White-Hat-Hacker
Was ist ein White-Hat-Hacker?
Ein White-Hat-Hacker - oder ethischer Hacker - ist eine Person, die Hacking-Fähigkeiten einsetzt, um Sicherheitsschwachstellen in Hardware, Software oder Netzwerken zu identifizieren. Im Gegensatz zu Black-Hat-Hackern - oder böswilligen Hackern - respektieren White-Hat-Hacker die Rechtsstaatlichkeit, die für das Hacken gilt. Einige White-Hat-Hacker sind ehemalige Black Hat Hacker. Die Begriffe stammen aus alten Westernfilmen, in denen die Helden oft weiße Hüte und die Bösewichte schwarze Hüte trugen.
White-Hat-Hacker suchen nur dann nach Schwachstellen oder Exploits, wenn sie rechtlich dazu befugt sind. White-Hat-Hacker können ihre Nachforschungen an Open-Source-Software sowie an Software oder Systemen durchführen, die sie selbst besitzen oder zu deren Untersuchung sie berechtigt sind, einschließlich Produkten und Diensten, die Bug-Bounty-Programme anbieten. Diese Programme belohnen Einzelpersonen mit Geld für das Aufdecken von Sicherheitslücken.
Im Gegensatz zu Black- oder Gray-Hat-Hackern legen White-Hat-Hacker alle von ihnen gefundenen Schwachstellen vollständig gegenüber dem Unternehmen oder dem Produkteigentümer offen, der für die Behebung der Schwachstellen verantwortlich ist, damit die Probleme behoben werden können, bevor sie von böswilligen Hackern ausgenutzt werden.
Was ist der Unterschied zwischen White-, Black- und Gray-Hat-Hackern?
Während White-Hat-Hacker alle gefundenen Schwachstellen an die für das System verantwortliche Partei weitergeben - in der Regel an das Unternehmen oder den Hersteller des betroffenen Produkts - hat ein Black-Hat-Hacker unter Umständen keine Skrupel, Schwachstellen und Exploits an den Meistbietenden zu verkaufen.
Ende 2018, als Kryptowährungen gerade anfingen, im Mainstream an Bedeutung zu gewinnen, brach ein Gray-Hat-Hacker in Russland automatisiert in die von MikroTik hergestellten Router im Internet ein und flickte eine entdeckte Sicherheitslücke, die es Black-Hat-Hackern ermöglichte, die Hardware in einen Krypto-Mining-Bot zu verwandeln. Obwohl es zu einem unberechtigten Zugriff kam, hatte der graue Hut offenbar gute Absichten, als er in mehr als 100.000 anfällige Geräte einbrach und sie mit einem Patch versah.
White-Hat-Hacking-Tools und -Techniken
White-Hat-Hacker, insbesondere solche, die externe Penetrationstests durchführen, verwenden die gleichen Hacking-Techniken und -Tools wie Black Hat Hacker. White-Hat-Hacker tun dies jedoch mit der Absicht, einem Unternehmen zu helfen, seine Sicherheitslage zu verbessern. Zu den gängigen Beispielen gehören die folgenden:
- Penetrationstests. Ethische Hacker setzen ihre Fähigkeiten ein, um potenzielle Einstiegspunkte und Systemschwachstellen zu identifizieren, und versuchen dann, in das Netzwerk oder das exponierte System des Unternehmens einzudringen.
- E-Mail-Phishing. White-Hat-Hacker führen legitime Anti-Phishing-Kampagnen durch, um mögliche Probleme im Netzwerk eines Unternehmens zu finden und zu beheben, bevor ein Angriff erfolgen kann. E-Mail-Phishing verleitet den Empfänger der E-Mail dazu, vertrauliche Informationen preiszugeben oder auf eine bösartige Datei oder einen Link zu klicken.
- Denial-of-Service-Angriff (DoS). Bei dieser Art von Angriff wird die Leistung eines Rechners oder einer Netzwerkressource vorübergehend unterbrochen oder verschlechtert, so dass sie für die Benutzer nicht mehr verfügbar ist. Ein White-Hat-Hacker kann diese Art von Angriff simulieren, um einer Organisation bei der Entwicklung eines DoS-Reaktionsplans zu helfen.
- Sicherheitsscans. Ethische Hacker verwenden eine Vielzahl von Tools, um das Auffinden bekannter Schwachstellen zu automatisieren. Diese reichen von Tools zum Aufspüren von Schwachstellen in Webanwendungen, wie Acunetix oder Netsparker, bis hin zu Open-Source-Tools für Pentests, wie das Metasploit Framework oder Nikto.
Wie man White-Hat-Hacker wird
Einige „White-Hat-Hacker“ waren früher „Black-Hat-Hacker“, die mit zunehmender Reife ethisch korrekter wurden; andere wurden erwischt und beschlossen dann, den Weg des ethischen Hackers einzuschlagen, um ihre Interessen ohne die Gefahr einer Strafverfolgung zu verfolgen.
Hochschulabschlüsse in Informatik, Informationssicherheit oder Mathematik sind ein guter Hintergrund für White-Hat-Hacker, aber keine Voraussetzung. Echtes Interesse und Leidenschaft für IT-Sicherheit sind die wichtigsten Aktivposten. Und es gibt eine Reihe von Schulungen und Zertifizierungen zum ethischen Hacker. Ein Hintergrund oder eine Zertifizierung in Computerforensik kann für ethische Hacker ebenfalls von Nutzen sein.
Bekannte White-Hat-Hacker
In der IT-Branche gibt es mehrere bekannte White-Hat-Hacker:
Marc Maiffret. Bekannt für die Aufdeckung von Schwachstellen in Microsoft-Produkten, wie zum Beispiel des Code-Red-Wurms. Später gründete Maiffret ein Software-Sicherheitsunternehmen mit und wurde schließlich Chief Technology Officer des Sicherheitsunternehmens BeyondTrust.
Kevin Mitnick. Mitnick, der früher als der meistgesuchte Cyberkriminelle Amerikas bekannt war, wurde 1995 verhaftet und verbüßte fünf Jahre Haft für seine Hackeraktivitäten. Nach dieser Konfrontation mit dem Gesetz wurde er zum „White-Hat-Hacker“ und leitet heute ein Sicherheitsberatungsunternehmen.
Robert „RSnake“ Hansen. Dieser bekannte White-Hat-Hacker hat den Begriff „Clickjacking“ mitbegründet. Er ist der Vorsitzende und Gründer von OutsideIntel, einem Unternehmen, das sich auf die Entdeckung von Unternehmen und Business Intelligence konzentriert.
Andere große Namen im White Hat Hacking sind Jeff Moss, der die Sicherheitskonferenzen Black Hat und DEFCON gegründet hat, Dr. Charlie Miller, der fünf Jahre lang für die National Security Agency gehackt hat, und Apple-Mitbegründer Steve Wozniak.
Die rechtliche Situation für White-Hat-Hacker
Der Unterschied zwischen einem White-Hat-Hacker und einem Black-Hat-Hacker liegt in der Erlaubnis und der Absicht. White-Hat-Hacker hacken keine Systeme ohne schriftliche Genehmigung des Unternehmens, um dessen Verteidigungsmaßnahmen zu testen, und sie legen Schwachstellen verantwortungsbewusst offen. White-Hat-Hacker und Black-Hat-Hacker verwenden jedoch ähnliche Werkzeuge und Techniken. Dies kann zu komplizierten rechtlichen Situationen für ethische Hacker führen. Bei manchen Werkzeugen kann alleine der Besitz rechtlich problematisch sein. Die Rechtslage ist komplex und zudem sowohl auf EU als auch auf Bundesebene in Bewegung, insbesondere im Hinblick auf Penetrationstests (siehe auch Die aktuelle Rechtslage bei Penetrationstests). Wenn Systeme auf Schwachstellen untersucht werden, müssen Hacker sicherstellen, dass sie hierfür über die entsprechenden Genehmigungen verfügen.