Hvis man skriver Black Hat eller White Hat i en søgemaskine, får man ikke kun resultater om de seneste tilbud på hatte. Disse termer er også knyttet til informationssikkerhed og hacking af computersystemer. Men hvad har hatte med hacking at gøre? Og hvad er en "etisk hacker"? Det er de spørgsmål, vi vil besvare i den følgende blogartikel.
Først og fremmest, hvad er hacking egentlig? Du har sikkert læst artikler om de "10 bedste campinghacks", som forklarer, hvordan man laver popcorn over bål, eller du har hørt om "life hacks", som kan gøre hverdagen lettere på en kreativ måde. "Hackere" er altså per definition mennesker, der bruger deres viden og kreativitet, ofte relateret til teknologi, til at forstå, forbedre og ændre eksisterende systemer. Siden 1980'erne har begrebet dog undergået en negativ forvandling og indsnævring til IT-sikkerhedsområdet1. I dag kaldes en person, der trænger ind i andres computersystemer, i daglig tale for en hacker.
Hackere er næsten udelukkende de skumle mennesker i hættetrøjer, der hamrer løs på tastaturer i et mørkt rum foran forskellige skærme. Det er også tydeligt i medierne, både i nyheder og spillefilm. Der bliver det tydeligt: Ordet "hacker" har som regel negative konnotationer. Måske er det derfor, der er brug for andre beskrivelser for at skelne mellem hackere: Der tales mere og mere om black hat-hackere og white hat-hackere. Men hvordan adskiller de sig?
Begreberne har deres oprindelse i gamle westernfilm. Der adskilte de gode karakterer med hvide hatte sig fra deres onde modstykker, som bar sorte hatte. Og det er netop i denne forstand, at vi finder "black hats" og "white hats" igen i hackerverdenen. For at skelne mellem godt og ondt hos hackere er vi nødt til at se på især to faktorer: deres motivation og legitimiteten af deres arbejde.
Black hats finder motivation i deres egen økonomiske vinding, men også cyberspionage, protester eller bare spændingen ved det. De forsøger at stjæle, kryptere eller ødelægge personlige data, finansielle oplysninger eller loginoplysninger og dermed skade dem, de angriber. De handler uden de angrebne personers eller virksomheders viden og gør sig derfor ansvarlige for retsforfølgelse.
"White hats", på den anden side, bruger deres evner til en god sag. Deres tilgang ligner black hat-hackernes, men med den forskel, at de ikke handler ulovligt. De arbejder for virksomheder eller organisationer som IT-specialister og hjælper med at afdække og lukke sikkerhedshuller gennem hacking. Deres motivation er at forbedre og sikre tekniske systemer. Flere og flere virksomheder gør brug af sådanne tjenester for at forhindre ondsindede cyberangreb.
Sondringen mellem sort og hvidt, godt og ondt, er, som alle andre steder, for kortsigtet i IT-verdenen. Og så er der en tredje gruppe: de "grå hatte". De står mellem de to tidligere nævnte. De opdager sikkerhedssårbarheder uden systemejernes samtykke eller viden, men rapporterer derefter problemerne til de berørte. De beder så om en økonomisk belønning for deres arbejde og/eller giver virksomhederne en tidsramme til at løse problemerne og offentliggør derefter sårbarhederne. De forfølger ikke deres mål med ondsindede hensigter. Deres motivation er at skabe opmærksomhed om problemet og at nyde selve hackingen. Denne type hacking er på grænsen til det ulovlige, da de arbejder uden tilladelse fra systemejerne og ofte får indsigt i følsomme data. Det faktum, at grænserne mellem white- og black hat-hackere bliver mere og mere udviskede, blev allerede påvist i en undersøgelse fra 2018 af Osterman Research.2
White og grey hat hackere kaldes også "etiske hackere". Dette udtryk beskriver en ansvarlig tilgang til ens egne hackingfærdigheder og resultater. Der findes endda kurser, konferencer og certifikater for etiske hackere, der ønsker at tilbyde deres arbejde officielt. For ud over den rette etiske holdning skal etiske hackere også opfylde andre krav: store tekniske færdigheder, evnen til at sætte sig i angriberens sted og en forståelse for værdien af de data og systemer, de skal sikre.3
I den forbindelse husker du måske en sag, der blev fremhævet i medierne i maj 2021. Hackeren Lilith Wittmann afslørede sikkerhedshuller i CDU's valgkampagne-app. Hun informerede derefter partiet, det føderale kontor for informationssikkerhed og Berlins databeskyttelseskommissærer4 og gav dem mulighed for at løse problemet. Først da appen var offline, offentliggjorde hun sit arbejde. Denne fremgangsmåde kaldes også "ansvarlig offentliggørelse" og er et eksempel på etisk hacking. Men sagen viser også, hvor svært det kan være at evaluere den slags arbejde i forhold til loven. I dette tilfælde indgav CDU en kriminel klage mod Wittmann, hvilket ikke kun øgede den offentlige forlegenhed for partiet, men også resulterede i den officielle erklæring fra Chaos Computer Club (CCC) om, at de ikke længere ville påpege sikkerhedssårbarheder for partiet i fremtiden. Sagen blev droppet, fordi dataene var offentligt tilgængelige, og den juridiske situation kun kriminaliserer spionage eller aflytning af adgangsbeskyttede data.5
Dette eksempel viser endnu en gang, at etiske hackeres arbejde er vigtigt: Uden dem ville der være flere åbne sikkerhedshuller, som igen kunne udnyttes af black hat-hackere.
I øvrigt er hackernes farvepalet ved at blive udvidet. For eksempel kan du også læse om Red Hats, Blue Hats, Purple og Green Hats. Definitionerne af disse er dog nogle gange meget langt fra hinanden, så vi vil lade det blive ved dette for øjeblikket.
Du kan også finde en skræmmende oversigt over nogle af de metoder, som cyberkriminelle bruger, i vores YouTube-video: "Skræmmende historier om cybermonstre".
1 Om hacking - Richard Stallman. (o. D.). Stallman. Abgerufen am 19. November 2021, von http://stallman.org/articles/on-hacking.html
2White Hat, Black Hat and the Emergence of the Gray Hat: The True Costs of Cybercrime. (2018). Osterman Research, Inc. https://www.malwarebytes.com/resources/files/2018/08/global-white-hat-black-hat-and-the-emergence-of-the-gray-hat-the-true-costs-of-cybercrime-1.pdf
3Cybersecurity Guide. (2021, 20. oktober). Sådan bliver du en etisk hacker | Guide for 2021. Abgerufen am 19. November 2021, von https://cybersecurityguide.org/resources/ethical-hacker/
4CCC | CCC meldet keine Sicherheitslücken mehr an CDU. (2021, 4. april). CCC. Abgerufen am 19. November 2021, von www.ccc.de/de/updates/2021/ccc-meldet-keine-sicherheitslucken-mehr-an-cdu
5Reuter , M. (2021, 16. September). CDU Connect: Ermittlungsverfahren gegen Sicherheitsforscherin Lilith Wittmann eingestellt. netzpolitik.org. Abgerufen am 19. November 2021, von netzpolitik.org/2021/cdu-connect-ermittlungsverfahren-gegen-sicherheitsforscherin-lilith-wittmann-eingestellt/