Ethical hacking is een term voor het opsporen van kwetsbaarheden en securityproblemen in applicaties, de IT-infrastructuur, het netwerk of bij de gebruikers met als doel de beveiliging (van de klant) te verbeteren. Ethical hacking en ethical hackers zijn inmiddels wel gangbare termen, maar soms nog wel omgeven met een mythische lading. Tijd dus om uit te leggen wat een ethical hacker is en waarom PQR ethical hackers in dienst heeft.
Laten we bij het begin beginnen. Een hacker (zonder ethical) is een crimineel die systemen hackt om er zelf beter van te worden: diefstal of gijzeling van gegevens, buit maken van intellectueel eigendom, platleggen van het netwerk of de site. Deze soort hacker, ook wel black hat hacker genoemd, maakt gebruik van verschillende middelen, bekende kwetsbaarheden, zijn of haar eigen expertise en veel vasthoudendheid en tijd om in te breken.
Een ethical hacker gaat eigenlijk op dezelfde manier te werk als een black hat hacker, maar het grootste verschil is dat hij of zij dat doet zonder er zelf beter van te worden, dit wordt dan ook wel een white hat hacker genoemd. En om nog even in de 50-tinten grijs te blijven en het verhaal af te maken: er zijn ook grey hat hackers, dat zijn hackers waarbij de motieven niet altijd even duidelijk zijn. Een ethical hacker, of in het Nederlands: ethisch hacker, is een persoon die binnen probeert te komen, juist om een bedrijf of organisatie te wijzen op een kwetsbaarheid in een systeem en vaak in opdracht van dat bedrijf of die organisatie.
Wat kenmerkt een ethical hacker?
Nieuwsgierigheid naar de techniek, een aangeboren interesse om je te verdiepen in de nieuwste securityontwikkelingen en -bedreigingen, om kunnen gaan met uiterst vertrouwelijke informatie en samenwerking en een onderzoekende instelling. Het zijn zomaar een aantal karaktereigenschappen die nodig zijn om een goede ethical hacker te worden. Maar dat is niet genoeg, want uiteraard kan een ethical hacker niet zonder kennis, een gedegen opleiding en accreditatie of certificering. Want als u als bedrijf of organisatie de opdracht geeft om de beveiliging te testen, wilt u immers de zekerheid dat er niet zomaar iemand wordt losgelaten op uw systemen en netwerk. De ethical hackers die PQR in dienst heeft zijn allemaal Certified ethical hackers, bijvoorbeeld via EC-Council.
Een week uit het leven van een ethical hacker bij PQR
En dan… aan het werk! Bij PQR werken de ethical hackers in het security team en in opdracht van een klant om te pentesten. Voordat de pentest wordt gestart, is er een kickoff geweest. Daarin is uitvoerig afgestemd met de klant wat de scope wordt van de pentest, wanneer deze plaatsvindt en wordt door de klant de vrijwaring gegeven voor de ethisch hackers om de pentest te doen. In de pentest kunnen verschillende aspecten de aandacht krijgen, denk bijvoorbeeld aan de toegang tot de kroonjuwelen, zoals medische gegevens of intellectueel eigendom, veiligheid van de websites of toegang tot webapplicaties. Het kunnen meerdere aspecten tegelijk zijn of er wordt ingezoomd op één aspect. Hierover geven de security experts van PQR advies en daarna wordt de keuze vastgelegd.
Op de eerste dag van de pentest wordt de klant op de hoogte gesteld van de start en wordt als het ware het startsein gegeven. Vanaf dat moment stelt de ethical hacker zich qua inspanning op als een black hat hacker: alles wordt in het werk gesteld om binnen te komen, te kijken waar de gaten zitten en wat er buit gemaakt kan worden. Daarbij gaat de ethical hacker te werk volgens deze stappen:
- Reconnaissance – het verzamelen van informatie via bijv. publieke bronnen zoals de bedrijfswebsite, namen, e-mail, maar ook bellen naar een helpdesk om achter meer info te komen.
- Scanning – geautomatiseerd of handmatig scannen van het netwerk om erachter te komen wat er allemaal draait.
- Gaining access – verkrijgen van toegang tot een applicatie, OS of bijv. hogere gebruikersrechten.
- Maintaining access – eenmaal binnen bouwt de ethical hacker bijvoorbeeld een backdoor in zodat hij altijd op een later tijdstip weer verbinding kan maken.
- Clearing tracks – verwijderen van de sporen.
Deze stappen duren zolang als is afgesproken in de scope en over het algemeen geeft een periode van drie dagen een goed beeld van de beveiliging. Als er tijdens dit proces van pentesten een acuut securityprobleem wordt gevonden, dan wordt er niet gewacht met melden. Dit wordt meteen doorgegeven, zodat er direct actie ondernomen kan worden door de klant. Als de pentest ten einde is, melden de ethical hackers dat bij de klant.
Na het uitvoeren van pentest is het tijd om te rapporteren. Een ethical hacker is verplicht om alle bevindingen te rapporteren naar de klant en daarbij niets achterwege te laten. In de rapportage en toelichting wordt een selectie gemaakt van welke kwetsbaarheden en problemen de meeste aandacht verdienen en hierbij worden aanbevelingen gegeven om dit te verhelpen. Gemiddeld duurt een rapportage twee dagen.
Waarom zou je je bedrijf ethisch willen laten hacken (en waarom zou je het niet willen)?
Om antwoord te geven op de vraag wat het voordeel is van ethisch hacken is een andere vraag misschien wel relevanter: vinden ethical hackers altijd iets? Ja eigenlijk wel. Er zijn altijd kwetsbaarheden en beveiligingsgaten, zolang je maar goed genoeg zoekt en probeert, net zoals een criminele hacker dat doet.
Een pentest door een ethisch hacker is een momentopname die inzicht geeft in de status van de IT-security door middel van een externe blik van security professionals:
- Wat zijn de zwakke punten, dus waar kunnen en moeten we de veiligheid verbeteren en wat is daarvoor nodig?
- Inzicht in risico’s, denk aan de beveiliging en toegang zowel van binnenuit als van buitenaf, maar ook: hoe is de backup geregeld?
- Software die geupdate moet worden, omdat er kwetsbaarheden zijn gevonden in oude versie.
Zijn er nadelen aan ethisch hacken? Nee, die zijn er niet, zolang de ethical hackers gecertificeerd zijn en de betrouwbaarheid is gecheckt. Vraag dus naar certificering en referenties als u in zee gaat met een ethical hacker. Verder is belangrijk: de ethical hacker zal nooit het systeem platleggen of daadwerkelijk gegevens downloaden, dus het heeft geen invloed op uw primaire processen. Tot slot, de afstemming over de scope is cruciaal, dus doe dat liever te veel dan te weinig. Wees er wel van bewust dat een pentest altijd een momentopname is, daarom raden we aan om dit periodiek te doen, met een minimum van één keer per jaar.
We hopen met deze blog wat meer inzicht te hebben gegeven hoe een ethical hacker te werk gaat en wat PQR kan betekenen voor organisaties die inzicht willen in de huidige status van hun IT-security.
Wilt u meer informatie over ethisch hacken of de pentesten die ethical hackers van PQR kunnen uitvoeren? Neem dan een kijkje op deze pagina of neem contact op met PQR.