Es ist leicht, die einfache Ansicht zu haben, dass alle Hacker Bösewichte sind, die darauf aus sind, Datenschutzverletzungen zu verursachen und Ransomware einzusetzen. Dies ist jedoch nicht wahr. Es gibt viele böse Hacker da draußen. Einige Hacker nutzen ihre Fähigkeiten auf ethische und legale Weise. Ein „ethischer Hacker“ ist ein Hacker, der im Rahmen einer rechtlichen Vereinbarung mit dem legitimen Systembesitzer hackt.
Spitze: Als Gegenteil von a Black-Hat-Hacker, wird ein ethischer Hacker oft als White-Hat-Hacker bezeichnet.
Der Kern davon ist ein Verständnis dafür, was Hacking illegal macht. Obwohl es weltweit Unterschiede gibt, laufen die meisten Hacking-Gesetze darauf hinaus, dass „es illegal ist, auf ein System zuzugreifen, wenn Sie keine Erlaubnis dazu haben“. Das Konzept ist einfach. Die eigentlichen Hacking-Aktionen sind nicht illegal; es tut dies nur ohne Erlaubnis. Aber das bedeutet, dass Ihnen erlaubt werden kann, etwas zu tun, was andernfalls illegal wäre.
Diese Erlaubnis kann nicht einfach von irgendeiner zufälligen Person auf der Straße oder online kommen. Es kann nicht einmal von der Regierung kommen (
obwohl Geheimdienste nach etwas anderen Regeln arbeiten). Die Genehmigung muss vom rechtmäßigen Systembesitzer erteilt werden.Spitze: Um es klar zu sagen: „legitimer Systembesitzer“ bezieht sich nicht unbedingt auf die Person, die das System gekauft hat. Es bezieht sich auf jemanden, der legitimerweise die rechtliche Verantwortung hat zu sagen; das ist ok für dich. Typischerweise ist dies der CISO, CEO oder der Vorstand, obwohl die Befugnis zur Erteilung von Berechtigungen auch weiter unten in der Kette delegiert werden kann.
Während die Erlaubnis einfach mündlich erteilt werden könnte, wird dies nie getan. Da die Person oder Firma, die den Test durchführt, rechtlich dafür haftbar wäre, das zu testen, was sie nicht tun sollten, ist ein schriftlicher Vertrag erforderlich.
Umfang der Maßnahmen
Die Bedeutung des Vertrags kann nicht genug betont werden. Es ist das einzige, was den Hacking-Aktionen des ethischen Hackers Legalität verleiht. Die Auftragserteilung gewährt eine Entschädigung für die angegebenen Maßnahmen und gegen die angegebenen Ziele. Daher ist es wichtig, den Vertrag und seinen Geltungsbereich zu verstehen, da ein Überschreiten des Vertragsumfangs bedeutet, den Geltungsbereich der gesetzlichen Entschädigung zu verlassen und gegen das Gesetz zu verstoßen.
Wenn ein ethischer Hacker den Geltungsbereich des Vertrags verlässt, führt er eine rechtliche Gratwanderung durch. Alles, was sie tun, ist technisch illegal. In vielen Fällen wäre ein solcher Schritt zufällig und schnell selbst erwischt. Bei sachgemäßer Handhabung muss dies nicht unbedingt ein Problem sein, kann es aber je nach Situation durchaus sein.
Der angebotene Vertrag muss nicht unbedingt speziell zugeschnitten sein. Einige Unternehmen bieten ein Bug-Bounty-Programm an. Dies beinhaltet die Veröffentlichung eines offenen Vertrags, der es jedem ermöglicht, zu versuchen, sein System ethisch zu hacken, solange er sich an die festgelegten Regeln hält und jedes von ihm identifizierte Problem meldet. Meldeprobleme werden in diesem Fall in der Regel finanziell belohnt.
Arten von ethischem Hacking
Die Standardform des ethischen Hackens ist der „Penetrationstest“ oder Pentest. Hier werden ein oder mehrere ethische Hacker eingesetzt, um zu versuchen, die Sicherheitsabwehr eines Systems zu durchdringen. Sobald das Engagement abgeschlossen ist, berichten die ethischen Hacker, in dieser Rolle Pentester genannt, ihre Ergebnisse an den Kunden. Der Client kann die Details im Bericht verwenden, um die identifizierten Schwachstellen zu beheben. Während Einzel- und Auftragsarbeiten durchgeführt werden können, sind viele Pentester interne Unternehmensressourcen, oder es werden spezialisierte Pentesting-Firmen beauftragt.
Spitze: Es ist „Pentesting“, nicht „Pentesting“. Ein Penetrationstester testet keine Stifte.
In einigen Fällen reicht es nicht aus, zu testen, ob eine oder mehrere Anwendungen oder Netzwerke sicher sind. In diesem Fall können tiefergehende Tests durchgeführt werden. Ein Red-Team-Engagement beinhaltet in der Regel das Testen einer viel breiteren Palette von Sicherheitsmaßnahmen. Zu den Aktionen können die Durchführung von Phishing-Übungen gegen Mitarbeiter, der Versuch, sich mit Social Engineering in ein Gebäude einzudringen, oder sogar physischer Einbruch gehören. Während jede Übung für das rote Team unterschiedlich ist, ist das Konzept in der Regel eher ein Worst-Case-Test. Nach dem Motto „Diese Webanwendung ist sicher, aber was ist, wenn jemand einfach in den Serverraum kommt und die Festplatte mit all den Daten darauf nimmt?“
So ziemlich jedes Sicherheitsproblem, das verwendet werden könnte, um einem Unternehmen oder System zu schaden, ist theoretisch offen für ethisches Hacking. Dies setzt jedoch voraus, dass der Anlagenbesitzer die Erlaubnis erteilt und bereit ist, dafür zu zahlen.
Den Bösewichten Dinge geben?
Ethische Hacker schreiben, verwenden und teilen Hacking-Tools, um ihr Leben einfacher zu machen. Es ist fair, die Ethik in Frage zu stellen, da Black Hats diese Tools kooptieren könnten, um noch mehr Chaos anzurichten. Realistisch gesehen ist es jedoch durchaus vernünftig anzunehmen, dass die Angreifer bereits über diese Tools oder zumindest über ähnliche Tools verfügen, da sie versuchen, sich das Leben zu erleichtern. Keine Werkzeuge zu haben und zu versuchen, es Black Hats schwerer zu machen, setzt auf Sicherheit durch Unklarheit. Dieses Konzept ist in der Kryptografie und im Großteil der Sicherheitswelt im Allgemeinen äußerst verpönt.
Verantwortungsvolle Offenlegung
Ein ethischer Hacker kann manchmal beim Surfen auf einer Website oder bei der Verwendung eines Produkts auf eine Schwachstelle stoßen. In diesem Fall versuchen sie normalerweise, den rechtmäßigen Systembesitzer verantwortungsbewusst zu melden. Entscheidend ist danach, wie mit der Situation umgegangen wird. Es ist ethisch vertretbar, es dem rechtmäßigen Systembesitzer privat mitzuteilen, damit dieser das Problem beheben und einen Software-Patch verteilen kann.
Natürlich ist jeder ethische Hacker auch dafür verantwortlich, die von einer solchen Schwachstelle betroffenen Benutzer zu informieren, damit sie ihre eigenen sicherheitsbewussten Entscheidungen treffen können. In der Regel wird ein Zeitrahmen von 90 Tagen ab privater Offenlegung als angemessener Zeitraum für die Entwicklung und Veröffentlichung eines Fixes angesehen. Verlängerungen können zwar gewährt werden, wenn etwas mehr Zeit benötigt wird, dies ist jedoch nicht unbedingt der Fall.
Auch wenn kein Fix verfügbar ist, es dürfen ethisch vertretbar sein, das Problem öffentlich zu beschreiben. Dies setzt jedoch voraus, dass der ethische Hacker versucht hat, das Problem verantwortungsvoll offenzulegen, und dass er im Allgemeinen versucht, normale Benutzer zu informieren, damit sie sich schützen können. Während einige Schwachstellen mit funktionierenden Proof-of-Concept-Exploits detailliert beschrieben werden können, wird dies oft nicht getan, wenn noch kein Fix verfügbar ist.
Auch wenn dies nicht ganz ethisch klingen mag, kommt es letztendlich dem Benutzer zugute. In einem Szenario steht das Unternehmen unter genügend Druck, um rechtzeitig Abhilfe zu schaffen. Benutzer können auf eine feste Version aktualisieren oder zumindest einen Workaround implementieren. Die Alternative ist, dass das Unternehmen nicht sofort eine Lösung für ein schwerwiegendes Sicherheitsproblem bereitstellen kann. In diesem Fall kann der Benutzer eine informierte Entscheidung über die weitere Verwendung des Produkts treffen.
Abschluss
Ein ethischer Hacker ist ein Hacker, der innerhalb der Grenzen des Gesetzes handelt. Typischerweise werden sie vom rechtmäßigen Systembesitzer beauftragt oder erhalten anderweitig die Erlaubnis, ein System zu hacken. Dies geschieht unter der Voraussetzung, dass der ethische Hacker die identifizierten Probleme verantwortungsbewusst dem legitimen Systembesitzer meldet, damit sie behoben werden können. Ethisches Hacken basiert auf „einen Dieb dazu bringen, einen Dieb zu fangen“. Indem Sie das Wissen ethischer Hacker nutzen, können Sie die Probleme lösen, die Black-Hat-Hacker hätten ausnutzen können. Ethische Hacker werden auch als White-Hat-Hacker bezeichnet. Unter bestimmten Umständen können auch andere Begriffe verwendet werden, z. B. „Pentester“ für die Einstellung von Fachleuten.