Ethisch hacken
Ethisch hacken: beetje gekke term wel. Hoe kun je nu op een ethische manier (ethiek = bezig zijn met vraagstukken over goed of fout) hacken? Het woord hacken roept toch gelijk iets van gevaar op. Maar er is zelfs een opleiding ethisch hacken. Die volgde collega Jelte. Ik ga met hem bespreken wat ethisch hacken is.
Wat betekent ethisch hacken?
Jelte: Hacken = je gebruikt apparaten/software/andere dingen op een manier waarvoor ze niet bedoeld zijn. (Raar maar grappig voorbeeld: als je een stofzuiger gebruikt om snel een staartje bij iemand in het haar te maken -> dit is een zogenaamde lifehack = trucjes die het leven simpeler maken).
Je komt hacken voornamelijk tegen bij software. Ethisch hacken is dat je hacken op een nuttige manier gebruikt, om er iets goeds mee te doen. Er zijn bedrijven die een computerspecialist inhuren, en hem de opdracht geven: probeer onze systemen te hacken. Dus: probeer in te breken in onze systemen en een lek te vinden. Zodat je bijvoorbeeld bij al onze klantgegevens kunt, of bij de salarisadministratie.
Ethisch hacken is dat je hacken op een nuttige manier gebruikt, om er iets goeds mee te doen.
Wat doet een ethisch hacker?
Ethisch hacken betekent op zoek gaan naar kwetsbaarheden in software en hardware, zoals computersystemen, netwerken, websites of webwinkels. Heb je iets gevonden (het lek), dan informeer je de organisatie daarover. En kan de organisatie actie ondernemen om het lek te dichten. Je kunt ook gewoon de stand van zaken qua beveiliging van systemen vaststellen. Wel moet je altijd toestemming hebben van het bedrijf, je mag nooit zomaar gaan hacken.
Soorten ethische hackers
Ooit gehoord van een white hat hacker? Nou, er zijn dus meerdere namen voor hackers.
Jelte: Als je aan het hacken bent en je vindt iets, dan is jouw reactie daarop het verschil tussen een white hat en een black hat hacker.
White hat hacker
Stel: je vindt een manier om gratis met het OV te gaan. Dit doe je door de OV-kaart zo aan te passen dat hij denkt geld erbij te krijgen, terwijl er geen cent naar de OV-maatschappij gaat. Als je dit ontdekt en meldt bij de OV-maatschappij -en er zelf geen gebruik van maakt-, ben je een white hat hacker.
Grey hat hacker
Je probeert het veiliger te maken voor iedereen. Maar als je het juist gebruikt om er zelf beter van te worden, ben je een grey hat hacker.
Black hat hacker
Nog een stap verder: ga je de OV-kaart kraken, en vervolgens faciliteren dat iedereen vanachter zijn computertje voor een aantal euro in de maand zelf zijn OV-kaart kan kraken, dan word je al echt een black hat hacker.
Hoe word je ethisch hacker?
Als ethisch hacker moet je uiteraard verstand hebben van programmeren, netwerken configureren, scripten en servers installeren. Daarbij is kennis van bedrijfsprocessen ook handig, omdat je bedrijven helpt bij hun interne veiligheid.
Wil je ethisch hacker zijn, dan heb je een certificaat nodig: het CEH-certificaat. Dat staat voor Certified Ethical Hacker. Als je daaraan begint, heb je waarschijnlijk al een opleiding gedaan in de ICT of informatica. Heb je dat niet, dan is dat zeker aan te bevelen. Met een paar jaar werkervaring in de IT kom je ook een eind. Jelte voegt er aan toe: hoe je een ethisch hacker wordt, ligt aan het feit hoe je omgaat met de kennis die je hebt als je een opleiding voor hacker hebt gedaan...
Je kind een hacker?
De intentie van een hacker is eigenlijk het belangrijkste. Het lijkt mij ook geweldig als je bij een bekend bedrijf een groot lek ontdekt! Maar het gaat er uiteindelijk om wat je ermee doet. Natuurlijk zijn er altijd kwaadwillenden of criminelen die alles doen om geld te maken. Hun houding is sowieso fout. Maar als jouw kind bijvoorbeeld superslim is met systemen en apparaten, en hij vindt hacken geweldig, dan zou je juist kunnen stimuleren dat hij dat gaat doen om bedrijven en organisaties te helpen.
Cybercrime tegengaan
Ethisch hacken is een manier om cybercrime tegen te gaan. Door het opsporen van datalekken geef je criminelen minder kans. Vaak zijn cybercriminelen uit op identiteitsgegevens, geld wegsluizen, een bedrijf saboteren of creditcardgegevens. Zet je een team van ethische hackers in, dan kun je criminelen een stap voor blijven.
Aanvallen
Er zijn bedrijven gespecialiseerd in ethisch hacken. Zij nemen alle mogelijke aspecten mee, en kunnen op die manier door professionele hackers een hack-aanval simuleren. Dat is hard nodig in deze tijd, waar de cybercriminaliteit hand over hand toeneemt. Niet alleen bedrijven worden beter in hacken, criminelen zelf ook. Er wordt heel wat buit gemaakt.
Een paar tips van Jelte:
- Op deze website kun je kijken of jouw gegevens ooit buit gemaakt zijn. En ook of je wachtwoord ooit ontvreemd is bij een hack. Als dat zo is: gebruik dat wachtwoord echt never nooit meer.
- Gebruik overal andere wachtwoorden. En dat hoeft niet eens met heel ingewikkelde programma’s: kijk eens op laatjeniethackmaken.nl voor tips voor je wachtwoorden of voor tweestapsverificatie.
Sterk wachtwoord
Ik keek nog even naar dit artikel met tips om cyberaanvallen in bedrijven tegen te gaan. En wat is de eerste tip: zorg ervoor dat je werknemers gebruik maken van sterke wachtwoorden.
Een sterk wachtwoord (lang!!) en voor elke website/webshop/programma een ander wachtwoord. Dat is wat ook wij al jaren zeggen! Iederéén is dus beter af en veiliger met een sterk wachtwoord, niet alleen op de werkvloer. Dus een tip, beste lezer: ga eens na hoe het met jouw wachtwoorden zit… en als het nodig is: pas ze gelijk aan!
Gevaarlijk?
Nog een vraagje aan Jelte: ik zit nog een beetje met het feit of het niet gevaarlijk is om ethische hackers op te leiden? Zij weten dan tenslotte de weg…
Jelte: Als je meedoet met een cursus ethisch hacken, ga je er van uit dat iemand ook die intentie heeft. Net als iemand die bij de brandweer komt, wil leren blussen. Dus leer je hem eerst wat vuur is, en hoe het ontstaat. Op die manier weet de brandweerman/vrouw in spe hoe een brand ontstaat, en hoe je die kunt blussen. Een ethisch hacker doet niet heel veel anders: hij wil weten hoe hij een hack kan voorkomen. Dus leert-ie eerst wat hacken is en hoe het werkt. Daarna leer je hoe je je ertegen kunt wapenen.
Hoe vaak is Jelte hiermee bezig in het echte leven?
Jelte: het is dus vooral een manier van denken. Bij bijna alles wat ik zie, wil ik weten hoe het werkt. Ook ga ik standaard bedenken hoe ik het kan ge-/misbruiken zoals ik wil dat het werkt. Zo heb ik bijvoorbeeld ooit een weerstation gekregen -> inmiddels is aan de buitenkant bijna niets veranderd, maar de binnenkant is volledig veranderd.
Bonusvraag voor de liefhebber: heeft Jelte zelf weleens een groot lek ontdekt?
Jelte: Helaas! Zo spectaculair is het leven van hacker niet altijd. Ik heb geen grote datalekken ontdekt. Alhoewel... Op een dag in 2011 meldde RoutIT dat wij onze modems (van toenmalig merk) niet goed beveiligd hadden. En dat daarom VOIP-gebruikersnamen misbruikt werden, om vanuit Amerika naar Somalië (superdure verbinding) te bellen. Dus wij kijken naar het lijstje dat RoutIT doorstuurde. De eerste twee waren inderdaad met de gebruiker admin en wachtwoord 1234 (standaard) te openen. Maar op nummer 3 was niet in te loggen met gebruiker admin (voor ons althans, ik denk dat de klant zelf wel een wachtwoord had). Ik aan het zoeken, en toen kwam ik tot de ontdekking: in ieder modem zit een gebruiker “user” met het wachtwoord “user”. Deze gebruiker kan niet bij de VoIP-instellingen en kan niets aanpassen. Maar wat deze gebruiker wel kan: een back-up maken van alle instellingen. Raad eens wat er in de back-up staat: inderdaad, alle informatie die nodig is om een VoIP-verbinding te maken. Toen ben ik even aan het stoeien geweest, en heb een programma gemaakt. Daarbij vul je het IP van de klant in; als de klant een *-modem heeft, krijg je het admin-wachtwoord en VoIP-wachtwoord te zien, en kun je daarna het VoIP-wachtwoord veranderen.
Eerst wou de modemleverancier niet geloven dat dit kon, maar uiteindelijk hebben ze nieuwe firmware gemaakt waarbij de gebruiker “user” niet meer bestaat. En waarbij je verplicht bent om het wachtwoord 1234 te veranderen. Eind goed, al goed – en dat modem is er bijna niet meer ;-).
Reageren?