In interview met Patrick Jordens: white hats vs. black hats

Een man achter zijn computer op een donkere zolderkamer. Eventueel met capuchon op. Dit is het beeld dat bij veel mensen naar boven komt bij het woord 'hacker'. Heel gek is dat niet; vaak worden cyberaanvallen uitgevoerd met kwade bedoelingen, bijvoorbeeld om gegevens te stelen. Maar er bestaat een andere kant van het verhaal. In deze column zoomen we samen met Innovations Origins en Patrick Jordens in op ethisch hacken, waarbij een hacker met goede bedoelingen op zoek gaat naar kwetsbaarheden in software en programma's.

Wat is een ethische hacker precies?

"Je hebt verschillende typen hackers. De kwaadwillende hackers noemen we black hat hackers. Zij hebben bijvoorbeeld als doel om gegevens te stelen of systemen te gijzelen, en ze eisen losgeld. Goedwillende of 'ethische' hackers heten white hat hackers. Deze termen komen uit Het Wilde Westen. Als je oude westerns kijkt, dan zie je dat de bad guys een zwarte hoed dragen, en de good guys een witte.

Ethische hackers zijn actief op het internet, op zoek naar kwetsbaarheden binnen organisaties. Ze voeren acties uit om zwakke plekken in systemen te identificeren en te verhelpen. Het kan om van alles gaan, van zwakke plekken in netwerkbeveiliging tot datalekken."

Hoe gaan ethische hackers te werk?

"Dat kan op meerdere manieren. Ten eerste heb je de idealistische hackers. Zij gaan onafhankelijk te werk. Het zijn vaak mensen die ernaar streven om het internet veiliger te maken. Ze proberen bijvoorbeeld het systeem van de Belastingdienst binnen te komen en, mocht dat lukken, dan rapporteren ze wat ze hebben gevonden, voordat ze het lek openbaar maken.

Dan: de commerciële variant. Ethische hackers kunnen ook in opdracht van een bedrijf of instantie werken. Let wel: het is van belang dat een ethische hacker altijd iemand van buiten de organisatie is. Ik hoor vaak van bedrijven dat ze hun eigen IT-leveranciers de opdracht geven om een scan uit te voeren. In feite is dat hetzelfde als een slager die zijn eigen vlees keurt. Vaak is de persoon die de scan uitvoert namelijk dezelfde persoon die verantwoordelijk is voor de software. Je kan er niet vanuit gaan dat, mocht hij of zij kwetsbaarheden tegenkomen, dan een melding zal doen."

Is ethisch hacken eigenlijk legaal?

"In principe is hacken verboden. Het staat gelijk aan inbreken. Een white hat hacker moet je daarom op een bepaalde manier 'geruststellen'. Die moet er zeker van zijn dat 'ie niet wordt aangegeven. Bedrijven doen dat door middel van een verantwoordelijke openbaarmaking. Organisaties geven dan op hun website aan dat ze openstaan voor het ontvangen van meldingen over beveiligingsproblemen. Als dergelijke informatie niet op de website staat, is de kans groot dat de hacker de kwetsbaarheid niet meldt. Het risico dat ze in de problemen komen is dan te groot.”

Jij hebt ook ethische hackers in dienst. Wat valt hen op aan bedrijven waarbij ze kwetsbaarheden ontdekken?

“Dat ze updates van software slecht worden uitgevoerd en dat organisaties nog steeds werken met simpele wachtwoorden als welkom123. In deze tijd kan dat echt niet meer. Dit soort wachtwoorden zijn niet alleen gemakkelijk te raden door mensen. Er bestaan ook tools die hackers gebruiken om zulke wachtwoorden snel te kraken. 

Daarom is multifactor authenticatie zo belangrijk, voor zowel bedrijven als individuen. Als een hacker probeert binnen te komen in je systeem,  krijg jij daar zelf een melding van. Of, wat ook goed werkt: wachtwoordzinnen. Die vergeet je niet snel en zijn bovendien erg sterk vanwege de lengte.”