Verbied ladders om inbraak te voorkomen en andere onzin
Ladders. We gebruiken ze allemaal wel eens. Om op de vliering te komen. Om een schilderij op te hangen. Maar ladders worden ook gebruikt door inbrekers. Om bij open slaapkamerramen te komen en zo naar binnen te glippen. Zouden we ladders daarom wellicht niet beter kunnen verbieden? Zo maken we het inbrekers moeilijker om binnen te komen!
Hulpmiddel of inbrekersgereedschap?
In Canada heeft de overheid overwogen om de Flipper Zero te verbieden. Dit apparaat is vrij verkrijgbaar en heeft de mogelijkheid om met name draadloze communicatie te onderscheppen of te manipuleren. Om deze dingen te doen heb je strikt genomen de Flipper Zero niet nodig. Net als dat een inbreker niet per se een ladder nodig heeft om bij een raam te komen. Dezelfde hacking technieken zijn ook op andere manieren uit te voeren. De Flipper maakt het slechts iets toegankelijker en eenvoudiger voor met name beveiligingsexperts om te testen of iets kwetsbaar is voor dit type aanval. Net als dat een ladder ook voor andere doelen gebruikt kan worden dan inbreken en je als inbreker net zo goed een vuilcontainer zou kunnen verplaatsen om bij hetzelfde raam te komen.
Innovatie in beveiliging kan tevens worden gezien als innovatie op aanvalsvlak. Een apparaat als de Flipper Zero kan de drempel verlagen voor criminelen om te proberen er auto’s mee te stelen of in gebouwen binnen te dringen door paslezers te hacken. Tegelijkertijd kan de Flipper gebruikt worden om kwetsbaarheden in diezelfde auto’s en paslezers aan te tonen, zodat deze kunnen worden verholpen. Zoals gezegd: het kan ook zonder het apparaat worden gedaan. Maar Canada zag het apparaat als de boosdoener en overwoog het dus maar helemaal te verbieden. Al zag het daar uiteindelijk toch maar vanaf. Waarom het land uiteindelijk besloten heeft het verbod niet in te voeren, is mij niet helemaal duidelijk. Maar het zou te maken kunnen hebben met de petitie van de fabrikant van de Flipper Zero.
Hackers? Of ethisch hackers?
De discussie rondom het verbod van de Flipper Zero raakt wat mij betreft zijdelings aan de discussie rondom de terminologie “hackers”. Ook daarin lijkt soms een conclusie getrokken te worden waar ik op z’n minst mijn wenkbrauwen bij frons. Je leest mij hierboven spreken over “aanvallers” en “criminelen”. De term “hackers” werd in het verleden (en helaas ook nog in het heden) gebruikt om criminelen mee aan te duiden. Hadden we het over beveiligingsexperts, dan spraken we van “ethisch hackers”. Eigenlijk een hele maffe manier van doen, als je het mij vraagt.
Vergelijk het maar weer met woninginbraak. Breekt iemand in je woning in met de intentie zichzelf onrechtmatig toegang te verschaffen of iets te stelen, dan noemen we dat een inbreker. Maar iemand die je helpt om binnen te komen als je jezelf buiten hebt gesloten of andere sloten te installeren, noemen we geen “ethisch inbreker”. Dat is een slotenmaker. Hetzelfde geldt voor hackers. Hackers zijn per definitie mensen met een hoog creatief denkvermogen die op verschillende manieren proberen beveiliging te testen door iets op een andere manier te gebruiken dan waarvoor het is ontworpen. Dat kan uiteraard voor goede en voor minder goede doeleinden, maar net als met slotenmakers zijn mensen die dat in strijd met de wet doen simpelweg criminelen/inbrekers en “verdienen” wat dat betreft de term “hacker” niet. “Ethisch hacker” suggereert dat de standaard term iets negatiefs is, terwijl dat helemaal niet zo is.
Regelmatig wordt mij tegengeworpen dat men indien geen gebruik van het voorzetsel “ethisch” maakt, men verward kan raken over de bedoeling van de schrijver. Niet-ingewijden zouden namelijk de term “hacker” automatisch koppelen aan de criminele variant. Wat mij betreft, is dat een kwestie van gewoonte. Als we de juiste term gaan gebruiken, zal deze vanzelf ingeburgerd raken, denk ik. Lees in mijn columns dus vooral de term “hacker” als de beveiliging bevorderende variant.
Laten we verder gewoon ladders blijven gebruiken om onze ramen te lappen en laat hackers de Flipper Zero gebruiken om eenvoudiger kwetsbaarheden te ontdekken. Richt jouw pijlen op de criminelen die ladders en Flipper Zero’s gebruiken om in te breken. En noem verder eenieder bij diens naam.
Bronnen:
- https://tweakers.net/nieuws/218526/canada-wil-flipper-zero-verbieden-tool-zou-gebruikt-worden-voor-autodiefstal.html
- https://tweakers.net/nieuws/220036/canada-ziet-toch-af-van-een-verbod-op-flipper-zero.html
Over Fleur
Fleur is een ervaren professional met meer dan 10 jaar ervaring in informatiebeveiliging. Ze is CISO bij de overheid en produceert een podcast voor CISOs, genaamd ‘CISO praat’. Haar passie ligt bij het vinden van oplossingen en het adviseren over strategische vraagstukken binnen informatiebeveiliging.
Met een focus op de technische en strategische aspecten, duikt Fleur graag de diepte in en onderzoekt oplossingen, zoals het veilig gebruik van openbare wifi-netwerken en effectieve bescherming tegen phishing. Ze is vooral geïnteresseerd in de balans tussen gebruiksgemak en beveiliging én de uitdagingen van specialistische kennis in een digitaliserende wereld.
In haar columns behandelt Fleur fundamentele uitdagingen voor informatiebeveiligers, zoals de effectiviteit van beveiligingsmaatregelen en het groeiende aanbod van beveiligingsdiensten. Ze hoopt haar lezers te inspireren tot nieuwe inzichten en innovatieve ideeën.