De nieuwe helden

Afgelopen week maakte EditieNL een televisieopname op ons kantoor in Groningen. Aanleiding voor het nieuwsitem was een onderzoek van Kaspersky, waaruit blijkt dat 60 procent van de Nederlandse jongeren onder de 25 hacken een ‘indrukwekkende’ vaardigheid vindt. Bijna 30 procent van de jongeren ziet zichzelf best hacken voor een illegaal doel of voor geld en 25 procent voelt zich ongemakkelijk bij hackers. Hackers zijn de nieuwe helden! Al is het maar voor een zeroday……

Hacken_handen_toetsenbord

Hacken is hot

De term ‘hacken’ is ontstaan op het Amerikaanse instituut MIT. De term is afgeleid van het Duitse ‘Hacker’ als in ‘iemand die meubels maakt met een bijl’. Toen de eerste computers hun intrede deden was het geheugen beperkt. Programmeurs moesten codes schrappen om een programma kleiner te maken. Dit werd, net als andere snelle, makkelijke of in ieder geval onverwachte oplossingen voor computerproblemen, ‘hacken’ genoemd. In deze context slaat een hack op trucs in allerlei vakgebieden.

In het nieuwsitem van EditieNL ‘Hacken als schoolvak is hot (en heel hard nodig)’ komt na anderhalve minuut een echte hacker in beeld: onze eigen @yafsec. Hij ís niet alleen een hacker, hij ziet er ook uit als een hacker. Popster-achtige verschijning. Hippe baard. Modieus kapsel. Ring met doodskop. Zwart T-shirt. Flesje Club-Mate nooit ver weg. No shit. @yafsec is al met al met al misschien 15 seconden in beeld. Z’n boodschap is duidelijk: De scheidslijn tussen wat legaal en illegaal is, is lastig. En, met hacken kun je een, meer dan goede, boterham verdienen.


Foto: @Yafsec

Black hats en white hats

De associatie met de term ‘hacker’ is minder positief. Een hacker wordt gezien als een persoon die zonder toestemming een computernetwerk of -systeem binnendringt door de beveiliging te kraken. Dit beeld is medebepaald door diverse groepen hackers, ofwel ‘hacktivisten’, die hun vaardigheden inzetten voor politieke doeleinden. Het bekendste voorbeeld is Anonymous. De documentaire ‘We are Legion: The Story of the Hacktivists’ is de moeite van het kijken waard.

Feitelijk is een hacker iemand die zich interesseert in de beveiliging van een computersysteem in de ruimste zin van het woord. Iemand die creatief is en op die manier op zoek is naar gaten in de beveiliging van een systeem en daar ook gebruik van zal maken. Het verschil zit hem alleen in het uiteindelijke doel, of de bedoeling van de hacker. Aan de ene kant van het spectrum heb je de slechterik, ofwel de ‘black hat’ hacker. Aan de andere kant heb je de held, ofwel de ‘white hat’ hacker. De slechterik die uit is op eigen gewin, of het aanrichten van zoveel mogelijk schade. De held onderzoekt de beveiliging van computersystemen en meldt kwetsbaarheden.

Hackende helden

Chris van ’t Hof beschrijft in zijn boek ‘Helpende hackers’ een aantal van deze helden. Onze eigen @smiegles. Onlangs nog was hij in het nieuws. Hij vliegt vrijwel gratis. Hij kreeg een miljoen airmiles van United Airlines, omdat hij een aantal serieuze beveiligingslekken onder hun aandacht bracht. Mijn persoonlijke held is 0xDUDE. Heeft misschien ook met z’n leeftijd te maken. Dit jaar neemt @0xDUDE een sabbatical van zijn werk om niets anders te doen dan dat: een jaar lang lekken melden. Hij heeft hier ook samen met Vincent Toms een stichting voor opgericht: GDI.Foundation. 0xDUDE meldde in zijn carrière meer dan 5.000 (!) lekken.

Zoek het profiel van deze beide helden op internet eens op. Het zijn geen gemaskerde mannen of duistere figuren met een hoodie. Een hoodie gebruiken ze alleen om popcorn te eten zodat ze achter hun laptop kunnen blijven hacken.

Zero-days

De documentaire van Tegenlicht, ‘Zero-days: veiligheidslekken te koop’, laat de andere kant van de medaille zien: Er is nieuw goud aan te boren via het internet en mogelijk in uw computer. Geheime achterdeurtjes, waar nog geen digitale sleutel voor is, worden verhandeld voor astronomische bedragen. In de cyber-wereldhandel waar geen regels gelden, heeft u geluk met ‘white-hat’-hackers die waken over uw online veiligheid. Maar hun tegenhangers, de zogenaamde ‘black-hat’-hackers, hebben belang bij een onveilig internet en verkopen veiligheidslekken aan de hoogste bieder. Zij zijn de hofleveranciers van veiligheidsdiensten en cyberdefensie. Wie zijn deze witte en zwarte tovenaars, die strijden om de heilige graal voor hackers: zero-days.

Achilleshiel van beveiliging

Alezander Klöpping schreef het al in 2014. Hackers zijn de nieuwe helden. Mensen die me kennen weten dat ik van wielrennen houd. Bij nieuwe helden denk ik onmiddellijk aan de documentaire van Dirk Jan Roeleven naar een idee van Nando Broers. De documentaire volgt de (toen) Nederlandse wielerploeg Argos Shimano in de Tour de France van 2013. Jarenlang wordt de wielersport gedomineerd door renners die structureel doping gebruiken. Lance Armstrong is het boegbeeld van deze zwarte periode in de sport. De Nederlandse wielerploeg wil bewijzen dat het ook anders kan.

Eiffeltoren

Hackers bewijzen dagelijks dat het anders móet. De nieuwe helden zouden de softwareontwikkelaars moeten zijn. Software is de achilleshiel van (onze) online beveiliging. En software is overal. Ook in steeds meer dingen. Van auto’s, televisies tot het koffiezetapparaat. Software is complex.

Ter vergelijking. De Eiffeltoren wordt gezien als een knap architectonisch staaltje. Symbool van Parijs en gebouwd voor de wereldtentoonstelling van 1889. Dit bouwwerk bevat meer dan een miljoen klinknagels. De Eiffeltoren is ontworpen door twee gediplomeerde ingenieurs, gebouwd door aannemer met strikte kwaliteitseisen. De gemiddelde ‘smart’ TV bevat meer dan een miljoen regels code, kan door iedereen zijn ontworpen en gebouwd zonder strikte kwaliteitseisen. Bedenk je dan dat een goede softwareontwikkelaar gemiddeld tien fouten per duizend regels code maakt.

Veilig programmeren, het nieuwe schoolvak

Er is nog onvoldoende antwoord op het probleem van kwetsbaarheden in software. De mate waarin systemen kwetsbaar zijn is afhankelijk van de wijze waarop de gebruikte software tot stand is gekomen. De omvang van het probleem kan worden teruggedrongen, bijvoorbeeld door aandacht te besteden aan concepten als security-by-design. Er moeten kwaliteitseisen, een keurmerk, voor software komen.

Nog belangrijker, beveiliging moet een prominente rol krijgen in de opleiding van softwareontwikkelaars. Veilig programmeren is het nieuwe schoolvak, vanaf het basisonderwijs. Softwareontwikkelaars zijn de nieuwe helden!

 

Wilt u graag meer informatie over informatiebeveiliging, onze services of over ons bedrijf? Vul onderstaand formulier in en wij nemen contact met u op!

Contactformulier

 

 

Meer artikelen

Bekijk al het nieuws