere term gaan hanteren (gaan we weer terug naar hackers versus crackers?)? Wat is volgens jou het 'grote plaatje'? Wat moet de industrie anders doen?

Dasprive @Muncher • 24 juni 2017 11:08

Hear Hear.

We zijn sowieso al te vaak bezig met kretologie. In mijn wereldje word ik heel moe als iemand "data privacy" zegt ipv privacy of gegevensbescherming. Feit is echter dat alle klanten, bedrijven en dergelijke meer het nu eenmaal zo noemen.

Awareness, begrip en er mee bezig zijn is veel belangrijker, en als de media of de industrie dan verkeerde kreten gebruikt moet ik maar even op mn tanden bijten. Pas wanneer het inhoudelijk ook echt fout gaat heb ik er problemen mee, en dat kan ik over dit artikel nu niet echt zeggen.

Iets meer on-topic: ik was me er niet van bewust dat er ook in NL en BE toch al een grote community was rond bugbounties. Tijd om wat meer klanten (die vaak geen zin hebben in pentests of bang zijn voor kosten) daar eens op te wijzen.

Verwijderd @Muncher • 24 juni 2017 11:33

Ik lees hier een enorme rant op mensen die echt hun stinkende best doen om fouten van andere te corrigeren.

Heel hard meedoen is goed genoeg voor de basisschool. Daarna gaan resultaten steeds harder tellen.

Wat ik mis in je betoog is wat nu precies de oplossing moet zijn voor dit probleem.

Waarom zou een betoog dat poogt aan te stippen waar het probleem zit, incompleet zijn zonder een complete en correcte oplossing? Dat is een hele rare redenering, zeker als je al begint met vergoeilijken dat ze toch zo hun best doen en daarom niet becritiseerd mogen worden.

Je mag best vragen om suggesties, maar dat je incompleetheid suggereert is niet echt constructief, eerder onderhands. Het doel was niet even alle wereldproblemen op te lossen. Het doel was dit probleem aan te stippen, zelfs even summier te schetsen. En dat staat te lezen in wat jij een enorme rant noemt.

Er staat ook een begin van een oplossing, namelijk afzien van lege sensatietermen, dus ook van "hack", "hacker", "hacken", en zo verder. Zet in op vertellen wat je wel weet.

En dan kom je er snel achter dat je verrekte weinig weet, minder dan je moet weten, en dan zou je best eens kunnen concluderen dat je daar eerst eens iets aan moet doen. Dit zal nog best een opgave zijn, maar onderkennen van het probleem is de eerste stap naar het vinden van een oplossing.

Moeten we een andere term gaan hanteren (gaan we weer terug naar hackers versus crackers?)?

Hoezo "weer terug"? Dat er een hele grote groep "security researchers" met basisschoolmentaliteit de media op hun hand hebben en dus beter gehoord worden dan criticasters wil niet zeggen dat hun vocabulaire de goudstandaard is.

Zeker niet als ze vooral basisschoolresultaten boeken. En al helemaal niet als ze met hun gestolen woordenschat vooral zichzelf weten te verwarren. Wanneer ben je ethisch? Als je een code volgt? Maar welke dan? Want er zijn er best wel veel, allemaal verschillend. Wanneer is je hoed wit, zwart, grijs, of zelfs groen? Bijvoorbeeld: Als de zwarte hoeden "de kwaden" zijn, de wetsovertreders, waarom kan er dan een legale "zwarte hoed conferentie" zijn? Hoezo kunnen we niet die hele conferentie oppakken en de computercriminaliteitscijfers zichtbaar zien dalen? Maargoed, dat is dus omdat de aankleding van dat feestje voor de sensatie gaat, niet voor de inhoud. Er klopt dus gewoon een hele hoop niet aan wat er in het wereldje gebeurt. Het is spielerei. Basisschoolspielerei.

Dat duidelijk maken is waar het mij om ging.

Wat is volgens jou het 'grote plaatje'?

Dat er al een kleine dertig jaar allerlei mensen "hun stinkende best" gedaan hebben en daarmee zelfs een hele cottage industrie opgetuigd hebben, maar dat ze nog steeds vastzitten in kruimeldieverij, wat je goed kan zien aan wat er bereikt is... en vooral ook aan wat er niet bereikt is.

In die zin kun je stellen dat wat er nu op de markt te krijgen is aan "computer security" gewoon inherent niet goed genoeg is. Dat ook grote bedrijven hier hard op de neus gaan kun je zien aan, bijvoorbeeld, intel dat mcafee overnam om "in de chips" antivirus te gaan doen. Dat bleek niet te werken, iets wat ik al bij de het bericht van overname verwachtte omdat het conceptueel niet bij elkaar begint te passen. Waarom doen ze het dan toch en verbranden ze er ettelijke miljarden dollars aan? Tsja, goede vraag. Ik kan je wel een antwoord geven maar dit antwoord is al lang genoeg zo.

Het lijkt me dan dat als zelfs miljardenbedrijven zulk soort elementaire fouten maken, het een beetje raar is om te klagen dat de observatie dat deze tak van sport nog gewoon in de kinderschoenen staat niet gelijk de precieze oplossing meelevert.

Wat moet de industrie anders doen?

Opgroeien.

SherlockHolmes @SpiceWorm • 24 juni 2017 08:09

DE PENTESTERS klinkt anders ook niet zo denderend.

bones @SherlockHolmes • 24 juni 2017 08:32

Of penitratietesters

d99n @SpiceWorm • 24 juni 2017 20:25

Wat doet dat er aan toe of af het gaat mij om de inhoud, je kan ook beter opbouwende kritiek geven, geef een goed alternatief voor het woord "hackers"

SpiceWorm @d99n • 24 juni 2017 22:16

De opbouwende kritiek is: noem het gewoon "de hackers" ipv "the hackers".

Verwijderd @SpiceWorm • 25 juni 2017 14:01

En wie wat ouder is, weet dat de term 'hackers' eigenlijk ook weer niet correct is als je de originele internet jargon file aanhoudt. Eigenlijk zijn het ethische 'crackers'.

"The " ergens voorzetten is gewoon een oud verkooptrucje.

Neus 24 juni 2017 09:54

Mijn ex-collega, officieel een ethische hacker (staat ook op zijn LinkedIn profiel en blog) bleek achteraf maanden lang alle emails van hoger-management te lezen dmv een Exchange backdoor en toen hij later ontslagen werd (voor een andere rede), heeft ie via dezelfde backdoor de Exchange server en backups verknald (zonder zijn sporen te wissen dus aantoonbaar).

Ethisch aan mijn hoela: 'white hat' zolang hij de kalmte kan bewaren...

Daniel_Elessar @Neus • 24 juni 2017 11:47

Dan ben je naar mijn inziens vanaf het begin al niet goed bezig. Ik zie het daarin al een soort machtsmisbruik zelfs. Als jij de kennis en dingen hebt om dingen te fixen/scannen etc op veiligheid moet je de dingen die je vind melden. Zeker als je ergens in dienst bent. Het ligt dan aan de persoon zelf die er niet mee om kan gaan als hij beslist emails te gaan lezen over een lange periode. Daar dien je uit te blijven. Zie het als beurs speculanten die als het over hun eigen/aanverwant bedrijf is niet mogen handelen daarmee omdat het voorkennis is. Ik zie je voorbeeld ook een beetje in die zin.

Als je dan ok nog na je ontslag zulke dingen doet ben je inderdaad gewoon en "hacker" is de negatieve zin van het woord. Nu is het vaak zo dat als mensen ontslagen worden IT vooraf een seintje krijgt om hun account te blokkeren zodat ze mochten ze kwaad willen doen niks kunnen verwijderen etc.

Er zijn mensen die wel hun kennis voor 'het goede' inzetten en bedrijven helpen hun systemen veiliger te maken.

Verwijderd @Neus • 24 juni 2017 13:14

Dan ben je gewoon een klootzak. We kunnen hier zelf toch wel bedenken wanneer iemand puur als professional aan het hacken is, en wanneer iemand zijn/haar kunsten misbruikt om een bedrijf neer te halen.

stervis 24 juni 2017 11:31

Typefout in het artikel:

Bij de bugbountyprogrmma’s is

MiesvanderLippe @Mr777 • 24 juni 2017 10:09

Da's inderdaad een heel nette titel die je bij veel werkgevers binnen de ICT zeker hoger in het lijstje doet staan. Een werknemer die zich op zo'n niveau bewust is van beveiliging is zeker een aanvulling op het team.

Ruudjah @MiesvanderLippe • 24 juni 2017 12:52

Als ik iemand interview met dergelijke ervaring, dan is dat zonder meer een sterk punt. Het is wel sterk afhankelijk waar je dan weer in zit als werkgever/team binnen werkgever.

Arashi_NL @Mr777 • 24 juni 2017 20:06

Gelukkig zijn mensen die CV's lezen vaak ouder dan 12.

Op dit item kan niet meer gereageerd worden.