Door een toename van het uitloven van bug-bounties door grote én kleine organisaties zien veel hackers het licht en zetten ze hun specialistische vaardigheden in voor ‘het goede’. In deze blog nemen we vijf mythes over deze nieuwe soort hackers nader onder de loep.
Stel je voor dat je hoort dat iemand in jouw organisatie een hacker is. Als je het vizier richt op een stagiair of een recent vertrokken ontevreden collega, zou je waarschijnlijk ongelijk hebben. Heel vaak is de hacker in jouw organisatie een professional, die zijn potentieel kwalijke vaardigheden voor het goede in plaats van het kwade gebruikt. Dit is omdat, in plaats van jouw bedrijf te beschadigen, hij of zij een essentieel bedrijfsproces kan invullen: de verdediging van de organisatie testen op potentiële kwetsbaarheden.
Om de motieven van de 21ste-eeuwse hacker te begrijpen, moet je eerst de markt begrijpen. In toenemende mate is de meest makkelijke route naar rijkdom voor hen niet om zwak beschermde organisaties te chanteren, maar om 'bug bounties' te verdienen, beloningen die door organisaties worden aangeboden om hun applicaties en netwerken te laten testen. Elke gevonden ‘bug’ is geld waard… bedragen van € 100.000 per melding mogen dan een uitzondering zijn, maar geven aan dat het serieuze business is.
Tijd om in het brein van de hacker van vandaag te kijken, en een aantal algemeen aanvaarde mythen over hun werkwijzen te doorbreken.
Mythe #1: Het zijn allemaal criminelen
Hoewel er nog steeds veel hackers zijn die verbonden zijn met criminele bendes of malafide regimes, is er een groeiende opkomst van de White Hat-community (zo is Bugcrowd momenteel ruim 383.000 man sterk). Dit zijn hackers die niet geïnteresseerd zijn in het worden van criminelen, maar in het stoppen van hen. De White Hat-hacker van tegenwoordig is vaak hoog opgeleid en een van de beste programmeurs binnen de organisatie. Uit een onderzoek van BugCrowd blijkt dat meer dan 50% van de ‘goede hackers’ een bachelor- of een masterdiploma heeft en dat meer dan 80 procent geruime tijd in het hoger onderwijs heeft doorgebracht.
Mythe #2: De theorie van de ‘lone gunman’
Hollywood-films laten je geloven dat de meeste hacks afkomstig zijn van een eenzame, kwaadaardige genie die in zijn eentje werkt. Maar zelfs een solo-hacker in een verduisterde slaapkamer werkt meestal niet alleen. Hij of zij verzamelt voortdurend kennis uit webchats, nieuwsbronnen, geruchten en roddels. De waarheid is dat hackers inherente praters zijn. Wanneer projecten concreet of kansen interessant worden, beginnen mensen te strategiseren, nieuwe teams te vormen en ideeën uit te wisselen. Op dezelfde manier zijn succesvolle penetratietesten (of "pentesting" zoals het vaker wordt genoemd), waarbij de systemen achter de IT-afweer van uw bedrijf aangevallen worden, meestal veel meer dan een enkele consultant achter een bureau. Wees niet verbaasd als de pentesting hacker in je kantoor die gezellige, grappige beheerder is, die tussen neus en lippen door vraagt om je wachtwoord "even" te lenen.
Mythe #3: Alle aanvallen komen vanuit het oosten
Terwijl de media vaak snel de vinger wijzen naar het (Verre) Oosten, zijn in werkelijkheid meer dan 112 nationaliteiten vertegenwoordigd in BugCrowd, waaronder Australië, Duitsland, het Verenigd Koninkrijk en de Verenigde Staten in aanzienlijke aantallen. Dit hangt samen met een andere verandering in de markt voor hackdiensten: de grootte van organisaties die bug bounties uitloven. Het zijn niet alleen kleine ontwikkelaars die hun bug-ontdekking meer uitbesteden. Westerse multinationals met meer dan 5.000 werknemers zijn nu het snelst groeiende segment om beloningen aan hackers te bieden.
Mythe #4: Het gaat alleen over de code
De mythe blijft bestaan dat de vaardigheden van een hacker zich beperken tot het eenvoudig scrollen door broncode en aanvallen ontketenen. Dit is een verkeerde aanname. De hedendaagse hacker is evenzeer een sociaal wetenschapper als een computerwetenschapper en gebruikt Facebook- en LinkedIn-profielen om mogelijke wachtwoorden te ontdekken. Door simpelweg naar de online CV's van het securityteam van het bedrijf te kijken, kan een hacker ook zien welke technologieën het netwerk waarschijnlijk zal gebruiken en dus welke kwetsbaarheden mogelijk kunnen worden uitgebuit.
Hackers houden zich vaak bezig met ‘sociale carrièregroei’. Het is niet de geheime onderwereld die velen zich voorstellen. Elke gewonnen bounty verhoogt hun aantrekkelijkheid binnen de markt. Een goede White Hat-hacker hoeft vaak niet op zoek te gaan naar een volgende opdracht; in plaats daarvan worden ze uitgenodigd om deel te nemen aan specifieke bug bounty-uitdagingen door de organisaties zelf.
Mythe #5: Een succesvolle hack is een mislukking van jouw organisatie
Uiteraard wil geen enkel organisatie, met name een beursgenoteerde met gevoelige aandeelhouders, toegeven dat zijn systemen zijn gehackt. Maar als je via een bug bounty-programma echte kwetsbaarheden in de IT-infrastructuur blootlegt, is dat geen mislukking: het is een groot succes. Dit komt omdat de kosten van het betalen van een premie meestal veel lager zijn dan dat ze later door echte criminelen worden uitgebuit. De bug-bounties van Google beginnen bij $ 4000,- voor het informatielek, terwijl Uber dit tot 25 keer moest betalen als zwijggeld voor hackers die 57 miljoen datarecords buit maakten in 2016. De succesvolle White Hats hebben hun bug bounties omgezet in hun belangrijkste bron van inkomsten. En dit zal waarschijnlijk ook groeien de komende tijd. De les voor organisaties is overduidelijk: probeer de hackers niet te stoppen. In plaats daarvan; nodig ze uit!
Conclusie:
Veel hackers zijn de afgelopen jaren overgelopen, aangemoedigd door een stijging van bug bounty-programma's. Facebook betaalde White Hat-hackers $ 880.000 vorig jaar en Google zelfs $ 2,9 miljoen, waardoor de term 'hacker' zijn negatieve status aan het verliezen is. Vele jaren lang combineerden managers en journalisten de termen 'hacker' en 'crimineel'. De hacker van tegenwoordig is niet per definitie een bedreiging, hij kan de grootste vriend van je IT-infrastructuur zijn.
Belangrijkste leerpunten:
- Hackers zijn niet allemaal criminelen, criminelen zullen zelfs de minderheid worden
- Stereotypen over hun oorsprong zijn verouderd
- Aanvalsmethoden zijn zowel sociologisch als technologisch
- Bug bounties worden steeds vaker door organisaties gebruikt om problemen op te lossen