Column


Column Chris van 't Hof:

Thank you for hacking us!

Daar was hij dan eindelijk: onze eigen responsible disclosure-pagina. Als er nu iemand op onze site een kwetsbaarheid ontdekt, kan dat netjes gemeld worden. Uiteraard onder voorwaarden: maak niets kapot, deel geen data met derden en maak het lek pas bekend als het gefixed is.

We geven geen bug bounty’s, maar je komt wel in onze Hall of Fame. Ethische hackers zijn in Nederland immers vanuit de schaduw naar het centrum van de belangstelling verschoven en steeds meer organisaties openen trots een eigen meldpunt. Zelf heb ik er en boek over geschreven: Helpende hackers. Daarom ben ik op zijn minst moreel verplicht zelf ook een meldpunt te openen.

De uitnodigingstekst schrijf ik in het Engels, want ook het buitenland kijkt mee. Het werkt. Al na een paar dagen komt een melding binnen van iemand uit Griekenland. De dagen daarna volgen meldingen uit de VS, Pakistan, India, Oekraïne en van nog wat niet te herleiden ethische hackers. Hun mailtjes hebben meestal een korte aanhef, gevolgd door een proof of concept en de vraag zo snel mogelijk te reageren. Na wat Googlen op de afkortingen en heen en weer gemail met mijn provider blijken sommige meldingen waardevol, maar de meeste zijn vooral theoretisch van aard. Als ik bijvoorbeeld een betaalapplicatie zou hebben, kan die met veel moeite gemanipuleerd worden, maar die heb ik dus niet. Of als je een nummer in de url verandert, kom je op de volgende pagina. Boeiuh…

Swag?

Als ik dat meld, nemen ze er geen genoegen mee en al snel volgen de herinneringsmailtjes met veel uitroeptekens en krachttermen. Dan toch maar snel fixen. De bevestigingsmail wordt standaard beantwoord met: “You got bug bounty please, sir?” Nee, natuurlijk niet, dat staat ook duidelijk op de site die je blijkbaar niet hebt gelezen. “OK, you have swag?” Wat is dat dan? Dat blijken de T-shirts, stickers en andere goody’s te zijn die ze blijkbaar krijgen als blijk van waardering. Nee, sorry, die hebben we ook niet, maar je naam prijkt nu wel in onze Hall of Fame. Dat blijkt bijzonder gewaardeerd te worden. Case closed.

Sommige meldingen blijken interessant te zijn voor mijn provider, die hier en daar wat instellingen aanpast, de rest gaat vooral over mijn brakke website. Die draait namelijk op Joomla en zoals zoveel contentmanagementsystemen is het lastig die goed dicht te timmeren. Ze zijn immers ontworpen op gemak voor meerdere gebruikers. Typ eens iets geks achter de url of in een inlogscherm en de boel loopt vast of gaat open. Dan kun je patchen wat je wilt, maar de updates komen altijd later dan het gevonden lek. Na de zoveelste melding ben ik het zat en gooi Joomla eraf om alles in HTML te herschrijven: gewoon rauwe code, beetje opmaak, geen inlogschermen, niet te hacken...

Flauwekul

Echter, veel hackers blijken te fuzzen. Oftwel: gooi van alles tegen de site aan en kijk wat er gebeurt. Zo vind je altijd wel wat. En dat blijken ze gretig te doen, want in een mail van mijn provider lees ik dat mijn site inmiddels zoveel hits krijgt, dat zijn server is gecrasht. Hij is terecht boos. Ik haal de RD-pagina uit de lucht en mail de recente melders of ze willen ophouden met die flauwekul. Slechts eentje reageert, met weer een melding. Er blijkt toch nog een applicaties te draaien waar hij een wachtwoord kan invullen van 100.000 karakters. Nou, bedankt voor deze slimme vondst, maar dat moet je natuurlijk niet uitproberen!

Wellicht vraag je je nu af: waarom doen die hackers dit eigenlijk? Die vraag houdt mij ook bezig. Tijdens mijn onderzoek naar ethisch hackers in Nederland merkte ik dat zij zich oprecht zorgen maken om beveiliging en er ook wel op kicken dat zij iets zien wat anderen ontgaat. Ze zoeken terecht erkenning voor hun kunsten. Dan is zo’n vernoeming in een Hall of Fame zeker een betere beloning dan bijvoorbeeld een T-shirt of boekenbon.

Sleepnet

Voor deze buitenlandse scriptkiddies is ethisch hacken eerder een sleepnet om hun cv op te pimpen: zoek op internet naar de trefwoorden “responsible disclosure” en “bug bounty”, laat je scans erop los en stuur een standaard mail zonder te kijken wat voor site het eigenlijk is. Dat kan relevante meldingen opleveren, want criminele hackers werken ook zo, maar het geeft ook vals positieven, dus veel ruis, rommel en gedoe om niks. Toen ik de RD pagina opnieuw opende, maar nu in het Nederlands, zijn de meldingen gestopt…

Moraal van dit verhaal? Zorg ervoor dat helpende hackers terecht kunnen bij je als ze iets vinden, want het is gratis advies en ze hebben recht op erkenning. Zorg wel voor selectie aan de poort en voldoende capaciteit om snel te reageren. Gelukkig zijn er steeds meer platforms die dit voor je kunnen doen, zoals Bugcrowd en HackerOne. Zowel hacker als organisatie schrijven zich in en spelen het spel volgens de regels en bouwen zo beiden een reputatie op. Voor de broodnodige erkenning kun je natuurlijk veel beter staan in hun Hall of Fame dan die op die brakke website van mij...

Chris van 't Hof is internetsocioloog, schrijver en presentator.


Lees meer over