Capture the Flag

capture-the-flag:~|

Je kennis op een manier inzetten om de wereld veiliger te maken? Heel goed! Op deze pagina lees je meer over hoe je dat doet.

Op deze website kun je technieken leren om iemand te hacken. Het idee hiervan is dat je dit leert om vooral jezelf te beschermen. Als je jezelf kunt hacken, betekent dat namelijk dat je weet wat je moet doen om ervoor te zorgen dat niemand jou meer kan hacken. De kennis kun je aan de andere kant ook inzetten om slechte dingen te doen. Maar daarvoor leert Hackchallenges jou niet om te hacken natuurlijk! Daarom staat hier een uitleg over wat wel en niet mag, zodat jij op een goede manier je kennis kunt gebruiken.

Wanneer je in het woordenboek zoekt op het woord 'ethisch', staat er dat je het goede doet. Een ethisch hacker hackt dus om het goede te doen: dingen veiliger te maken. Soms komt het voor dat jonge hackers dat niet doen, bijvoorbeeld omdat zij digitaal kattenkwaad willen uithalen of het spannend vinden om dingen te doen die niet mogen. Een jongen van 18 heeft op een gegeven moment zelfs de site van de Belastingdienst platgelegd. Hierdoor konden mensen die naar de website van de Belastingdienst wilden deze niet bereiken. Dat is nog groots in het nieuws geweest. Zo'n aanval heet een DDoS-aanval, deze had hij via internet gekocht. Daarmee gaf hij de opdracht aan heel veel computers om de website te bezoeken, zodat de website dat niet meer aankon en dus niet meer reageerde. Dit mag natuurlijk niet en is strafbaar; je kunt hier zelfs een gevangenisstraf voor krijgen.

Veel websites hebben een zogenaamd responsible disclosure-beleid op hun wesite staan. Soms wordt dit ook coordinated vulnerability disclosure genoemd. Dat betekent dat wanneer je bij een bedrijf een foutje of kwetsbaarheid in hun systemen of websites hebt gevonden, je dit zo snel mogelijk moet laten weten aan de organisatie. Zij hebben dan de kans om dit foutje op te lossen zodat een andere hacker er geen misbruik van maakt. Als je responsible disclosure letterlijk vertaalt naar het Nederlands, krijg je verantwoorde openbaarmaking. Wanneer je zo'n foutje dus vindt, mag je het niet gelijk op je Twitter of Facebook zetten of tegen al je vrienden zeggen. Eerst geef je het bedrijf de kans om het op te lossen. Als zij het hebben opgelost, mag je het wel online zetten zodat je vrienden kunnen zien hoe goede hacker je bent. Soms krijg je zelfs een bedankje van het bedrijf voor het vinden van foutjes of kwetsbaarheden op hun systemen.

In sommige gevallen is het foutje zo erg dat je heel veel informatie kunt downloaden die je eigenlijk helemaal niet mag bekijken. Misschien wel klantdata of geheime documenten. Als je dit hebt gevonden mag je bijvoorbeeld wel een screenshot maken om aan te tonen dat je iets kon zien. Zorg wel dat je de persoonlijke data eraf haalt. Maar wat niet mag is alle data of informatie downloaden en dan pas laten weten dat je het hebt gevonden. Dat is een grijs gebied, sommige mensen zeggen dan dat je een grey hat hacker bent. Dan denk je dat je het goed hebt gedaan door het te melden, maar heb je eigenlijk helemaal niet ethisch gehandeld door informatie die niet van jou is te downloaden. Je bent een white hat hacker als je het doet volgens de regels met het doel om de wereld veiliger te maken en een black hat hacker als je je hackkennis inzet om slechte dingen te doen, zoals mensen of bedrijven jou geld te laten betalen omdat je anders bijvoorbeeld data op internet zet.

Daarom is het belangrijk dat wij als white hat (of ethische) hackers de slechte hackers voor zijn!

scoreboard | uitleg | meer leren?