Hacking: wat mag wel en wat mag niet?

16/10/18

Het Studenten Internet Debat op 5 oktober in de Universiteit van Amsterdam begon met de vraag: Heb jij wel eens gehackt? Meer dan helft van de 100 studenten van de studierichting Informatiekunde stak vertwijfeld zijn hand op.

Want uitproberen of een systeem te kraken is, of je een fout of lek kunt vinden waardoor je kunt binnendringen in computers van bedrijven of scholen is spannend, hot en cool maar…. het kan ook strafbaar zijn. Wat mag wel en wat mag niet? Waar ligt de, ethische, grens? En, hoe zouden bedrijven zich op moeten stellen tegenover (helpende) hackers? Hierover ging het Studenten Internet Debat.

 

Na een introductie van moderator Ludo Keizer start een kort theaterspel over security en hacking. Daarna is het woord aan het Openbaar Ministerie. Vivianne van Rij en Jacqueline Bonnes (Officier van Justitie Cybercrime en Digitaal Bewijs) leggen de studenten enkele praktijkcases voor en stellen daarbij de vraag “Mag dit? En hoeveel straf denk je dat hier op staat?”. Opvallend is dat de studenten vaak mild inzetten.

 

 

 

Aan de eventuele hackers in de zaal hebben de dames van het OM een duidelijke boodschap: Neem als hacker je verantwoordelijkheid, werk mee en doe niet moeilijk. Want door ‘ je hakken in het zand’ te zetten kan het alleen maar erger worden. Jacqueline Bonnes heeft hier nog een mooi voorbeeld bij waar iemand door niet mee te werken eindigde met een hogere straf dan wanneer hij gewoon had mee gewerkt en informatie had verstrekt. “En realiseer je wel dat je met een strafblad moeilijker toegang krijgt tot landen als bijvoorbeeld de Verenigde Staten. En dat is zonde”, benadrukt ze.

Moderator Ludo haakt hier op in en stelt de studenten voor een ethisch dilemma: stel, je vindt een lek in de security tijdens een hacksessie. Gebruik je het om er zelf beter van te worden of meld je het zodat andere gebruikers niet bedrogen worden? Het is een lastig dilemma voor de zaal. Een student denkt de oplossing te hebben: melden dat je een lek gevonden hebt maar de eigenaar moet eerst betalen om die informatie te krijgen.

 

Hacken voor de kost

Dat is wat Daan Keuper bij Computest doet, op uitnodiging en betaald online beveiligingssystemen testen.

Daan vertelt dat er verschillende niveaus zijn van het testen van beveiligingssystemen en dat bedrijven of instanties ook allemaal verschillend reageren bij het melden van een lek. Aan de hand van aansprekende voorbeelden laat hij zien dat sommigen vijandig reageren uit onwetendheid, zij hebben dan ook geen policy en procedures opgesteld. Maar sommige bedrijven of instanties zijn welwillend en vriendelijk en er zijn zelfs bedrijven of organisaties die hackers uitnodigen om hun beveiliging te testen, zij hebben dan ook vaak een responsible disclosure beleid. Daan pleit dan ook voor deze laatste.

Als bedrijf of instantie kun je namelijk veel voordeel halen uit het vinden van lekkages. Maar door duidelijke richtlijnen in een responsible disclosure op te stellen wat je als systeemeigenaar wel of niet tolereert blijft eventuele schade tot een minimum beperkt. Daarnaast gaf Daan, aan deze creatieve studenten, tips hoe kwetsbaarheden te melden. Bijvoorbeeld door duidelijk te zijn en je bewust te zijn dat het illegaal is wat je doet en je niet zo maar eisen kunt gaan stellen.

Hoe je een responsible disclosure opstelt vind je op responsibledisclosure.nl.

Tot slot, hield Ludo Keizer de studenten nog een stelling voor: Moet er programmeerles komen op middelbare scholen? De helft van de zaal was voor omdat het een goede voorbereiding op de toekomst is. De andere helft van de zaal was tegen omdat ze toch bang zijn dat het de verkeerde kant op gaat.

Het Studenten Internet Debat is onderdeel van het Nationaal Internet Governance Forum (NL IGF).