Certified Ethical Hackers: wie zijn ze en wat doen ze?

do, 03/01/2013 - 13:58

Door: Redactie WINMAG Pro

Wil je controleren of je beveiliging van informatie wel op orde is, dan kun je als bedrijf een goedaardige hacker inhuren. Gebruik van deze zogeheten Certified Ethical Hackers is echter omstreden, want de wet maakt geen onderscheid tussen goede en slechte hackers. Wie zijn die ethische hackers en hoe gaan ze te werk?

Hackers zijn de zwarte schaduw die over de digitale wereld hangt. Het is allemaal mooi wat er kan met al die cloudapplicaties en online diensten, maar er gaat geen dag voorbij of er wordt wel weer ergens ingebroken met miljoenenschade tot gevolg. Scams waarbij creditcardgegevens worden ontfutseld of geld wordt verduisterd geven bankdirecteuren slapeloze nachten. Ja, zelfs de techneuten van de Nederlandse telecomreus KPN hadden even het schaamrood op de wangen toen bleek dat klantgegevens waren gestolen door een 17-jarig jochie. En na zo'n incident is de schuldige natuurlijk die duistere hacker. Die kwade genius kiest er immers voor om de kraak te zetten en ons allemaal in verlegenheid te brengen. Maar is dat wel terecht? Er zitten immers ook goede hackers tussen. Veel hackers hebben helemaal geen kwade bedoelingen, maar willen bedrijven juist wijzen op de onverantwoordelijke wijze waarop ze met gegevens omspringen. Brenno de Winter heeft er zelfs een levenstaak van gemaakt.

De wet maakt nog altijd geen onderscheid tussen de goeden en de slechten, maar veel bedrijven is het ondertussen wel duidelijk geworden dat je niet alle hackers over één kam moet scheren. Goedaardige 'white hat' hackers kunnen helpen de digitale wereld veiliger te maken en tegenwoordig zijn er zelfs allerlei bedrijven actief waarbij je een hacker in kunt huren.
Door aanvallen uit te voeren testen ze bijvoorbeeld de veiligheid van de infrastructuur of van een webapplicatie. Gebruik van deze Certified Ethical Hackers is niet nieuw, maar gebeurt wel steeds meer. Zelfs het ministerie van defensie wil tegenwoordig van de diensten van de goedwillende hacker gebruik maken om ons zo tegen digitale aanvallen te wapenen (we moeten zelfs een tik kunnen uitdelen).

Erecode

Testconsultancy-bedrijf PassQuat BV is zo'n bureau dat gespecialiseerd is in security testen en Certified Ethical Hackers aanbiedt. Het bedrijf richtte zich oorspronkelijk op het testen van software. Directeur Erik van Duijn kwam er echter achter dat er veel vraag was naar ethische hackers en het testen van de veiligheid van IT-systemen. 'ICT-beveiliging richt zich bij veel bedrijven in beginsel op de infrastructuur. Vaak is dat ook wel goed beveiligd. Bedrijven hebben echter ook vaak webapplicaties en die zijn lang niet zo goed afgeschermd. Ik denk dat in 95 procent van alle webapplicaties wel lekken te vinden zijn', vertelt van Duijn. 'Daar komt nog bij dat de meeste directeuren best vermoeden dat hun website niet waterdicht is en dat zijn bedrijf inbraakrisico loopt. Zo'n directeur weet echter niet wat hij eraan moet doen en neemt daarom vaak maar de risico's voor lief. Zeker wanneer het om verwerking van gegevens van minder gevoelige aard gaat zie je dat dat risico nog wel eens genomen wordt.'

Het is nog niet zo eenvoudig om goede ethische hackers te vinden. In Nederland is er maar een handjevol mensen met deze professie bezig. 'Het is echt een apart vakgebied met heel eigen regels', zegt van Duijn. 'Een echte hacker is vierentwintig uur per dag met zijn werk bezig. Hij kan de hele dag zitten broeden op een probleem, om 's nachts plotseling een ingeving krijgen en achter zijn computer te springen. Ook is het wereldje betrekkelijk klein en kennen ze elkaar allemaal. Als ik een nieuwe hacker aanneem kennen mijn mensen hem meestal al.' Om een goede hacker te worden is die toewijding volgens van Duijn wel nodig. 'Je moet een behoorlijke ambitie hebben en bereid zijn constant te studeren. Je bent er niet zomaar mee klaar na een opleiding Certified Ethical Hacker. Zo wil ik met PassQuat naast hackers aannemen ook zo'n tien tot vijftien man vinden om die op te leiden. Het is echter erg moeilijk kandidaten te vinden die voldoen aan het profiel van Ethical Hacker.'

Volgens van Duijn is de vertrouwenskwestie een van de belangrijkste zaken voor bedrijven om bij het binnenhalen van een ethische hacker. 'Het is ontzettend belangrijk dat de bevindingen van een ethische hacker binnenskamers blijven en alleen gedeeld worden met de mensen die de opdracht hebben verstrekt', vertelt hij. 'Hackers mogen vaak niets vertellen over hun werk aan het personeel van het bedrijf. Het komt zelfs voor dat hele onderdelen van de organisatie niet weten dat er een hacker aan het werk is.' Naast discreet te werk gaan is er binnen de community van white hat hackers ook een strenge beroepsethiek. Ga je als hacker in de fout en steel je gegevens voor eigen gewin, dan wordt je in het wereldje gemeden. Ik vergelijk het altijd maar met de ethische code van een slotenmaker. Die weet precies hoe hij een slot open moet breken, maar zal die kennis niet misbruiken om in te breken. Dan zou het vertrouwen van klanten in zijn werk direct weg zijn.'

Fort Knox

Ook Henk Jan Angerman, eigenaar van informatiebeveiligingsbedrijf SECWATCH, stelt dat hackers een erecode hebben waar ze zich aan houden. Bovendien zijn er strenge beleidsregels waaraan een hacker dient te voldoen, omdat de wet het bestaan van ethische hackers niet erkend. 'Wettelijk ben je als hacker altijd in overtreding. Je pleegt namelijk computervredebreuk en kan bovendien zo zijn dat je hacktools gebruikt die niet legaal zijn in Nederland', verklaart hij. 'Het is daarom van groot belang dat je bij het aannemen van een opdracht spelregels afspreekt zodat voor beide partijen duidelijk is hoever je mag gaan. Er zijn immers talloze manieren waarop je binnen kunt komen in een systeem. Aan de buitenkant kan de boel nog zo dichtgetimmerd zijn, door een sollicitatie kun je ook binnenkomen en dingen stelen. Bovendien kun je werknemers bellen en uithoren (social engineering) en kun je met bepaalde hacktools schade toebrengen aan apparatuur of een organisatie. Door duidelijke rules of engagement af te spreken kom je niet voor verrassingen te staan en heb je als hacker toestemming van de organisatie, waardoor je gevrijwaard bent voor de wet. Het blijft echter zo dat je als hacker precies te werk moet gaan en nauwkeurig moet vastleggen wat je doet.'

Een goede hacker kijkt volgens Angerman een stuk breder dan alleen de techniek. 'De meest voorkomende manier van hacken is nog wel identiteitsfraude', vertelt hij. 'Een en ander voeren we ook als test uit. Zo hebben we ooit in opdracht van de Chief Security Officer een social engineering test gedaan bij het hoger management van een bedrijf. We deden ons voor als een bekend tv-productiebedrijf en vertelden hen dat we een televisieitem maakten. Het management was daar zeer in geïnteresseerd en daardoor erg bereidwillig om mee te werken. Aan het eind van de rit wisten we precies wie waar verantwoordelijk voor was en bijvoorbeeld wat iedereen verdiende.' Volgens Angerman is het niet zozeer de vraag of er gaten gevonden kunnen worden in de beveiliging, maar hoe snel. 'Niemand is Fort Knox', stel hij. 'Het is meestal een kwestie van tijd eer een hacker ergens binnen kan komen en de kwaliteit van de beveiliging is af te meten aan hoeveel tijd je een hacker wilt geven. De klant moet zich afvragen hoe goed hij de gegevens wil beschermen en hoeveel geld hij ervoor over heeft om een hacker naar de kwaliteit van zijn informatiebeveiliging te laten kijken. Hackers zijn niet goedkoop, want ze besteden als snel een derde van hun werk in het leren van nieuwe hacktechnieken.'

Hacker in spe?

De meeste 'goedaardige' hackers hebben zich in kunsten van hacken verdiept door zich online te oriënteren, maar er bestaat sinds enkele jaren ook de cursus Certified Ethical Hacker. Het certificaat en het cursusmateriaal worden onderhouden door de EC-council (de International Council of Electronic Commerce Consultants), maar de cursus wordt gegeven door diverse ICT-opleiders. Opleider Twice is één van de bureaus waar je het certificaat kan halen. 'De cursus geeft je vooral een beeld van wat hackers kunnen doen om in te breken op een bedrijfsnetwerk', verklaart programmadirecteur Patrick Kersten. 'De opleiding biedt een overzicht van alle bekende technieken en hoe je ze mogelijk kunt gebruiken. Je leert als het ware te denken als een hacker. Het idee is dat je na de opleiding systematisch kan onderzoeken waar kwetsbaarheden in een applicatie zitten en weet hoe je die af kan stoppen.'

De vraag rijst in hoeverre er op zo'n opleiding niet juist een nieuwe generatie hackers wordt opgeleid. Dat is echter helemaal niet het geval volgens Kersten. 'Iedereen mag in principe aan de opleiding beginnen en we screenen de cursisten dus niet. Wel moeten de cursisten een assessment doen om te kijken of ze over goede technische achtergrond beschikken en laten we alle deelnemers een NDA tekenen waarin ze verklaren hun kennis niet te zullen misbruiken. Helemaal uitsluiten kun je natuurlijk nooit, maar het is ook wel onwaarschijnlijk dat een hacker een zesdaagse cursus gaat volgen om de trucs te leren. Een kwaadwillende hacker heeft een heel andere sociale achtergrond dan iemand die juist bezig is met de beveiliging van de IT. Bovendien zijn er andere manieren om aan achtergrondinformatie te komen waar een cybercrimineel zich eerder van zal bedienen. Het is natuurlijk wel zo dat je de middelen verschaft die zich lenen voor creatief gebruik. Een mes en vork gebruik je in principe om te eten, maar wanneer je een en ander op creatieve wijze gebruikt zijn ze ook voor heel andere toepassingen geschikt.'