Wetenschap

Hacken voor het goede doel

Door Gijs Ettes

Ethische hackers Vincent Toms en Victor Gevers van GDI.Foundation lanceerden begin dit jaar Project 366. Een jaar lang besteden ze vrijwel al hun vrije tijd aan het opsporen kwetsbaarheden en het voorkomen van hacks. Ze wonnen onlangs een Digital Impact Award, maar verder verdienen ze er geen cent mee. We spraken met beide heren om erachter te komen wat hen drijft.

Er lijkt tegenwoordig geen week voorbij te gaan zonder dat er een hack of datalek groot in het nieuws komt. Het afgelopen jaar vonden talloze aanvallen plaats die opvielen door strakke organisatie, goede uitvoer en technisch vernuft. Vincent Toms en Victor Gevers hebben er geregeld mee te maken. Beide zijn overdag werkzaam voor de overheid en focussen zich op onder meer IT en informatiebeveiliging. “Eind 2015 liet Victor me zien hoe gemakkelijk hij bij bedrijven naar binnen kon wandelen. Hij is al ruim 18 jaar als ethisch hacker actief om organisaties te wijzen op securitylekken. Zelf houd ik me bezig met preventieve frameworks en ik was geschokt om te zien hoezeer die tekort schieten”, aldus Toms. Net als Gevers maakte hij zich steeds meer druk over de veiligheid van bedrijven, instellingen en particulieren. Het idee voor een stichting (GDI.Foundation) die het anders aanpakt, was geboren.

ethisch hacken 1

 

Vooralsnog is GDI.Foundation twee man groot, maar er liggen plannen om uit te breiden en de volgende stap te maken. “Gezien de grote hoeveelheid beveiligingslekken zouden we hier veel meer tijd en aandacht aan moeten besteden. We willen ons op een gegeven moment fulltime bezighouden met de stichting. Dat kan echter niet zonder ondersteuning vanuit de overheid, het bedrijfsleven en andere welwillenden. Zij kunnen financiële en technische middelen leveren, maar het is minstens zo belangrijk dat kennis en toekomstbestendige oplossingen worden gedeeld met een zo groot mogelijk publiek.”

Ethisch hacken in Nederland

Vooralsnog gebruiken weinig organisaties in Nederland ethische hackers om hun beveiliging naar een hoger plan te tillen. Toms: “Enerzijds komt dat omdat ethische hackers vanuit de top van een organisatie als bedreigend kunnen worden ervaren. Het is op z’n zachtst vervelend om te horen dat een geïmplementeerd controleframework van een paar miljoen euro op sommige punten niet werkt.” Anderzijds is het beroep van ethisch hacker relatief nieuw en onbekend. “Maar het is wel een zeer goede beroepskeuze”, voegt Gevers toe. “De beroepsgroep is klein: er zijn in ons land niet meer dan 120 mensen met de juiste kennis, ervaring en drive.”

Voor die groep is werk genoeg: het vinden en verkopen van kwetsbaarheden is een gouden business. Grote bedrijven als Apple, Google en Microsoft hebben zogenoemde bugbountyprogramma’s om het melden van hacks te belonen. Voor sommige zerodays, beveiligingslekken die niet bij de softwaremaker bekend zijn, betalen bepaalde bedrijven miljoenen. “Er zullen altijd mensen zijn die het doen voor hun eigen financieel gewin en ten koste van anderen. Maar voor de meeste ethische hackers is geld niet de grootste drijfveer. Gelukkig is de groep mensen die anderen wilt helpen en vanuit een goede intentie handelt veel groter.”

Dat geldt ook voor de stichting van Toms en Gevers, die geen commerciële afweging maakt bij het informeren over kwetsbaarheden die ze tegenkomen. “Sterker nog, we adviseren getroffen partijen kosteloos en van begin tot eind, ook over hoe het in het vervolg beter kan. De meeste datalekken zijn het gevolg van onvoldoende testen. Bedrijven hebben zoveel haast met het uitbrengen van hun app of dienst dat goede beveiliging wordt overgeslagen”, aldus Gevers.

Strijden tegen cybercrime

Sinds 1 januari zijn er met Project 366 meer dan 500 kwetsbaarheden in 55 landen opgespoord en gemeld. Vaak gaat het mis bij databases, die niet goed zijn afgeschermd en daardoor gemakkelijk van buitenaf zijn te infiltreren. “Veel bedrijven kiezen voor een database die met een paar klikken is te installeren. Daarbij zijn de firewall en autorisaties vaak onvoldoende ingericht, waardoor de database openstaat voor de hele wereld.” Ook kinderen zijn regelmatig slachtoffer, als weer eens inloggegevens, spelletjesscores of beelden van ‘slimme’ babycamera’s uitlekken.

Gevers komt tijdens zijn speurtocht veel gelijksoortige problemen tegen. “Het geeft me een goed gevoel als bijvoorbeeld een medisch gegevenslek snel na een melding wordt gedicht. Maar ook ‘minder spannende’ datalekken zoals die bij een Aziatische VPN-aanbieder met een paar honderd klanten zijn belangrijk.” Naast datalekken opsporen heeft Project 366 als doel de informatieverstrekking en tooling te optimaliseren. “Op die manier moet het voor partijen makkelijker worden om adequate maatregelen te treffen tegen cybercrime.”

Over het algemeen reageren bedrijven geschrokken, maar positief op de meldingen van GDI.Foundation. “De laatste jaren is de trend omgeslagen van vijandig naar positief. Men is doorgaans dankbaar en bereid snel actie te ondernemen. Security staat overal hoog op de agenda, al helpt het dat we steeds meer naamsbekendheid krijgen.” Toch is soms een zetje nodig, vervolgt Gevers. “We hebben twee keer social media moeten inzetten om een bedrijf in beweging te krijgen, en met succes. Kwetsbaarheden volledig openbaar maken is echter onverantwoord en ongewenst.”

Slagkracht

Het succes van Project 366 is niet onopgemerkt gebleven. Begin dit jaar werd de Surf Security Award 2016 in de wacht gesleept en in september won het project de Digital Impact Award, die jaarlijks wordt uitgereikt door ECP en Nederland ICT. De komende tijd blijft een veiliger internet voor iedereen het hoofddoel van de stichting. Toms: “Om onze slagkracht te vergroten, zoeken we de komende tijd de samenwerking met andere partijen in de IT-sector. Gezien de complexiteit van aanvallen en toename van cybercrime is het belangrijk om de aanwezige informatie en adviezen gemakkelijk vindbaar te maken. Nu is die enorm gefragmenteerd, waardoor je door de bomen het bos niet meer ziet.”

Hij is van mening dat ook gebruikers een bijdrage kunnen leveren aan de bestrijding van cybercrime. “Je kunt weinig doen als je gegevens na een datalek op straat liggen. Wel kun je van tevoren bedenken bij wie je informatie achterlaat en wat de impact is zijn als het uitlekt. Een sterk wachtwoord, back-ups en encryptie zijn belangrijke preventieve mogelijkheden, net als het direct veranderen van je inloggegevens in het geval van een hack.

Bedrijven kunnen zich wenden tot het Nationaal Cyber Security Centrum, Nederland ICT, GFCE en andere instanties. Zij geven advies over de implementatie en het testen van preventieve beveiligingsmaatregelen. “In alle gevallen blijft het belangrijk om te starten vanuit een risicogedachte: wat zijn mijn kroonjuwelen, welke privacygevoelige data heb ik in bezit en wat is de impact als die op straat komt te liggen? Het zijn vragen die bedrijven, maar ook gebruikers zichzelf onvoldoende stellen.”

Dit artikel delen

Gerelateerde onderwerpen

Wetenschap

Lees dit hierna