Twitter van Trump gehackt: ‘Het lijkt me doodeng’
Dat hij het Twitter-account van de Amerikaanse president Donald Trump in oktober had gehackt, was voor de Nederlandse ‘ethisch hacker’ Victor Gevers een topprestatie. Minder gezellig werd het toen hij zich daarvoor moest verantwoorden bij Trumps secret service en de Nederlandse politie. Een interessante testcase, vinden ze bij Fontys Hogeschool ICT.
“Het lijkt mij doodeng”, zegt docent Casper Schellekens van FHICT in Eindhoven. Hij geeft aan dat Victor Gevers een bekende naam is in de hackerswereld en met zijn successen ook de publiciteit zoekt. Politie en Openbaar Ministerie zien hem vooralsnog als getuige, niet als verdachte.
“Gevers kan het aan omdat hij dit al lang, op allerlei niveaus en serieuze plekken doet. Hij weet wat hij zich op de hals haalt. Al zal hij hiervan denk ik ook wel geschrokken zijn”, aldus Schellekens. De docent is tevens verantwoordelijk voor het cybersecurity-programma van FHICT, waarbinnen veiligheidsspecialisten worden opgeleid.
Kick
Een belangrijk onderdeel van dat programma is ethisch hacken: het opsporen van data- en veiligheidslekken in systemen en netwerken, om die vervolgens netjes bij de getroffene te melden. Twee vierdejaarsstudenten van FHICT geven toe dat zij, behalve door dit veiligheidsaspect, ook worden aangetrokken door de kick van het hacken.
“Zeker als je bij een bedrijf een ‘major data breach’ (groot datalek, red.) vindt”, verklaart Rens, “en als je weet dat het bedrijf failliet zou kunnen gaan als kwaadwillenden dit hadden gevonden. Dat is mij nog niet gelukt, wel om bij kleine bedrijven klantgegevens in te zien.”
Testen op bugs
Student René noemt het interessant om te zien waartoe een kleine menselijke fout al kan leiden: “Anderen kunnen daardoor geheime informatie vergaren of zelfs systemen compleet plat gooien. Ik vind het belangrijk dat mensen zich daarvan bewust zijn, én van de consequenties.”
René houdt zich in zijn vrije tijd ook bezig met bug bounty hunting: onder anderen ondernemers kunnen hun website aanmelden bij een platform, met de vraag of ethisch hackers die willen testen.
Schouderklopje
Volgens hun docent kunnen bedrijven ook een responsible disclosure policy hebben. Daarmee geven zij aan geïnteresseerd te zijn in kwetsbaarheden die hackers in hun systemen ontdekken. Maar alleen als het netjes worden gespeeld: niks defect maken, geen data of systemen aanpassen en onmiddellijk stoppen nadat het gebrek is aangetoond.
“Ook moet je je vondst zo snel mogelijk aan het bedrijf melden en geheimhouden tot het lek is hersteld. Soms staat er een beloning tegenover. Dat varieert van een klopje op je schouder of een T-shirt, tot duizenden dollars”, weet Schellekens.
FHICT werkt enkel met afgesproken securitytesten, omdat hierbij contractueel is vastgelegd dat het mag. “Hacken onder responsible disclosure doen we niet, omdat studenten daarvoor nog te jong zijn en de kracht van de gebruikte toepassingen nog niet helemaal kennen. Het risico dat ze zich verliezen in hun enthousiasme is wat te groot”, weet de docent.
Stilhouden
Komt het volgens de studenten vaak voor dat de Nederlandse politie hackers verhoort? René hoort er niet veel over. “Toch is de hackerscommunity best groot voor zo’n klein land. Maar misschien willen ze het stilhouden.” Rens denkt dat het vaderlandse hackersgilde zich over het algemeen goed aan de spelregels houdt. “En dat ze niet zoveel de publiciteit opzoeken, zoals Victor nu doet.”
Schellekens vindt de belangstelling die politie en justitie voor ethisch hackers hebben niet ongezond of bedreigend, maar eerder een interessante testcase. “Wat Victor Gevers zelf ook zegt: hier hangt veel van af. Hoe politie en justitie hiermee omgaan, bepaalt uiteindelijk heel erg hoe er met ethisch hackers wordt omgegaan.” [Tim Durlinger]