Geef studenten een hackers- carte blanche
Uit de categorie bezuinigingen: minister van Financiën Ronald Plasterk heeft studenten ingezet om de beveiliging van twee overheidssites te onderzoeken. Studenten van de opleiding Information Security Management kregen een dag de tijd om legaal te hacken.
De proef slaagde slechts gedeeltelijk. Geen van de studenten wist echt door te dringen tot in de mailserver van computers van de gemeente Haarlemmermeer. Een ander onderdeel van het ministerie van het Binnenlandse Zaken, Logius, liet een server hacken. Op deze server staan verificatieprogramma’s, die controleren of u wel met de juiste computer verbinding maakt (het slotje in de url-balk van het internetnetbankieren bijvoorbeeld. Of de beveiligde site waar je inlogt met je –o zo betrouwbare- DigiD). Ook deze bleek niet te kraken, tot teleurstelling van minister Plasterk. Hij hoopte vooraf dat de legale hackpoging succes zou hebben: “Dat is leuker voor de studenten, en wij ontdekken dan waar er nog zwakke plekken in de beveiliging zitten”. Helaas voor de studenten bleek de beveiliging adequaat.
Eén van de redenen dat de proef geen doorslaand succes werd was dat de studenten niet ‘via de achterdeur’ naar binnen mochten. Beter verstopte beveiligingslekken waren op deze manier wel erg lastig te vinden, stelde opleidingscoördinator Leo van Koppen in de Volkskrant.
Het is desondanks een prachtig plan. Studenten moeten veel vaker ingezet worden om (overheids)sites te controleren op hun veiligheid. Juist nu, nu de privacy voor veel mensen steeds belangrijker wordt en er steeds meer reden is aan de digitale veiligheid te twijfelen. Studenten zijn natuurlijk op de hoogte van de nieuwste methoden en technieken. Bovendien zijn de meeste studenten maar wat graag bereid om voor een studiepunt (of een bescheiden vergoeding) wat extra’s te doen.
Geef studenten van dergelijke beveiligingsopleidingen dus een carte blanche. Niet zoals deze keer, netjes via de voordeur, maar ook door de nauwe steegjes achterlangs en via het riool als het moet. Een inbreker belt immers ook niet aan bij de voordeur. Nee, laat studenten in alle vrijheid hacken. De staatsveiligheid en de studenten worden er beide beter van. Uiteraard moet de student dan wel een soort contract tekenen dat hij louter ‘ethisch’ hackt (en dus lekken meldt bij de getroffen bedrijven). Maak dit dus vooral een vast en belangrijk onderdeel van het curriculum.
Dat het niet met alle hackende studenten goed afloopt bewijst Ahmed Al-Khabaz. Hij vond een beveiligingslek in het lokale netwerk van zijn opleiding aan het Dawson College in Canada. De student computerwetenschappen meldde het probleem keurig bij de schoolleiding, maar er werd niets mee gedaan. Toen hij later opnieuw in het systeem keek, werd hij plots en zonder opgaaf van redenen van de school verwijderd.
Als studenten naar hartenlust mogen hacken wordt met die klap zelfs een derde vlieg geslagen. Niet alleen is het goed voor overheid/bedrijf en krijgen de studenten een praktijkopleiding, het maakt het illegale hacken een stuk minder interessant. Ethisch hacken kan dan uit het grijze juridische gebied. Ergo: leve de studenthacker!