Hacken

Dit artikel bevat verouderde informatie en zou bijgewerkt moeten worden. U wordt uitgenodigd om dit artikel bij te werken.

Hackers die een lek in de beveiliging proberen op te sporen.

Hacken is een term in de informatietechnologie waarbij een persoon binnendringt in een computersysteem en het onderzoekt op de zwakke punten, zowel qua hardware als software. Deze verkenning is bedoeld om de zwakke punten van het systeem te verbeteren of juist te misbruiken en de eindgebruiker te schaden.^[1]

De term hacken of hacking wordt vaak gebruikt als synoniem voor cracking of computercriminaliteit. Computertechnologen maken hierbij het onderscheid tussen het ethische 'hacken' en het onethische 'cracken'.^[2]

Een hack kan ook een handigheidje in het dagelijks leven zijn om iets sneller of makkelijker te doen, men spreekt dan van het Engelse woord lifehack.

Oorsprong

De term "hacken" zou zijn ontstaan op het Amerikaanse MIT. De eerste hackers zouden studenten van de modelspoorclub van MIT, de Tech Model Railroad Club (TMRC), geweest zijn, aldus de vereniging zelf.^[3] Elke nieuwe verbinding of verbetering in de treincircuits werd een 'hack' genoemd.

Werkwijze

Een typische aanpak bij een aanval op een met internet verbonden systeem bestaat uit drie stappen:^[4]

Netwerkinventarisatie: vergaar eerst zo veel mogelijk informatie over het te hacken systeem.
Kwetsbaarheidsanalyse: identificeer de mogelijke aanvalsmethoden.
Exploitatie: gebruik de gevonden kwetsbaarheden om toegang tot het systeem te krijgen.

Nederlandse wetgeving

In Nederland is ethisch hacken in theorie verboden, maar is er in de praktijk sprake van een gedoogbeleid. Artikel 138ab van het Wetboek van Strafrecht stelt hacken strafbaar als iemand opzettelijk en zonder recht binnendringt in een geautomatiseerd werk, waarbij geen onderscheid wordt gemaakt in de intentie van de persoon. Desondanks onderkent het Openbaar Ministerie de maatschappelijke bijdrage van ethisch hacken, en heeft om die reden een beleidsbrief opgesteld waarin staat dat ethisch hackers die zich houden aan het Coordinated Vulnerability Disclosure beleid niet vervolgt dienen te worden.^[5]

Belgische wetgeving

Artikel 550bis van het Strafwetboek stelt hacking strafbaar. De wet maakt een onderscheid tussen twee vormen van hacking: interne en externe hacking.

Dit artikel werd ingevoerd bij wet van 28 november 2000 aangezien voorheen geen correcte rechtsgrond bestond om hacking te vervolgen.

Interne hacking

Men spreekt van interne hacking wanneer een persoon met bedrieglijk opzet of met het oogmerk om te schaden zijn toegangsbevoegdheid tot een informaticasysteem overschrijdt.^[6]

Een voorbeeld hiervan is een werknemer die toegang heeft tot een deel van de server van de onderneming, maar zijn toegangsrechten overschrijdt met de bedoeling om schade aan te richten in de delen waarvoor hij geen toegangsrechten heeft (bijvoorbeeld bestanden wijzigen, vernietigen etc.).

Volgens het Hof van Cassatie is er geen sprake van interne hacking indien men zijn bevoegdheden aanwendt voor een ander doel dan toegelaten is. In dat geval zou men eventueel strafbaar kunnen zijn onder het misdrijf misbruik van vertrouwen.

Externe hacking

Er is sprake van externe hacking wanneer iemand die daartoe niet gerechtigd is, zich toegang verschaft tot een informaticasysteem of zich daarin handhaaft.^[7] Er zijn dus twee mogelijkheden:

ofwel verschaft men zichzelf onrechtmatig toegang tot een informaticasysteem;
ofwel handhaaft men deze onrechtmatige toegang.

In beide gevallen is er sprake van externe hacking. Het is niet vereist dat beide vormen zich voordoen voor het bestaan van het misdrijf van externe hacking.

De term "informaticasysteem" moet volgens de parlementaire voorbereidingen heel breed en evolutief worden geïnterpreteerd. De memorie van toelichting definieert een informaticasysteem als "elk systeem voor opslag, verwerking of overdracht van data (computers, chipkaarten ... maar ook netwerken en delen daarvan, evenals telecommunicatiesystemen of onderdelen daarvan die een beroep doen op IT)".^[8]

Algemeen opzet volstaat: het is voldoende dat de hacker wetens en willens de hacking pleegde. Bedrieglijk opzet is een verzwarende omstandigheid en verhoogt de straf.^[9] Volgens het grondwettelijk hof schendt dit onderscheid het gelijkheidsbeginsel niet.^[10]

Indien men zich per ongeluk toegang verschaft tot een informaticasysteem en zich onmiddellijk terugtrekt, is er geen sprake van externe hacking.

Het feit dat het informaticasysteem niet beveiligd was, neemt niet weg dat een toegangverschaffing strafbaar is. Zo is het verbinden van een apparaat met een onbeveiligd wifinetwerk zonder de toestemming van de titularis van dit wifinetwerk, technisch gezien strafbaar als externe hacking.

Ethisch hacken

Ethisch hacken is een activiteit van een persoon die zich, uit idealistische motieven, zonder toestemming toegang verschaft tot beveiligingssystemen en netwerken. Ethisch hackers willen zo fouten opsporen, om ze vervolgens te melden aan de betreffende, 'gehackte' bedrijven of instanties, als bijdrage in de strijd tegen cybercriminaliteit. Ethisch hackers worden soms ook white hat hackers genoemd.

Ethisch hacken is in de regel ook strafbaar: het motief van de hacker speelt immers geen rol en goede bedoelingen zijn niet relevant. Evenwel wordt door de rechtspraak en rechtsleer aangenomen dat er geen strafbaarheid is indien de hacker de zogenaamde "Coordinated Vulnerability Disclosure Policy" (beleid voor de gecoördineerde bekendmaking van kwetsbaarheden) van het Centrum voor Cybersecurity België volgt.^[11] Sommige steden, organisaties en bedrijven hebben eveneens zo'n beleid.

In veel landen, zo ook in Nederland, is het zonder toestemming een computersysteem binnendringen in beginsel strafbaar. Desondanks is er breed gedragen waardering voor het werk van ethisch hackers. Verschillende grote bedrijven hebben een zogeheten vulnerability disclosure-programma, waarbij ethisch hackers hun bevinding kunnen melden zonder kans te lopen op vervolging en vaak zelfs in aanmerking komen voor beloningen. Een vulnerability disclosure dient om een ICT-beveiligingslek te melden aan de eigenaar van het systeem, voordat dit openbaar wordt gemaakt. Hierdoor kunnen bedrijven en organisaties het lek dichten, waardoor schade en misbruik wordt voorkomen. Zo geeft Google tot wel 1.000.000 euro voor het vinden van een bepaald lek.^[12]

Doorgaans worden beveiligingsspecialisten die beroepsmatig pentesten uitvoeren (en dus wel toestemming hebben, maar dit niet louter uit idealistische overwegingen doen), ook gerekend tot de groep ethisch hackers.

Evenementen

Ethische hackers moeten hun vaardigheden blijven testen, om niet achter te lopen op technologische ontwikkelingen. Hiervoor worden ethische-hackevenementen georganiseerd. Tijdens zo'n evenement kunnen hackers voor de gelegenheid opgebouwde computersystemen en dergelijke kraken. De ethisch hacker bevindt zich dus in een veilige omgeving, men kan hem geen proces aandoen voor het kraken van deze systemen. Daarnaast kunnen de hackers ook veel bijleren van elkaar.

Een belangrijke organisatie in Duitsland van ethische hackers is de Chaos Computer Club. Deze organiseert jaarlijks in de het Hamburgse CCH het Chaos Communication Congress, en iedere 4 jaar^[13] in augustus in de omgeving van Berlijn het Chaos Communication Camp, of afgekort Camp. De club geeft een digitaal tijdschrift uit met de naam Datenschleuder. In Nederland organiseert stichting IFCAT iedere vier jaar een vergelijkbaar kamp, onder andere OHM2013, SHA2017, MCH2022 en opvolgers.

Zie ook

Externe links

Bronnen, noten en/of referenties

↑ Hacking, betekenis volgens Webopedia
↑ Hacker op GNU.org
↑ Hackers op de website van de TMRC
↑ (en) Security Through Penetration Testing: Internet Penetration, InformIT, 15 maart 2002. Gearchiveerd op 7 november 2022.
↑ Veiligheid, Ministerie van Justitie en, Coordinated Vulnerability Disclosure / ethisch hacken - Cybercrime - Openbaar Ministerie. www.om.nl (29 januari 2021). Geraadpleegd op 29 januari 2026.
↑ Art. 550bis, § 2 Strafwetboek.
↑ Art. 550bis, § 1, eerste lid Strafwetboek.
↑ MvT bij de Wet van 28 november 2000, Parl.St Kamer 1999-2000, nr. 0213/010, 7.
↑ Art. 550bis, § 1, tweede lid Strafwetboek.
↑ GwH nr. 51/2004.
↑ Beleid voor de gecoördineerde bekendmaking van kwetsbaarheden van het CCB. Centrum voor Cybersecurity België (7-11-2019). Gearchiveerd op 5 april 2022. Geraadpleegd op 15 februari 2022.
↑ (en) Android and Google Devices Security Reward Program Rules | Google Bug Hunters. bughunters.google.com. Geraadpleegd op 29 januari 2026.
↑ laatste keer: 21-25/8/2019.

Bronnen over ethisch hacken

Justaert, M. (2016, 8 januari). Regering zoekt wettelijk kader voor ‘ethisch hacken’. De standaard.
Bedaux, S. (2016). Beroep met toekomst: ethische hacker. Knack Weekend, 36, 56-59.
De Redactie.be 16 november 2014. Koppen: Ethisch hacken. Videobestand, Geraadpleegd op 28 november 2016
Wet inzake informaticacriminaliteit. (2000, 28 november). Geraadpleegd op 24 november 2016
Van Leemputten, P. (2016, 21 november). Ethisch hacken in België: Illegaal, maar het tij keert. Knack.

Zoek hacken op in het WikiWoordenboek.

[1] Hacking, betekenis volgens Webopedia

[2] Hacker op GNU.org

[TMRC-3] Hackers op de website van de TMRC

[4] (en) Security Through Penetration Testing: Internet Penetration, InformIT, 15 maart 2002. Gearchiveerd op 7 november 2022.

[5] Veiligheid, Ministerie van Justitie en, Coordinated Vulnerability Disclosure / ethisch hacken - Cybercrime - Openbaar Ministerie. www.om.nl (29 januari 2021). Geraadpleegd op 29 januari 2026.

[6] Art. 550bis, § 2 Strafwetboek.

[7] Art. 550bis, § 1, eerste lid Strafwetboek.

[8] MvT bij de Wet van 28 november 2000, Parl.St Kamer 1999-2000, nr. 0213/010, 7.

[9] Art. 550bis, § 1, tweede lid Strafwetboek.

[10] GwH nr. 51/2004.

[11] Beleid voor de gecoördineerde bekendmaking van kwetsbaarheden van het CCB. Centrum voor Cybersecurity België (7-11-2019). Gearchiveerd op 5 april 2022. Geraadpleegd op 15 februari 2022.

[12] (en) Android and Google Devices Security Reward Program Rules | Google Bug Hunters. bughunters.google.com. Geraadpleegd op 29 januari 2026.

[13] tste keer: 21-25/8/2019.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]