White hat

Ein White Hat (oder White-Hat-Hacker, Whitehat) ist ein ethischer Hacker für Computersicherheit.^[1][2] Ethisches Hacking ist ein Begriff, der eine breitere Kategorie als nur Penetrationstests umfasst.^[3][4] Mit dem Einverständnis des Eigentümers versuchen White-Hat-Hacker, alle Schwachstellen oder Sicherheitsprobleme des aktuellen Systems zu ermitteln.^[5] Der White Hat wird dem Black Hat, einem böswilligen Hacker, gegenübergestellt; diese definitorische Dichotomie stammt aus Westernfilmen, in denen heldenhafte und antagonistische Cowboys traditionell einen weißen bzw. schwarzen Hut tragen können.^[6] Es gibt noch eine dritte Art von Hackern, die als Grey Hat bekannt sind und mit guten Absichten, aber manchmal auch ohne Erlaubnis hacken.^[7]

Geschichte

Einer der ersten Fälle, in denen ein ethischer Hack eingesetzt wurde, war eine 1974 von der US-Luftwaffe durchgeführte "Sicherheitsevaluierung", bei der die Multics-Betriebssysteme auf ihre "potenzielle Verwendung als zweistufiges System (geheim/streng geheim)" getestet wurden. Die Evaluierung ergab, dass Multics zwar "deutlich besser als andere konventionelle Systeme" war, aber auch "... Schwachstellen in der Hardwaresicherheit, Softwaresicherheit und Verfahrenssicherheit" aufwies, die mit "relativ geringem Aufwand" aufgedeckt werden konnten. Die Autoren führten ihre Tests unter dem Aspekt der Realitätsnähe durch, so dass ihre Ergebnisse genau die Arten von Zugriffen widerspiegeln, die ein Eindringling möglicherweise erreichen könnte. Sie führten Tests durch, die sowohl einfache Übungen zum Sammeln von Informationen als auch direkte Angriffe auf das System beinhalteten, die dessen Integrität beschädigen könnten; beide Ergebnisse waren für das Zielpublikum von Interesse.^[8] Es gibt mehrere andere, inzwischen nicht mehr als geheim eingestufte Berichte, die ethische Hacking-Aktivitäten innerhalb des US-Militärs beschreiben.

1981 beschrieb die New York Times White-Hat-Aktivitäten als Teil einer "schelmischen, aber pervers positiven 'Hacker'-Tradition". Als ein Mitarbeiter von National CSS die Existenz seines Passwort-Crackers enthüllte, den er bei Kundenkonten eingesetzt hatte, tadelte das Unternehmen ihn nicht dafür, dass er die Software geschrieben hatte, sondern dafür, dass er sie nicht früher offengelegt hatte. In der Abmahnung hieß es: "Das Unternehmen ist sich des Nutzens für NCSS bewusst und unterstützt die Bemühungen der Mitarbeiter, Sicherheitslücken im VP, dem Verzeichnis und anderer sensibler Software in Dateien aufzudecken".^[9]

Die Idee, diese Taktik des ethischen Hackings einzusetzen, um die Sicherheit von Systemen zu bewerten und Schwachstellen aufzuzeigen, wurde von Dan Farmer und Wietse Venema formuliert. Um das allgemeine Sicherheitsniveau im Internet und in Intranets zu erhöhen, beschrieben sie, wie sie in der Lage waren, genügend Informationen über ihre Ziele zu sammeln, um die Sicherheit zu beeinträchtigen, wenn sie es wollten. Sie gaben mehrere konkrete Beispiele dafür, wie diese Informationen gesammelt und ausgenutzt werden konnten, um die Kontrolle über das Ziel zu erlangen, und wie ein solcher Angriff verhindert werden konnte. Sie sammelten alle Tools, die sie während ihrer Arbeit verwendet hatten, packten sie in eine einzige, einfach zu bedienende Anwendung und gaben sie an jeden weiter, der sie herunterladen wollte. Ihr Programm mit dem Namen Security Administrator Tool for Analyzing Networks, kurz SATAN, erregte 1992 weltweit großes Medieninteresse.^[10]

Am 20. Oktober 2016 kündigte das US-amerikanische Verteidigungsministerium die Aktion "Hack The Pentagon" an.^[11][12]

Taktik

Während sich Penetrationstests darauf konzentrieren, Software und Computersysteme von vornherein anzugreifen - beispielsweise durch das Scannen von Ports, die Untersuchung bekannter Fehler in Protokollen und Anwendungen, die auf dem System laufen, und die Installation von Patches -, kann Ethical Hacking auch andere Dinge umfassen. Ein ethischer Hack im großen Stil könnte beinhalten, dass Mitarbeiter per E-Mail nach Kennwörtern gefragt werden, oder dass in den Mülleimern der Geschäftsleitung gewühlt wird, in der Regel ohne das Wissen und die Zustimmung der Zielpersonen. Nur die Eigentümer, Geschäftsführer und Vorstandsmitglieder (Stakeholder), die um eine Sicherheitsüberprüfung dieses Ausmaßes gebeten haben, wissen davon. Um zu versuchen, einige der zerstörerischen Techniken eines echten Angriffs nachzuahmen, können ethische Hacker für geklonte Testsysteme sorgen oder einen Hack spät in der Nacht organisieren, wenn die Systeme weniger kritisch sind.^[13] In den meisten neueren Fällen werden diese Hacks für den langfristigen Betrug (Tage, wenn nicht Wochen, der langfristigen menschlichen Infiltration in ein Unternehmen) fortgesetzt. Einige Beispiele sind das Zurücklassen von USB-/Flash-Key-Laufwerken mit versteckter Autostart-Software in einem öffentlichen Bereich, als ob jemand das kleine Laufwerk verloren hätte und ein ahnungsloser Mitarbeiter es gefunden und mitgenommen hätte.

Einige andere Methoden zur Durchführung dieser Maßnahmen sind:

• Speicher-Forensik
• Denial of Service Angriffe
• Frameworks wie:
  • Metasploit
• Netzwerksicherheit
• Reverse engineering
• Netzwerk- und Vulnerability Scanner:
  • Burp Suite
  • Nessus
  • W3af
• Social Engineering Taktiken
• Training Platforms
• Schwachstellenforschung

Bei diesen Methoden werden bekannte Sicherheitslücken ausgenutzt und versucht, die Sicherheit zu umgehen, um in gesicherte Bereiche zu gelangen. Sie können dies tun, indem sie Software und System-"Hintertüren" verstecken, die als Verbindung zu Informationen oder Zugängen genutzt werden können, die ein nicht-ethischer Hacker, auch bekannt als "Black Hat" oder "Grey Hat", erreichen möchte.

Gesetzgebung

Belgien

Belgien hat White Hat Hacking im Februar 2023 legalisiert.^[14]

Großbritannien

Struan Robertson, juristischer Direktor bei Pinsent Masons LLP und Herausgeber von OUT-LAW.com, sagt: "Wenn der Zugriff auf ein System genehmigt ist, ist das Hacken ethisch und legal. Ist dies nicht der Fall, liegt eine Straftat nach dem Computer Misuse Act vor. Der Straftatbestand des unbefugten Zugriffs umfasst alles, vom Erraten des Passworts über den Zugriff auf das Webmail-Konto einer Person bis hin zum Knacken der Sicherheit einer Bank. Die Höchststrafe für unbefugten Zugriff auf einen Computer beträgt zwei Jahre Gefängnis und eine Geldstrafe. Höhere Strafen - bis zu 10 Jahren Gefängnis - drohen, wenn der Hacker auch Daten verändert. Unbefugter Zugriff, auch wenn er dazu dient, Schwachstellen aufzudecken, die vielen Menschen zugutekommen, ist nicht legal, sagt Robertson. "In unseren Hacking-Gesetzen gibt es keine Rechtfertigung dafür, dass Ihr Verhalten dem Allgemeinwohl dient. Selbst wenn Sie das glauben."^[15]

Einzelnachweise

1. What is a White Hat Hacker? Abgerufen am 7. Januar 2024 (englisch). 
2. John Thompson Okpa, Christopher Uchechukwu Ugwuoke, Benjamin Okorie Ajah, Emmanuel Eshioste, Joseph Egidi Igbe, Ogar James Ajor, Ofem, Nnana Okoi, Mary Juachi Eteng, Rebecca Ginikanwa Nnamani: Cyberspace, Black-Hat Hacking and Economic Sustainability of Corporate Organizations in Cross-River State, Nigeria. In: SAGE Open. 12. Jahrgang, Nr. 3, 5. September 2022, ISSN 2158-2440, S. 215824402211227, doi:10.1177/21582440221122739 (englisch). 
3. Mark Ward: Sabotage in cyberspace - The threat to national security from computer "terrorists" is vastly overblown. Most hackers are after nothing more than an intellectual thrill. In: newscientist.com. 14. September 1996, abgerufen am 7. Januar 2024 (amerikanisches Englisch). 
4. License to hack? - Ethical hacking. 16. Oktober 2009, abgerufen am 7. Januar 2024 (britisches Englisch). 
5. Eric Filiol, Francesco Mercaldo, Antonella Santone: A Method for Automatic Penetration Testing and Mitigation: A Red Hat Approach. In: Procedia Computer Science. 192. Jahrgang, 2021, S. 2039–2046, doi:10.1016/j.procs.2021.08.210 (englisch). 
6. Thomas Wilhelm, Jason Andress: Ninja Hacking: Unconventional Penetration Testing Tactics and Techniques. ELSEVIER, 2011, ISBN 978-1-59749-588-2, S. 26 f. 
7. What is the difference between black, white and gray hat hackers? Abgerufen am 8. Januar 2024 (amerikanisches Englisch). 
8. MULTICS SECURITY EVALUATION: VULNERABILITY ANALYSIS. (PDF; 5,52 MB) In: csrc.nist.gov. Juni 1974, abgerufen am 8. Januar 2024 (englisch). 
9. CASE OF THE PURLOINED PASSWORD. In: nytimes.com. New York Times, 26. Juli 1981, abgerufen am 8. Januar 2024 (englisch). 
10. C. C. Palmer: Ethical hacking. In: IBM Systems Journal. 40. Jahrgang, Nr. 3, 2001, S. 769 (englisch, textfiles.com [PDF]). 
11. Natasha Bertrand,Zachary Cohen,Alex Marquardt,Evan Perez: Pentagon leak leads to limits on who gets access to military's top secrets | CNN Politics. 13. April 2023, abgerufen am 7. Januar 2024 (englisch). 
12. DoD Announces ‘Hack the Pentagon’ Follow-Up Initiative. Abgerufen am 7. Januar 2024 (amerikanisches Englisch). 
13. Justin Seitz, Tim Arnold: Black Hat Python: Python Programming for Hackers and Pentesters. 2021, ISBN 978-1-71850-112-6. 
14. Charlotte Somers, Koen Vranckaert, Laura Drechsler: Belgium legalises ethical hacking: a threat or an opportunity for cybersecurity? 3. Mai 2023, abgerufen am 7. Januar 2024. 
15. William Knight: License to Hack. In: InfoSecurity. 6. Jahrgang, Nr. 6, 16. Oktober 2009, S. 38–41, doi:10.1016/s1742-6847(09)70019-9 (infosecurity-magazine.com).