Ethisch Hacken

Ethisch hacken, ook wel penetratietesten, security testing, of uitvoeren van een beveiligingsonderzoek genoemd, is een activiteit waarbij iemand (een ethisch hacker) zoekt naar beveiligingskwetsbaarheden in (web)applicaties, systemen en/of netwerken. Een ethisch hacker (of white hat hacker) heeft geen kwade bedoelingen, en meldt de aangetroffen kwetsbaarheden bij de eigenaar van het desbetreffende systeem of netwerk. Deze kan het probleem dan oplossen om te voorkomen dat een aanvaller met minder goede intenties (een zogenaamde black hat hacker) de kwetsbaarheid kan misbruiken.

Een ethisch hacker is doorgaans door de eigenaar van het systeem (de opdrachtgever) geautoriseerd voor het uitvoeren van zijn werkzaamheden. Het kan echter ook voorkomen dat er zonder opdracht op een kwetsbaarheid wordt gestuit. In een dergelijk geval kan een kwetsbaarheid middels een zogenaamde responsible disclosure procedure bij de eigenaar worden gemeld. Met een responsible disclosure beleid garanderen organisaties dat wanneer kwetsbaarheden onder bepaalde voorwaarden worden gemeld, de melder niet strafrechtelijk wordt vervolgd. Wettelijk gezien is het opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk (computervredebreuk) namelijk een misdrijf. Ook wanneer er geen beveiliging werd doorbroken, maar het aannemelijk is dat de dader wist dat hij op verboden terrein was.

Oog voor detail en gedreven om de werking van systemen, netwerken, en bijhorende processen en procedures te doorgronden, is een belangrijke eigenschap van een ethisch hacker. Vaak ligt de focus op de techniek, maar afhankelijk van de wensen van de opdrachtgever kunnen ook de procedures en processen worden onderzocht op kwetsbaarheden. Omdat deze voor een goede werking vaak afhankelijk zijn van de mensen die ze toepassen of volgen, wordt er in dergelijke situaties gebruik gemaakt van social engineering of social hacking. Deze vorm van hacken is gericht op het verkrijgen van vertrouwelijke of geheime informatie door misbruik te maken van de nieuwsgierigheid, goedgelovigheid, medelijden, en angst van mensen.

Aangetroffen kwetsbaarheden en op andere wijze verkregen informatie worden vervolgens gebruikt om daadwerkelijk ‘in te breken’ het een systeem en/of netwerk. Vanuit de nieuw verworven positie, bekijkt de ethisch hacker of er nog verder kan worden binnengedrongen. Elke stap brengt de ethisch hacker dichter bij zijn doel: het verkrijgen en verankeren van controle over (web)applicaties, systemen en/of netwerken van het slachtoffer. Tegelijkertijd maakt deze werkwijze inzichtelijk wat de totale impact van de aangetroffen kwetsbaarheid is. Juist daarom is het vaak verstandig om informatiebeveiliging op te bouwen uit meerdere lagen, zodat een enkel gecompromitteerde element of kwetsbaarheid niet meteen resulteert in “the keys to the castle”.