Mensen met een bijzonder eergevoel oftewel de nieuwe digitale ridders van de ronde tafel worden nu bij wet beschermd als ze aan al je digitale deuren en vensters komen rammelen. Ik krijg hier een beetje het ‘alles of niets’ gevoel bij. Het CCB vermeldt onomwonden :
“Elk computersysteem of netwerk kan kwetsbaarheden bevatten. Deze kwetsbaarheden kunnen ontdekt worden door zowel mensen met goede bedoelingen maar ook door mensen met slechte bedoelingen. Los van het bestaan van een gecoördineerd beleid inzake bekendmaking van kwetsbaarheden (CVDP) of van een bug bounty programma, worden mensen met goede bedoelingen vaak belemmerd om deze kwetsbaarheden op te sporen en te melden door angst om zelf aangeklaagd te worden.
Dit kader staat nu elke natuurlijke of rechtspersoon toe om, zonder frauduleuze bedoelingen of de intentie om schade te berokkenen, bestaande kwetsbaarheden in netwerken en informatiesystemen in België op te sporen en te melden, mits bepaalde voorwaarden strikt worden nageleefd.”
https://ccb.belgium.be/nl/bekendmaking-van-kwetsbaarheden-aan-het-ccb
Ik kan alleen maar zeggen dat het wettelijk kader inzake privé detectives iets meer van visie en gezond verstand getuigt. Een detective is aan de wet gebonden en mag niet zomaar in je garage komen rommelen, ook al staat de garagepoort open. Voor digitale eigendommen zien we dus meer door de vingers. We laten toe dat de ( hobby) ethische hacker even aan de kluis met digitale kroonjuwelen rammelt en hopen dat zijn hackingtools niet te ver gaan? Daar trekt een hacker zich geen barst van aan. En wat als alles wel kapot gaat? Bel je dan je van geen kwaad bewust dat een ethische hacker te hard aan je poort rammelde naar je It leverancier? Die zal dan even de systemen even booten en dan maar bidden dat je bedrijf geen digitale schipbreuk heeft geleden?
Wildcard voor de zware jongens uit de hackerwereld?
Als ik dus geronseld wordt door een hacking consortium heb ik een soort vrijbrief zolang ik maar binnen de 72 uren aangifte doe als ik denk ontdekt te zijn.
Geen overkoepelend comité voor ethische hackers die een code of conduct moeten tekenen. Net als in de farwest mag iedereen met een digitale revolver rondlopen, eerst schieten en dan nadenken.
Een bedrijf als het onze doet een uitgebreide deep scan onder NDA. Het is verantwoordelijk en gedekt door de verzekering “BA uitbating”. De CEO monitort de handel en wandel van de ethische hacker. Het is de verstrooide ethische hacker niet toegestaan rapporten ergens te grabbel te gooien. Er bestaat een streng toeziende commissie voor de rapportering en de rapporten worden NOOIT rondgemaild. Onze zogeheten ethische ridder die blijkbaar tijd zat heeft, trekt zich hier allemaal niets van aan.
De ethische hacker moet alles loggen (op voorhand) wat hij/zij of X doet. Als de privédetective zogezegd per ongeluk de garage binnenwandelt van je vriend (die gespot is met je vrouw) kan hij dan even snuffelen en vervolgens een selfie video op de oprit nemen als bewijs dat hij niet binnenging en is het dan ok? Dat verhaal maak je in geen enkele rechtbank hard. Bij ethisch hacken wel dus.
Nu is er ook een goede kant aan de zaak en dat is het feit dat ethical hackers slecht in 1% van de pogingen firewalls kunnen omzeilen, hoe slecht het achterliggende netwerk ook beveiligd is. De ethische hackers gaan dus in weze enkel extern binnendringen bij de kneusjes van bedrijven.
Een bedrijf zoals we dat vorige week nog doorgelicht hebben met de black Hat methode (waarbij we geen credentials kennen) gaf intern zowat alle mogelijkheden om het netwerk ongezien over te nemen. We hebben verschillende ervaringen die aantonen hoe simpel het is (met voorafgaande goedkeuring van het management) om via social engineering of een hacktool verwerkt in een laadkabel van een iPhone een zelfde te bereiken. In weze is zo’n ethische hack strafbaar.
Als je hier even over nadenkt en even rekent zul je qua kansberekening op het zelfde resultaat komen als mezelf. Zonder die dunne rode lijn te overschrijden levert een externe scan weinig op, zelfs niet voor de hackers die ooit digipolis viseerden.
Wil je een sluitende beveiliging is een deep scan met steun van vlaio qua prijszetting een lachertje. Als je voor een degelijke doorlichting geen € 2500 op tafel kunt leggen verander je beter van businessmodel.
Het goede nieuws is dat er een kader is. Het slechte nieuws is dat het hele gebeuren geen toegevoegde waarde heeft voor een cyberveiliger Belgie als een ethische hacker zich moet houden aan zoals CCB zelf aangeeft , aan de beperking door geen onevenredige en/of niet-noodzakelijke acties te ondernemen.
Is er een alternatief? Ja ga met een gerenomeerd pentest bedrijf in zee. Doe met hun een even strikte oefening als een bedrijf moet doen bij het beveiligen van hun gebouwen tegen inbraak.
Ik adviseer bedrijven zowiezo tot het lezen van dit document en een gelijkaardige versie op je site te plaatsen.:
https://www.vrt.be/en/responsible-disclosure-policy-english-version/
Politiek lees dit niet verkeerd! De digitale ridders van de ronde tafel moet beschermd worden. Maar er dient een overkoepelende organisatie zijn die streng toekijkt en die ethische hackers regels oplegt. Vervolgens is de vraag, dat als een Ethisch Hacker zich strikt houdt aan onderstaande 10 geboden van ethische hacking, dit alles voor jou bedrijf een meerwaarde heeft.
Bron ccbelgium.be :
‘Uw acties moeten strikt beperkt blijven tot feiten die noodzakelijk zijn om een kwetsbaarheid in een netwerk- en informatiesysteem te kunnen opsporen en melden.’
Als dergelijke feiten kunnen worden beschouwd:
het ongeoorloofd binnendringen in een informaticasysteem of de poging daartoe (artikel 550 bis, § 1 en 4, van het Strafwetboek);
het overschrijden van een toegangsbevoegdheid tot een informaticasysteem of de poging daartoe (550 bis, § 2 en 4, van het Strafwetboek);
het overnemen of kopiëren van informaticagegevens (artikel 550 bis, § 3, van het Strafwetboek);
het ontwikkelen of bezitten van hacking tools (artikel 550 bis, § 5, van het Strafwetboek);
het bijhouden, onthullen, gebruiken of verspreiden van informatie die door ongeoorloofde binnendringing is verkregen – bijvoorbeeld informatie die beschikbaar is op het internet (550 bis, § 7, van het Strafwetboek);
het invoeren of wijzigen van gegevens in een informaticasysteem (550 ter van het Strafwetboek);
het onderscheppen van communicatie of de poging daartoe (artikel 314 bis van het Strafwetboek en/of artikel 145 van de wet van 13 juni 2005 betreffende de elektronische communicatie);
de schending van het beroepsgeheim of van een contractuele geheimhoudingsplicht.
Heeft als u dit leest de poging van een ethische digitale moraalridder wel zin?
Ik denk eerlijk gezegd spijtig genoeg dat advocaten binnenkort een gouden handel gaan hebben aan zulke pogingen. Oeps toevallig brute force en de halfdode SQl server ge-euthaniseerd…even Apeldoorn bellen…
Ik vrees een beetje dat er met deze regelgeving veel digitale Don Quichottes gaan opstaan, die zich zullen beroepen op tijdelijke waanzin als het misgaat. En dat het mis zal gaan wordt iedere dag bewezen door It ers met goede bedoelingen die in een bedrijfsnetwerk spelen met KALI Linux.
En voor de ethische hackers nog een tweede tip. We zoeken nog pentesters en ze zijn goed betaald! Digitale goudzoekers kunnen beter een boek lezen ‘Waarom stierven de meeste goudzoekers arm…’
