Ik heb een oude computervriend over de vloer. Hij houdt zich voornamelijk bezig met ethisch hacken, waarbij wordt gekeken of SaaS-services voldoende zijn beveiligd om te mogen worden gecertificeerd. Enerzijds is dat ethisch hacken een puur praktisch gebeuren, waarbij allerlei listige pijlen op de SaaS-service van dienst worden afgevuurd. Die SaaS-service moet deze aanvallen sowieso kunnen doorstaan om door te mogen naar de volgende ronde.
Die volgende ronde behelst het ‘nalezen’ van de code, want dat de afgevuurde pijlen zijn afgeketst, zegt lang niet alles over de daadwerkelijke veiligheid van de SaaS-service. Concreet: “Druk in de webbrowser op F12 en open de zogeheten DevTools maar eens.” Je komt dan ‘onder water’ en ‘achter de schermen’ op de webpagina, waarna er allerlei (voorheen verborgen) zaken zichtbaar worden.
En dat gaat véél verder dan alleen HTML en CSS. Je kunt ook het JavaScript en alle ingelezen bibliotheken tegenkomen. En nog veel meer. Dat JavaScript kan (als het te gemakkelijk is ingezet) vanuit het DevTools-venster direct worden aangesproken. En van al die ingelezen bibliotheken is het ook nog maar de vraag of die up-to-date en veilig zijn. Zulks even in een notendop...
Thans zijn er IT-stemmen die menen dat dit ethisch hacken volledig door AI kan worden overgenomen en uitgevoerd. Dan heb je geen fysieke (lees: dure) hacker meer nodig. Ja, het gaat natuurlijk altijd om de centjes... Met die oude computervriend ging ik hier even op door, want ik ben van mening dat je uniform hacken inderdaad door AI zou kunnen laten uitvoeren. Maar voor dat éne nieuwe, onbeschermde en verborgen achterdeurtje heb je toch altijd een slimmerik met wat mazzel nodig.
Dat achterdeurtje moet je – hoe zal ik dan eens zeggen – kunnen ‘zien. En dat ‘zien’, dat zie ik AI nog niet 1-2-3 doen. Maar ik heb het graag bij het verkeerde eind.