Die Welt der Informationssicherheit entwickelt sich ständig weiter und erfordert den ständigen Beitrag von neuen Fachleuten, die in der Lage sind, auf die wachsenden Herausforderungen des Sektors zu reagieren. Es geht nicht nur darum, die Daten und Aktivitäten der Nutzer vor böswilligen cyberkriminellen Angriffen zu schützen, sondern auch darum, den Zusammenbruch gemeinsamer Maßnahmen zum Schutz der Privatsphäre und das ordnungsgemäße Funktionieren von Computersystemen zu verhindern.
In diesem Bereich ist die Welt des „ethischen“ Hackens von so genannten „weißen Hüten“, Fachleute, die für die Prüfung der Sicherheit von Systemen und Netzwerken verantwortlich sind, besonders wichtig. Personen, die täglich im Auftrag der Eigentümerfirmen die Arbeit der Software analysieren, die wir für unsere täglichen Aktivitäten verwenden, um die Auswirkungen kleiner oder großer Lücken in der Programmierung zu erkennen und zu minimieren. Und obwohl ich kein etablierter Fachmann auf diesem Gebiet bin, werde ich im folgenden Tutorial versuchen zu erklären, wie man ein ethischer Hacker wird, damit ich Ihnen „die Grundlage“ für den Start auf diesem (langen) Weg geben kann.
Wie man ein ethischer Hacker wird
In den folgenden Abschnitten werden wir diese Welt kurz erkunden und versuchen zu verstehen, wer die „weißen Hüte“ sind, was sie tun und welche Vorbereitungen erforderlich sind, um in ihren Markt einzutreten. Ich werde Ihnen auch die Betriebssysteme zeigen, die diesem Beruf am ehesten entsprechen, und ich werde Ihnen über das besondere Problem der beruflichen Zertifizierungen in dieser Kategorie berichten.
Ich erinnere Sie daran, dass meine Leitfäden nur zu Informationszwecken dienen und keine rechtliche, finanzielle, geschäftliche oder sonstige Beratung ergänzen oder ersetzen. Der unbefugte Zugriff auf ein Computersystem ist ein Verbrechen, und wenn Sie Zweifel an der Rechtmäßigkeit Ihres Handelns haben, sollten Sie sich an kompetente Rechtsberater wenden.
Stichwortverzeichnis
- Kriterien für die Hacker-Klassifizierung
- Wer sind die professionellen Weissen Hüte
- Wer kann einen guten Hacker anheuern
- Berücksichtigung von Kopfgeld-Fehlerprogrammen
- Schaffung der Testumgebung für ethische Hacker
- Kenntnisse erforderlich, um ein weißer Hacker zu sein
- Programmiersprachen zum Erlernen für einen ethischen Hacker
- Betriebssysteme für ethisches Hacking
- Wie man von Grund auf ein ethischer Hacker wird
- Einen Job als ethischer Hacker finden
- Vom Hacking inspirierte Filme und TV-Serien
Kriterien für die Hacker-Klassifizierung
Seit etwa dreißig Jahren werden Hacker nach ihrer sozio-ökonomischen Rolle klassifiziert, wobei sie auf malerische Weise, mit Farben der „Uniform“, fast so, als ob sie einen Hut als Symbol hätten, unterschieden werden.
Wir reden also darüber:
- Weißer Hut: „gute“ oder ethische Hacker, über die ich Ihnen in diesem Leitfaden berichten werde, die von Unternehmen angeheuert werden, um die Mängel eines Computersystems zu identifizieren;
- Schwarzhut: „böse“ Hacker, d.h. Kriminelle, die die Sicherheit eines Computersystems verletzen, um Informationen zu stehlen, Lösegeld zu fordern oder Horden von Betrügern, ohne die extremsten Hypothesen von Angriffen mit dem Ziel der Spionage oder noch schlimmer (z.B. Durchführung von Exploits oder Phishing) zu vernachlässigen. Dies ist eine sehr gefährliche Geißel der heutigen IT-Welt, die zu sehr schweren strafrechtlichen Verurteilungen führen kann.
Neben diesen beiden traditionellen Kategorien hat sich im Laufe der Zeit eine dritte herausgebildet, die als „grauer Hut“ bezeichnet wird: Es handelt sich um eine marginale Realität, die sich aus Menschen zusammensetzt, die aus anderen Gründen als gute und schlechte Hacker Bugs oder andere Schwachstellen entdecken. Dazu kann das einfache Studium eines Systems gehören, der Wunsch, Funktionen zu erhalten, die von Programmierern nicht vorgesehen sind, oder andere mehr oder weniger unschuldige Gründe. Es handelt sich jedoch um eine riskante Tätigkeit, die in jedem Fall unzählige Regeln verletzen und zu kriminellem Verhalten führen kann.
Wer sind White-Hat-Profis?
Weiße Hüte sind also technisch gesehen Hacker, d.h. Experten, die die Funktionsweise eines Computerprogramms untersuchen, aber ihre Funktion ist innerhalb der Designstruktur von Unternehmen ziemlich komplex, und tatsächlich können sie wie hochrangige Tester aussehen, die in Synergie mit Ingenieuren arbeiten, um die Mängel und Grenzen der Informationstechnologie aufzudecken.
Ein klassisches Beispiel kann die Geschichte (wirklich und ganz nett) der ersten Kontakte von Bill Gates mit der Welt des Programmierens sein: derjenige, der später der reichste Mann der Welt wurde, war 1968 noch ein Teenager, als er den von seiner Schule gemieteten Computer in die Hände bekam, es ihm gelang, ihn unzählige Male zu blockieren und schließlich einen internen Fehler zu finden, der es ihm erlaubte, den den Benutzern auferlegten Timer zu umgehen (tatsächlich waren Computer zu dieser Zeit so teuer, dass sie nach den Sekunden der Nutzung des Prozessors gemietet wurden). Nach einem ersten Moment der Verlegenheit (was den jungen Bill den Rauswurf aus dem Computerraum kostete!) beschloss der Firmeninhaber des Geräts, ihn damit zu beauftragen, alle ihre Systeme methodisch zu hacken, und so begann er seine Arbeit auf dem Gebiet.
Heute ist die Realität eines weißen Hutes offensichtlich nicht mit den Retro-Bildern aus der Jugendzeit von Bill Gates vergleichbar, und obwohl es stimmt, dass einige dieser Fachleute gelegentlich aus dem Kreis sehr talentierter Enthusiasten rekrutiert werden, erfordert die Komplexität moderner Systeme eine gründliche Kenntnis der Informationstechnologie. Daraus folgt, dass weiße Hüte in der Regel Absolventen der Informatik mit spezifischen Fähigkeiten auf diesem Gebiet sind, aber es ist nicht unbedingt wahr, dass sie ein Universitätsstudium absolviert haben müssen, wie ich Ihnen später erzählen werde, denn sehr begabte Menschen, die bereit sind, sich für das Studium einzusetzen, können auch dank privater Programmier- und Sicherheitskurse ein ausgezeichnetes Niveau erreichen.
Wer kann einen guten Hacker anheuern
Weißhut-Arbeitgeber sind alle Unternehmen und nicht-kommerziellen öffentlichen oder privaten Einrichtungen, die ein Interesse daran haben, die Qualität ihrer IT-Systeme zu testen.
Es handelt sich also um Software, Websites und Netzwerkarchitekturen, die in Banken, Verwaltungen oder in denselben Unternehmen, die sie erstellen, platziert werden und die sich der Qualität ihres Produkts sicher sein müssen. Es handelt sich offensichtlich um eine Arbeit auf höchstem Niveau, die auch auf dem Prestige und der persönlichen Seriosität des beteiligten Fachmanns beruht.
Berücksichtigung von Kopfgeld-Fehlerprogrammen
Bug-Bounty-Programme“ sind Initiativen, die in der Regel von Unternehmen ins Leben gerufen werden, die Online-Dienste (wie Google oder Facebook) anbieten, um die Nutzer dazu zu bewegen, das Vorhandensein von Bugs in ihren Produkten aufzudecken.
In Wirklichkeit handelt es sich nicht um einen Beta-Test oder einen „White Hat“-Service, denn alles endet mit einer „Prämie“ (Belohnung), die die Muttergesellschaft denjenigen gewährt, die ein bestimmtes Problem erkannt haben, ein bisschen wie eine Belohnung für die Mitteilung der Nachricht. Auf jeden Fall mag es das sein, was den niedrigsten Aufgaben eines weissen Hutes am nächsten kommt, die diese Art der Intervention jedoch in der Regel nicht praktizieren.
Schaffung der Testumgebung für ethische Hacker
Das Umfeld, in dem ein IT-Fachmann agiert, insbesondere ein „weißer Hut“, unterscheidet sich sicherlich von dem eines gewöhnlichen Benutzers, aber es ist nicht möglich, generische Überlegungen anzustellen, ohne die genaue Situation zu kennen, in der Sie operieren werden.
Eine weit verbreitete Funktion kann beispielsweise der Einsatz von Virtualisierung sein, die in der Regel sehr leistungsfähige Prozessoren erfordert, um Ergebnisse auf hohem Niveau zu erzielen, was zu höheren Arbeitstemperaturen führt (dies beinhaltet neben einem höheren Stromverbrauch auch die Notwendigkeit, komplexere und teurere Kühlsysteme für die verwendeten PCs zu implementieren).
Zweifellos werden dann eine stabile Internetverbindung und möglicherweise andere Hardware-Geräte (Raspberry, Alpha Networks-Netzwerkkarten usw.) erforderlich sein, die für Tests charakteristisch sind, die oft mit Betriebssystemen oder „use-and-disposable“ (d.h. zerstörbaren) virtuellen Maschinen durchgeführt werden.
Kenntnisse erforderlich, um ein weißer Hacker zu sein
Das Wissen, das von weißen Hüten verlangt wird, hängt in der Regel mit der Art der Arbeit zusammen, die sie zu erledigen haben, aber wir finden es gewöhnlich unter ihnen:
- Programmierung auf hoher und niedriger Ebene (zur Unterscheidung siehe unten);
- Fortgeschrittenes Management von IT-Systemen (Informationstechnologie, d.h. Computer und Netzwerke);
- Verwaltung von Netzwerken;
- Sicherheit und Webprogrammierung;
- Sozialtechnik;
- Starke Argumentationsfähigkeiten und Problemlösung;
- Protokollverwaltung.
Programmiersprachen zum Erlernen für einen ethischen Hacker
Es ist nicht möglich, die Anforderungen an einen „weißen Hut“ auf der Programmierungsebene zu kennen, ohne zu wissen, welche Tätigkeiten er ausführen muss. Im Allgemeinen kann jedoch Kompetenz in einem oder mehreren dieser Bereiche erforderlich sein:
- Low-Level-Programmierung: Sie ist diejenige, die direkt mit der Hardware kommuniziert und Anweisungen in kurze englische Wörter in Maschinensprache übersetzt. Dies sind die „Assembly“ genannten Sprachen, mit denen die wesentlichen Elemente des Betriebssystems erstellt werden;
- High-Level-Programmierung: Dies ist die komplexeste Software, die in der Vollversammlung nicht geschrieben werden könnte, weil die Codes sehr lang und unlesbar wären. Diese Sprachen sind die gebräuchlichsten, wie z.B. C, C++, BASIC und viele andere. Ihr Webbrowser ist beispielsweise mit diesen Sprachen geschrieben;
- Webprogrammierung: Dies sind die Sprachen, die mit der Welt des Internets und der Online-Dienste verbunden sind, d.h. Webseiten und Anwendungen, die mit Skripten arbeiten, d.h. mit Codes, die im Moment von einem Software-Interpreter interpretiert werden, wie z.B. Java, Tcl, Python und PHP.
Betriebssysteme für ethisches Hacking
Einige Betriebssysteme wurden mehr für White Hat-Zwecke eingesetzt als andere, aber es gibt keine strengen Regeln. Ich kann Ihnen einige Beispiele aus der aktuellen Realität nennen.
Kali-Linux
Kali-Linux ist eine auf Debian basierende Linux-Distribution, die speziell entwickelt wurde, um das Testen und Penetrationstesten von Netzwerken durch White-Hats zu erleichtern, und bietet einige typische Werkzeuge vorinstalliert an; es ist wahrscheinlich die bekannteste Version von Linux für White-Hat, da sie von zwei inzwischen eingestellten Projekten stammt, nämlich WHAX (2005 geschlossen) und insbesondere BackTrack (2013 eingestellt, Nachfolger des vorherigen).
Es handelt sich dabei um ein Betriebssystem, das nicht für den alltäglichen Gebrauch konzipiert ist und in der Regel nicht installiert, sondern live über USB oder eine virtuelle Maschine genutzt wird, wobei natürlich eine native Installation möglich ist. Um mehr zu erfahren, lesen Sie, wie man Kali Linux verwendet.
Papagei OS
Papagei OS ist eine auf Debian basierende Linux-Distribution, die sich im Rahmen eines sehr flexiblen Projekts artikuliert, das unter anderem auch Versionen anbietet, die f�r gewöhnliche Benutzer geeignet sind, die aus Studiengr�nden die Welt der Computersicherheit erkunden möchten und �ber Verschl�sselungsprogramme und andere fortgeschrittene Werkzeuge verf�gen.
Linux-Subsystem für Windows 10
In Windows 10 können Sie ein Subsystem installieren, d.h. eine Reihe von Bibliotheken, die es Windows ermöglichen, Linux-Programme so auszuführen, als befänden sie sich in ihrer ursprünglichen Umgebung.
Es handelt sich um eine leistungsfähige Lösung, die vor nicht allzu langer Zeit verfügbar war und bereits ein beträchtliches Potenzial verspricht. Weitere Informationen finden Sie unter dieser Adresse auf der Website von Microsoft.
Wie man von Grund auf ein ethischer Hacker wird
Wie Sie vielleicht schon erkannt haben, ist Ethical Hacking nicht für jeden erreichbar. Gleichwohl steht der Sektor auch hoch motivierten Personen offen, die, ohne einen spezifischen Universitätsabschluss erworben zu haben, solide Fähigkeiten in einem oder mehreren Bereichen erworben haben.
Im Internet finden Sie zahlreiche Kurse, auch oder vor allem online, die die Möglichkeit bieten, auch recht fortgeschrittene Programmierkenntnisse zu erwerben, deren Ernsthaftigkeit aber natürlich überprüft werden muss, insbesondere durch die Überprüfung ihrer Partnerschaften mit offiziellen Ausbildungsinstituten und/oder spezifischen IT-Firmen, die oft mit der Zertifizierung einhergehen, da sie direkt daran interessiert sind, Personen mit „white hat“-Kenntnissen einzustellen.
Es gibt auch unabhängige Zertifizierungen, die sowohl einen Kurs als auch eine Prüfung anbieten, die externen Kandidaten offen stehen, wie z.B. die vom International Council of Electronic Commerce Consultants (EC-Council), einer US-Berufsorganisation, die ihre Kurse an den Cyber-Sicherheitsbedürfnissen der US-Regierung ausgerichtet hat. Im Allgemeinen werden diese Bescheinigungen zum Zeitpunkt der Prüfung bezahlt und sind mehrere Jahre gültig. Danach müssen sie erneuert werden; dies ist notwendig, da die rasche Entwicklung der Technologie die erworbenen Fähigkeiten leicht veralten lässt.
Arbeit als ethischer Hacker finden
Unabhängig von Ihren Fähigkeiten ist es nie leicht, einen Job zu finden, selbst in einem boomenden Sektor wie der IT-Sicherheit. Sicherlich ist der Besitz ausreichender Zertifizierungen ein guter Ausgangspunkt, aber der Erfolg in der Arbeitswelt hängt auch davon ab, zur richtigen Zeit am richtigen Ort zu sein, viele Lehrpläne an die Rekrutierungsbüros der IT-Unternehmen zu schicken und, wenn nötig, mit Personen zu üben, die bereits im Sektor tätig sind.
Sehr oft jedoch sind die „Weißen Hüte“ selbständig, d.h. sie werden nicht mit einem Arbeitsvertrag eingestellt, sondern im Akkord nach vertraglich festgelegten Parametern entlohnt; dies bedeutet in Italien, dass sie in der Regel mehrwertsteuerpflichtige Arbeitnehmer sind.
Es ist natürlich auch möglich, dass ein weißer Hut für ein ausländisches Unternehmen arbeitet, was in der IT-Branche sehr verbreitet ist.
Hacking inspirierter Filme und Fernsehserien
Das Thema Hacking war in den letzten Jahren sehr in Mode, als das Internet als eine neue und geheimnisvolle Realität angesehen wurde, aber in jüngster Zeit hat sich der Schwerpunkt auf weiße Hüte als positive Helden verlagert, insbesondere im Film.
Die bekanntesten Werke sind sicherlich die Fernsehserie Mr. Robot, die den Charakter des „verrückten“ Hackers ausnutzt, aber mit guten Absichten animiert ist, und der Film Snowden von Oliver Stone, in dem das Problem der Cybersicherheit und die Rolle der Regierungen bei ihrem Schutz ernster genommen wird.
Sicherlich nicht zu vergessen ist der Film V für Rache, in dem sich das mysteriöse V, das die Maske von Guy Fawkes trägt, gegen eine totalitäre Regierung stellt. Diese Maske wird auch von Anonymous verwendet, der bekannten Aktivistengruppe, die sich für die Verfolgung der normalerweise vereinbarten Ziele einsetzt.