Ethische Hackers van EY beginnen een eigen bedrijf. L0pht wordt de R&D afdeling van een ander bedrijf dat zich bezighoudt met beveiligen van netwerken en computersystemen. Het lijkt er op dat beveiligingsbedrijven op dit moment erg veel interesse hebben om technisch goed onderlegde personen of groeperingen in hun gelederen op te nemen om zodoende een complete dienstverlening aan te kunnen bieden. Het is namelijk meestal niet voldoende om alleen een procedurele audit uit te kunnen voeren en die achteraf nog eens te laten volgen door een technische audit met behulp van een standaard scanner programma. Zowel de procedurele audit, als de technische audit vereist het inzetten van specialisten die
uitermate vakkundig zijn. Vandaar dat ik mij ook verwonder bij het lezen van een ingezonden artikel in de Computable van 18 februari jongstleden, waarin Steph Marr en Wilfried van Haeren (beide werkzaam bij Predictive Systems) vraagtekens zetten bij de inzet van zogenaamde 'Ethische Hackers' als beveiligingsadviseurs. Twee zaken die me in die brief
opvielen waren het citaat 'Netwerkbeheerders nemen een risico als ze
willekeurige personen beveiligingswerk voor hen laten uitvoeren die geen
papieren kunnen overhandigen' en de fouten in de technische beschrijving
van de recentelijke aanvallen op onder andere Yahoo, Amazon en eBay. Op
beiden wil ik in het vervolg van dit artikel ingaan.

Allereerst het risico dat netwerkbeheerders nemen. Natuurlijk nemen
netwerkbeheerders risico's. Dat is bijna de dagelijkse realiteit waarin
ze leven. Een connectie aanbrengen tussen twee of meer computers houdt
altijd een vorm van risico in. Dat ze een extra risico nemen door een
'Ethisch Hacker' in te huren van een bedrijf is geen groter risico
dan het inhuren van een beveiligingsadviseur van een bedrijf. Wat
is het verschil? Het zijn beiden waarschijnlijk onbekenden van de
betreffende beheerder en in veruit de meeste gevallen zal er geen
antecedentenonderzoek plaatsvinden voordat de betreffende adviseur het
onderzoek mag starten. Het risico is mijns inziens even groot, als het
onderzoek een volledige audit moet zijn, en is wellicht zelfs groter bij
het inhuren van een standaard beveiligingsadviseur op het moment dat de
technische oplossing doorgelicht moet worden, omdat deze adviseurs
meestal onvoldoende op de hoogte zijn van de technische stand van zaken.

Een volledige dienstverlening kan dus alleen tot stand komen als
'Ethische Hackers' (die meestal geen interesse en/of kennis hebben om de
procedures en fysieke beveiliging mee te nemen in een onderzoek) en EDP
auditors (beveiligingsadviseurs) samenwerken. Waarbij de EDP auditor
zich vooral richt op de administrative audit en de 'Ethisch Hacker' zich
vooral bezighoudt met de technische scan.

Wat is er nu werkelijk aan de hand geweest met de sites van onder andere
CNN (vreemd dat bijna iedereen vergeet dat ook de site van deze
nieuwszender langdurig uit de lucht is geweest), eBay, Yahoo en Amazon.
Allereerst wil ik duidelijk stellen dat er op deze sites niet is
ingebroken en dat ze ook geen last hebben gehad van een email-bom (zoals
de eerder aangehaalde brief vermeldde). Wat er wel is gebeurt is een
vorm van elektronisch vandalisme. Iets dat niets met hacken, noch met
'Ethisch Hacken' te maken heeft, maar wat doordat de slachtoffers van
deze aanval aan de beurs genoteerd staan wel zeker invloed heeft gehad
op het imago van de bedrijven en de koersen van het aandeel.

Als respectabele consultants dit soort informatie al verkeerd weergeven,
dan denk ik dat het nog niet zo slecht is om eens 'Ethische Hackers' in
te huren voor het uitvoeren van een goed stuk werk...

Dit is een aangepast gedeelte uit een artikel dat eerder in
Praktijkjournaal Informatiebeveiliging is gepubliceerd.