Home » Technology » Security » Was de hack van Hacking Team ethisch verantwoord?

Was de hack van Hacking Team ethisch verantwoord?

Tech Page One

 Was de hack van Hacking Team ethisch verantwoord?

 

Een tijdje geleden werd de internationale hackerswereld verrast door de aanval op het Italiaanse Hacking Team. Met deze hack kwamen alle gegevens op straat te liggen van uitgerekend een bedrijf dat overheden, politie- en veiligheidsdiensten wereldwijd voorziet van tools om versleutelde berichten te ontcijferen en computers te hacken. Maar waar ligt de ethiek in het hacken?

Hacking Team is een organisatie die extreem goede offensieve tools ontwikkelt en verkoopt aan overheids- en veiligheidsdiensten. Die tools stellen hen in staat om als ultieme afluistermachines te opereren. In feite verkoop Hacking Team digitale wapens. Middels zero-day exploits ontwikkelen ze een soort van Paard van Troje-malware die vervolgens wordt gebruikt om computersystemen te infecteren. Hierdoor kunnen deze systemen volledig worden overgenomen en kan allerlei data door de veiligheidsdiensten gelezen worden. Het is sublieme software die deze instanties eenvoudig toegang verschaft tot allerlei netwerken en langs bijna elke firewall. En nu zijn deze architecten van hacksoftware dus zelf gehackt en ligt al hun bedrijfsinformatie op straat, ruim 450 GB aan data, inclusief WhatsApp-berichten die als backup op hun netwerken stonden. Je zou verwachten dat een dergelijke organisatie zijn security wel op orde heeft.

Ethische grenzen

De aanval op Hacking Team hack bevestigt weer de rode draad die door mijn blogs loopt: de offensieve wereld wint het van de defensieve wereld. Hacking Team schaar ik onder de defensieve wereld, ondanks hun offensieve aanvalstechnieken, omdat het bedrijf publiek bekend is en zich daarmee kwetsbaar opstelt. Het bevestigt vooral dat de security-wereld continu in beweging is. Er zijn klaarblijkelijk veel krachten aan de offensieve zijde bezig om netwerken te infiltreren, informatie op te doen, deze wellicht te delen en er misbruik van te maken. Het bevestigt dat security big business is, waarin organisaties tools verkopen om kennis op te doen of om veel geld te verdienen. En daar ligt een scheidslijn en die heet: ethiek.

De duistere wereld

Was de hack van Hacking Team ethisch verantwoord?Wat is de rol van ethisch hacken in deze context? En waar loopt het over in ‘de duistere wereld’? We vinden het bijvoorbeeld goed als de Turkse veiligheidsdiensten door infiltratie in systemen gerichter tegenstand kunnen bieden aan de terreur van IS. Maar stel dat een tool set wordt verkocht aan de veiligheidsdienst van een schurkenstaat als Iran. Daarmee krijgen ze een wapen in handen waarmee ze bijvoorbeeld ook achter de homoseksuele geaardheid van burgers kunnen komen. En daarmee kan een levensbedreigende situatie ontstaan.

Waarom zijn we nu allemaal zo verbaasd dat dit is gebeurd? Dit soort inbraken vinden toch regelmatig plaats in de donkere krochten van cyberspace, maar van de meesten zullen we nooit iets horen. De defensieve wereld moet zich meer realiseren dat cyber-aanvallen zelfs succesvol kunnen zijn bij een partij die zelf tools maakt om succesvol te hacken. Ik denk dat in het algemeen veel te weinig wordt geïnvesteerd in IT-security door het bedrijfsleven. Het mkb bijvoorbeeld heeft nog veel te weinig oog voor beveiliging, puur omdat security nog niet als dienst wordt gezien. In mijn optiek is security een onderdeel van de dienstverlening.

Familie-anekdote

Soms is het nodig om schade te berokkenen om iets te verbeteren. Ik heb een mooie familie-anekdote van mijn grootvader uit de Tweede Wereldoorlog die daarop aansluit. Hij werkte op het gemeentearchief waar, zoals in zoveel gemeenten, de etniciteit van burgers geregistreerd was, en dus ook wie Joods was en wie niet. Op een dag heeft hij het hele archief in brand gestoken, om te voorkomen dat de Duitsers eenvoudig alle Joodse burgers konden lokaliseren. Natuurlijk heeft hij daarmee schade berokkend aan het gemeentehuis en ervoor gezorgd dat de basisadministratie in rook opging. Is het ethisch om een gemeentehuis in brand te zetten? Nee. Maar wordt deze daad gerechtvaardigd als hierdoor vele mensenlevens kunnen worden gered? Absoluut.

Het verschil met dit voorbeeld en dat van het Hacking Team is dat zij niet precies kunnen bepalen wat ethisch is. De reden hiervoor is dat ze niet altijd weten waarvoor hun tools worden ingezet, en of deze mogelijk weer worden doorverkocht aan andere partijen. Daarom blijft een hacker in mijn optiek alleen ethisch als hij de consequenties van zijn daden kan beoordelen en overzien, en bovendien de mensheid een dienst bewijst met zijn acties.

 

 

Barry van Kampen

Barry van Kampen

Barry van Kampen (aka Fish_) is ethisch hacker en managing director van The S-Unit. Hij vervult hier de rol van consultant en coach voor de diverse middelgrote en corporate bedrijven. Barry is onderdeel van de Hack in the Box HITB Core crew en hij spreekt regelmatig op congressen en evenementen. Naast deze rollen is hij actief binnen de internationale hacker(spaces)-gemeenschap en is hij mede-oprichter van Randomdata, de hackerspace in Utrecht.

Laatste Artikels:

 

Tags: Security, Technology