Ethische hackers zijn de good guys van het internet. Ze helpen bedrijven zich digitaal te beschermen. Het wordt normaler dat je hackers inhuurt om te kijken: Ben ik veilig? Een aanval waarbij je een elektriciteitscentrale hackt is bijvoorbeeld een Advanced Persistent Threat: een APT-attack. De eerste fase is onderzoek. Wat voor een bedrijf is het? Wie werken er? En: Van wie kan je misbruik maken? We doen alsof ik een secretaresse ben bij een middelgroot elektriciteitsbedrijf. Stel nou dat jij geïnteresseerd bent in Harry Potter. Super. Dit heb ik via via begrepen. Of ik zie je username op een site staan. En ik heb je een mailtje gestuurd met mijn Harry Potter fanpagina. Waarop ik zeg: Kijk, dit moet je zien. Dit is helemaal fantastisch. En ik als Harry Potter addict kan dit niet negeren .Inderdaad. Ik krijg dat mailtje met Harrypotterfanpage.com. Ik klik daarop. En dan zie ik een plaatje van Harry. Helemaal te gek. O, het eerste hoofdstuk van het eerste boek. Dat wil ik zien. Ja, staat er allemaal op. Dus ik klik erop. Harry Potter and the Sorcerer's Stone. Klopt het dat jij een document op je desktop heb staan...dat 'personal' heet? Eh... ja. Klopt het dan ook dat daar een wachtwoorden.txt in zit? Ja. Staan er ook wachtwoorden in die van jou zijn? Eh... Ja, helaas. Ja. Ja, die staan nu ook op mijn scherm. O, wat heerlijk. Dat is niet handig, maar ik zit nu ook in je computer. Maar doordat ik een pdf'je opende van Harry Potter...Gewoon tekst. Ik zie niks gebeuren op mijn computer. Zit jij nu in mijn computer. Ja. En wat kan jij nu doen? Name it. Ik kan hem uitzetten. Ik kan je bestanden lezen. Ik kan applicaties starten. Ik kan dingen wissen, aanpassen. Kun je ook dingen downloaden? O ja hoor. Ik kan erop zetten wat ik wil. En wellicht downloadt u wel eens een gratis app op uw telefoon. Die app hebben wij van tevoren geprepareerd. Daar zit een Trojaans paard in. Dat Trojaanse paard stelt ons in staat om te doen met die telefoon wat uiteindelijk... Wat wij kunnen. Dat betekent dat wij het contactenboek kunnen laten zien. De sms'jes kunnen uitlezen. Maar bijvoorbeeld ook meekijken met de camera. Kijk. Dus op dit moment kun je live spionage doen... van iemand die die telefoon heeft. En wat ga je dan doen? Ik zou kunnen kijken naar jouw mail. Secretaresses hebben altijd wel interessante mail van andere mensen. Ik kan op zoek naar gebruikersnamen, naar interne systemen. In Nederland hebben we de leidraad Responsible Disclosure. Bedrijven kunnen ethische hackers uitnodigen hun systeem te testen. Hackers die zich aan de voorwaarden houden kunnen niet vervolgd worden. Signalering op de weg? Ja. Spitsstroken? Ja. Treinwissels? Ja. Bruggen? Ja. Ehm.... sluizen? Alles! Dammen? Alles. Eh... Eurovisiesongfestival? Die vind ik interessant.
