Wat is een ethische hacker?

Het is gemakkelijk om het simpele idee te hebben dat alle hackers slechteriken zijn die erop uit zijn om datalekken te veroorzaken en ransomware in te zetten. Dit is echter niet waar. Er zijn genoeg slechteriken die er zijn. Sommige hackers gebruiken hun vaardigheden ethisch en legaal. Een "ethische hacker" is een hacker die hackt binnen de reikwijdte van een wettelijke overeenkomst met de legitieme systeemeigenaar.

Tip: Als het tegenovergestelde van een black hat hacker , wordt een ethische hacker vaak een white hat hacker genoemd.

De kern hiervan is inzicht in wat hacken illegaal maakt. Hoewel er over de hele wereld variaties zijn, komen de meeste hackwetten neer op "het is illegaal om toegang te krijgen tot een systeem als je daar geen toestemming voor hebt". Het concept is eenvoudig. De daadwerkelijke hackacties zijn niet illegaal; het doet dit gewoon zonder toestemming. Maar dat betekent dat er toestemming kan worden verleend om u iets te laten doen dat anders illegaal zou zijn.

Deze toestemming kan niet zomaar van een willekeurige persoon op straat of online komen. Het kan niet eens van de overheid komen ( hoewel inlichtingendiensten volgens iets andere regels werken ). Toestemming moet worden verleend door de legitieme systeemeigenaar.

Tip: Voor alle duidelijkheid: "legitieme systeemeigenaar" verwijst niet noodzakelijkerwijs naar de persoon die het systeem heeft gekocht. Het verwijst naar iemand die legitiem de wettelijke verantwoordelijkheid heeft om te zeggen; dit is oké voor jou. Doorgaans is dit de CISO, de CEO of het bestuur, hoewel de mogelijkheid om toestemming te verlenen ook verderop in de keten kan worden gedelegeerd.

Hoewel toestemming eenvoudig mondeling kan worden gegeven, wordt dit nooit gedaan. Aangezien de persoon of het bedrijf dat de test uitvoert wettelijk aansprakelijk zou zijn voor het testen van wat ze niet zouden moeten doen, is een schriftelijk contract vereist.

Reikwijdte van acties

Het belang van het contract kan niet genoeg worden benadrukt. Het is het enige dat de hackacties van de ethische hacker legaliteit verleent. De contractsubsidie ​​geeft een vergoeding voor de genoemde acties en tegen de gestelde doelen. Als zodanig is het essentieel om het contract en wat het dekt te begrijpen, aangezien buiten de reikwijdte van het contract gaan betekent buiten de reikwijdte van de wettelijke vrijwaring gaan en de wet overtreden.

Als een ethische hacker buiten de reikwijdte van het contract afdwaalt, is er sprake van juridisch spanningsveld. Alles wat ze doen is technisch gezien illegaal. In veel gevallen zou zo'n stap per ongeluk en snel zelfbetrapt zijn. Als dit op de juiste manier wordt behandeld, hoeft dit niet noodzakelijkerwijs een probleem te zijn, maar afhankelijk van de situatie kan het dat zeker zijn.

Het aangeboden contract hoeft niet per se specifiek op maat te zijn. Sommige bedrijven bieden een bug bounty-regeling aan. Dit omvat het publiceren van een open contract, waardoor iedereen kan proberen zijn systeem ethisch te hacken, zolang ze zich aan de gespecificeerde regels houden en elk probleem dat ze identificeren melden. Rapportageproblemen worden in dit geval doorgaans financieel beloond.

Soorten ethisch hacken

De standaardvorm van ethisch hacken is de 'penetratietest' of pentest. Dit is waar een of meer ethische hackers worden ingezet om te proberen de beveiligingsverdediging van een systeem te doorbreken. Zodra de opdracht is voltooid, rapporteren de ethische hackers, in deze rol pentesters genoemd, hun bevindingen aan de klant. De klant kan de details in het rapport gebruiken om de geïdentificeerde kwetsbaarheden te verhelpen. Hoewel individueel en contractwerk kan worden gedaan, zijn veel pentesters interne bedrijfsmiddelen of worden gespecialiseerde pentestbedrijven ingehuurd.

Tip: het is 'pentesten', niet 'pentesten'. Een penetratietester test geen pennen.

In sommige gevallen is testen of een of meer applicaties of netwerken veilig zijn niet voldoende. In dit geval kunnen meer diepgaande tests worden uitgevoerd. Een opdracht van het rode team omvat meestal het testen van een veel breder scala aan beveiligingsmaatregelen. Acties kunnen bestaan ​​uit het uitvoeren van phishing-oefeningen tegen werknemers, proberen via social engineering een gebouw binnen te komen of zelfs fysiek inbreken. Hoewel elke oefening van het rode team varieert, is het concept doorgaans veel meer een worst-case "dus wat als"-test . In de trant van "deze webapplicatie is veilig, maar wat als iemand gewoon de serverruimte binnenloopt en de harde schijf met alle gegevens erop pakt."

Vrijwel elk beveiligingsprobleem dat kan worden gebruikt om een ​​bedrijf of systeem schade toe te brengen, staat in theorie open voor ethisch hacken. Dit veronderstelt echter dat de systeemeigenaar toestemming geeft en bereid is ervoor te betalen.

Dingen aan de slechteriken geven?

Ethische hackers schrijven, gebruiken en delen hacktools om hun leven gemakkelijker te maken. Het is redelijk om de ethiek hiervan in twijfel te trekken, aangezien zwarte hoeden deze tools zouden kunnen gebruiken om meer schade aan te richten. Realistisch gezien is het echter volkomen redelijk om aan te nemen dat de aanvallers deze tools al hebben, of in ieder geval iets dergelijks, terwijl ze proberen hun leven gemakkelijker te maken. Geen gereedschap hebben en proberen het zwarte hoeden moeilijker te maken, is vertrouwen op veiligheid door obscuriteit. Dit concept wordt sterk afgekeurd in cryptografie en in het grootste deel van de beveiligingswereld in het algemeen.

Verantwoorde openbaarmaking

Een ethische hacker kan soms een kwetsbaarheid tegenkomen tijdens het browsen op een website of het gebruiken van een product. In dit geval proberen ze dit meestal op verantwoorde wijze te melden aan de legitieme systeemeigenaar. Het belangrijkste daarna is hoe er met de situatie wordt omgegaan. Het ethische om te doen is om het privé bekend te maken aan de legitieme systeemeigenaar, zodat deze het probleem kan oplossen en een softwarepatch kan verspreiden.

Natuurlijk is elke ethische hacker ook verantwoordelijk voor het informeren van gebruikers die getroffen zijn door een dergelijke kwetsbaarheid, zodat ze ervoor kunnen kiezen om hun eigen veiligheidsbewuste beslissingen te nemen. Doorgaans wordt een tijdsbestek van 90 dagen na privé-onthulling gezien als een geschikte hoeveelheid tijd om een ​​oplossing te ontwikkelen en te publiceren. Hoewel verlengingen kunnen worden verleend als er wat meer tijd nodig is, hoeft dit niet noodzakelijkerwijs te gebeuren.

Zelfs als er geen oplossing beschikbaar is, kan het ethisch zijn om het probleem openbaar te maken. Dit veronderstelt echter dat de ethische hacker heeft geprobeerd het probleem op verantwoorde wijze bekend te maken en, in het algemeen, dat hij normale gebruikers probeert te informeren zodat ze zichzelf kunnen beschermen. Hoewel sommige kwetsbaarheden kunnen worden beschreven met werkende proof-of-concept exploits, wordt dit vaak niet gedaan als er nog geen oplossing beschikbaar is.

Hoewel dit misschien niet helemaal ethisch klinkt, komt het uiteindelijk de gebruiker ten goede. In één scenario staat het bedrijf onder voldoende druk om tijdig een oplossing te bieden. Gebruikers kunnen updaten naar een vaste versie of op zijn minst een tijdelijke oplossing implementeren. Het alternatief is dat het bedrijf niet snel een oplossing kan implementeren voor een ernstig beveiligingsprobleem. In dit geval kan de gebruiker een weloverwogen beslissing nemen om het product te blijven gebruiken.

Conclusie

Een ethische hacker is een hacker die handelt binnen de grenzen van de wet. Meestal krijgen ze toestemming van de legitieme systeemeigenaar of krijgen ze toestemming om een ​​systeem te hacken. Dit gebeurt op voorwaarde dat de ethische hacker de geïdentificeerde problemen op verantwoorde wijze rapporteert aan de legitieme systeemeigenaar, zodat ze kunnen worden opgelost. Ethisch hacken is gebaseerd op "zet een dief om een ​​dief te vangen". Door gebruik te maken van de kennis van ethische hackers, kun je de problemen oplossen die black hat-hackers zouden hebben uitgebuit. Ethische hackers worden ook wel white hat hackers genoemd. In bepaalde omstandigheden kunnen ook andere termen worden gebruikt, zoals 'pentesters' voor het inhuren van professionals.



Leave a Comment

Hoe een harde schijf te klonen

Hoe een harde schijf te klonen

In het moderne digitale tijdperk, waarin gegevens een waardevol bezit zijn, kan het klonen van een harde schijf op Windows voor velen een cruciaal proces zijn. Deze uitgebreide gids

Hoe repareer ik het stuurprogramma WUDFRd kan niet worden geladen op Windows 10?

Hoe repareer ik het stuurprogramma WUDFRd kan niet worden geladen op Windows 10?

Krijgt u tijdens het opstarten van uw computer de foutmelding dat het stuurprogramma WUDFRd niet op uw computer kan worden geladen?

Hoe u NVIDIA GeForce Experience-foutcode 0x0003 kunt oplossen

Hoe u NVIDIA GeForce Experience-foutcode 0x0003 kunt oplossen

Ervaar je NVIDIA GeForce-ervaring met foutcode 0x0003 op je desktop? Zo ja, lees dan de blog om te zien hoe u deze fout snel en eenvoudig kunt oplossen.

3D-printen: problemen oplossen met het buigen van de onderkant van de print (olifantenpoot)

3D-printen: problemen oplossen met het buigen van de onderkant van de print (olifantenpoot)

Het kan vervelend zijn om te maken te krijgen met buigingen aan de onderkant van een afdruk. Hier ziet u hoe u de olifantenpoot kunt repareren in 3D-printen.

Basisprincipes van 3D-printen: hechting van het printerbed

Basisprincipes van 3D-printen: hechting van het printerbed

Leren over 3D-printen? Dit is wat u moet weten over ahesie van het printerbed.

How to Use Auto Clicker for Chromebook

How to Use Auto Clicker for Chromebook

Today, were going to delve into a tool that can automate repetitive clicking tasks on your Chromebook: the Auto Clicker. This tool can save you time and

Fix Roku speelt geen audio of video af

Fix Roku speelt geen audio of video af

Als Roku geen audio of video afspeelt, biedt deze gids voor probleemoplossing u een reeks handige oplossingen om het probleem op te lossen.

Fix Roku-kanaal kon inhoud niet laden

Fix Roku-kanaal kon inhoud niet laden

Als Roku een foutmelding geeft dat de inhoud op de kanalen niet kan worden geladen, kunt u uw apparaat opnieuw opstarten of een nieuw account maken.

Oplossing: Chromebook laadt geen afdrukvoorbeeld

Oplossing: Chromebook laadt geen afdrukvoorbeeld

Als uw Chromebook het afdrukvoorbeeld niet kan laden, start u uw laptop, printer en router opnieuw op. Verwijder bovendien de printer en installeer deze opnieuw.

Een GPU verwijderen van een Windows-pc in 2023

Een GPU verwijderen van een Windows-pc in 2023

Moet u de GPU van uw pc verwijderen? Ga met me mee terwijl ik uitleg hoe je een GPU van je pc verwijdert in deze stapsgewijze handleiding.