NL EN

'Ethisch' Hacken

Een hacker is iemand die inbreekt in computers. Het plegen van inbraken klinkt niet als een bijzonder nobele bezigheid. Toch viel in het NRC Handelsblad van vrijdag 5 januari 2013 de volgende kop te lezen: “Opstelten wil ruimte voor ‘zorgvuldige’ hackers”. Dit artikel was geschreven naar aanleiding van een richtlijn die door de minister van Veiligheid en Justitie, Ivo Opstelten, aan het begin van dit jaar aan de Tweede Kamer werd gepresenteerd.  

Ruimte voor ‘zorgvuldige’ hackers. Is dat niet zoiets als zeggen dat ‘zorgvuldige’ inbrekers, die bijvoorbeeld niets kapotmaken tijdens hun rooftocht door een huis, daarvoor de ruimte moeten krijgen?

Een goed antwoord op deze vraag vereist enige kennis over hackers. De wereld van computerhackers is onderverdeeld in twee kampen: aan de ene zijde staan de zogeheten ‘white hat’ hackers en aan de andere kant de ‘black hat’ hackers. Hun verschillende hoedjes markeren verschillende intenties. Waar de wit gehoede hacker poogt beveiligingsproblemen aan het licht te brengen teneinde de beveiliging van computersystemen te verbeteren, proberen de hackers in zwarte hoeden de beveiligingsproblemen voor persoonlijk gewin te exploiteren. 

Deze richtlijn ziet op het eerste soort hacker. Een dergelijke ‘white hat’ hacker wil eigenlijk geen kwaad doen, maar helpt de beveiliging te verbeteren. Dit zodat er geen misbruik gemaakt kan worden van door de hacker ontdekte beveiligingsproblemen. Deze problemen worden aan de orde gesteld waardoor ze vervolgens verholpen kunnen worden, of in sommige vallen verholpen moeten worden. Dat hangt af van de gebruikte manier om de problemen kenbaar te maken:

Soms wordt een probleem publiekelijk bekend gemaakt, waardoor het met grote haast verholpen moet worden. Dit wordt ‘full disclosure’ genoemd en maakt in zekere zin het veiligheidsrisico groter. (immers: het publiek omvat ook ‘black hats’ die met de informatie aan de slag zullen gaan) Omdat de hacker het probleem zo snel mogelijk verholpen wenst te zien wordt dat op de koop toe genomen.

In andere gevallen maakt de hacker het probleem bekend aan een kleinere kring, meestal alleen de direct betrokkenen. Dit heet ‘responsible disclosure’. Een probleem voor de hacker is dat het veiligheidsrisico soms blijft bestaan in de gevallen dat de direct betrokkenen geen actie ondernemen. De dreiging van ‘full disclosure’ wordt dan gebruikt als aansporing.

 

De richtlijn beoogt de ‘white hat’ hackers aan te sporen om aan ‘responsible disclosure’ te gaan doen en daarbij het toepassen van ‘full disclosure’ achterwege te laten. Zodoende heeft de richtlijn weinig op met eerder genoemde ‘black hat’ hackers. De eerder gemaakte vergelijking met inbrekers gaat in zoverre op dat de ‘black hat’ hackers voor hun digitale evenknie van huisvredebreuk, computervredebreuk, vervolgd blijven worden.

De ‘white hat’ hacker kan beter vergeleken worden met een inbreker die niets steelt, het slot van de deur verbetert, repareert en van dit alles een melding maakt aan de huiseigenaar. De richtlijn beoogt deze ‘white hat’ hackers ruimte te geven zodat ze beter hun werk kunnen gaan verrichten.

De richtlijn stelt daarover het volgende: "Momenteel bestaat er bij beveiligingsonderzoekers angst om deze kwetsbaarheid rechtstreeks bij een bedrijf te melden. Hierdoor wordt een kwetsbaarheid bijvoorbeeld indirect en via de media naar buiten gebracht.”

Maar zal de richtlijn de angst van ‘beveiligingsonderzoekers' (lees: hackers) in praktijk  daadwerkelijk wegnemen? De regels uit het document zijn een richtlijn en nadrukkelijk geen plicht, daarom blijft computervredebreuk juridisch strafbaar. De betrokkenen kunnen nog steeds aangifte doen en het Openbaar Ministerie kan nog altijd vervolging in stellen.

Het is zodoende maar de vraag of ‘zorgvuldige’ hackers echt de ruimte krijgen van minister Opstelten. Maar zeker is dat die zorgvuldige hackers wel degelijk bestaan.

Auteur: Jesse Dirks

BRON: ‘Opstelten wil ruimte voor ‘zorgvuldige’ hackers' ', NRC Handelsblad 5 januari 2013, p. 2


PAGINA DOORSTUREN

DEZE PAGINA IS SUCCESVOL DOORGESTUURD!

EEN REACTIE PLAATSEN

UW E-MAIL ADRES WORDT NIET GETOOND AAN ANDERE BEZOEKERS.

  1. NAAM
  2. E-MAILADRES
  3. BERICHT
  4. WANNEER U DEZE REGEL KUNT LEZEN, VUL HET VOLGENDE VELD DAN NIET IN!
  5.