Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Ethisch Hacken - Dos and Don'ts

13-06-2020, 13:50 door [Account Verwijderd], 30 reacties
Laatst bijgewerkt: 13-06-2020, 14:04
Onlangs is een 'ethische hacker' veroordeeld die inbrak op de website van een Haagse huisartsenpost en aanbood om de gebruikte kwetsbaarheid tegen betaling te verhelpen. De man is veroordeeld tot een gevangenisstraf van twee maanden, waarvan één voorwaardelijk. Zo heeft de rechtbank Den Haag geoordeeld.

De vraag is natuurlijk wat ziet de wetgever en het Openbaar Ministerie nu als ethisch hacken, en wat niet? Wat mag je wel doen, en wat mag je zeker niet doen? Die vraag is relevant, omdat er nogal wat mensen rondlopen die zelf hun eigen 'wetsregels' in elkaar hebben zitten knutselen zonder op de hoogte te zijn van de echte regels. Want ik neem aan dat een langdurig bezoek aan een gevangenis nu niet echt op het verlanglijstje staat van de ethische hacker.

Hieronder een deel van de website van het Openbaar Ministerie. Voor de ethische hackers in spé lijkt het mij wel raadzaam om eerst goed door te lezen wat wél en wat níet mag.

Hieronder dus de tekst:

Zelf fouten in ICT-systemen zoeken
Een kwetsbaarheid zoeken

Wat mag wel en wat mag niet?


Het zoeken naar bugs, lekken of een ander type kwetsbaarheid in het ICT-systeem van iemand anders is niet zomaar toegestaan. Natuurlijk kun je spontaan een kwetsbaarheid tegenkomen zonder dat je er naar op zoek was, maar het actief doen van pen-testen op een ICT-systeem van een ander is niet toegestaan, tenzij de eigenaar van het systeem je uitdrukkelijk toestemming heeft gegeven. Denk aan een (ethisch) hacker die wordt ingehuurd door een bedrijf om een nieuw ICT-systeem te testen.

Wel hebben sommige organisaties en bedrijven een Coordinated Vulnerability Disclosure (CVD) of Responsible Disclosure (RD) beleid. Met dit beleid geeft een organisatie aan dat ze open staan voor informatie over kwetsbaarheden in hun eigen systeem. Het is bedoeld om uitleg te geven aan mensen die graag op eigen initiatief willen bijdragen aan veilige ICT-systemen en daarmee onze samenleving.

Hoe werkt Coordinated Vulnerability Disclosure of Responsible Disclosure beleid?

De organisatie vermeldt in haar CVD of RD beleid over welke ICT systemen meldingen gedaan kunnen worden, welke onderzoeksmethoden je mag gebruiken om kwetsbaarheden te vinden en hoe je een melding moet doen als je een kwetsbaarheid hebt gevonden. In het beleid kun je ook lezen binnen hoeveel tijd de organisatie het probleem dat je hebt gemeld gaat verhelpen. Dat betekent dat je de organisatie dan ook die tijd moet geven om een oplossing te ontwerpen en je ontdekking niet bekend mag maken. Sommige methoden zijn zelden geoorloofd, denk aan een brute force aanval. Zorg altijd dat je niet verder gaat dan wat redelijk en noodzakelijk is.

Strafbaarheid

Als je je aan het CVD of RD beleid houdt zal een organisatie in principe geen aangifte doen of andere juridische stappen tegen je ondernemen. Mocht een organisatie dit toch doen, dan stellen Politie en het Openbaar Ministerie in principe niet direct een strafrechtelijk onderzoek in, mits je je aantoonbaar hebt gehouden aan de regels uit het CVD of RD beleid van de organisatie. Het is daarom handig om al je stappen bij te houden in een logbestand.

Als het Openbaar Ministerie aanwijzingen heeft dat je je bewust of onbewust niet aan het CVD of RD beleid hebt gehouden dan kan er een onderzoek worden ingesteld. Op basis van dit onderzoek kan het Openbaar Ministerie besluiten om wel of niet tot strafvervolging over te gaan. Zie Richtlijn voor strafvordering cybercrime

Het Coordinated Vulnerability Disclosure of Responsible Disclosure beleid kun je vaak vinden op de website van een organisatie.

Een kwetsbaarheid melden

Vind je een bug, een lek of een ander type kwetsbaarheid in een ICT-systeem van een organisatie, dan wil je dat melden zodat de organisatie het systeem kan herstellen. Ook voor het melden gelden regels.

Regels voor het melden

Voorop staat dat je de kwetsbaarheid altijd eerst meldt bij de eigenaar van het systeem. Doe dit vertrouwelijk, voorkom dat anderen ook toegang krijgen tot informatie over de kwetsbaarheid. Daarnaast mag je het onthullen van informatie niet laten afhangen van een (financiële) beloning. Dus ook als je geen geld krijgt moet je de vertrouwelijkheid respecteren. Tot slot gaat het eventueel openbaar maken van de kwetsbaarheid altijd alleen in samenspraak met de organisatie zelf.

Organisaties met Coordinated Vulnerability Disclosure of Responsible Disclosure beleidhebben vaak eigen regels rondom het melden. Het is je eigen verantwoordelijkheid om op de hoogte te zijn van alle voorwaarden die een organisatie in dit beleid stelt aan het zoeken en melden van een kwetsbaarheid.

Kwetsbaarheid raakt meerdere systemen

Raakt een kwetsbaarheid meerdere systemen of is het een vitaal systeem, zoals een drinkwatervoorziening of een elektriciteitsnetwerk, dan kun je contact opnemen met het Nationaal Cyber Security Centrum (NCSC). Zij kunnen je helpen met het contacteren van betrokken organisaties.

Geen reactie?

Sommige organisaties houden je op de hoogte van de voortgang van je melding, andere organisaties laten weinig tot niks horen. Dit betekent niet dat er achter de schermen ook niks gebeurt. Bij twijfel kan het NCSC altijd met je meedenken of namens jou contact opnemen met de organisatie.

Het kan voorkomen dat een kwetsbaarheid niet of moeilijk op te lossen is, of dat het oplossen hoge kosten met zich meebrengt. In deze gevallen kan de organisatie besluiten de kwetsbaarheid als geaccepteerd risico te beschouwen en niet te verhelpen. Dit betekent niet dat je melding voor niets is geweest, de organisatie kan het risico nu in ieder geval monitoren. Je mag de kwetsbaarheid dan wel publiek maken.

Oktober 2018

https://www.om.nl/onderwerpen/cybercrime/hack-right/zelf-fouten-ontdekken
Reacties (30)
13-06-2020, 14:06 door Anoniem
dank voor de info.
13-06-2020, 15:18 door [Account Verwijderd] - Bijgewerkt: 13-06-2020, 15:24
Enkele aanvullingen

Het doel van een CVD/RD beleid of vrijwaring is om er voor te zorgen dat je toestemming hebt. Anders vallen veel acties die je als onderzoeker neemt onder de noemer computervredebreuk en zijn gewoon strafbaar. Het enige wat dit dus doet is je danwel persoonlijk (vrijwaringsverklaring) danwel aan een algemeen publiek (CVB/RD beleid) bekend maken onder welke voorwaarden er toestemming is. Zonder de strafbaarheid van wat de computervredebreuk noemen (Artikel 138ab Strafrecht) zou dit allemaal niet nodig zijn. Dat is de basis en moet niet vergeten worden. Als je wil beginnen met pentesten lijkt het mij goed om je er ook eens in te verdiepen wat er nu precies wel en niet strafbaar is.

Beroepsmatig gaat het vaak om een vrijwaringsverklaring die opgesteld wordt. Daarin spreek je af wie, wanneer, onder welke omstandigheden, met welke tools op welke systemen er getest mag worden. Volgens mij wil dat papier met toestemming bewaren zolang als de verjaringstermijn. (12 jaar, als ik het goed begrijp.)

Niet-beroepsmatig staat die toestemming beschreven in het CVD/RD beleid. Het lijkt mij verstandig om een kopietje van het CVD/RD beleid te downloaden en deze goed te bewaren. (De volledige 12 jaar, als je het goed wilt doen.) Immers is dat het enige wat je gaat hebben om te laten zien dat je toestemming had en dus niet strafbaar hebt gehandeld. Ook voorkomt het dat een bedrijf halverwege de spelregels kan aanpassen en jij niet meer kunt laten zien wat de eerdere regels waren.

Zelf ben ik van mening dat ook nog een stukje due dillegence van pentesters/beveiligingsonderzoekers verwacht mag worden. Een vrijwaringsverklaring is leuk, maar hoe weet je zeker dat je opdrachtgever wel eigenaar is van al die systemen die het benoemt? Als het beleid op dezelfde website staat als die getest moet worden (of subdomeinen daarvan) dan zal dat vrij eenvoudig te bepalen zijn. Maar wat als iemand slechts een IP reeks opgeeft? Of ongerelateerde domeinnamen? Mijn inziens is heb je dan ook de plicht om onderzoek te doen naar of deze systemen wel in het beheer zijn van de opdrachtgever, of dat deze graag kwetsbaarheden bij zijn concurrentie wil vinden. Dat 'bewijs' zal niet in altijd sluitend zijn, al kom je met wat WHOIS data of banners op gerelateerde IP adressen wel ver. Het gaat mij er ook niet om dat het helemaal vast staat, zolang je zelf maar zeker bent van je zaak. Ik lees hier echter niks over in alles wat er geschreven wordt over CVD/RD beleid of 'ethisch hacken' terwijl het mij toch wel belangrijk aspect lijkt.

Interesantte vraag dus voor de bezoekers hier: zijn jullie het eens met mij dat pentesters een plicht hebben om te bepalen of de systemen die zij testen wel in het beheer zijn van een opdrachtgever?

Voor mijn post te lang wordt, dan kan nadenken over de volgende punten ook geen kwaad:
Je eigen logging (als tegen bewijs dat je aan de regels hebt gehouden)
De verschillen tussen Coordinated Disclosure/Full Disclosure/Responsible Disclosure (dit heeft een hele geschiedenis)
Er is nog steeds een tekort aan capabele mensen in dit vakgebied. Dus of je hier niet gewoon je beroep van wil maken ;)
Er is een standaard dat websites hun beleid ook bekend maken via de well-known URI '/.well-known/security.txt', zoals bijvoorbeeld https://www.facebook.com/.well-known/security.txt
13-06-2020, 16:26 door Anoniem
Door iatomory: Enkele aanvullingen

[..]

Interesantte vraag dus voor de bezoekers hier: zijn jullie het eens met mij dat pentesters een plicht hebben om te bepalen of de systemen die zij testen wel in het beheer zijn van een opdrachtgever?

Natuurlijk. Je zult absoluut een 'redelijke' poging gedaan moeten hebben om verifiëren dat je opdrachtgever bevoegd was om te vragen te doen wat je ging doen .
Uiteindelijk _is_ het strafbaar wat je doet _tenzij_ je toestemming hebt van de bevoegde eigenaar.

Dat is niet zo gek veel anders dan een slotenmaker vragen om een huis open te maken - die moet ook controleren dat je de eigenaar bent. Of een fietsslot laten openslijpen door de fietsenmaker ,dat mag best als het maar jouw fiets is.

Hoe grondig je moet vragen of zoeken - sjonnie@gmail zegt dat ie undercover security officer is en vraagt je om de sociale dienst Amsterdam te hacken . Sure . Ik zou er niet aan beginnen ....

We hebben vrij kort geleden een (VS) voorbeeld gezien van een breed geinterpreteerde opdracht die wellicht niet gegeven had mogen worden door de opdrachtgever. (fysieke pentest van gerechtsgebouw, viel onder een ander overheidsonderdeel , pentest was wel of niet beperkt tot kantooruren etc.
https://arstechnica.com/information-technology/2020/01/criminal-charges-dropped-against-2-pentesters-who-broke-into-iowa-courthouse/


Voor mijn post te lang wordt, dan kan nadenken over de volgende punten ook geen kwaad:
Je eigen logging (als tegen bewijs dat je aan de regels hebt gehouden)
De verschillen tussen Coordinated Disclosure/Full Disclosure/Responsible Disclosure (dit heeft een hele geschiedenis)
Er is nog steeds een tekort aan capabele mensen in dit vakgebied. Dus of je hier niet gewoon je beroep van wil maken ;)
Er is een standaard dat websites hun beleid ook bekend maken via de well-known URI '/.well-known/security.txt', zoals bijvoorbeeld https://www.facebook.com/.well-known/security.txt

Inderdaad. Een willekeurige MKBer gaan pentesten en dan mailen dat je 20K wilt om de bugs op te lossen is (m.i. terecht) gewoon poging tot afpersing .
13-06-2020, 17:13 door Anoniem
Lange lijsten "Dos en Don'ts" zijn leuk maar de eerste insteek is toch je houding. En het soort werk waar we het over hebben leidt notoir vaak en snel tot conflicten. Dus je moet heel erg goed weten wat je doet en zorg dat je dat kan vertellen en motiveren. "Maar mijn bedoelingen zijn goed hoor" is niet voldoende. Alleen daarom al wil je zoveel mogelijk vage termen vermijden, want je wil zo duidelijk, accuraat, en precies mogelijk kunnen zeggen wat je doet en ook gedaan hebt.

Dus begin met jezelf niet "ethisch hacker" of "white hat hacker" of iets dergelijks te noemen. Want bedenk dat je niet de fiere hackprins op het witte hackpaard bent, maar gewoon iemand die mischien wel "mad skillz" heeft, maar net als ieder ander mens ook nog verantwoordelijkheden. Zoals je aan de wet te houden.

Net als cowboyhoeden leuk zijn om als kind mee te spelen, zo is deze terminologie, en de houding die het uitdraagt, geschikt voor halfdronken zestienjarigen, maar niet voor als je met serieuze zaken bezig bent. Benoem dus maar precies wat je doet, en aangezien "hacker" ondertussen helemaal niets meer betekent, zeg wat je doet zonder die term te gebruiken. Dat de overheid die nog wel gebruikt laat zien dat de overheid ook nog niet helemaal volwassen over deze zaken weten te praten. Ook niet heel gek, wel opmerkenswaardig.

Wat dan wel? "Pentester" bijvoorbeeld. Zo iemand die gaten zoekt in (onder andere) software. Maar dus wel oftewel freelance en op eigen hardware op zoek naar "bug bounties", of in opdracht met een opgeschreven contract dat precies vertelt wat je wel en niet mag doen met andermans hardware. En zoals opgemerkt, zorg dat je kan laten zien wat je gedaan hebt, waarom je het gedaan hebt, en dat je toch wel een beetje opgelet hebt dat je je niet voor een of ander louche karretje hebt laten spannen.
13-06-2020, 18:39 door Anoniem
Goeie tip voor iedereen die zich hiermee bezig houdt. De betere journalistieke media hebben dan ook. Een pagina online over wat je ethiek is. Puntsgewijs en leesbaar. Als je dat zelf gewoon netjes publiceert, dan kun je niet alleen zelf later aan de tand gevoeld worden over je eigen ethiek. Maar ook time wasters afschudden die zelf helemaal niks ethisch voor ogen hebben. Wat ethisch is, is namelijk niet gestandaardiseerd. En dus ik het ook voor rechters lastiger de4skundigen zoeken later. Euvel punt, want dat zie je met dat gedoe over corona apps. Wat een goeie is weten parlementariers ook zelf helemaal niet (allemaal zo een telefoon met zo een appel met een hap eruit op de achterkant, één knop, en het werkt toch altijd?). Nooit verkeerd om je nobele intenties zelf even te publiceren. Kort en bondig leest lekkerder, verkoopt beter, en laat ruimte voor interpretatie bij juridische twijfel. Wordt ook dan weer netjes opgeslagen in archive.org, zodat iedereen een naslagwerkje heeft. Screenshots met uur, dag en datum nuttig maar niet onmisbaar.

Ik heb hem al.

Gewoon je witte hoed laten zien, in plaats van enkel dat vage woord (daarmee ook altijd weer dat kudt Engels wat in de hele EU enkel nog officiële tweede taal is in Malta en Ierland, en daarnaast voor ons techneuten is als Latijn is voor dokters en geestelijken, potjeslatijn dus inmiddels in de verkoop!) te gebruiken. De zekerheid die je je klant ermee geeft is dat als het later toch een zwarte bleek te zijn, dat je twee keer zo hard de teil in gaat bij de rechter. Dus lichtgrijze hoedjes durven dat risico niet te nemen.

Wie echt ballen heeft laat ze zien voor de zaak gedaan wordt.
14-06-2020, 20:28 door Anoniem
Gewoon je witte hoed laten zien
Hangt er vanaf. Er zijn er die over hun zwarte hoed een witte hebben.
14-06-2020, 21:09 door Anoniem
Wat dan wel? "Pentester" bijvoorbeeld. Zo iemand die gaten zoekt in (onder andere) software.
Niet echt een gelukkige keuze vind ik. Om nog maar niet te zeggen dat het een afschuwelijke keuze is.
Meer een term voor verkrachters vind ik.
14-06-2020, 21:21 door Anoniem
Door Anoniem: Lange lijsten "Dos en Don'ts" zijn leuk maar de eerste insteek is toch je houding. En het soort werk waar we het over hebben leidt notoir vaak en snel tot conflicten. Dus je moet heel erg goed weten wat je doet en zorg dat je dat kan vertellen en motiveren.

...

Wat dan wel? "Pentester" bijvoorbeeld.

Wat een gelul, dat zijn ook maar termen die niets zeggen.

Een hacker is zoals de oorspronkelijke term is bedoeld; interesse in techniek en deze omzeilen, whatever the cost or purpose.

Het gaat erom hoe je reageert op de informatie die je hebt verkregen. Wil je die informatie gebruiken om iemand of organisatie kapot te maken, of negeer je die.
14-06-2020, 21:44 door Anoniem
Door Anoniem:
Door Anoniem: Lange lijsten "Dos en Don'ts" zijn leuk maar de eerste insteek is toch je houding. En het soort werk waar we het over hebben leidt notoir vaak en snel tot conflicten. Dus je moet heel erg goed weten wat je doet en zorg dat je dat kan vertellen en motiveren.

...

Wat dan wel? "Pentester" bijvoorbeeld.

Wat een gelul, dat zijn ook maar termen die niets zeggen.

Een hacker is zoals de oorspronkelijke term is bedoeld; interesse in techniek en deze omzeilen, whatever the cost or purpose.

Het gaat erom hoe je reageert op de informatie die je hebt verkregen. Wil je die informatie gebruiken om iemand of organisatie kapot te maken, of negeer je die.

Mensen en Individuelen kapot maken gebeurt non stop. Dat is het primaire werk van naar criminaliteit omgebogen inlichtingendiensten bijvoorbeeld.

Je ziet de randverschijnselen daarvan ook hier op deze site in reacties. Men houdt ervan om aluhoedjes praat te deponeren om dit in de schoenen van personen te schuiven of een site of platform in discrediet te brengen.
De superstrenge moderatie hier neigt naar censuur en de mod weet dus dat ik gelijk heb.
14-06-2020, 22:31 door Anoniem
Je mag gewoon niet hacken KLAAR . Het is strafbaar en "etisch hacken" is onzin, net als "etisch moorden" beiden MOGEN NIET!
14-06-2020, 22:36 door Anoniem
Door Anoniem:
Door Anoniem: Lange lijsten "Dos en Don'ts" zijn leuk maar de eerste insteek is toch je houding. En het soort werk waar we het over hebben leidt notoir vaak en snel tot conflicten. Dus je moet heel erg goed weten wat je doet en zorg dat je dat kan vertellen en motiveren.

...

Wat dan wel? "Pentester" bijvoorbeeld.
Wat een gelul, dat zijn ook maar termen die niets zeggen.
Dat is wel een term die een doener van een vrij specifieke activiteit beschrijft, niet een vage term die door ongeveer iedereen andere betekenis wordt toegekend. Als je conflicten wil verminderen kun je beginnen met de spraakverwarring te verminderen. Wat anders blijf je maar in de rondte lullen zonder werkelijk iets te communiceren.

Een hacker is zoals de oorspronkelijke term is bedoeld; interesse in techniek en deze omzeilen, whatever the cost or purpose.
Dat is niet de kern van hoe hij oorspronkelijk is bedoeld.* Dat ging over (oneerbiedige) creativiteit met techniek, niet over vechten tegen techiek en ook al niet specifiek over (andermans) techniek kapotmaken.

Dat de activiteit oorspronkelijk zelf weinig implicaties van moreel oordeel meetorste wil niet zeggen dat elk doel en elke prijs daarom maar gerechtvaardigd zouden zijn. Wat je wel impliceert met "whatever the cost or purpose".

En als we het over de aanleiding van dit topic hebben, zien we daar iemand die door zichzelf "ethische hacker" te noemen uiteindelijk veroordeelde acties probeerde goed te praten. Dat werkt ook al niet.

Oftewel, hoe je het ook wendt of keert, "hacker" is [x] Ongeschikt als term om jezelf als professional in de computer security af te schilderen. Dus deze term werkt niet. Als je constructief wil bijdragen, kom dan met termen die wel (doeners van) specifieke activiteiten beschrijven.

Het gaat erom hoe je reageert op de informatie die je hebt verkregen. Wil je die informatie gebruiken om iemand of organisatie kapot te maken, of negeer je die.
Dat klinkt meer als informatie als wapen tegen mensen gebruiken. Lijkt me niet de kern van "creatief zijn met techniek", en ook al niet ethisch. En dan is er nog het puntje hoe je die informatie hebt verkregen.

* 1940s, TMRC. Zie jargon file.
15-06-2020, 15:51 door Anoniem
Door Anoniem:
Wat dan wel? "Pentester" bijvoorbeeld. Zo iemand die gaten zoekt in (onder andere) software.
Niet echt een gelukkige keuze vind ik. Om nog maar niet te zeggen dat het een afschuwelijke keuze is.
Meer een term voor verkrachters vind ik.
Ik zie je je wel aan de karaktermoord wagen maar niet zelf met alternatieven komen. Toch jammer dat je niet voor constructief meedenken kiest.
15-06-2020, 23:13 door Anoniem
Gewoon een sympathiek vraagje, maar hebben deze dure mensen net goed betaalde functies geen werk te verichten ipv de hele dag kanslozs discussies te voeren over het grijze denk gebied van de mens?

Iedereen is goed en kwaad, niet zo naive doen.
16-06-2020, 14:04 door souplost
Wat mag nu wel en wat mag niet? wat zegt de wet?
Een ping lijkt mij (natuurlijk) geen enkel probleem maar een ping of death weer wel ? een port-scan ook niet (door het raam kijken), een vulnerability scan waarschijnlijk weer wel (deurknop rammelen) maar een ddos overduidelijk weer niet.
Per ongelijk op een link klikken (malware) die alles voor je uitvoert. Hoe gaat dat?
16-06-2020, 15:58 door Anoniem
Laten we ophouden met de naam ethische hacker dit geeft verwarring het is mij onduidelijk waarom de term ethische met iets crimineels moeten verbinden.
Taalkundig praten we toch ook niet over een ethische bankovervaller of een ethische verkrachter..

Gewoon kappen met de term ethische hacker
16-06-2020, 16:03 door Anoniem
Door Anoniem: Je mag gewoon niet hacken KLAAR . Het is strafbaar en "etisch hacken" is onzin, net als "etisch moorden" beiden MOGEN NIET!

Je mag gewoon niet aan mensen zitten. Het is strafbaar en "etisch ingrijpen" is onzin. Als iemand in een comatische stuip ligt heb je ze te laten liggen. Ook als je toevallig een arts bent. KLAAR.
16-06-2020, 16:38 door Anoniem
Door Anoniem: Laten we ophouden met de naam ethische hacker dit geeft verwarring het is mij onduidelijk waarom de term ethische met iets crimineels moeten verbinden.
Taalkundig praten we toch ook niet over een ethische bankovervaller of een ethische verkrachter..

Gewoon kappen met de term ethische hacker

Daarmee suggereer je dat hacken altijd illegaal zou zijn, wat volgens de meeste definities niet het geval is. Dat is hooguit zo bij degenen die redeneren in Hollywoord-achtige toestanden.
16-06-2020, 17:50 door Anoniem
Door Anoniem: Laten we ophouden met de naam ethische hacker dit geeft verwarring
Mee eens.

het is mij onduidelijk waarom de term ethische met iets crimineels moeten verbinden.
"Hacker" in de technische zin was nooit een crimineel, dat is er pas via Hollywood, MSM, en de s'kiddies van de "security"-industrie eringeslopen. Min of meer onbedoeld omdat ze gingen voor "goh wat zijn wij toch mysterieus en machtig zeg". Dat jij er alleen maar "crimineel" in ziet begrijp ik wel, maar zo denken ook nu nog veel mensen er niet over. En dat zaait inderdaad verwarring.

Taalkundig praten we toch ook niet over een ethische bankovervaller of een ethische verkrachter..
Of een ethische arts of een ethische politieagent, een ethische schilder of een ethische metselaar, een ethische loodgieter of een ethische elektriciën.

Gewoon kappen met de term ethische hacker
Mee eens, maar om een andere reden.

"Hacker" betekent voor sommige mensen "uitzonderlijk vaardige creatieveling met techniek" (de oorspronkelijke technische betekenis), voor (een zeker smaldeel van) de security crowd "pentester" en voor andere mensen "boeman van de cyberspaces" (wat de media ervan gemaakt hebben). Maar ook een boeman is pas crimineel als'ie voor z'n boemanactiviteiten veroordeeld geworden is.
16-06-2020, 18:48 door souplost
Door Anoniem:
Door Anoniem: Laten we ophouden met de naam ethische hacker dit geeft verwarring
Mee eens.

het is mij onduidelijk waarom de term ethische met iets crimineels moeten verbinden.
"Hacker" in de technische zin was nooit een crimineel, dat is er pas via Hollywood, MSM, en de s'kiddies van de "security"-industrie eringeslopen. Min of meer onbedoeld omdat ze gingen voor "goh wat zijn wij toch mysterieus en machtig zeg". Dat jij er alleen maar "crimineel" in ziet begrijp ik wel, maar zo denken ook nu nog veel mensen er niet over. En dat zaait inderdaad verwarring.

Taalkundig praten we toch ook niet over een ethische bankovervaller of een ethische verkrachter..
Of een ethische arts of een ethische politieagent, een ethische schilder of een ethische metselaar, een ethische loodgieter of een ethische elektriciën.

Gewoon kappen met de term ethische hacker
Mee eens, maar om een andere reden.

"Hacker" betekent voor sommige mensen "uitzonderlijk vaardige creatieveling met techniek" (de oorspronkelijke technische betekenis), voor (een zeker smaldeel van) de security crowd "pentester" en voor andere mensen "boeman van de cyberspaces" (wat de media ervan gemaakt hebben). Maar ook een boeman is pas crimineel als'ie voor z'n boemanactiviteiten veroordeeld geworden is.

Een hack is een quick en dirty fix van een software probleem. Een hacker is iemand die deze fix uitvoert.
Dat uitvoeren is dan niet volgens de standaard software methodologie want dat duurt te lang.
Hollywood heeft dat een beetje geromantiseerd en nu lijkt het te gaan om onaangepaste mensen die wars zijn van hiërarchie.
De term black and white head hackers mogen we niet meer gebruiken. Dus dat komt mooi uit. Hackers zijn hackers, daar is niets ethisch aan!
16-06-2020, 20:07 door Anoniem
Door souplost:Een hack is een quick en dirty fix van een software probleem. Een hacker is iemand die deze fix uitvoert.
Dat is maar een klein deen van het verhaal. Zo bestaan zowel "dirty hack" als "elegant hack", en kan "hack" een van beide of zelfs allebei tegelijk betekenen. Zie jargon file[0]. Merk op dat je hiermee zelf al recht tegen de simplistische s'kiddie-betekenis van "exploit" ingaat. Oftewel, zelfs binnen de computer security is er geen eenduidigheid.

Dat uitvoeren is dan niet volgens de standaard software methodologie want dat duurt te lang.
Er is niet een "standaard software methodologie" en methodologiën zijn op zichzelf al gauw problematisch[1].

Hollywood heeft dat een beetje geromantiseerd en nu lijkt het te gaan om onaangepaste mensen die wars zijn van hiërarchie.
Een beetje? Zeg maar beetje boel, en dan zonder enig begrip van waar het origineel over ging. Wat ook niet gek is, want "Hollywood" heeft al problemen met, bijvoorbeeld, zwaartekracht correct verbeelden. Dus dit soort concepten krijg je daar alleen maar in DAU-versie.

De term black and white head hackers mogen we niet meer gebruiken.
Head? Ik denk dat je "hat" bedoelde. Maargoed het gedoe met de hoedjes en "ethisch!" is sowieso een s'kiddie-uitvinding.

Dit is dan ook "ethisch!" zoals de Democratische Volksrepubliek Duitsland democratisch en van het Duitse volk was.

Dus dat komt mooi uit. Hackers zijn hackers, daar is niets ethisch aan!
Wat niet betekent dat hackers automatisch onethisch zouden zijn. Meer dat oneerbiedig-creatieve omgang met technologie zich orthogonaal verhoudt tot moraliteit[2].

Merk ook op dat het s'kiddie-gebruik van de term meestal betekent oneerbied tegenover andermans eigendom, veel vaker dan oneerbied tegen hoe de originele maker het bedoeld had, wat een bij-effect is van wat de creatieveling doet.

[0] http://www.catb.org/~esr/jargon/html/index.html en daarin bijvoorbeeld http://www.catb.org/~esr/jargon/html/meaning-of-hack.html
[1] http://www.fysh.org/~katie/computing/methodologies.txt en zie ook bijvoorbeeld https://www.datapacrat.com/Opinion/Reciprocality/r0/Day1.html over het mappers vs. packers-verhaal.
[2] "Haaks staan op" in het Nederlandse spraakgebruik betekent "in strijd zijn met", maar dat is niet wat er bedoeld wordt met deze uit het Engels geleende beeldspraak.
16-06-2020, 23:09 door Anoniem
Iedereen heeft zijn eigen opvatting van goed of slecht. Daarom zijn wetten een ding. Ethiek vind ik zelf persoonlijk een beetje overrated, is het niet meer een qwestie van "lief zijn" en "iedereen denkt anders". De wereld is niet zo simpel zwart wit en mensen willen dat graag wel.
16-06-2020, 23:27 door souplost
Door Anoniem:
Door souplost:Een hack is een quick en dirty fix van een software probleem. Een hacker is iemand die deze fix uitvoert.

[0] http://www.catb.org/~esr/jargon/html/index.html en daarin bijvoorbeeld http://www.catb.org/~esr/jargon/html/meaning-of-hack.html
[1] http://www.fysh.org/~katie/computing/methodologies.txt en zie ook bijvoorbeeld https://www.datapacrat.com/Opinion/Reciprocality/r0/Day1.html over het mappers vs. packers-verhaal.
[2] "Haaks staan op" in het Nederlandse spraakgebruik betekent "in strijd zijn met", maar dat is niet wat er bedoeld wordt met deze uit het Engels geleende beeldspraak.
Wow Eric S. Raymond citeren dat is lang geleden. Sinds zijn voorliefde voor wapens ben ik niet meer in zijn geschriften geïnteresseerd maar de http://www.catb.org/~esr/writings/cathedral-bazaar/ heb ik wel gelezen.
17-06-2020, 00:10 door Anoniem
Door souplost:
Wow Eric S. Raymond citeren dat is lang geleden. Sinds zijn voorliefde voor wapens ben ik niet meer in zijn geschriften geïnteresseerd maar de http://www.catb.org/~esr/writings/cathedral-bazaar/ heb ik wel gelezen.
Hij is nu maintainer maar The Jargon FIle is niet zijn creatie. Er zijn zelfs mensen die "zijn" versie maar helemaal niets vinden wegens teveel Unix en te weinig lisp. Verder een beetje raar om alles wat'ie zegt af te schrijven omdat'ie toevallig zichzelf als "gun nut" omschrijft. Ik ben het ook lang niet altijd met hem eens, maar laten we naar de inhoud kijken, en ons verre houden van "identity politics" met alle "deplatforming" die daar bij komt kijken. Iemand lezen is niet hetzelfde als het met hem eens zijn. Tenminste, als je zelf nog kritisch kan nadenken.
17-06-2020, 10:51 door Anoniem
De man is terecht veroordeeld. Hij brak in bij een huisartsenpost (!), installeerde malware, probeerde de huisarts af te persen en dacht met zijn 'ethische' blabla weg te komen. Goede zaak dat de rechter heeft gekeken naar het ware motief van deze 'wereldverbeteraar': Geld.
Mooi om te weten dat hackers niet zomaar wegkomen met slappe verhalen (pro-deo advocaatje?) mbt verkapte pogingen tot afpersing. Kan-ie mooi een maandje oa met de afstandsbediening spelen...
17-06-2020, 11:50 door Anoniem
Door Anoniem: De man is terecht veroordeeld. Hij brak in bij een huisartsenpost (!), installeerde malware, probeerde de huisarts af te persen en dacht met zijn 'ethische' blabla weg te komen. Goede zaak dat de rechter heeft gekeken naar het ware motief van deze 'wereldverbeteraar': Geld.
Mooi om te weten dat hackers niet zomaar wegkomen met slappe verhalen (pro-deo advocaatje?) mbt verkapte pogingen tot afpersing. Kan-ie mooi een maandje oa met de afstandsbediening spelen...

Uit welke berichtgeving haal je dat er malware geïnstalleerd zou zijn? Dat lees ik nergens terug. Bij dit soort zaken is het belangrijk naar bij de feiten te blijven.

Sowieso moet je je afvragen of de intentie inderdaad afpersing was, hoe grof hij ook te werk ging. Als je willens en wetens een dergelijke misdaad pleegt gebruik je niet je eigen IP-adres, de telefoon van je vriendin en stuur je geen screenshots van je tooling rond. Niet dat ik de daden van de man goedpraat, maar gezien deze man duidelijk enige voeling met techniek heeft past het plaatje niet.
17-06-2020, 12:30 door souplost
Door Anoniem:
Door souplost:
Wow Eric S. Raymond citeren dat is lang geleden. Sinds zijn voorliefde voor wapens ben ik niet meer in zijn geschriften geïnteresseerd maar de http://www.catb.org/~esr/writings/cathedral-bazaar/ heb ik wel gelezen.
Hij is nu maintainer maar The Jargon FIle is niet zijn creatie. Er zijn zelfs mensen die "zijn" versie maar helemaal niets vinden wegens teveel Unix en te weinig lisp. Verder een beetje raar om alles wat'ie zegt af te schrijven omdat'ie toevallig zichzelf als "gun nut" omschrijft. Ik ben het ook lang niet altijd met hem eens, maar laten we naar de inhoud kijken, en ons verre houden van "identity politics" met alle "deplatforming" die daar bij komt kijken. Iemand lezen is niet hetzelfde als het met hem eens zijn. Tenminste, als je zelf nog kritisch kan nadenken.
Ik heb even gekeken, maar onderhouden doet hij volgens mij ook al een paar jaar niet meer. Wel mooi naslagwerk. Ik was het met veel dingen eens maar hij draaft door met zijn persoonlijke vrijheid. Ik las dat FUD gedefinieerd is door Gene Amdahl. Altjd gedacht dat dat van ESR kwam. Hij heeft best veel betekent voor de open source beweging (minder voor free software) Dat hij de halloween documenten heeft gelekt was een goede daad.
17-06-2020, 13:54 door Anoniem
Door Anoniem: Sowieso moet je je afvragen of de intentie inderdaad afpersing was, hoe grof hij ook te werk ging. Als je willens en wetens een dergelijke misdaad pleegt gebruik je niet je eigen IP-adres, de telefoon van je vriendin en stuur je geen screenshots van je tooling rond. Niet dat ik de daden van de man goedpraat, maar gezien deze man duidelijk enige voeling met techniek heeft past het plaatje niet.
Je gaat ervanuit dat hij zich gerealiseerd had dat wat hij deed een misdaad is. Ik denk dat het best mogelijk is dat hij echt dacht de wereld een dienst te bewijzen en oprecht vond dat hij daar wel op deze wijze voor betaald mocht worden omdat hij toch zulke geweldige m4d sk1llz had. Hij heeft dus wel enige voeling met techniek maar absoluut niet nagedacht over de gevolgen van zijn gedrag. En dat past dan weer heel goed in het plaatje van iemand die zichzelf ontzettend geweldig vindt.
17-06-2020, 14:03 door Anoniem
Door souplost:
Door Anoniem:
Door souplost:
Wow Eric S. Raymond citeren dat is lang geleden. Sinds zijn voorliefde voor wapens ben ik niet meer in zijn geschriften geïnteresseerd maar de http://www.catb.org/~esr/writings/cathedral-bazaar/ heb ik wel gelezen.
Hij is nu maintainer maar The Jargon FIle is niet zijn creatie. Er zijn zelfs mensen die "zijn" versie maar helemaal niets vinden wegens teveel Unix en te weinig lisp. Verder een beetje raar om alles wat'ie zegt af te schrijven omdat'ie toevallig zichzelf als "gun nut" omschrijft. Ik ben het ook lang niet altijd met hem eens, maar laten we naar de inhoud kijken, en ons verre houden van "identity politics" met alle "deplatforming" die daar bij komt kijken. Iemand lezen is niet hetzelfde als het met hem eens zijn. Tenminste, als je zelf nog kritisch kan nadenken.
Ik heb even gekeken, maar onderhouden doet hij volgens mij ook al een paar jaar niet meer. Wel mooi naslagwerk. Ik was het met veel dingen eens maar hij draaft door met zijn persoonlijke vrijheid. Ik las dat FUD gedefinieerd is door Gene Amdahl. Altjd gedacht dat dat van ESR kwam. Hij heeft best veel betekent voor de open source beweging (minder voor free software) Dat hij de halloween documenten heeft gelekt was een goede daad.

Het lekken van de halloween documenten was inderdaad een goede daad, maar zijn credit is het breed bekendmaken en commentarieëren. Hij claimt overigens ook niet de bron te zijn.
Dus ja, credits hiervoor, maar m.i. is de term 'documenten gelekt' niet juist voor zijn rol. De (anonieme) bron binnen Microsoft heeft de documenten gelekt, ESR heeft ze bekend gemaakt .
Dat is nog steeds een grote verdienste - niet veel mensen hebben de ballen om die heel publieke rol op zich te nemen en een bedrijf als Microsoft serieus pijn te doen.
Je kunt nog zo hard gelijk _hebben_, en menen dat je als reporter/freedom of speech/etc gedekt bent - als zoiets een zaak wordt ben je jaren en _tonnen_ verder om dat gelijk te krijgen.
17-06-2020, 16:00 door Anoniem
Door Anoniem:
Door Anoniem: Sowieso moet je je afvragen of de intentie inderdaad afpersing was, hoe grof hij ook te werk ging. Als je willens en wetens een dergelijke misdaad pleegt gebruik je niet je eigen IP-adres, de telefoon van je vriendin en stuur je geen screenshots van je tooling rond. Niet dat ik de daden van de man goedpraat, maar gezien deze man duidelijk enige voeling met techniek heeft past het plaatje niet.
Je gaat ervanuit dat hij zich gerealiseerd had dat wat hij deed een misdaad is. Ik denk dat het best mogelijk is dat hij echt dacht de wereld een dienst te bewijzen en oprecht vond dat hij daar wel op deze wijze voor betaald mocht worden omdat hij toch zulke geweldige m4d sk1llz had. Hij heeft dus wel enige voeling met techniek maar absoluut niet nagedacht over de gevolgen van zijn gedrag. En dat past dan weer heel goed in het plaatje van iemand die zichzelf ontzettend geweldig vindt.

Daar ga ik niet vanuit, degene waar ik op reageerde wel. Wat jij zegt lijkt me inderdaad waarschijnlijker dan een overtuigde crimineel die geen enkele moeite doet om zijn sporen te verhullen, ondanks dat hij daartoe wel in staat lijkt. Ietwat verblind door de potentiële winst en wellicht ook niet helemaal in staat om te doorzien hoe zijn vorm van acquisitie opgevat wordt.
17-06-2020, 16:04 door Anoniem
Door Anoniem:
Door souplost:
Door Anoniem:
Door souplost:
Wow Eric S. Raymond citeren dat is lang geleden. Sinds zijn voorliefde voor wapens ben ik niet meer in zijn geschriften geïnteresseerd maar de http://www.catb.org/~esr/writings/cathedral-bazaar/ heb ik wel gelezen.
Hij is nu maintainer maar The Jargon FIle is niet zijn creatie. Er zijn zelfs mensen die "zijn" versie maar helemaal niets vinden wegens teveel Unix en te weinig lisp. Verder een beetje raar om alles wat'ie zegt af te schrijven omdat'ie toevallig zichzelf als "gun nut" omschrijft. Ik ben het ook lang niet altijd met hem eens, maar laten we naar de inhoud kijken, en ons verre houden van "identity politics" met alle "deplatforming" die daar bij komt kijken. Iemand lezen is niet hetzelfde als het met hem eens zijn. Tenminste, als je zelf nog kritisch kan nadenken.
Ik heb even gekeken, maar onderhouden doet hij volgens mij ook al een paar jaar niet meer. Wel mooi naslagwerk. Ik was het met veel dingen eens maar hij draaft door met zijn persoonlijke vrijheid. Ik las dat FUD gedefinieerd is door Gene Amdahl. Altjd gedacht dat dat van ESR kwam. Hij heeft best veel betekent voor de open source beweging (minder voor free software) Dat hij de halloween documenten heeft gelekt was een goede daad.

Het lekken van de halloween documenten was inderdaad een goede daad, maar zijn credit is het breed bekendmaken en commentarieëren. Hij claimt overigens ook niet de bron te zijn.
Dus ja, credits hiervoor, maar m.i. is de term 'documenten gelekt' niet juist voor zijn rol. De (anonieme) bron binnen Microsoft heeft de documenten gelekt, ESR heeft ze bekend gemaakt .
Dat is nog steeds een grote verdienste - niet veel mensen hebben de ballen om die heel publieke rol op zich te nemen en een bedrijf als Microsoft serieus pijn te doen.
Je kunt nog zo hard gelijk _hebben_, en menen dat je als reporter/freedom of speech/etc gedekt bent - als zoiets een zaak wordt ben je jaren en _tonnen_ verder om dat gelijk te krijgen.

Gelijk hebben maakt geen zier uit als je een tegenstander met diepe zakken hebt, zeker niet in The Land of the Free. Dergelijke monsterorganisaties kunnen je totaal uiteen pulken zonder er zelf een centje pijn aan te hebben, los van gelijk of ongelijk. Dat is niet anders dan hoe klokkeluiders door overheden gefrustreerd en het leven onmogelijk gemaakt worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.