Nederland gaat ethisch hacken bij andere landen promoten
Volgende maand vindt er in Den Haag een grote internationale conferentie over cyberveiligheid plaats, waarbij Nederland andere landen op het belang van "ethisch hacken" zal wijzen. Dat liet Wilma van Dijk, plaatsvervangend Nationaal Coordinator Terrorisme en Veiligheid (NCTV) tijdens een rondetafelgesprek weten waar Security.NL bij aanwezig was.
Tijdens de Global Conference on Cyberspace, die in het World Forum in Den Haag zal plaatsvinden, zullen ministers, internationale organisaties, leiders uit de private sector en de internetgemeenschap, academici en burgerbelangengroepen met elkaar over een open en veilig internet vergaderen. De conferentie, waar zo'n 1500 bezoekers voor worden verwacht, zal zich vooral op het strategische niveau richten. "Nederland wil de dialoog met ander landen aangaan", aldus Van Dijk.
Praktisch
Toch zal Nederland ook praktische oplossingen aandragen, zoals het laten zien hoe landen een eigen cyber security center kunnen opzetten en wordt de "leidraad responsible disclosure" onder de aandacht gebracht. Via deze leidraad kunnen "ethische hackers" problemen in de websites van organisaties, bedrijven en overheidsinstanties op verantwoorde wijze melden. De getroffen organisatie krijgt dan de tijd om het probleem te verhelpen voordat de onderzoeker er bijvoorbeeld over publiceert.
Op het gebied van responsible disclosure is Nederland volgens Van Dijk koploper. De leidraad zou ook zeer succesvol zijn. "Daarmee hebben we een samenwerkingsverband tussen private bedrijven, overheid en ethische hackers om ervoor te zorgen dat kwetsbaarheden bij de Nationaal Cyber Security Center (NCSC) en het bedrijf zelf worden gemeld." Als bedrijven zeggen de leidraad te ondersteunen geven ze aan dat ze geen aangifte zullen doen, hoewel de wet niet uitsluit dat melders alsnog worden vervolgd.
"Hacken is strafbaar", merkte Van Dijk op, maar ze ziet in responsible disclosure juist een manier om tijdig lekken te vinden en te verhelpen. "Het is een uniek instrument en dat gaat dus niet alleen over denken, maar ook over doen." Nederland wil de leidraad daarom als praktische oplossing tijdens de conferentie aan andere landen laten zien. "Wij laten zien hoe responsible disclosure hier wordt toegepast, met de hoop dat andere landen dit gaan omarmen."
Privacy
Een ander onderwerp dat op de agenda staat is privacy. "Privacy op internet is het afgelopen jaar een zeer belangrijke discussie geweest", liet Wouter Jurgens, projectmanager Cyber Security van het ministerie van Buitenlandse Zaken, weten. "Wij hebben er dan ook voor gekozen om privacy nadrukkelijk op de agenda van de conferentie te zetten. Dat was voorheen niet zo." Privacy is volgens Jurgens breder dan wat de staat met gegevens doet.
Het gaat ook over hoe bedrijven met de privacy omgaan. "Daar zullen we vanuit het perspectief van de consument naar kijken. Er wordt gekeken wat privacy betekent en hoe het zich de komende jaren gaat ontwikkelen. De Nederlandse positie hierin is duidelijk, namelijk dat online rechten hetzelfde als offline rechten zouden moeten zijn." Hiervoor moet worden gekeken hoe zowel nationale als internationale wetgeving aan het digitale domein kan worden aangepast.
Nederland wil zich met de conferentie voor een open en vrij internet inzetten. Op hetzelfde moment van het rondetafelgesprek vond erin de Tweede Kamer een debat plaats over de bewaarplicht telecomgegevens. Daarnaast wordt Nederland regelmatig "tapkampioen" genoemd en ligt er een wetsvoorstel klaar waardoor de geheime diensten straks ook communicatie via de kabel ongericht mogen afluisteren.
"Als Nederland zeggen we niet dat het recht op privacy onbegrensd is. Er zijn bepaalde situaties mogelijk waar de overheid mag afwijken van het recht op privacy van het individu. Als er dat soort inbreuken worden gemaakt moeten die wel met sterke waarborgen omgeven zijn en moet de burger naar de rechter kunnen stappen om het besluit van de overheid aan te vechten. Ik denk dat we dat in Nederland juist goed geregeld hebben", aldus Jurgens. De Global Conference on Cyberspace vindt plaats op 16 en 17 april.
En als er bij "federaalpolitieke samenwerking" of "ontwikkelingshulp" de lol wel af is, nou, dan stomen we gewoon door naar het volgende idee.
Bijvoorbeeld "ethisch hacken", wat noch ethisch, noch hacken is. Sterker, het idee is kapotstukdefect en werkt niet, en de terminologie is reducerend en etsend. Je zet jezelf dus enorm op achterstand door deze inslag te kiezen en deze terminologie te omarmen. Daar zijn al duidelijke voorbeelden uit de praktijk voor aan te wijzen.
Maar dat maakt allemaal niet uit, want je kan er prima mee vingerwapperen, inhoud of niet! Dus stoom toch lekker door, stelletje nitwits. Zo kennen we Nederlandse oh-zo "progressieve" ambtenarij weer.
En als er bij "federaalpolitieke samenwerking" of "ontwikkelingshulp" de lol wel af is, nou, dan stomen we gewoon door naar het volgende idee.
Bijvoorbeeld "ethisch hacken", wat noch ethisch, noch hacken is. Sterker, het idee is kapotstukdefect en werkt niet, en de terminologie is reducerend en etsend. Je zet jezelf dus enorm op achterstand door deze inslag te kiezen en deze terminologie te omarmen. Daar zijn al duidelijke voorbeelden uit de praktijk voor aan te wijzen.
Maar dat maakt allemaal niet uit, want je kan er prima mee vingerwapperen, inhoud of niet! Dus stoom toch lekker door, stelletje nitwits. Zo kennen we Nederlandse oh-zo "progressieve" ambtenarij weer.
Wat een gelul. Er is geen enkel ander land ter wereld waar RD wordt gepromote of dat richtlijnen heeft opgesteld, vanuit de overheid, voor bedrijven zodat white-hats daadwerkelijk een melding kwijt kunnen. Wat Nederland heeft gedaan met haar RD richtlijnen is uniek en het werkt ook. Er zijn diverse voorbeelden beschikbaar waaruit blijkt dat wanneer een bedrijf or publieke partij, een RD policy heeft ingericht aan de hand van de leidraad, dit ten gunste komt van de beveiliging. En er zijn ook heel veel voorbeelden van hoe fout het kan gaan wanneer een dergelijke policy niet bestaat. Zoals white-hat hackers die bij de receptie van een bedrijf uitkomen met hun melding met als resultaat het bellen van de politie en het doen van aangifte terwijl de hacker alleen maar een kwetsbaarheid in een website wil melden. Het is gewoon een goed idee maar het valt natuurlijk zwaar om iets dat de overheid verzint als een goed idee te bestempelen, en al helemaal wanneer dit ICT zaken betreft. Wat dan op zich weer niet zo gek is, over het algemeen gaan ICT, goeie ideeen en overheid niet samen in 1 zin ;)
Dat de verwarring zodanig heerst dat de bezigers zelf ook niet eens meer weten wat ze nou precies te melden hebben kun je zien aan de opkomst van toevoegingen als "ethisch" en het gehannes met hoedjes.
Het is zelfs zo erg dat als je jezelf "hacker" noemt dat je dan in de VS je vierde amendementsrechten verspeelt. Poef, grondrecht weg. Hoe kan dat?
Over de invloed van geclaimde ethischiteit en notionele hoedkleur bestaat nog geen jurisprudentie. Lijkt me ook niet nuttig om dit toch reeds gapende gat nog dieper uit te graven.
En dat was het punt: Deze inslag en deze terminologie vasthouden is niet productief.
Dat is wellicht beter te zien als je bedenkt wat zo'n drager van een echte mooie witte hoed, heus waar, nou eigenlijk doet, cq. hoe dat er vanuit het bedrijf uitziet: "HA HA! Julllie software is stuk! HA HA! Ik heb er een gat in gevonden! HA HA! Ik ben lekker goed bezig! HA HA! En jullie lekker niet! HA HA! En nu moeten jullie mij bedanken! HA HA HA HA!"
Natuurlijk is dit wat overtrokken, maar het sentiment is duidelijk: Je draait een bedrijf en je investeert grote brokken capitaal in het bouwen en onderhouden van al je software en dan komt er zo'n opgeschoten pukkelhoofd jou even ongevraagd vertellen dat je allerlei dingen helemaal verkeerd doet?
Dat is best lastig te verteren, of je dat nou met allerlei "responsible disclosure"-regels aankleedt of niet.
Maargoed, de industrie zelf zit nog helemaal vast in hun eigen mythes die ze vervolgens zelf ook niet kunnen waarmaken, dus de andere kant van het verhaal laten zien zal vooral op onbegrip stuiten.
De reden daarvoor hoort evident te zijn, maar als niet:
Een commercieel bedrijf in een vrije markt (en dus geen effectief monopolie) kan vanalles proberen en als het niet lukt dan proberen ze maar wat anders of gaan ze wel failliet en wellicht dat er iemand anders opstaat om dezelfde markt te bedienen met een ander idee.
Wat niet wil zeggen dat er niet vele ideen zijn die niet werken maar, omdat de markt zelf zo onvolwassen is en de klanten dus geen idee hebben waar ze nou eigenlijk voor betalen, dat er dan niet grof geld aan zulke onzin te verdienen is. Dat is er wel, en dat is duidelijk te zien in de security industrie.
Een overheid heeft van nature een monopoliepositie en enorm veel macht om niet-functionerende ideen toch tegen de klippen op in de lucht te houden. Daar is het dus veel belangrijker om niet alleen met goede ideen te komen maar ze ook goed uit te voeren.
We zitten in een fase waar er allerlei verdigitaliseringssaus over de samenleving wordt uitgegoten en als je daar serieus voortgang wil maken moet je beter je best doen dan een hele cottage industrie die al twintig jaar nauwlijks vooruitgang heeft geboekt na te praten.
Dat laaste is precies wat er gebeurt. En daar wat van zeggen is volgens jou "gelul". Goh, waarom verbaast me die reactie nou niet?
Vervolging staat los van het wederrechtelijk binnendringen van een systeem of het mogelijk aantonen van een beveiligingslek. Waar de een het voor lief neemt dat zijn fiets gestolen kan worden, verwacht de ander dat politie en OM tot opsporing overgaan als hij een fiets niet meer heeft die hij niet op slot had gezet. Voor geautomatiseerde systemen gaat hetzelfde op. De ene eigenaar heeft een responsible disclosure beleid, de ander weegt per gebruik af wat ze er van vinden en de ander kan het geen barst schelen wat een gebruiker met zijn systeem doet. Wat ethisch is is voor ieder verschillend, maar de wet is behoorlijk helder: wederrechtelijk toegang verschaffen tot een geautomatiseerd systeem is strafbaar. Of er vervolging en een straf volgt hangt van veel factoren af.
Lezen we ergens dat de overheid promoot om de wet te overtreden? Nergens. De woorden ethisch en responsible zijn wel de minste woorden die aangeven waar het om gaat: dat de eigenaren van de systemen en de gebruikers er gezamenlijk uitkomen. Zonder schade erger voorkomen. Geen systeem is 100% veilig te noemen. Heb je dan liever dat iemand die verantwoord bezig wil zijn risico neemt om het in goed overleg te laten verhelpen, of dat iemand met vergaande criminele intenties misbruik maakt van de situatie? Want hoe je het ook draait, een crimineel hou je niet tegen met enkel wetgeving.
Zolang script kiddies met hun jaren oude exploits nog overal binnen kunnen komen is het met de beveiliging slecht gesteld. Ik zou zelfs zeggen: Als iemand met Metasploit van vorig jaar naar binnen komt is je systeem ONDERMAATS beveiligd.
Misschien een goed idee om dat als basis voor beveiliging te nemen.
http://www.digitalbond.com/blog/2013/10/22/call-yourself-a-hacker-lose-your-4th-amendment-rights/
En dat is best een hele domme en kortzichtige ontwikkeling gezien de voorheen gebruikte juridische termen een stuk duidelijker waren. Een onmiskenbare verslechtering en slechtdoordachte poging tot popularisatie die vervolgens hard op de bek ging. Niet handig. En zo kan ik nog wel even doorgaan.
Dus als ik zeg, luister, het heeft niet zoveel zin om zowel schadelijke misbruikers als zogenaamde "onderzoekers" als onschuldige knutselaars (die wellicht nooit in de buurt komen van het hele security gedoe) met dezelfde term over een kam te scheren, dan is het heel raar als je willens en wetens aan zo'n overbrede expres vaaggemaakte term blijft schermen.
Dus zeg ik, gebruik "kraker" (engels, "cracker") al dan niet met "cyber" of "computer" ervoor, zo je wil, voor precies dat gedeelte waar het specifiek over "kraken" van de beveiliging gaat. Zo je wil in analogie van kluizen kraken. Daar kan jij volgens jou argument geen bezwaar meer tegen hebben, en het maakt zowel de onschuldige creatievelingen als de mensen die graag heldere termen horen blij.
Korte definitie, geen contentie, helderheid. Kraker. Allemaal dingen die je met "hacker" niet krijgt.
Ik weet niet wat voor een meldingen jij krijgt, maar de meldingen die ik bij ons binnen heb zien komen sinds we begin vorig jaar een beleid hebben opgesteld, ontstijgen het niveau van alle scriptkiddies die ik ken. Soms zijn het zelfs methoden en werkwijzen waarbij de leverancier van de software forse problemen heeft om het zelf te reproduceren. Zelfs met ondersteuning van de melder.
Ja, natuurlijk zitten er bij de meldingen ook zaken als telnet op een niet-standaard poort.
Omdat de overheid van de VS gek is?
Terwijl toch veel Amerikaanse bedrijven inzetten op responsible disclosure.
Dit is er wel. Zoals die politicus die aan het hacken was waarbij de rechter heeft gesteld dat hij te veel informatie heeft verzameld. Een enkele document was genoeg geweest om het gat aan te tonen. Meerdere complete dossiers is te veel.
Ik vind het echt jammer dat jullie bedrijf dat soort meldingen krijgt.
Als zo'n pukkelhoofd, volgens jouw bewering een scriptkiddie, met een melding komt, had je dat als bedrijf zeker ook moeten vinden. Scriptskiddies gebruiken toch alleen maar scripts die anderen hebben geschreven. Waarom gebruikt dat bedrijf die dan niet ook. Als je het kapitaal niet overhebt voor grondige testen, dan hoef ik die software niet.
Wij hebben in ieder geval bij de aanbestedingen van software aangegeven dat we uitgebreide pentesten mogen uitvoeren en dat de uitkomst daarvan, en de snelheid van oplossen van gevonden fouten, meetellen in de keuze van de leverancier van het product.
Ook autofabrikanten vonden NCAP in het begin lastig te verteren. Tegenwoordig adverteren ze er mee.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.