Det är lätt att ha den enkla uppfattningen att alla hackare är skurkar som är ute efter att orsaka dataintrång och att distribuera ransomware. Detta är dock inte sant. Det finns gott om skurkiga hackare där ute. Vissa hackare använder sina kunskaper etiskt och lagligt. En "etisk hacker" är en hacker som hackar inom ramen för ett juridiskt avtal med den legitima systemägaren.
Dricks: Som motsatsen till en black hat hacker, en etisk hackare kallas ofta en white hat hacker.
Kärnan i detta är en förståelse för vad som gör hacking olagligt. Även om det finns variationer runt om i världen, handlar de flesta hackinglagar om att "det är olagligt att komma åt ett system om du inte har tillstånd att göra det." Konceptet är enkelt. De faktiska hackingåtgärderna är inte olagliga; det är bara att göra det utan tillåtelse. Men det betyder att tillstånd kan ges för att låta dig göra något som annars skulle vara olagligt.
Detta tillstånd kan inte bara komma från någon slumpmässig person på gatan eller online. Det kan inte ens komma från regeringen (
även om underrättelsetjänster verkar under lite olika regler). Tillstånd måste beviljas av den legitima systemägaren.Dricks: För att vara tydlig, hänvisar "legitim systemägare" inte nödvändigtvis till personen som köpte systemet. Det hänvisar till någon som legitimt har det juridiska ansvaret att säga; det här är ok för dig. Vanligtvis kommer detta att vara CISO, VD eller styrelsen, men möjligheten att ge tillstånd kan också delegeras längre ner i kedjan.
Även om tillstånd helt enkelt kan ges muntligt, görs detta aldrig. Eftersom personen eller företaget som utför testet skulle vara juridiskt ansvarig för att testa det de inte ska, krävs ett skriftligt kontrakt.
Åtgärdernas omfattning
Vikten av kontraktet kan inte överskattas. Det är det enda som ger den etiska hackarens hacking laglighet. Kontraktsbidraget ger ersättning för de angivna åtgärderna och mot de angivna målen. Som sådan är det väsentligt att förstå avtalet och vad det omfattar, eftersom att gå utanför avtalets räckvidd innebär att gå utanför räckvidden för den juridiska skadeståndsrätten och bryta mot lagen.
Om en etisk hackare går utanför avtalets räckvidd, kör de en juridisk lina. Allt de gör är tekniskt olagligt. I många fall skulle ett sådant steg vara oavsiktligt och snabbt självfångat. När det hanteras på rätt sätt behöver detta inte nödvändigtvis vara ett problem, men beroende på situationen kan det verkligen vara det.
Det erbjudna kontraktet behöver inte nödvändigtvis vara specifikt skräddarsytt. Vissa företag erbjuder ett bug-bounty-system. Detta innebär att publicera ett öppet kontrakt, vilket gör att vem som helst kan försöka hacka sitt system etiskt, så länge de följer de angivna reglerna och rapporterar alla problem de identifierar. Rapporteringsproblem, i det här fallet, belönas vanligtvis ekonomiskt.
Typer av etisk hacking
Standardformen av etisk hacking är "penetrationstestet" eller pentest. Det är här en eller flera etiska hackare engageras för att försöka penetrera ett systems säkerhetsförsvar. När engagemanget är slutfört rapporterar de etiska hackarna, kallade pentesters i denna roll, sina resultat till kunden. Klienten kan använda informationen i rapporten för att åtgärda de identifierade sårbarheterna. Även om individuellt arbete och kontraktsarbete kan utföras, är många pentestare interna företagsresurser, eller så anlitas specialiserade pentestare.
Dricks: Det är "pentesting" inte "pentestning." En penetrationstestare testar inte pennor.
I vissa fall räcker det inte att testa om en eller flera applikationer eller nätverk är säkra. I detta fall kan mer djupgående tester utföras. Ett engagemang i det röda teamet innebär vanligtvis att man testar ett mycket bredare utbud av säkerhetsåtgärder. Åtgärder kan inkludera att utföra nätfiskeövningar mot anställda, att försöka socialisera dig in i en byggnad eller till och med bryta sig in fysiskt. Även om varje övning i det röda laget varierar, är konceptet vanligtvis mycket mer av ett "sämsta fall"-test. I linje med "den här webbapplikationen är säker, men tänk om någon bara går in i serverrummet och tar hårddisken med all data på den."
I stort sett alla säkerhetsproblem som kan användas för att skada ett företag eller system är teoretiskt sett öppna för etisk hackning. Detta förutsätter dock att systemägaren ger tillstånd och att de är redo att betala för det.
Ge saker till de onda?
Etiska hackare skriver, använder och delar hackningsverktyg för att göra deras liv enklare. Det är rättvist att ifrågasätta etiken i detta, eftersom svarta hattar skulle kunna använda dessa verktyg för att skapa mer förödelse. Realistiskt sett är det dock fullt rimligt att anta att angriparna redan har dessa verktyg, eller åtminstone något liknande dem, eftersom de försöker göra sina liv enklare. Att inte ha verktyg och försöka göra det svårare för svarta hattar är att förlita sig på säkerhet genom dunkel. Detta koncept är djupt ogillat i kryptografi och det mesta av säkerhetsvärlden i allmänhet.
Ansvarsfullt avslöjande
En etisk hackare kan ibland snubbla över en sårbarhet när de surfar på en webbplats eller använder en produkt. I det här fallet försöker de vanligtvis rapportera det på ett ansvarsfullt sätt till den legitima systemägaren. Det viktiga efter det är hur situationen hanteras. Det etiska man kan göra är att privat avslöja det för den legitima systemägaren för att tillåta dem att åtgärda problemet och distribuera en programvarukorrigering.
Naturligtvis är varje etisk hackare också ansvarig för att informera användare som drabbas av en sådan sårbarhet så att de kan välja att fatta sina egna säkerhetsmedvetna beslut. Vanligtvis ses en tidsram på 90 dagar från privat avslöjande som en lämplig tid för att utveckla och publicera en fix. Även om förlängningar kan beviljas om det behövs lite mer tid, är detta inte nödvändigtvis gjort.
Även om en korrigering inte är tillgänglig, den burk vara etisk att beskriva frågan offentligt. Detta förutsätter dock att den etiska hackaren har försökt avslöja problemet på ett ansvarsfullt sätt och, i allmänhet, att de försöker informera normala användare så att de kan skydda sig själva. Även om vissa sårbarheter kan vara detaljerade med fungerande proof of concept exploater, görs detta ofta inte om en fix inte är tillgänglig ännu.
Även om detta kanske inte låter helt etiskt, gynnar det i slutändan användaren. I ett scenario är företaget under tillräckligt press för att leverera en snabb lösning. Användare kan uppdatera till en fast version eller åtminstone implementera en lösning. Alternativet är att företaget inte kan implementera en fix för ett allvarligt säkerhetsproblem omedelbart. I det här fallet kan användaren fatta ett välgrundat beslut om att fortsätta använda produkten.
Slutsats
En etisk hacker är en hacker som agerar inom lagens begränsningar. Vanligtvis är de kontrakterade eller på annat sätt beviljade tillstånd av den legitima systemägaren att hacka ett system. Detta görs med förbehållet att den etiska hackaren kommer att rapportera de problem som identifierats på ett ansvarsfullt sätt till den legitima systemägaren så att de kan åtgärdas. Etisk hacking bygger på "ställ in en tjuv att fånga en tjuv." Genom att använda kunskapen hos etiska hackare kan du lösa de problem som hackare med svart hatt kunde ha utnyttjat. Etiska hackare kallas också white hat hackers. Andra termer kan också användas under vissa omständigheter, såsom "pentesters" för att anställa proffs.