27.05.2022
Technology

​Dit is wat een ethisch hacker doet

By: Jeroen de Hooge

BlogTechnology

Als we denken aan hacken, dan denken we vaak aan de negatieve kant ervan. De kant waarbij een kwaadwillende iets van iemand steelt. Er is echter ook iets als ethisch hacken en dat is de goede kant. Dit is wat dat inhoudt.

Eigenlijk is een ethisch hacker hetzelfde als een kwaadwillende hacker: het is iemand met veel verstand over code, programmeren en systemen. Allebei willen ook exact hetzelfde doel bereiken: alle beveiligingsbarrières van een bedrijf doorbreken en zichzelf toegang verschaffen tot die systemen.

Ethisch hacken

Wanneer dit laatste lukt, dan zie je het verschil tussen een kwaadwillende hacker en een ethisch hacker. Een kwaadwillende hacker neemt data weg binnen die systemen om het bijvoorbeeld door te verkopen of om iemand af te persen. Een ethisch hacker klopt bij het bedrijf aan om te vertellen dat de beveiliging eraan schort.

Sommige ethische hackers zijn in dienst van bedrijven: zijn taak is dagelijks proberen om in de systemen te komen van zijn eigen werkgever en die ervan op de hoogte te stellen wat er lukt, wat er beter kan, enzovoort. Vaak zijn deze mensen ook betrokken bij bijvoorbeeld het selecteren van nieuwe beveiligingssystemen. Ook spelen ze een rol in de communicatie binnen een bedrijf: over de bühne krijgen dat mensen binnen zo’n organisatie een belangrijke schakel zijn tegen beveiliging. Bijvoorbeeld door te waarschuwen voor phishing.

Er zijn echter ook ethische hackers die niet in dienst zijn van een bedrijf, maar een soort freelance hacken. Die worden ook wel bug bounty hunters genoemd en waar zij interesse in hebben, dat zijn bug bounty-programma’s. Je kunt dat zien zoals in het wilde westen vroeger: er hangen overal ‘Wanted’-posters en als het je lukt om die gezochte persoon bij de sheriff te brengen, dan krijg je daarvoor een vergoeding. Nu hoef je hier gelukkig geen beslissingen te maken over leven of dood, maar krijg je bij het melden van een bug die je ook kunt misbruiken voor kwade doelen vaak wel een vergoeding.

Bug Bounty-programma’s

Nu zal dit bij bijvoorbeeld de lokale supermarkt een gratis brood zijn of een cadeaubon van 50 euro, maar doe je dit bij techbedrijven, dan kan zo’n bounty best hoog oplopen. Google, Facebook en Microsoft hebben allemaal bug bounty-programma’s. Google heeft op dit moment tot eind mei een bug bounty-programma speciaal voor de Android 13 Beta, waarvoor het maar liefst 1,5 miljoen dollar heeft vrijgemaakt mochten ethische hackers aankloppen met bugbewijs. Nu is dat hele bedrag niet voor één hacker, maar je kunt wel rekenen op een fijn bedrag, afhankelijk van hoe ernstig de bug is.

Ethisch hacken is een heel toffe baan. Je moet namelijk in de huid kruipen van een nogal onethische hacker: je moet dezelfde trucjes uithalen, je moet bedenken hoe hij of zij te werk zou gaan en dat allemaal ook daadwerkelijk uitvoeren. Je moet ze altijd één stap voor zijn. Natuurlijk is het zeker niet altijd zo spannend als in een gemiddelde Mr. Robot-aflevering, maar je krijgt natuurlijk wel een enorme rush als je merkt dat je hackwerk lukt.

Ook als je dat niet gebruikt voor kwade bedoelingen: immers is het eervol om te zorgen dat de klantgegevens van een bedrijf veilig blijven. Dit heeft grote invloed op het imago van een bedrijf. Het enige jammere is dat het vooral opvalt als een bedrijf het NIET op orde heeft, maar toch: jij zorgt ervoor dat dat imago in orde blijft door je werk goed te verrichten. Ook is het sowieso goed voor het imago van een bedrijf om ethische hackers in dienst te hebben: vaak gaat het er namelijk ook om dat een organisatie laat zien wat het allemaal doet om cyberaanvallen tegen te gaan. Een ethisch hacker in dienst hebben is dan erg belangrijk.

Goed voor de reputatie

Bedrijven laten hiermee zien dat ze continu hun eigen beveiliging testen, naast dat ze ook daadwerkelijk het risico op grote verliezen door een cyberaanval verminderen. Een bedrijf lijkt hierdoor betrouwbaar en blijft dankzij die hacker ook beter op de hoogte van nieuwe cyberdreigingen.

Intigriti is een interessante speler op het gebied van bug bounty-programma’s, want het biedt cybersecurity-testing door een gemeenschap van ethische hackers. Het bedrijf heeft meer dan 50.000 aangesloten beveiligingsonderzoekers in dienst en er zijn meer dan 300 bug bountyprogramma’s om aan mee te doen. Onder andere Randstad, Kinepolis en Brussels Airlines werken met Intigriti om te zorgen dat hun security regelmatig aan tests worden onderworpen en zo steeds sterker wordt.

En, een leuke bijkomstigheid: Intigriti is een Belgisch bedrijf. Een heel succesvol bedrijf, dat in investeringsrondes tientallen miljoenen ophaalt. Enerzijds kun je je als bedrijf bij Intigriti aanmelden, waarop zij zorgen dat ‘hun’ hackers aan de slag gaan met jouw IT-systemen. Anderzijds kun je je op het platform van Intigriti als hacker aansluiten en geld verdienen om bugs op te sporen. Er zijn zelfs hackers op dit platform die er hun fulltime baan van hebben kunnen maken.

Je logt in op Intigriti, ziet de programma’s staan die beschikbaar zijn, kunt met de opdrachtgever overleggen en je gaat aan de slag. Vind je een bug, dan rapporteer je die via Intigriti, die je ook zal uitbetalen. Tussen mei 2021 en april 2022 heeft Intigriti meer dan 4 miljoen euro uitbetaald aan hackers die succesvol bugs opspoorden. Sommige hackers kregen daarbij meer dan een ton. Nu zijn dat wel uitschieters, maar dit onderstreept wel waarom sommige mensen hier steeds meer tijd in willen steken, naast dat bugs opsporen ook erg leuk is om te doen. Een soort moderne breinbreker.

Cyberaanvallen

Cyberaanvallen groeien met de dag. Zeker sinds de pandemie is er een wildgroei aan virussen en aanvallen, waardoor je je als bedrijf goed moet wapenen tegen cyberaanvallen. We zagen het laatst al met de aanvallen van Lapsus$: zelfs de grootste, meest technologisch geavanceerde bedrijven hebben zwakten die worden misbruikt. Mede daarom is het ook een interessant werkgebied: tech verandert steeds en je zal dus voortdurend moeten blijven testen.

Het is voor bedrijven om veel redenen zeer verantwoord om ethische hackers in dienst te hebben of via een bug bounty-programma te inspireren om werk te doen. Tegelijkertijd is het ook voor mensen die verstand hebben van computers enorm leuk, interessant en leerzaam om te kijken of ze zelf -bijvoorbeeld in hun vrije tijd- aan het ethisch hacken kunnen slaan. Een bug bounty kan je zomaar duizenden euro’s opleveren en zoals we hierboven al stellen: de komende tijd is er alleen maar meer vraag naar dit type hackers.

[Fotocredits – Gorodenkoff © Adobe Stock]

Share this post