Om man skriver Black Hat eller White Hat i sökmotorn får man inte bara resultat om de senaste erbjudandena på hattar. Dessa termer är också kopplade till informationssäkerhet och hackning av datorsystem. Men vad har hattar med hacking att göra? Och vad är en "etisk hackare"? Det är dessa frågor som vi kommer att besvara i följande bloggartikel.
Först av allt, vad exakt är hacking? Du har säkert läst artiklar om de "10 bästa campinghacken", som förklarar hur man gör popcorn över en lägereld, eller hört talas om "life hacks", som kan göra vardagen enklare på ett kreativt sätt. "Hackare" är alltså per definition personer som använder sin kunskap och kreativitet, ofta relaterad till teknik, för att förstå, förbättra och förändra befintliga system. Sedan 1980-talet har begreppet dock genomgått en negativ omvandling och begränsats till IT-säkerhetsområdet1. Numera kallas den som tar sig in i andras datorsystem i dagligt tal för hackare.
Hackare är nästan uteslutande skumma personer i huvtröjor som sitter i ett mörkt rum och knappar på tangentbord framför olika skärmar. Detta är också tydligt i media, både i nyhets- och spelfilmer. Där blir det tydligt: ordet "hacker" har oftast negativa konnotationer. Kanske är det därför det behövs andra beskrivningar för att skilja mellan hackare: det talas allt oftare om black hat-hackare och white hat-hackare. Men hur skiljer de sig åt?
Termerna har sitt ursprung i gamla västernfilmer. Där skilde sig de goda karaktärerna med vita hattar från sina onda motsvarigheter som bar svarta hattar. Och det är just i denna mening som vi hittar "svarta hattar" och "vita hattar" igen i hackingvärlden. För att skilja mellan gott och ont hos hackare måste vi titta på framför allt två faktorer: deras motivation och legitimiteten i deras arbete.
Black hats motiveras av sin egen ekonomiska vinning, men också av cyberspionage, protester eller av ren spänning. De försöker stjäla, kryptera eller förstöra personuppgifter, finansiell information eller inloggningsuppgifter och på så sätt skada dem de angriper. De agerar utan de angripna personernas eller företagens vetskap och gör sig därför ansvariga för åtal.
"White hats", å andra sidan, använder sina färdigheter för en god sak. Deras tillvägagångssätt liknar de svarta hackarnas, med skillnaden att de inte agerar olagligt. De arbetar för företag eller organisationer som IT-specialister och hjälper till att upptäcka och täppa till säkerhetsluckor genom hackning. Deras motivation är att förbättra och säkra tekniska system. Allt fler företag använder sig av sådana tjänster för att förhindra skadliga cyberattacker.
Skillnaden mellan svart och vitt, gott och ont är, som överallt annars, alltför kortsiktig i IT-världen. Därför finns det en tredje grupp: de "grå hattarna". Dessa står mellan de två tidigare nämnda. De upptäcker säkerhetsbrister utan systemägarnas samtycke eller vetskap, men rapporterar sedan problemen till de drabbade. De ber sedan om en ekonomisk belöning för sitt arbete eller/och ger företagen en tidsram för att åtgärda problemen och går sedan ut offentligt med sårbarheterna. De strävar inte efter sina mål med onda avsikter. Deras motivation är att öka medvetenheten om problemet och att njuta av själva hackandet. Den här typen av hacking är på gränsen till olaglig, eftersom de arbetar utan tillstånd från systemägarna och ofta får insikt i känsliga data. Att gränserna mellan white och black hat-hackare blir allt suddigare framgick redan av en studie från Osterman Research 2018.2
White och grey hat hackers kallas också för "etiska hackers". Denna term beskriver ett ansvarsfullt förhållningssätt till sina egna hackingfärdigheter och resultat. Det finns till och med kurser, konferenser och certifikat för etiska hackare som vill erbjuda sitt arbete officiellt. Förutom en lämplig etisk inställning måste etiska hackare också uppfylla andra krav: stor teknisk skicklighet, förmåga att sätta sig in i angriparens situation och en förståelse för värdet av de data och system som de ska säkra.3
I detta sammanhang kanske du minns ett fall som uppmärksammades i media i maj 2021. Hackaren Lilith Wittmann upptäckte säkerhetsproblem i CDU:s valkampanjapp. Hon informerade sedan partiet, federala byrån för informationssäkerhet och dataskyddskommissionärerna i Berlin4 och gav dem möjlighet att åtgärda problemet. Först när appen var offline publicerade hon sitt arbete. Detta tillvägagångssätt kallas även "ansvarsfullt offentliggörande" och är ett exempel på etisk hackning. Fallet visar dock också hur svårt det kan vara att utvärdera sådant arbete enligt lagen. I det här fallet lämnade CDU in en stämningsansökan mot Wittmann, vilket inte bara ökade den offentliga förödmjukelsen för partiet utan också resulterade i ett officiellt uttalande från Chaos Computer Club (CCC) om att de inte längre skulle påpeka säkerhetsproblem för partiet i framtiden. Fallet lades ned eftersom uppgifterna var allmänt tillgängliga och den rättsliga situationen endast kriminaliserar spioneri eller avlyssning av åtkomstskyddade uppgifter.5
Detta exempel visar än en gång att etiska hackares arbete är viktigt: utan dem skulle det finnas fler öppna säkerhetsluckor, som i sin tur skulle kunna utnyttjas av black hat-hackare.
Förresten håller hackarnas färgpalett på att utvidgas. Till exempel kan du också läsa om Red Hats, Blue Hats, Purple och Green Hats. Definitionerna av dessa är dock ibland mycket långt ifrån varandra, så vi kommer att lämna det vid detta för tillfället.
Du kan också se en skrämmande översikt över några av de metoder som används av cyberbrottslingar i vår YouTube-video: "Skrämmande berättelser om cybermonster".
1 Om hackning - Richard Stallman. (o. D.). Stallman. Abgerufen am 19. November 2021, von http://stallman.org/articles/on-hacking.html
2White Hat, Black Hat and the Emergence of the Gray Hat: The True Costs of Cybercrime. (2018). Osterman Research, Inc. https://www.malwarebytes.com/resources/files/2018/08/global-white-hat-black-hat-and-the-emergence-of-the-gray-hat-the-true-costs-of-cybercrime-1.pdf
3Cybersäkerhetsguide . (2021, 20. Oktober). Hur man blir en etisk hackare | Guide för 2021. Avhämtad den 19. November 2021, von https://cybersecurityguide.org/resources/ethical-hacker/
4CCC | CCC meldet keine Sicherheitslücken mehr an CDU. (2021, 4. april). CCC. Avhämtat den 19. November 2021, von www.ccc.de/de/updates/2021/ccc-meldet-keine-sicherheitslucken-mehr-an-cdu
5Reuter , M. (2021, 16. September). CDU Connect: Ermittlungsverfahren gegen Sicherheitsforscherin Lilith Wittmann eingestellt. netzpolitik.org. Avhämtat den 19. November 2021, von netzpolitik.org/2021/cdu-connect-ermittlungsverfahren-gegen-sicherheitsforscherin-lilith-wittmann-eingestellt/
