Der Kampf gegen Cyberkriminelle umfasst eine ganze Reihe verschiedener offensiver und defensiver Maßnahmen, von Geräten mit integrierter intelligenter Sicherheit bis hin zu intelligenten Analysetools, die das Netzwerk auf abweichendes Verhalten überwachen können. Wer könnte jedoch vermuten, dass eine der stärksten Waffen im Kampf gegen Hacker andere Hacker sein könnten? Ganz gleich, ob es sich um erfahrene Sicherheitsexperten mit einem tiefen Verständnis dafür handelt, wie Hacking funktioniert, oder um reformierte „böse“ Hacker, die ihre Kräfte jetzt für das Gute einsetzen, die White-Hat-Brigade ist hier, um zu bleiben.
Einige bevorzugen den Ausdruck „ethischer Hacker“, während andere den eher geschäftsmäßigen „Penetration Tester“ verwenden, aber White-Hat-Hacker unterscheiden sich von Black-Hat-Hackern, indem sie ihre Talente einsetzen, um nach Schwachstellen in den Produkten oder IT-Lösungen einer Organisation zu suchen und diese dann zu beraten Organisation, wie sie behoben werden können. What Hat Hacker könnten hinzugezogen werden, um sich mit einem Unternehmen über seine Informationssicherheit und Schutzmaßnahmen zu beraten oder im Falle einer Sicherheitsverletzung die Mittel und Auswirkungen eines Angriffs nachzuvollziehen. Das alte Sprichwort, dass es einen Dieb braucht, um einen Dieb zu fangen, trifft hier zu, obwohl die Analogie vom Wilderer zum Wildhüter auch funktioniert, da es Teil der Aufgabe des White-Hat-Hackers ist, einen Angriff überhaupt zu verhindern.
Zwischen den weißen Hüten und den schwarzen Hüten kommen die grauen Hüte; Hacker, die immer noch an der Verbesserung der Netzwerk- und Systemsicherheit arbeiten, aber ohne Zustimmung der betroffenen Unternehmen oft an den Grenzen des Gesetzes agieren. Grey Hats tun immer noch gut, aber nicht jeder mag die Art und Weise, wie sie es tun, oder ihre Tendenz, einen Fehler zu veröffentlichen, große Unternehmen in Verlegenheit zu bringen und weniger ethischen Hackern einen Weg zu geben, bevor Patches und Fixes ordnungsgemäß eingeführt werden.
Was tun White-Hat-Hacker?
White-Hat-Hacker verwenden die gleichen Tools wie ihre Black-Hat-Brüder, um sich in Netzwerke und Systeme zu hacken und die Schwachstellen zu finden, die andere Hacker ausnutzen könnten. Sie scannen nach offenen Ports, suchen nach Software mit bekannten Schwachstellen, versuchen, Authentifizierungssysteme zu vereiteln und Zugang zu Systemen und Daten zu erhalten, die sicher außer Reichweite sein sollten. Sie können auch für Unternehmen arbeiten, die ein neues Software- oder Hardwareprodukt auf den Markt bringen und wiederum nach Möglichkeiten suchen, die Anwendung oder das Gerät zu kompromittieren. White-Hat-Hacker verbringen ihre Zeit damit, Websites, Finanzsysteme, Online-Dienste, Unternehmens-E-Mails, Unternehmensdatenbanken und eine Reihe von Geschäftssystemen anzugreifen, aber sie können auch Smartphone-Apps, Online-Gaming-Dienste, Drucker und sogar fahrerlose Autos treffen. Der große Unterschied besteht darin, dass sie dies mit der Erlaubnis ihres Ziels tun und sich melden, damit diese Sicherheitslücken behoben werden können.
Ihr Einsatz ist in nahezu allen Branchen weit verbreitet, am offensichtlichsten in den Bereichen Technologie, Online-Dienste und Finanzen, aber auch in der Schifffahrt, im Transportwesen, im Baugewerbe und in vielen anderen Bereichen – ganz zu schweigen von Polizei, Sicherheits- und Militärkräften, wo ihre Expertise von entscheidender Bedeutung ist im Kampf gegen Cyberkriminelle und staatlich geförderte Cyberangriffe.
Siehe verwandt Was ist Hacking?Das Geschäft mit Malware
Einige White-Hat-Hacker haben ihre eigenen Unternehmen für Informationssicherheit oder Penetrationstests gegründet und beraten einige der größten und mächtigsten Organisationen der Welt. Andere arbeiten freiberuflich, kümmern sich um die Bedürfnisse kleinerer Unternehmen oder versuchen, „Bug Bountys“ zu verdienen, die von den großen Technologiefirmen ausgezahlt werden, wenn jemand eine Schwachstelle oder einen potenziell schwerwiegenden Fehler im Anwendungscode findet. Google zahlt beispielsweise zwischen 100 und 31.000 US-Dollar für die Entdeckung einer Schwachstelle in seinen Domains, Apps, Erweiterungen und Hardwareprodukten. Einige große Namen sponsern sogar Hackathons, bei denen Unternehmen wissentlich Code oder Systeme Angreifern aussetzen, damit die Hacker Sicherheitslücken darin finden und einen beachtlichen Preis gewinnen können.
Einige der berüchtigtsten „Black-Hat“-Hacker der Welt haben sich der White-Hat-Brigade angeschlossen. Kevin Mitnick, einst Amerikas berühmtester Hacker, kam aus fünf Jahren Haft und wurde als Sicherheitsberater neu erfunden, der als Gründer von Mitnick Security Consulting einige der größten Marken in den Bereichen Technologie, Medien, Finanzen und Bildung beraten hat. Hector Monsegur, Mitbegründer von LulzSec, wurde nicht mehr vom FBI verfolgt, sondern arbeitete mit ihm zusammen und kümmert sich nun um die Schwachstellenforschung in den Labors von Rhino Security. Michael Caice, auch bekannt als MafiaBoy, griff Anfang der 2000er Jahre eBay und Amazon an, ist aber jetzt Präsident von Optimal Secure, einer Sicherheitsfirma mit Sitz in Montreal.
Andere White-Hat-Hacker haben keine so dunkle Vergangenheit. Angetrieben von Neugier und der Herausforderung des Hackens entwickeln sie Tools und Exploits in der Hoffnung, Unternehmen zu warnen oder solche Exploits im Keim zu ersticken. Robert „RSnake“ Hansen ist ein gutes Beispiel, der Tools wie Fierce und Slowloris entwickelt, die immer noch von Penetrationstestern verwendet werden, während er die Forschung bei Sicherheitsfirmen wie SecTheory und WhiteHat Labs fortsetzt.
Der Aufstieg der White Hats
White-Hat-Hacking ist heute eine akzeptable – sogar wünschenswerte – Berufswahl. Möchtegern-Ws haben ihre eigene unverzichtbare Qualifikation:eine Certified Ethical Hacker-Zertifizierung des International Council of E-Commerce Consultants. Dies stellt sicher, dass Unternehmen die Dienste eines qualifizierten Fachmanns mit echtem Fachwissen in Anspruch nehmen können, der auf rechtmäßige und legitime Weise nach Schwachstellen und Schwachstellen sucht. Bei der Arbeit mit Regierungen und größeren Unternehmen werden auch White-Hat-Hacker häufig überprüft. Die Communications Electronics Security Group (CESG) übernimmt diese Rolle in Großbritannien.
Dies ist eine wachsende Branche. Ein Bericht von Research and Markets aus dem Jahr 2016 prognostizierte, dass die Größe des Marktes für Penetrationstests von 94,7 Millionen US-Dollar im Jahr 2016 auf über 1,7 Milliarden US-Dollar im Jahr 2021 wachsen wird. Neben dem Wachstum unabhängiger Berater und Sicherheitsberatungen bauen viele große Unternehmen ihre eigenen auf Sicherheitsteams, um ihnen zu helfen, stärkere, widerstandsfähigere Produkte zu entwickeln, ihre eigene Abwehr zu überprüfen oder auf Angriffe zu reagieren. Einige dieser Teams stammen zwangsläufig aus der White-Hat-Community.
Für die White-Hat-Hacker ist es nicht schwer zu verstehen, warum sie gefragt sind. In einer exzellenten Kurzdokumentation, Rivolta:Inside the Mind of Canada’s Most Notorious Hacker, zieht Michael „MafiaBoy“ Caice einen Vergleich mit Banken. „Die Einstellung eines ehemaligen Bankräubers könnte für Sie von Vorteil sein, einfach weil Sie ein Sicherheitsteam einstellen, Sie ein Bankbesitzer sind, Sie sie zu Ihrem Tresor bringen und sie alle sagen:‚Lasst uns die Wände hier verbarrikadieren, stellen Sie sicher, dass dies der Fall ist Vault hat den verrücktesten Schließmechanismus, und wir sind gut.“ Wohingegen man einen Ex-Bankräuber anheuert und er kommt herein und sagt:„Das ist großartig. Ich kümmere mich nicht um diesen Tresor. Mir sind diese Mauern egal. Ich komme durch den Boden rein.“ Indem sie wissen, wie Hacker denken – sogar denken, wie ein Hacker denkt – ist die White-Hat-Brigade besser gerüstet, um die weniger offensichtlichen Schwachstellen, wie einen öffentlich zugänglichen Computer oder einen ungesicherten Drucker, zu erkennen ein normaler Sicherheitsexperte würde es nicht erkennen.
Es wird immer Bedenken hinsichtlich White-Hat-Hackern geben – stehen sie der Hacker-Community und Denkweise zu nahe? Besteht die Gefahr, dass sie schlecht werden? – und der jüngste Ärger über den WannaCry-Helden Marcus Hutchins und seine früheren Aktivitäten zeigt, dass die Strafverfolgungsbeamten nicht immer den Unterschied verstehen. Im Allgemeinen sollten wir jedoch für die White-Hat-Brigade dankbar sein. Da die Bedrohungen und der Einsatz weiter steigen, brauchen wir sie auf unserer Seite.
Erfahren Sie, wie Sie Ihr Unternehmen vor Hackern schützen können...