Column: Defensie zoekt tamme hacker
Nederland wil mee in de vaart der volkeren en een militaire organisatie oprichten die ons land en de bondgenoten ook op het digitale slagveld kan beschermen. Defensie denkt daarbij aan het vertalen van de traditionele taken van het leger naar het digitale domein. In het geval van een "buitenlandse missie" zal er samen met militaire bondgenoten een operatie worden opgezet, waarbij ook het Nederlandse leger mee wil kunnen doen. Nederland verdedigen tegen buitenlandse digitale aanvallen hoort volgens Defensie ook tot haar taken.
Omdat veel ICT-platformen tegenwoordig aan het internet hangen en er daar geen grenzen bestaan, is het lastig om te definiëren wat nu precies het buitenland is en wat niet. Ook bepalen of iets een oorlogshandeling, een terroristische daad of een gewone criminele actie is, is lastig op het internet vast te stellen. Als je achteraf kijkt kan je met de gegevens die je dan hebt misschien de bron van een aanval achterhalen, maar een inbraakpoging of een denial of service gebeurt over het algemeen niet vanaf een systeem van de aanvaller zelf. In die gevallen kun je dus niet zeggen of een land een oorlogshandeling aan het uitvoeren is. Defensie heeft nog geen oplossing hoe het hiermee moet omgaan.
Hackers
Defensie wil zelf cybersoldaten in dienst nemen. Het ziet daar twee verschillende oplossingen voor, die het allebei wil gaan uitvoeren. De eerste is de beroepssoldaat. Een persoon die net als "gewone" soldaten een militaire training volgt en eventueel ook mee gaat op missie naar het buitenland. Los daarvan zal deze soldaat ook getraind worden in het aanvallen van IT-systemen, het verdedigen daarvan en ongetwijfeld ook in digitale forensics. Het tweede soort soldaat is een "reservist". Deze soldaat zal normaal als beveiligingsdeskundige in het bedrijfsleven werken, maar regelmatig voor kortere of langere periodes worden opgeroepen om te "oefenen" bij het leger.
De vraag is hoe Defensie dat in de praktijk ziet? De gemiddelde hacker is iemand die zelf nadenkt, beslissingen neemt en zich vooral niets aantrekt van de bestaande beperkingen, normen en waarden. Je moet nu eenmaal anders denken en doen dan de meeste andere mensen om een beveiligingsfout te vinden die anderen over het hoofd zien. Zo iemand zal niet klakkeloos een doel aanvallen. Je zal met orders geven weinig uithalen; je moet ze overtuigen van het nut van de actie, anders zal de hacker z'n best niet doen en zal je weinig succes boeken bij je aanval. Los daarvan, hoe ga je mensen werven om voor een salaris wat niet hoger ligt dan in het bedrijfsleven, waarschijnlijk zelfs lager, in een organisatie als het leger te werken?
Je zal ze enthousiast moeten maken over wat ze te doen krijgen, of over het goede doel wat je nastreeft. Vaderlandsliefde is tegenwoordig met het internet, de Europese unie en het bijna uitsluitend opereren in internationale samenwerkingsverbanden niet echt een sterke drijfveer, zeker niet voor mensen wier beleveniswereld zich voor een groot deel op het internet plaatsvindt. Beroepssoldaten kan je nog inzetten voor geheime missies, zoals het hacken van servers van terroristische organisaties of het onderzoeken van gegevensdragers die tijdens missies zijn buitgemaakt, maar wat doe je met die reservisten? Tijdens het congres op 27 juni waar deze plannen werden gepresenteerd stelde ik deze vraag.
Burgerbaantje
Defensie ging er van uit dat reservisten net zo zijn in te zetten als beroepssoldaten, zolang ze bij de screening maar voldoende opletten dat er geen personen in dienst worden genomen die niet te vertrouwen zijn. Ik vraag me echt af of dat wel zo werkt. Cybersoldaten zullen strategische en tactische kennis hebben over hoe er gewerkt wordt, wat de capaciteiten en beperkingen zijn.
Zulke mensen kun je hun bewapening niet op de kazerne laten afgeven, want alles zit in hun hoofd. De gemiddelde landmachtreservist zal z'n wapens netjes inleveren en weer teruggaan naar z'n burgerbaantje, zonder uitgebreid kennis te hebben van de operationele sterkte en geheime wapens van het leger. Dat is nogal een verschil.
Of je met al deze omstandigheden nog genoeg mensen met de juiste capaciteiten gaat krijgen is volgens mij nog maar de vraag. Er is al een behoorlijke schaarste aan goede specialisten en voor veel van die mensen zal om allerlei redenen Defensie geen interessante werkgever zijn, reservist of beroeps. Het kleine groepje technisch capabele mensen wat je overhoudt wat wel solliciteert, zal je ook nog eens zwaar moeten screenen, waarbij er ook nog wel een aantal zal afvallen. Wat je dan overhoudt zal voor een deel ook afhaken omdat ze er gaandeweg achter komen dat cybersoldaat toch niet is wat zij dachten dat het zou zijn, of het bedrijfsleven zal met een veel hoger salaris mensen wegkopen. Een overschot aan cybersoldaten zal dat niet snel opleveren lijkt me zo.
Aanvallen
Een ander groot vraagstuk is hoe je het cyberleger gaat bewapenen en hoe je ze laat oefenen? Ga je 0-day attacks inkopen en die binnen een aantal maanden in waarde zien verdampen omdat er een patch voor uitkomt? Ga je ze zelf zoeken? Ga je ze wel of niet delen met je bondgenoten? Ga je oefenen op "live" targets, of laat je soldaten uitsluitend op zelfgebouwde oefentargets in je eigen netwerk oefenen? Hoe gaat het leger zorgen dat de Infrastructuur van Nederland en haar bondgenoten beschermd wordt? Een paar soldaten bij het hek van een datacenter zetten gaat niet veel uithalen tegen hackers.
Nationale firewalls en WAFs neerzetten en die door het leger laten beheren is ook geen technisch haalbare oplossing. Al dit soort vragen zijn al wel gesteld, maar Defensie heeft er nog geen praktische invulling aan gegeven. Op een aantal van deze vragen zullen we nooit antwoord krijgen, want zeker met dit soort dingen is het van belang dat de vijand niet weet wat je capaciteiten zijn, of het nou aanvallend of verdedigend is.
De manier waarop je op dit moment antwoord krijgt, geeft wel reden om aan te nemen dat er nog veel stappen te nemen zijn, want er wordt nu gesproken over toekomstige samenwerking met GOVCERT en de AIVD en het verdelen van de taken tussen de diverse overheidsdiensten.
Nederland is wakker geworden en realiseert zich dat het land, de samenleving en de wereld tegenwoordig ook op digitaal vlak kwetsbaar zijn. Er worden -niet alleen bij Defensie- initiatieven ontplooid om er voor te zorgen dat kwaadwillenden door te hacken, cracken, of DDoSsen zo min mogelijk schade kunnen berokkenen. Zoals we van de overheid gewend zijn worden dingen wel erg simpel voorgesteld en zullen er in de toekomst nog de nodige tegenvallers en vertragingen te verwerken zijn. Het zal dus nog wel even duren voordat we als land ook op digitaal gebied niet eenvoudig onder de voet worden gelopen en we van ons af kunnen bijten als dat nodig is.
Homme Bitter is consultant bij Sogeti en speelt regelmatig mee met hackwedstrijden. Tevens is hij actief op het forum en het Certified Secure IRC-kanaal.
Men spreekt hier over tamme hackers en gemiddelde hacker alsof zij kwaadaardig zijn. Iemand die geen verstand heeft van IT ziet een hacker meestal als iemand die inbreekt in systemen en misbruik maakt. Ik mag toch wel verwachten dat security.nl weet dat een hacker een beroep is gericht op het beveiligen van informatie systemen.
Een hacker is een programmeur gericht op het beveiligings vlak. Pas als een hacker zijn kennis gebruikt voor kwaadaardige doeleinde (inbreken in systemen etc.) spreekt men over iets kwaadaardigs.
dat wetenschappers ooit een waterstofbom hebben bedacht houd niet in dat alle wetenschappers bouwen aan weapons of mass destruction.
Goed in balans, en helder over welke keuzes er liggen.
Grtz "@"/add
Dat lijkt me een erg vreemd verwachtingspatroon, want dit artikel is 100% on topic op www.security.nl
Je artikel slaat de spijker op zijn kop. Een elite hacker eenheid opzetten zal zeker geen sinecure zijn. Het zal zeker betekenen dat de gebruikelijke chain of command niet van toepassing zal zijn in de traditionele vorm. Er zijn echter wel degelijk onderdelen met een vergelijkbare situatie met hoogwaardige kennis. Denk hierbij aan eenheden die afluisterapparatuur opsporen of plaatsen, etc. Denk hierbij aan de Militaire Inlichtingen- en Veiligheidsdienst. ( http://nl.wikipedia.org/wiki/Militaire_Inlichtingen-_en_Veiligheidsdienst )
Een belangrijke rol voor een cybereenheid zou kunnen zijn het opsporen van aanvallen, malware infecties, analyse hiervan en ontwikkeling van eigen malware. Het combineren ervaringen opgedaan op dit vlak met andere expertise zoals electronica, HF, psychologie, socialogie, geografie, etc, etc gaat een hele stap verder richting effectieve defensieve en offensieve cyberwarfare .
De ontwikkelingen richting "geinfecteerde" hardware, firmware met "unknown extra functionaliteit", etc vragen om forensische middelen waar de meeste organisaties standaard niet over beschikken. Dergelijke apparatuur en degelijke processen kunnen wel degelijk een bijdrage leveren aan de defensieve capaciteit op punten van cruciale infrastructuur. Daarnaast is ook de menselijke factor awareness van crciaal belang. Airgapped networks helpen niet tegen stupiditeit. Zie ook de succesvolle aanvallen op Iran (en andere minder bekende aanvallen).
Daarnaast lijkt het mij niet meer dan normaal dat een elite eenheid ook voorzien wordt van goed betaalde mensen. Er zijn voldoende vertrouwensfuncties te vinden binnen de (internationale) overheid waar wel degelijk ruimte is voor een correcte vergoeding.
My two cents.
Men spreekt hier over tamme hackers en gemiddelde hacker alsof zij kwaadaardig zijn. Iemand die geen verstand heeft van IT ziet een hacker meestal als iemand die inbreekt in systemen en misbruik maakt. Ik mag toch wel verwachten dat security.nl weet dat een hacker een beroep is gericht op het beveiligen van informatie systemen.
Een hacker is een programmeur gericht op het beveiligings vlak. Pas als een hacker zijn kennis gebruikt voor kwaadaardige doeleinde (inbreken in systemen etc.) spreekt men over iets kwaadaardigs.
dat wetenschappers ooit een waterstofbom hebben bedacht houd niet in dat alle wetenschappers bouwen aan weapons of mass destruction.
juist, jij zegt het, ik dacht het tijdens het lezen van dit artiekel.
De hacker gemeenschap loopt ver voorop, de overheden beginnen maar net met het begrijpen en wakker te worden.
waar de overheid praat over Tamme hackers, praat de hacking gemeenschap over Blackhats en Whitehats, zelfs greyhats en redhats. dan heb je de script kiddies ook nog en de lamers en noobs. en ik denk dat de overheid het beste vooruit kan met noobs & lamers.
(om het nog maar eens te zeggen)
@ Redactie: " Ik mag toch wel verwachten dat security.nl weet dat een hacker een beroep is gericht op het beveiligen van informatie systemen. "
By: The Mentor 8 jan 1986
Another one got caught today, it's all over the papers. "Teenager Arrested in Computer Crime Scandal", "Hacker Arrested after Bank Tampering"...
Damn kids. They're all alike.
But did you, in your three-piece psychology and 1950's technobrain, ever take a look behind the eyes of the hacker? Did you ever wonder what made him tick, what forces shaped him, what may have molded him?
I am a hacker, enter my world...
Mine is a world that begins with school... I'm smarter than most of the other kids, this crap they teach us bores me...
Damn underachiever. They're all alike.
I'm in junior high or high school. I've listened to teachers explain for the fifteenth time how to reduce a fraction. I understand it. "No, Ms. Smith, I didn't show my work. I did it in my head..."
Damn kid. Probably copied it. They're all alike.
I made a discovery today. I found a computer. Wait a second, this is cool. It does what I want it to. If it makes a mistake, it's because I screwed it up. Not because it doesn't like me... Or feels threatened by me.. Or thinks I'm a smart ass.. Or doesn't like teaching and shouldn't be here...
Damn kid. All he does is play games. They're all alike.
And then it happened... a door opened to a world... rushing through the phone line like heroin through an addict's veins, an electronic pulse is sent out, a refuge from the day-to-day incompetencies is sought... a board is found. "This is it... this is where I belong..." I know everyone here... even if I've never met them, never talked to them, may never hear from them again... I know you all...
Damn kid. Tying up the phone line again. They're all alike...
You bet your ass we're all alike... we've been spoon-fed baby food at school when we hungered for steak... the bits of meat that you did let slip through were pre-chewed and tasteless. We've been dominated by sadists, or ignored by the apathetic. The few that had something to teach found us willing pupils, but those few are like drops of water in the desert.
This is our world now... the world of the electron and the switch, the beauty of the baud. We make use of a service already existing without paying for what could be dirt-cheap if it wasn't run by profiteering gluttons, and you call us criminals. We explore... and you call us criminals. We seek after knowledge... and you call us criminals. We exist without skin color, without nationality, without religious bias... and you call us criminals. You build atomic bombs, you wage wars, you murder, cheat, and lie to us and try to make us believe it's for our own good, yet we're the criminals.
Yes, I am a criminal. My crime is that of curiosity. My crime is that of judging people by what they say and think, not what they look like. My crime is that of outsmarting you, something that you will never forgive me for.
I am a hacker, and this is my manifesto. You may stop this individual, but you can't stop us all... after all, we're all alike.
Alle kennis is in huis, Defensie weet het alleen niet te activeren of te bundelen.
Maar ook daar zijn oplossingen voor.
Ik ga je niet uitleggen waar je de mist ingaat met het artikel.
Wat ik veel storender vind dan het mis-lezen van de bedoeling van de columnist is dat je de redactie aanvalt op de mening van de columnist. Het is de bedoeling van columnisten om hun lezers aan het denken te zetten, vaak met hele andere opvattingen en meningen dan de redactie van een website. Als van jou de redactie enkel buikspreekpoppen in mag huren die in andere woorden de meningen van de redactie herhalen heb je niet begrepen wat vrije pers en publiek debat is. En dat zijn kernwaarden van een vrije samenleving. Jij en die andere zeikert zijn in zekere zin het begin van het einde van de vrije pers. Ga zo door en je hoort enkel en alleen maar wat je wilt horen. Een filterbubble is al erg genoeg, maar waarom zou je jezelf willen omringen met een feitenbubble?
(http://www.thefilterbubble.com/ voor als je de term nog niet kende..)
Tuurlijk zit er een deel eigen mening bij (al hoewel officieel gezien je dit zou moeten vermeiden). Maar een hacker neerzetten als een persoon wat illegale dingen doet en wil doen is niet zomaar een mening meer.
Voor de gemiddelde nederlander is een hacker net zoiets als een terroristen. Dat mensen die niks van IT weten en dit denken is 1 ding. Dat de gemiddelde media bron dit niet snappen en dit beeld versterken is jammer. Maar dat een IT nieuwssite ook dit verkeerde beeld gaan versterken snap ik niet.
Ik ga je niet uitleggen waar je de mist ingaat met het artikel.
Wat ik veel storender vind dan het mis-lezen van de bedoeling van de columnist is dat je de redactie aanvalt op de mening van de columnist. Het is de bedoeling van columnisten om hun lezers aan het denken te zetten, vaak met hele andere opvattingen en meningen dan de redactie van een website. Als van jou de redactie enkel buikspreekpoppen in mag huren die in andere woorden de meningen van de redactie herhalen heb je niet begrepen wat vrije pers en publiek debat is. En dat zijn kernwaarden van een vrije samenleving. Jij en die andere zeikert zijn in zekere zin het begin van het einde van de vrije pers. Ga zo door en je hoort enkel en alleen maar wat je wilt horen. Een filterbubble is al erg genoeg, maar waarom zou je jezelf willen omringen met een feitenbubble?
(http://www.thefilterbubble.com/ voor als je de term nog niet kende..)
Een willekeurig woordenboek, wikipedia of desnoods google geven je een algemeen geaccepteerde definitie van de term 'columnist' en 'column'. Er is geen enkele reden om je eigen versie van algemeen geaccepteerde termen te verzinnen.
Columns gaan niet over feiten. Wees een vent, stap over je eigen vooroordelen heen, en probeer nou eens te begrijpen wat Homme je probeert uit te leggen. Ja, het is een mening. Ja, het is hartstikke subjectief. Maar, hij heeft een punt. Je koppigheid om dat punt niet te willen zien is eigenlijk best stuitend.
Hier een andere anoniem.
Een column hoort zich net als alle andere non-fictie te houden aan feiten. Het is bekend dat er een mening wordt gegeven in een column.
Het feit in dit geval is dat er veel grote organisaties zijn die kennelijk in staat zijn om hun personeel grosso modo te laten zwijgen (de Amerikaanse NSA bijvoorbeeld). Het geschetste controleprobleem is er dus niet echt.
Defensie kan jonge hackertjes zeker een goed aanbod doen. Het is bekend dat de overheid minder betaald, maar je krijgt er wel wat andere dingen voor terug. Je mag wat doen voor je land, en je mag gelegitimeerd stout zijn. Vergelijkbaar met soldaten die met een wapen patrouille mogen lopen.
Dat 'legitiem stout' zijn kan ook door bij een grote partij te gaan werken die penetration testing aanbied of door voor jezelf te beginnen.
De NSA wil niet part-time bestaande White Hats inzetten om ze te helpen, defensie wil dat wel. Bestaande White Hats zijn al stout en hebben daar kennelijk geen legitimatie voor nodig. White Hats doen stoute dingen met goede bedoelingen, maar wie zegt dat ze zich wel aan de regels gaan houden als ze legaal mogen hacken?
Hoezo dat, dit is gewoon een goed artikel. En het gaat niet over het beeld van hackers als terroristen of iets dergelijke, maar over ontwikkelingen bij defensie, waar men meer aan cyber gaat doen.
Moeten IT beveiligingswebsites dit onder het vloerkleed vegen omdat jij dit -volstrekt ten onrechte, maar dat terzijde- associeert met de beeldvorming van hackers als terroristen ? Een beetje een bizarre reactie wat mij betreft.
"Volgens mij is het de bedoeling van een artikel om de lezer feiten te geven. Dit zeg jij ook al een deel in jouw reactie.
Tuurlijk zit er een deel eigen mening bij (al hoewel officieel gezien je dit zou moeten vermeiden)."
Men moet in een column proberen om geen mening te geven ? Zoek nog eens de definitie op van een column zou ik zeggen ;)
vandaag of morgen zal ik hier eens een dik epistel over inleveren.
first off: security by obscurity is none. but bullshit. (nou ja, het voorkomt nemen van verantwoordelijkheid, volwassenheid en eerbaar bestuur en het betoond incompetentie, who is to blaim? p.s. verantwoordelijkheid en autoriteit gaan hand in hand, onze autoriteiten zijn langzamerhand al verworden tot een FARCE. en dan ben ik nog voorzichtig).
start accepting the roots, the main principals of
1. humanity
2. inventions by, such as internet or better: binary / digital and our monetary LIE (your promise to pay the loan is being traded before you started working for the payment)
then, suddenly, half of your problems dissappear. then, suddenly, you can get your cyber army realistically. if you still want it. because this shit aint working. up front. don't want to give me the money before trying? oh no, just homo's don't try. LOL. can you read multidimensionally? read that manual multidimensionally, thats where hacking starts.
multidimensionally as in; locate impossibilities. the rest is possible.
this trap we magnetically tend to fall into, is the reason for war. that thing we collectively accepted to leave behind at Neurenberg. Do we R need some new shock therapy? no worries, we on the road, shock is coming. intelligent people don't talk themselves around truth, intelligence does not invent names for which are already names around.. such is trying to lie while denying it. coo coo these winners nowadays. fancy crap it is. oh psssst... why don't intelligent people talk around truth? SHIT TENDS TO BACKLASH AND NOW WHO IS REALLY INTELLIGENT? :D
Waar o waar blijft dat schitterende citaat van Woodrow Wilson, na zijn presidentschap van de US? Je weet wel, dat citaat over zijn invoeren van federal reserve act en voornamelijk dat sappige verband met vrijheid en democratie?
of nog beter, dat citaat van rockefeller in 91 waar hij de media bedankt voor radiostilte (van 40 jaar) wat, zo hij zelf zegt, de enige reden is voor het tot stand komen van hun plannetje voor de wereld.
maar nee, dat is allemaal overdreven. wij doen het namelijk anders en beter. wij gaan het wiel opnieuw uitvinden. en jaja ik ben hartstikke gek natuurlijk, maareh... dat wiel heet oorlog. remember this. en vooral het gedeelte rijke mensen wat dit wiel duidelijk beziet onder de noemer "er zijn toch teveel mensen".
wow, blijkt die kennis economie nog erger dan het heksen verbranden in de middeleeuwen.
als je de lezer nou feiten wil geven, moet je even terug naar dat soort citaten van meneer wilson. wij breien hier gewoon door op het breistukje aangegeven van de bank en we kijken daarbij niet eens statische feiten binnen ons binaire digitale systeem aan. LOL. ben benieuwd wat dat cyberlegertje nou gaat oplossen. LOLOLOLOLOL. en die hackers maar kleppen over hoe we nou eens van ons eigen deurtje een raam moeten maken. zomaar opeens. volgens mij wordt regen niet zomaar zonneschijn. ook niet met dit geleuter. wat is dit eigenlijk? kenniseconomie? leg eens uit dan? bedoel je misschien dat universiteiten (dus wetenschap) voor iedereen toegankelijk moeten zijn (wat niet kan, niet iedereen kan wetenschapper worden) waarbij we NU DUS MET MENSEN ZITTEN DIE IN ENORM TEMPO INHOUD KUNNEN OPSLURPEN EN UITKOTSEN ALS EEN DOORGEEFLUIK, dat wetenschappers noemen en het HBO inmiddels haar plaats als 'hoogste stufe' van doorgeefluik onderwijs heeft verloren. en de wetenschap? wat een wereldvreemde farce. succes ermee.
Nee, toch niet. Een hacker is iemand die een systeem iets laat doen waar hij niet voor bedoeld is. Dat kan via programmeren zijn, dat kan ook iets met beveiliging te maken hebben, maar dat is helemaal niet nodig.
Hacker komt van het woord hack:
http://stackoverflow.com/questions/3527174/what-is-a-hack/3527329#3527329
Mijn vermoeden was dat tamme hacker meer sloeg op hoe de overheid er tegenaan kijkt.
Toch mis ik nog het stukje dat " hackers " zich juist afzetten tegen overheden waardoor werving lastig zal zijn.
Eerst willen ze je oppakken en straffen en nu willen ze diezelfde mensen een baan aanbieden.
Ook vind je in de hackerswereld een hoog testosteron gehalte,mensen die zichzelf meer dan kundig vinden.
Ben benieuwd hoe de screening zal gaan.
De defensie gaat er tegenwoordig van uit dat ze cybersoldaten kunnen creëren...
Cyber & Soldaat.
Digitaal & Analoog.
Geestelijk & Fysiek.
Grappenmakers... Het gaat lang duren voordat ze dat krijgen.
De defensie wilt teveel.
Als hun niet eens een hacker kunnen interesseren of te motiveren om bij hun defensie te kunnen...
Ik geef de defensie 1 tip:
Leer hoe de hacker denkt en wat de hacker van zichzelf vind.
Niet wat JIJ van een hacker vind.
Meer info:
https://www.hackcommunity.com/Thread-Tutorial-From-Script-Kiddie-to-a-Hacker-A-Comprehensive-Guide-for-the-Misguided
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
