Erfahren Sie, was es braucht, um diesen anspruchsvollen und lohnenden Job zu ergreifen. [...]
Wie wäre es, wenn Sie Ihre Tage damit verbringen könnten, sich Zugang zu den Netzwerken und Computersystemen anderer Leute zu verschaffen – und dafür keinen Ärger zu bekommen? Natürlich ist das der Traum eines jeden Spions und Cyberkriminellen, aber nur ethische Hacker, auch bekannt als White Hat Hacker oder Penetrationstester, können sich sicher sein, dass sie mit ihren Einbrüchen durchkommen werden. Diese Sicherheitsprofis werden angeheuert, um Systeme auf Schwachstellen zu untersuchen, damit ihre Ziele herausfinden können, wo ihre Sicherheit verbessert werden muss.
Früher gab es in der Branche Zweifel daran, ob Hacken überhaupt ethisch vertretbar ist, aber heute ist es eine anerkannte Praxis. Für diejenigen, die ihre Fähigkeiten unter Beweis stellen wollen, gibt es Branchenzertifizierungen, und Unternehmen stellen so genannte „Red Teams“ aus Pen-Testern zusammen, um ihre Sicherheitslage ständig zu überprüfen. Für diesen Job sind ganz besondere Fähigkeiten erforderlich, und zwar sowohl Hard- als auch Soft Skills. Wir haben mit einer Reihe von ethischen Hackern und denjenigen, die mit ihnen zusammenarbeiten, gesprochen, um herauszufinden, was nötig ist, um diesen anspruchsvollen und lohnenden Job zu ergattern.
Hard Skills
Einige Penetrationstester spezialisieren sich zwar auf bestimmte Technologiebereiche, doch die meisten sind Generalisten: Schließlich lässt sich nicht vorhersagen, welcher Aspekt eines Zielsystems oder -netzwerks sich für einen Einbruch eignet. Jeder, der in diesem Bereich tätig werden möchte, braucht also ein breites Spektrum an technologischem Wissen. Aber keine Sorge, wenn Sie keinen Master-Abschluss oder tiefes Buchwissen haben: Praktisches Wissen, das Sie durch Tüfteln und Experimentieren erwerben, wird Ihre wertvollste Ressource sein. Dennoch haben unsere Experten eine gute Liste von Technologien zusammengestellt, mit denen Sie zu Beginn Ihrer Reise als ethischer Hacker vertraut sein sollten.
System- und Datenbankverwaltung. Ein Penetrationstester muss alles über die Systeme wissen, in die er eindringen will, und viele ethische Hacker kommen aus der Welt der Systemadministratoren. Jim O’Gorman, Präsident von Offensive Security, empfiehlt, dass Pen-Tester mit der allgemeinen Unix-, Linux- und Windows-Administration sowie mit der Interaktion mit SQL und Datenbanken vertraut sein sollten.
Scripting. „Die Fähigkeit, Teile des Arbeitsablaufs oder der Angriffsinfrastruktur zu automatisieren, ist entscheidend“, sagt Jordan LaRose, Direktor bei F-Secure. „Viele Angriffstechniken beruhen auf einer Flut von Anfragen oder sich wiederholenden Schreibvorgängen in einer Datei, so dass die Automatisierung dieser Vorgänge eine Menge Zeit und Nerven sparen kann. Scripting-Kenntnisse „sind besonders in der Windows-Welt nützlich“, meint Andrew Useckas, CTO bei ThreatX. „PowerShell-Skripte sind eine gute Möglichkeit, Endpunkt-Sicherheitstools zu umgehen.
Codierung und Softwareentwicklung. Zu verstehen, wie Anwendungscode geschrieben wird – und die Prozesse, mit denen dieser Code geschrieben wird – kann der Schlüssel zum Auffinden von Schwachstellen sein. „Viele der Top-White-Hatters haben ihre Zähne in der Welt der Softwareentwicklung ausgeschlagen, und das ist sehr sinnvoll“, sagt Elad Luz, Head of Research bei CyberMDX. „Die Mitarbeit in der Entwicklung bietet Einblicke in die Erstellung eines Produkts und macht den Entwickler mit einer Vielzahl verschiedener Tools und Software vertraut. Vor allem aber kann er sich in die Gedankenwelt des Entwicklers hineinversetzen und verstehen, mit welchen Herausforderungen er konfrontiert ist.“
Networking. Wenn Sie in ein Zielnetzwerk eindringen wollen, müssen Sie wissen, wie Netzwerke funktionieren und wie man sie am einfachsten umgeht. „Verfügen Sie über ein grundlegendes Verständnis der verschiedenen Arten von Protokollen sowie der Netzwerkschichten und Betriebssysteme“, rät Colin Gillingham, Director of Professional Services bei der NCC Group. Yaroslav Babin, Leiter der Abteilung für die Sicherheit von Webanwendungen beim SWARM-Team von Positive Technologies, sagt, dass Sie sich insbesondere auf „interne Netzwerke und die Prinzipien und Funktionen des Active Directory-Dienstes konzentrieren sollten, da die meisten Unternehmensinfrastrukturen auf Microsoft Windows aufgebaut sind“.
Design und Schwachstellen von Webanwendungen. Webanwendungen sind ein gängiges Mittel, um in die Zielinfrastruktur einzudringen, und Babin sagt, dass Pen-Tester „einen soliden Hintergrund bei der Suche nach Web-Schwachstellen haben sollten. Dazu gehört nicht nur die Kenntnis der gängigsten Schwachstellen, sondern auch die Erfahrung mit deren Ausnutzung und das Verständnis dafür, was die einzelnen Ausnutzungsmethoden ermöglichen können – beispielsweise kann eine SQL-Injektion nicht nur den Zugriff auf die Datenbank ermöglichen, sondern manchmal auch die Fernausführung von Befehlen auf einem Knoten.“
Hacking-Tools. Es gibt eine riesige Auswahl an Tools und Dienstprogrammen, die Pen-Tester verwenden können, viele davon sind kostenlos und quelloffen. Der Einstieg in diese Tools ist oft trügerisch einfach, aber ein erfahrener Pen-Tester versteht ihre Feinheiten. „Neulinge in der Branche verirren sich oft und führen automatische Analysen durch, ohne eine ordnungsgemäße Konfiguration einzurichten, und melden falsch positive Ergebnisse“, sagt der unabhängige Cybersicherheitsexperte Daniel Kirchenberg. „Es ist wichtig, die Ergebnisse auch zu testen, bevor man Zeit verschwendet. Wenn Sie verstehen, wie Ihre Tools funktionieren, können Sie Stunden oder sogar Tage an Arbeit sparen.“
Soft Skills
Sie hätten wahrscheinlich vermutet, dass ein ethischer Hacker ein breites Spektrum an technischen Fähigkeiten benötigt, um Penetrationstests gegen Zielsysteme ordnungsgemäß durchzuführen. Die Pen-Testing-Profis, mit denen wir gesprochen haben, betonten jedoch die breite Palette an Soft Skills und Persönlichkeitsmerkmalen, die ihrer Meinung nach für das Leben eines ethischen Hackers unerlässlich sind. Die meisten technischen Fähigkeiten können erlernt werden, aber viele dieser Eigenschaften sind eher eine Frage der Denkweise als des Wissens.
Leidenschaft. Die vielleicht häufigste Antwort, die wir von allen Experten, mit denen wir gesprochen haben, erhalten haben, ist, dass ein ethischer Hacker sehr neugierig sein muss, wie Systeme funktionieren, und das Hacken um seiner selbst willen lieben muss. „Menschen in diesen Positionen müssen die Eigenschaft haben, Dinge auseinandernehmen zu wollen und all die verschiedenen Möglichkeiten herauszufinden, wie sie Dinge tun können“, sagt Tammy Kahn, CEO und Mitbegründerin der Blockchain-Beratungsfirma BTblock. „Noch wichtiger ist, dass sie es tun, weil sie das Aufbrechen lieben, nicht um Geld zu verdienen.“
Diese Leidenschaft kann bei besonders kniffligen Aufgaben auf die Probe gestellt werden, daher ist die Fähigkeit, auch bei Rückschlägen durchzuhalten, ein Muss. „Penetrationstests sind definitiv keine exakte Wissenschaft, und es bedarf oft vieler Versuche und Wiederholungen, bis man in etwas einbrechen kann“, sagt LaRose von F-Secure. „Man muss hartnäckig sein und darf sich nicht scheuen, verrückte Ideen auszuprobieren.“
Allerdings müssen Pen-Tester auch in der Lage sein (um es mit den weisen Worten von Kenny Rogers zu sagen), zu wissen, wann sie aufgeben und sich zurückziehen müssen. „Hacker müssen eine zuversichtliche Haltung bewahren, um in einer scheinbar vergeblichen Anstrengung voranzukommen, aber sie müssen sich auch regelmäßig fragen, ob sie in die richtige Richtung gehen, und dürfen sich nicht von ihrem Ego ablenken lassen“, sagt Luz von CyberMDX. „Es ist gut, sich von Misserfolgen nicht einschüchtern zu lassen, aber man sollte auch bereit sein, Forschungsarbeiten, in die man bereits viel Zeit investiert hat, zu verwerfen, wenn man keine Fortschritte sieht. Zu wissen, wann man aufhören muss, ist in manchen Szenarien genauso wichtig wie Beharrlichkeit.
Und die Leidenschaft und Neugier eines ethischen Hackers sollte bedeuten, dass er sich ständig über neue Entwicklungen in der Branche informiert und seine Fähigkeiten verbessert. „Oft stößt man auf eine Mauer und muss eine neue Technik erlernen, oder man muss die Person oder das Unternehmen, das man ins Visier nimmt, gründlich recherchieren, um die beste Angriffsmethode zu finden“, sagt LaRose. „Ein Großteil der Zeit, die für einen Penetrationstest benötigt wird, wird für die Entwicklung dieser neuen Fähigkeiten oder für das Sammeln von Informationen über Ihr Ziel verwendet.
„Code-Praktiken ändern sich, neue Sprachen kommen auf den Markt, neue Frameworks werden veröffentlicht, einige werden aktualisiert, auch Anwendungen werden aktualisiert, und das bedeutet nur eines: Sie müssen weiter lernen, um Ihre Arbeit weiterhin ausführen zu können“, fügt Kirchenberg hinzu.
Cleverness. Ein weiterer Punkt, in dem sich die meisten unserer Experten einig waren: Pen-Tester müssen „anders denken“, d. h. sie müssen sich nicht nur mit Computern aus Büchern auskennen, sondern die Probleme, mit denen sie beim Einbruch in die Zielnetzwerke konfrontiert werden, mit Querdenken angehen. Der Kern der „Soft Skills“ ist die Fähigkeit, außerhalb des Skripts zu denken“, sagt Doug Britton, CEO von Haystack Solutions. „Man muss flink, kühn und kreativ sein“.
Ethische Hacker „brauchen die Fähigkeit, über den Tellerrand hinauszuschauen, um in der Lage zu sein, die Grenzfälle eines Systems zu finden – Lücken in den Spezifikationen oder einfach unerwartete Nutzung“, fügt Diego Sor, Director of Consulting Services bei Core Security by HelpSystems, hinzu.
LaRose von F-Secure hebt zwei Eigenschaften hervor, die den Denkprozess eines guten Pen-Testers kennzeichnen. Die erste ist die Fähigkeit zur Deduktion, oft auf der Grundlage begrenzter Informationen. „Oft geschehen die Auswirkungen dessen, was man als Pen-Tester tut, hinter den Kulissen, und man muss in der Lage sein, zu erraten, ob das, was man tut, funktionieren wird oder funktioniert hat“, sagt er. Zweitens muss man in der Lage sein, Hackerangriffe als menschliches Problem zu betrachten, nicht nur als technisches Problem. „Bei jeder Art von Test mit einer Social-Engineering-Komponente, wie z. B. Phishing, ist es entscheidend, sich in die Lage der Zielgruppe zu versetzen, um einen glaubwürdigen Vorwand zu schaffen“, erklärt er.
Ethische Hacker müssen sich nicht nur in die Köpfe ihrer Zielpersonen hineinversetzen, sondern auch echte Angreifer verstehen, deren Techniken sie nachzuahmen versuchen, damit die Guten verstehen, womit sie es zu tun haben. „Früher musste ein rotes Team nur ‚einbrechen‘, um seinen Wert zu beweisen“, sagt Ron Gula, Präsident von Gula Tech Adventures. „Heute müssen Red Teams die Bedrohungsakteure aktiv nachahmen, was bedeutet, dass sie die Techniken bestimmter Bedrohungen kennen. Dies manifestiert sich in bestimmten Arten von Mitre ATT&CK-Tools und in der Simulation von langfristigen Malware-Befehls- und Kontrollkampagnen.“
Kommunikation und Zusammenarbeit. Das stereotype Bild eines Hackers, ob ethisch oder nicht, ist das eines einsamen Wolfs, der in einem dunklen Raum hinter einer Tastatur hockt und nach Schwachstellen in einem Zielobjekt sucht. Tatsächlich ist die Fähigkeit, im Team zu arbeiten und mit Kollegen und Kunden zu kommunizieren, eine der wichtigsten Eigenschaften, die ein Pen-Tester haben kann, sagt Gabby DeMercurio, Director Red Team, Social Engineering und Physical Penetration Testing bei Coalfire.
„Man kann der beste Hacker der Welt sein, aber wenn man nicht in der Lage ist, einen lesbaren, zusammenhängenden Bericht darüber zu verfassen, was man getan hat und wie man es getan hat, so dass ein Kunde den Angriff nachvollziehen, kopieren und dann beheben kann, dann ist das am Ende des Tages nicht wirklich wichtig“, sagt sie.
Daniel Wood, Leiter der Abteilung Produktsicherheit bei Unqork, sagt: „Es ist unglaublich wichtig, dass man in der Lage ist, technische Sicherheitsrisiken in Geschäftsrisiken zu übersetzen. Das bedeutet, dass man die Unternehmen und ihre geschäftlichen Anwendungsfälle verstehen muss und wissen muss, welche Auswirkungen eine technische Schwachstelle auf ihre Betriebsfähigkeit, die Vertraulichkeit ihrer Daten und letztlich auf die Sicherheit ihrer Kunden haben würde.“
Diese Kommunikationsfähigkeiten sind aufgrund der heiklen Natur des Geschäfts der White Hats besonders wichtig: Denken Sie daran, dass Sie, wenn es Ihnen gelingt, in das Zielsystem einzudringen, möglicherweise einige Mitarbeiter des Kundenunternehmens in Verlegenheit gebracht haben. „Im Gegensatz zu Hackern, die versuchen, eine Schwachstelle auszunutzen, arbeiten White Hat Hacker mit einer dritten Partei zusammen, um die Cybersicherheit eines bestimmten Produkts zu verbessern“, erklärt Luz von CyberMDX. „Die Herausforderung besteht darin, die schlechte Nachricht – das Melden einer Schwachstelle – zu überbringen und gleichzeitig eine positive Gesprächsatmosphäre aufrechtzuerhalten, die zu kooperativen Arbeitsbeziehungen führt.
Diese guten Arbeitsbeziehungen sind auch innerhalb Ihres eigenen Teams wichtig. „Es ist wichtig, mit seinen Kollegen zusammenzuarbeiten, da man nicht alles weiß“, sagt DeMercurio von Coalfire. „Die Fähigkeit zu lernen und sich gegenseitig zu helfen, sich weiterzuentwickeln, ist das, was wir mit ‚It takes a village‘ meinen. Einzelkämpfer fallen schnell hinter diejenigen zurück, die gut zusammenarbeiten.
Und Ihre Verbündeten sollten mehr sein als nur die Mitarbeiter Ihres Unternehmens. „Einer der wichtigsten Aspekte von Penetrationstests ist die Gemeinschaft, die sie umgibt“, sagt LaRose von F-Secure. „Die offensive Sicherheitsgemeinschaft ist eine der engsten der Welt, und fast alles, was wir tun, basiert auf der Arbeit unzähliger anderer Mitglieder unserer Gemeinschaft. Die Fähigkeit, sich mit der Community auszutauschen, von ihr zu lernen und zu ihr beizutragen, sind alles Fähigkeiten, die jeder Pen-Tester braucht, um erfolgreich zu sein.“
Ethik. OK, vielleicht scheint dies offensichtlich, da das Wort „ethisch“ direkt in der Stellenbeschreibung steht. Aber in Wahrheit wird einem Pen-Tester viel Verantwortung und Macht übertragen, und man muss sich sicher sein, dass er diese nicht missbrauchen wird.
Heather Neumeister ist Director of People Operations bei NetSPI, einem Unternehmen, das sich auf Penetrationstests und die Verwaltung von Angriffsflächen spezialisiert hat. „Die Beurteilung der Ethik eines Bewerbers basiert sowohl auf dem Hintergrund als auch auf der persönlichen Einschätzung“, erklärt sie. „Wenn Ethik und Moral zu den Kriterien gehören, die für eine Neueinstellung in Betracht gezogen werden, ist immer ein gewisses Bauchgefühl vorhanden.
Aber es ist auch wichtig, Fragen zu stellen, warum sich jemand für Pen-Tests entschieden hat, da man die Absichten einer Person in den ersten Gesprächen meist schnell erkennen kann. Um Menschen mit starken ethischen und moralischen Werten zu finden, kann es hilfreich sein, sich die Aktivitäten eines Kandidaten in der Gemeinschaft anzusehen. Außerberufliche Aktivitäten wie gemeinnützige Arbeit, öffentliche Forschung und Open-Source-Beiträge können nützliche Indikatoren für einen höheren ethischen Standard sein, denn oft sind diejenigen, die sich für einen positiven Nutzen für die Sicherheitsbranche entscheiden, ohne sich persönlich zu bereichern, diejenigen, die sich wirklich für ethisches Verhalten einsetzen.“
Natürlich sind Ethik und Gesetz nicht ganz dasselbe – und egal, wie sehr Sie sich an Ihren Ethikkodex halten, Sie müssen sicherstellen, dass Sie auf der richtigen Seite des Gesetzes bleiben. Das gilt besonders in der Welt der Pen-Tests, wo die Rechtslage unklar sein kann und die Egos der Kunden verletzt werden können, sagt Michael Jeffcoat, Gründer der Jeffcoat Firm. Jeffcoat ist Versicherungsanwalt und hat im Laufe der Jahre eng mit mehreren White-Hat-Hackern zusammengearbeitet.
„Das Fehlen eines allgemein anerkannten Rechtsrahmens macht ethische Hacker anfällig für Klagen“, erklärt er. „Auch wenn ethische Hacker einen Vertrag haben, der besagt, dass ihre Arbeitgeber sie ausdrücklich gebeten haben, in ihre Systeme einzudringen, kann der Arbeitgeber sie trotzdem verklagen, wenn er der Meinung ist, dass der Hacker ‚unaufgeforderte Angriffe‘ durchgeführt hat.“
Um diese Art von Ärger zu vermeiden, rät er, dass Pen-Tester ein gutes Grundwissen über das einschlägige Recht haben, einen guten Anwalt oder beides. „Ethische Hacker müssen ihre Projektverträge gründlich lesen“, rät er. „Alle Vereinbarungen sollten ausdrücklich den Umfang und die Begrenzung der bestellten Penetrationstests festlegen. Denken Sie daran: Explizite Angaben verhindern eine subjektive Vertragsauslegung.“
Die Wenigen, die Stolzen, die Hacker
Die Qualitäten, die wir hier beschrieben haben, nämlich die Kombination von technischem Verständnis, unkonventionellem Denken und „soften“ Kommunikations- und Kooperationsfähigkeiten, mögen wie eine große Herausforderung klingen. Aber es erklärt auch, warum ethische Hacker in Sicherheitskreisen überlebensgroß zu sein scheinen.
„Ein sympathischer Hacker, der von den Leuten gemocht wird, dem sie vertrauen und mit dem sie gerne reden, ist der gefährlichste und gefragteste von allen“, erklärt DeMercurio. „Denn das ist die Person, die sich in ein Gebäude hineinredet, sich von jemandem die Schlüssel zum Datenschrank aushändigen lässt und sie dann in Ruhe lässt, weil sie vertrauenswürdig war. Das ist die Person, die man anstreben sollte, und das ist genau die Person, vor der Unternehmen Angst haben sollten. Zum Glück für sie sind wir White Hat Hacker“.
*Josh Fruhlinger ist Autor und Redakteur und lebt in Los Angeles.
Be the first to comment