Regelmatig worden ‘ethische hackers’ ingeschakeld om de zwakke plekken in een beveilingssysteem te vinden. Steph Marr en Wilfried van Haeren vinden dit een bedenkelijke ontwikkeling. Zij pleiten voor goede veiligheids-audits.
Plotseling was Kevin Mitnik terug in het nieuws met zijn vervroegde vrijlating na zijn veroordeling voor computerkraak in 1989. Ander nieuws waren de recente aanvallen op de websites van Yahoo, Amazon en E-Bay. Ze laten zien dat men op een relatief eenvoudige wijze een enorme bedreiging kan creëren voor de veiligheid van computersystemen en netwerken wereldwijd. Toegegeven, de e-mailstormen op de bekende websites zijn vergelijkbaar met digitaal belletje leuren, maar brengen de getroffen ondernemingen veel schade toe in omzetderving, imago en vertrouwen.
Deze twee gebeurtenissen hebben gezorgd voor nog meer belangstelling voor de meest gevreesde en meest gevraagde mensen op het gebied van informatiebeveiliging. Zij worden, oxymoronisch (een verbinding van twee tegenovergestelde begrippen, red.) misschien, ‘ethische hackers’ genoemd. Mensen, die voor een honorarium willen proberen om in je netwerk in te breken. Doelstelling daarbij is potentieel kwetsbare plekken of zwakheden in je beveiligingssysteem bloot te leggen, hetgeen in veel gevallen gebeurt.
Ons doet deze hele ‘industrie’ denken aan het personage dat Robert Wagner speelde in de TV-serie uit de jaren zestig: met dieven vangt men dieven. Een juwelendief wordt FBI-agent. Slechterik wordt held.
Ondanks de romantiek die de ‘ethische hackers’ willen oproepen, plaatsen we vraagtekens bij het inzetten van deze mensen als beveiligingsadviseurs.
Op het gevaar af alle ethische hackers over een kam te scheren, is onze eerste zorg die van karakter en betrokkenheid. We zijn ervan overtuigd dat veel ethische hackers inderdaad ‘ethisch’ zijn., en dat zich inzetten om kwetsbaarheden op te sporen en klanten te helpen hun netwerken te verbeteren.
Maar pas op! Anderen zijn niet zo, en zouden, zonder het succes waarmee ze geld kunnen vragen voor het legale hacken, nog steeds bezig zijn met het kraken van computers – voor de lol of voor illegale praktijken.
Netwerkbeheerders nemen een risico als ze willekeurige personen beveiligingswerk voor hen laten uitvoeren die geen papieren kunnen overhandigen. Er zijn organisaties zoals de International Information System Security Curriculum Consortium (ISC2) – alle met strenge eisen – die professionele beveiligingsmensen certificeren.
Andere organisaties zullen misschien geen certificering aanbieden, maar een simpel lidmaatschap kan al een indicatie van geloofwaardigheid zijn. Hoewel deze veiligheidscertificaten niet kunnen garanderen dat professionele beveiligingsmensen onberispelijk gedrag vertonen, eisen sommige organisaties proeftijd, examens, en een professionele eed om het kaf van het koren te scheiden.
Audits
Even afgezien van dit probleem met de geloofwaardigheid, is ethisch kraken alleen niet genoeg om te weten of een netwerk veilig is of niet. Sommige ‘gaten’ zijn weliswaar te identificeren, maar wat echt nodig is, is een veiligheidsaudit. Kunstmatig hacken is daar maar een klein onderdeel van.
In een echte veiligheidsaudit zou een kwaliteits- en risicoanalyse als eerste uitgevoerd worden. Wat moet er beveiligd of beschermd worden? Wat zijn de risico’s en wat is de waarschijnlijkheid dat ze zich zullen voordoen? Wat kan er gedaan worden om deze risico’s te minimaliseren?
Een dergelijke audit zou niet alleen de technische beveiligingsaspecten van computersystemen en netwerken analyseren, maar ook de fysieke beveiliging: op welke plaats staan ze en wie hebben er toegang.
Bovendien – en dit is waarschijnlijk het belangrijkst – zal een echte veiligheidsaudit nauwgezet kijken naar het administratieve beleid en de procedures binnen een organisatie. Het heeft geen zin om vele tonnen aan informatiebeveiliging uit te geven als mensen hun wachtwoorden op de monitors van hun PC hebben hangen. Veiligheidsbeleid moet zin hebben. Iedere medewerker moet zich het beleid eigen maken en is verantwoordelijk voor de naleving ervan.
De meeste ethische hackers kunnen ondernemingen niet voorzien van zo’n analyse. Slechts weinigen hebben gewerkt als professionele beveiligingsmensen. Velen hebben niet eens werkervaring binnen een onderneming.
Netwerkmanagers moeten daarom voorzichtig zijn en zich afvragen of het ethisch kraken van hun netwerken hen zal voorzien van voldoende gegevens (en een rustig geweten) om te weten dat hun netwerken daadwerkelijk veilig zijn.
Steph Marr, vice-president Information Security, en Wilfried van Haeren, director Corporate Consulting Europe, Predictive Systems.