Het is gemakkelijk om de eenvoudige mening te hebben dat alle hackers slechteriken zijn die erop uit zijn om datalekken te veroorzaken en ransomware in te zetten. Dit is echter niet waar. Er zijn genoeg slechteriken die er zijn. Sommige hackers gebruiken hun vaardigheden ethisch en legaal. Een "ethische hacker" is een hacker die hackt binnen de reikwijdte van een wettelijke overeenkomst met de legitieme systeemeigenaar.
Tip: Als het tegenovergestelde van a zwarte hoed hacker, wordt een ethische hacker vaak een white hat hacker genoemd.
De kern hiervan is inzicht in wat hacken illegaal maakt. Hoewel er over de hele wereld variaties zijn, komen de meeste hackwetten neer op "het is illegaal om toegang te krijgen tot een systeem als je daar geen toestemming voor hebt". Het concept is eenvoudig. De daadwerkelijke hackacties zijn niet illegaal; het doet dit gewoon zonder toestemming. Maar dat betekent dat er toestemming kan worden verleend om u iets te laten doen dat anders illegaal zou zijn.
Deze toestemming kan niet zomaar van een willekeurige persoon op straat of online komen. Het kan niet eens van de overheid komen (
Tip: Voor alle duidelijkheid: "legitieme systeemeigenaar" verwijst niet noodzakelijkerwijs naar de persoon die het systeem heeft gekocht. Het verwijst naar iemand die legitiem de wettelijke verantwoordelijkheid heeft om te zeggen; dit is oké voor jou. Doorgaans is dit de CISO, de CEO of het bestuur, hoewel de mogelijkheid om toestemming te verlenen ook verderop in de keten kan worden gedelegeerd.
Hoewel toestemming eenvoudig mondeling kan worden gegeven, wordt dit nooit gedaan. Aangezien de persoon of het bedrijf dat de test uitvoert wettelijk aansprakelijk zou zijn voor het testen van wat niet mag, is een schriftelijk contract vereist.
Reikwijdte van acties
Het belang van het contract kan niet genoeg worden benadrukt. Het is het enige dat de hackacties van de ethische hacker legaliteit verleent. De contractsubsidie geeft een vergoeding voor de genoemde acties en tegen de gestelde doelen. Als zodanig is het essentieel om het contract en wat het dekt te begrijpen, aangezien buiten de reikwijdte van het contract gaan betekent buiten de reikwijdte van de wettelijke vrijwaring gaan en de wet overtreden.
Als een ethische hacker buiten de reikwijdte van het contract afdwaalt, is er sprake van juridisch spanningsveld. Alles wat ze doen is technisch gezien illegaal. In veel gevallen zou zo'n stap per ongeluk en snel zelfbetrapt zijn. Als dit op de juiste manier wordt behandeld, hoeft dit niet noodzakelijkerwijs een probleem te zijn, maar afhankelijk van de situatie kan het dat zeker zijn.
Het aangeboden contract hoeft niet per se specifiek op maat te zijn. Sommige bedrijven bieden een bug bounty-regeling aan. Dit omvat het publiceren van een open contract, waardoor iedereen kan proberen zijn systeem ethisch te hacken, zolang ze zich aan de gespecificeerde regels houden en elk probleem dat ze identificeren melden. Rapportageproblemen worden in dit geval doorgaans financieel beloond.
Soorten ethisch hacken
De standaardvorm van ethisch hacken is de 'penetratietest' of pentest. Dit is waar een of meer ethische hackers worden ingeschakeld om te proberen de beveiligingsverdediging van een systeem te doorbreken. Zodra de opdracht is voltooid, rapporteren de ethische hackers, in deze rol pentesters genoemd, hun bevindingen aan de klant. De klant kan de details in het rapport gebruiken om de geïdentificeerde kwetsbaarheden te verhelpen. Hoewel individueel en contractwerk kan worden gedaan, zijn veel pentesters interne bedrijfsmiddelen of worden gespecialiseerde pentestbedrijven ingehuurd.
Tip: Het is 'pentesten', niet 'pentesten'. Een penetratietester test geen pennen.
In sommige gevallen is testen of een of meer applicaties of netwerken veilig zijn niet voldoende. In dit geval kunnen meer diepgaande tests worden uitgevoerd. Een opdracht van het rode team omvat meestal het testen van een veel breder scala aan beveiligingsmaatregelen. Acties kunnen bestaan uit het uitvoeren van phishing-oefeningen tegen werknemers, proberen via social engineering een gebouw binnen te komen of zelfs fysiek inbreken. Hoewel elke oefening van het rode team varieert, is het concept meestal veel meer een worst-case "dus wat als" -test. In de trant van "deze webapplicatie is veilig, maar wat als iemand gewoon de serverruimte binnenloopt en de harde schijf met alle gegevens erop pakt."
Vrijwel elk beveiligingsprobleem dat kan worden gebruikt om een bedrijf of systeem schade toe te brengen, staat in theorie open voor ethisch hacken. Dit veronderstelt echter dat de systeemeigenaar toestemming geeft en bereid is ervoor te betalen.
Dingen aan de slechteriken geven?
Ethische hackers schrijven, gebruiken en delen hacktools om hun leven gemakkelijker te maken. Het is redelijk om de ethiek hiervan in twijfel te trekken, aangezien zwarte hoeden deze tools zouden kunnen gebruiken om meer schade aan te richten. Realistisch gezien is het echter volkomen redelijk om aan te nemen dat de aanvallers deze tools al hebben, of in ieder geval iets dergelijks, terwijl ze proberen hun leven gemakkelijker te maken. Geen gereedschap hebben en proberen het zwarte hoeden moeilijker te maken, is vertrouwen op veiligheid door obscuriteit. Dit concept wordt sterk afgekeurd in cryptografie en in het grootste deel van de beveiligingswereld in het algemeen.
Verantwoorde openbaarmaking
Een ethische hacker kan soms een kwetsbaarheid tegenkomen tijdens het browsen op een website of het gebruiken van een product. In dit geval proberen ze dit meestal op verantwoorde wijze te melden aan de legitieme systeemeigenaar. Het belangrijkste daarna is hoe er met de situatie wordt omgegaan. Het ethische om te doen is om het privé bekend te maken aan de legitieme systeemeigenaar, zodat deze het probleem kan oplossen en een softwarepatch kan verspreiden.
Natuurlijk is elke ethische hacker ook verantwoordelijk voor het informeren van gebruikers die getroffen zijn door een dergelijke kwetsbaarheid, zodat ze ervoor kunnen kiezen om hun eigen veiligheidsbewuste beslissingen te nemen. Doorgaans wordt een tijdsbestek van 90 dagen vanaf privé-openbaarmaking gezien als een geschikte hoeveelheid tijd om een oplossing te ontwikkelen en te publiceren. Hoewel verlengingen kunnen worden verleend als er wat meer tijd nodig is, hoeft dit niet noodzakelijkerwijs te gebeuren.
Zelfs als er geen oplossing beschikbaar is, is het kan wees ethisch om de kwestie publiekelijk te beschrijven. Dit veronderstelt echter dat de ethische hacker heeft geprobeerd het probleem op verantwoorde wijze bekend te maken en, in het algemeen, dat ze proberen normale gebruikers te informeren zodat ze zichzelf kunnen beschermen. Hoewel sommige kwetsbaarheden kunnen worden beschreven met werkende proof-of-concept-exploits, wordt dit vaak niet gedaan als er nog geen oplossing beschikbaar is.
Hoewel dit misschien niet helemaal ethisch klinkt, komt het uiteindelijk de gebruiker ten goede. In één scenario staat het bedrijf onder voldoende druk om tijdig een oplossing te bieden. Gebruikers kunnen updaten naar een vaste versie of op zijn minst een tijdelijke oplossing implementeren. Het alternatief is dat het bedrijf niet snel een oplossing voor een ernstig beveiligingsprobleem kan implementeren. In dit geval kan de gebruiker een weloverwogen beslissing nemen om het product te blijven gebruiken.
Conclusie
Een ethische hacker is een hacker die handelt binnen de grenzen van de wet. Meestal krijgen ze toestemming van de legitieme systeemeigenaar of krijgen ze toestemming om een systeem te hacken. Dit gebeurt op voorwaarde dat de ethische hacker de geïdentificeerde problemen op verantwoorde wijze rapporteert aan de legitieme systeemeigenaar, zodat ze kunnen worden opgelost. Ethisch hacken is gebaseerd op "zet een dief om een dief te vangen." Door gebruik te maken van de kennis van ethische hackers, kun je de problemen oplossen die black hat-hackers zouden hebben uitgebuit. Ethische hackers worden ook wel white hat hackers genoemd. In bepaalde omstandigheden kunnen ook andere termen worden gebruikt, zoals 'pentesters' voor het inhuren van professionals.