Ethisch hacken

Ethische hackers zoeken naar lekken in de beveiligingssystemen op onder andere het wereld wijde web (world wide web).

Ethisch hacken is een activiteit van een computerspecialist die zich, uit idealistische motieven, zonder toestemming toegang verschaft tot beveiligingssystemen en netwerken. Ethische hackers willen zo fouten opsporen, om ze vervolgens te melden aan de betreffende, 'gehackte' bedrijven of instanties, als bijdrage in de strijd tegen cybercriminaliteit. De Engelse term voor ethisch hacken is software/security vulnerability disclosure.

Doel

Op het internet bevinden zich veel gegevens van particulieren, bedrijven en instellingen. Voor sommigen zijn persoonsgegevens en data big business. Deze hackers proberen aan informatie te komen door middel van computervredebreuk of hacking, om de verkregen gegevens en data vervolgens door te verkopen. Daarnaast kunnen zij het computersysteem van bedrijven aanvallen, gegevens misbruiken, of infrastructurele voorzieningen platleggen. Om dit te voorkomen zijn er ethische hackers, die een steentje bijdragen in deze cyberoorlog, door lekken op te sporen in beveiligingssystemen. Door opgespoorde lekken te melden, helpen ethische hackers bedrijven of instanties om zich beter te wapenen tegen aanvallen door kwaadwillende hackers.

Pentesten

Pentesten of penetratietesten worden uitgevoerd door ethisch hackers met toestemming van een organisatie. Het doel is om de beveiliging van de IT-infrastructuur van een organisatie methodisch te testen. Zo wordt duidelijkheid gecreëerd over de tekortkomingen en ontvangt de organisatie een hersteladvies.^[1]

Soorten pentest

Penetratietesten zijn er in drie belangrijke vormen: black box, white box en grey box.^[1]

Black box

Bij een black box-test hebben de penetratietesters weinig voorkennis van het doel object. Dit is een realistisch scenario dat in praktijk veel voorkomt. De penetratietester wordt dan in dezelfde situatie geplaatst als een kwaadwillende hacker. De nadelen van black box-tests zijn dat het afgesproken tijdsbestek mogelijk niet voldoende is om alles te testen en dat sommige delen van het doel object mogelijk niet worden getest, omdat ze niet zijn ontdekt.^[1]

Grey box

Een grey box-test onthult gedeeltelijke informatie over de doelsystemen aan de penetratietesters. Deze hybride benadering is de meest gebruikelijke vorm van penetratietests. Dit omdat de tester een methodische aanval kan simuleren zonder elk detail van de doelsystemen te hoeven kennen.^[1]

White box

Een white box-test onthult gedeeltelijke informatie over de doelsystemen aan de penetratietesters. Deze hybride benadering is de meest gebruikelijke vorm van penetratietests. Dit omdat de tester een methodische aanval kan simuleren zonder elk detail van de doelsystemen te hoeven kennen.^[1]

Taboe?

Internationale bedrijven als Facebook en Google werken samen met ethische hackers, om hacks of lekken te vinden in hun netwerken of systemen. Zo geeft Google tot 150.000 euro voor het vinden van een bepaald lek. In België daarentegen lopen ethisch hackers het risico om opgepakt te worden. Vanwege dit risico durven veel Belgische bedrijven niet met hackers samen te werken. Andersom kan een hacker ervan afzien om een gevonden lek bij een Belgisch bedrijf te melden, omdat het betreffende bedrijf of de bepaalde instantie hem mogelijk een proces aandoet.

Certificeringen

Gelukkig zijn er tegenwoordig veel bedrijven die gecertificeerd zijn om pentesten uit te voeren met ethisch hackers. Voorbeeld hiervan in Nederland is het CCV Cyber Pentest certificaat. Dit keurmerk staat garant voor een gestructureerde, controleerbare en betrouwbare werkwijze van het bedrijf wat de pentest uitvoert. ^[2]

Wetgeving in België

Sinds 2023 is ethisch hacken toegelaten onder de volgende voorwaarden:^[3]

handelen zonder bedrieglijk opzet of oogmerk om te schaden
de mogelijke kwetsbaarheid zo snel mogelijk melden aan de gehackte organisatie, uiterlijk op het ogenblik van de melding aan het Centrum voor Cybersecurity België (CCB)
niet verder gaan dan nodig en evenredig om het bestaan van een kwetsbaarheid na te gaan
afzien van openbaarmaking, tenzij met toestemming van het CCB

Het vragen van een beloning of vergoeding aan de gehackte organisatie valt normaal onder het verboden bedrieglijk opzet, tenzij de organisatie zelf een bug bounty programma of iets dergelijks opzet.^[4] Ook phishing, spamming, brute force of DDoS-aanvallen, het verwijderen van gegevens en het installeren van malware blijven in alle omstandigheden verboden.

In 2020 publiceerde het CCB een gids, die ethisch hacken bij organisaties die daar open voor stonden in goede banen probeerde te leiden (Gids over het beleid voor de gecoördineerde bekendmaking van kwetsbaarheden). Wanneer het hacken gebeurde met medeweten van de rechthebbenden, was er naar alle waarschijnlijkheid geen inbreuk op de wet, omdat er geen moreel bestanddeel (bedrieglijk opzet) aanwezig was.

Evenementen

Ethische hackers moeten hun vaardigheden blijven testen, om niet achter te lopen op technologische ontwikkelingen. Hiervoor worden ethische-hackevenementen georganiseerd. Tijdens zo'n evenement kunnen hackers voor de gelegenheid opgebouwde computersystemen en dergelijke kraken. De ethisch hacker bevindt zich dus in een veilige omgeving, men kan hem geen proces aandoen voor het kraken van deze systemen. Daarnaast kunnen de hackers ook veel bijleren van elkaar.

Een belangrijke organisatie in Duitsland van ethische hackers is de Chaos Computer Club. Deze organiseert jaarlijks in de Leipziger Messe het Chaos Communication Congress, en iedere 4 jaar^[5] in augustus in de omgeving van Berlijn het Chaos Communication Camp, of afgekort Camp. De club geeft een digitaal tijdschrift uit met de naam Datenschleuder.

Externe link

Reportage over ethisch hacken

Bronnen

Justaert, M. (2016, 8 januari). Regering zoekt wettelijk kader voor ‘ethisch hacken’. De standaard.
Bedaux, S. (2016). Beroep met toekomst: ethische hacker. Knack Weekend, 36, 56-59.
De Redactie.be 16 november 2014. Koppen: Ethisch hacken. Videobestand, Geraadpleegd op 28 november 2016
Wet inzake informaticacriminaliteit. (2000, 28 november). Geraadpleegd op 24 november 2016
Van Leemputten, P. (2016, 21 november). Ethisch hacken in België: Illegaal, maar het tij keert. Knack.

1 2 3 4 5 Pentest laten uitvoeren? | Ethisch hacken en CCV gecertificeerd. OneXillium. Geraadpleegd op 3 december 2025.
↑ Voer een pentest uit tegen cybercirme. Het CCV (19 juli 2023). Geraadpleegd op 3 december 2025.
↑ Artikelen 62/1 en 62/2 van de Wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid, ingevoegd door de Wet van 28 november 2022. Gearchiveerd op 26 april 2023.
↑ Ethisch hacken voortaan wettelijk toegelaten in België, Data News, 15 februari 2023. Gearchiveerd op 22 februari 2023.
↑ laatste keer: 21-25/8/2019.

[OX-1] 1 2 3 4 5 Pentest laten uitvoeren? | Ethisch hacken en CCV gecertificeerd. OneXillium. Geraadpleegd op 3 december 2025.

[2] Voer een pentest uit tegen cybercirme. Het CCV (19 juli 2023). Geraadpleegd op 3 december 2025.

[3] Artikelen 62/1 en 62/2 van de Wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid, ingevoegd door de Wet van 28 november 2022. Gearchiveerd op 26 april 2023.

[4] Ethisch hacken voortaan wettelijk toegelaten in België, Data News, 15 februari 2023. Gearchiveerd op 22 februari 2023.

[5] tste keer: 21-25/8/2019.

[1]

[2]

[3]

[4]

[5]