Waarom een hacker niet per definitie een cybercrimineel is
The bad, the good and the ‘in-between’
Hackers kun je onderverdelen in drie categorieën: black hats, grey hats en white hats. Of hoe je wilt: the bad, the good and the ‘in-between’.
- Black hats hebben slechte intenties. Ofwel ze dringen je systeem binnen om bedrijfskritische informatie te bemachtigen, of ze willen zelfs je systeem platleggen. Het spelelement (de fun) is een belangrijke motivatie, maar het hoofddoel is over het algemeen toch echt geld verdienen. Ransomware bevat niet voor niets uit het woord ‘ransom’.
- De white hat hackers mag je tot op zekere hoogte beschouwen als de ‘good guys’. Ze zetten hun hacking-skills op een ethische manier in, meestal als cybersecurity-specialist. Met toestemming van de organisatie die ze heeft ingehuurd of in dienst heeft genomen, gaan ze op zoek naar een datalek. Je kunt als white hat hacker een rijkelijk belegde boterham verdienen, al is mijn ervaring dat de meeste white hats niet niet voor het geld doen, maar vooral uit zijn op prestige.
- Grey hat hackers hebben niet per se slechte intenties, maar nemen het ook niet zo nauw met de regels en vragen de organisatie die ze hacken niet eerst om toestemming. Wanneer het ze is gelukt binnen te dringen, willen ze hier natuurlijk wel de credits voor krijgen. Reageert het slachtoffer niet of negatief, dan zou het zomaar kunnen dat zijn gegevens alsnog op straat belanden. Die grey hat doet dan in feite niks onder voor een black hat.
Kevin Mitnick: van grey naar white
Dat die hat inwisselbaar is, bewijst Kevin Mitnick die op de meeste ‘most-famous-hackers’-lijstjes is terug te vinden. Kevin wist als grey hat in de jaren ‘80 en ‘90 vele systemen binnen te dringen, tot dat van het Pentagon aan toe. Hij werd gedreven door de wil om technologie beter te leren begrijpen, niet door geld. Maar enfin, de wet stond het natuurlijk niet toe. Zeker toen niet. Want toen Kevin werd gepakt, kreeg hij een strafmaat opgelegd die zwaarder was dan moord. Sterker nog: hij belandde zelfs acht maanden in de isoleercel. Men dacht dat hij vanuit de gevangenis nog steeds als hacker te werk kon gaan als hij per ongeluk toegang zou krijgen tot een telefoon. Het simuleren van de geluiden van een inbelverbinding zou al voldoende zijn. Het zegt genoeg over de staat van en kennis over cybersecurity twintig jaar geleden…
Inmiddels is Kevin al weer geruime tijd op vrije voeten en heeft hij met Mitnick Security Consulting zijn eigen pen-testing-bedrijf opgericht. Ook adviseert hij KnowBe4 als Chief Hacking Officer en heeft hij zijn naam verbonden aan security-awareness trainingen die door KnowBe4 worden aangeboden.
De techniek die Kevin als hacker toepaste en de basis vormt van deze trainingen heet social engineering. Dit is de kunst van het manipuleren, beïnvloeden of misleiden van anderen. Bijvoorbeeld door middel van phishing-berichten: het startpunt van meer dan 90% van alle succesvolle datalekken. Zijn jouw medewerkers al voldoende in staat om een phishing-e-mail tijdig te herkennen en te rapporteren? Kom erachter met deze gratis phishing-test.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee