Wanneer ik mijn lezingen begin, grap ik weleens dat het woordje “ethisch” vaak niet gehoord wordt als ik me voorstel als Ethisch Hacker. En dat ik mezelf daarom IT Security Specialist noem. Het is vaak een wat schimmig beroep dat ethisch hacken en het klinkt voor sommige mensen dan ook als een soort spannend jongensboek. Een jongensboek waarbij er geen cowboys en indianen zijn maar hackers en privacy gevoelige informatie. Blijft nog steeds spannend. Je moet ook weten waar je me niet voor kunt vragen.
Ethisch hacken doe ik altijd op contract basis. Beide partijen, opdrachtgever en de opdrachtnemer (ik dus in dit geval), zijn van elkaars bestaan op de hoogte en ik mag software, netwerk, domein, website, organisatie, et cetera testen binnen de kaders van de opdracht en het contract. De resultaten bundelen we in een rapport en dit rapport bespreken we met de opdrachtgever. Dat is, in het kort, ethisch hacken.
De laatste tijd echter komen er regelmatig aanvragen binnen voor opdrachten die, laten we het netjes zeggen, minder ethisch zijn. Zonder namen te noemen of mensen in de verlegenheid te brengen licht ik er graag een aantal toe.
“Kun je mijn concurrent plat leggen”
Precies wat hierboven staat. Deze vraag hoor ik regelmatig. Vaak van een eigenaar van een webshop die het gevoel heeft dat zijn concurrent hem dwarsboomt. Ze hebben iets gehoord over DDoS aanvallen of phishing mails. Wanneer ik uitleg dat wat er gevraagd wordt onethisch en zelfs strafbaar is, is dit vaak het einde van het gesprek. Toch proberen sommigen het nog met “en kan het dan niet vanuit een andere locatie zoals een bibliotheek?”. Nee, nee, dit kan en mag niet. Ik werk hier niet aan mee.
“Kun je mijn ex hacken?”
Soms krijg ik de vraag wat het kost om iemand anders te hacken. Het gaat in veel gevallen om een relatie die uit is gegaan. De ene keer van een puber die vraag of ik een Snapchat account kan hacken (nee) maar soms ook serieuze aanvragen over compagnons waarvan relaties in de privésfeer over zijn gegaan. Ook hier geef ik aan dat dit ik dit niet doe en verwijs de vraagsteller naar het stuk over ethisch hacken op de website.
“Mijn buurman stoort mijn telefoon/wifi signaal”
Zo af en toe komen er vragen die lijken op “Rijdende rechter” vragen. In plaats van een boom die verkeerd staat of een hek die teveel over een erfgrens staat gepland, gaat dit over Wifi signalen die verstoord worden. Mensen bellen dan op met de vraag of ik daar iets aan kan doen in de vorm van het verstoren van het signaal van de buren. Ze zijn vaak al met de buren in conclaaf gegaan zonder resultaat. Google komt dan terug met verschillende oplossingen waarmee het signaal vestoord kan worden. Ik leg uit dat ik geen beheer op netwerken doe en dat ik geen signalen wil verstoren die niet van mij zijn. Dus ook hier geldt: nee, werk ik niet aan mee.
Waar kun je me dan wel voor vragen?
Je kunt me vragen voor het testen van een applicatie die door jou gemaakt en beheerd wordt bijvoorbeeld. Ik kan dan testen of de applicatie voldoet aan bepaalde eisen zoals bijvoorbeeld OWASP. Maar ook netwerken of andere software binnen je organisatie kan ik testen. Zo krijg je een beeld van de robuustheid van je informatiebeveiliging, want dat is wat je als opdrachtgever wilt weten. Maar alles digitaal testen geeft nog geen zekerheid. Ook de mensen binnen je organisatie kun je bewustmaken van risico’s op privacy en cyberbeveiliging. En daar kan ik je ook bij helpen.