Whitehate Marc Ruef | 28.11.2011 Für Aussenstehende klingt der Begriff "Whitehate" nach einer rassistischen Tendenz. Tatsächlich handelt es sich hier um einen alten Ausdruck, der von Kriminellen im "Untergrund" genutzt wird, um ihren Unmut über professionelle Sicherheitsexperten zum Ausdruck zu bringen. Die Blackhat-Hacker zeigen damit ihren Hass gegenüber den Whitehat-Hackern. Ich habe mich nie als Blackhat verstanden, denn für mich stand beim Thema Informationssicherheit stets der wissenschaftliche und soziale Aspekt im Mittelpunkt. Es ist unvermeidbar, dass wir uns heutzutage in einer Informationsgesellschaft wiederfinden und Informationssicherheit deshalb zu einem zentralen Aspekt des Zusammenlebens geworden ist. Ethische und moralische Tugenden sollen deshalb auch auf virtueller Ebene verteidigt werden. Aus diesem Grund habe ich sehr früh davon abgesehen, mit einem Pseudonym aufzutreten. Stattdessen habe ich von Beginn weg Artikel unter meinem echten Namen publiziert (http://www.computec.ch/mruef/?s=publikationen). Ich wollte damit die Grundlage schaffen, um irgendwann professionell im Bereich der Informationssicherheit arbeiten zu können. Im Jahr 2000 habe ich das dann auch geschafft, als ich beim deutschen Unternehmen Biodata Information Technology AG als IT Security Expert anfangen konnte. Schon damals wurde ich in diversen Foren als Verräter dargestellt, der sich für Geld prostituiert. Zudem sei mein Wissen mangelhafter Natur und damit sowieso bewiesen, dass sogenannte "professionelle Computersicherheit" nichts taugt. Ich kann diese Argumentation bis heute nicht nachvollziehen. Ich verdiene schliesslich mein Geld lieber mit etwas, das mir Spass macht. Zudem haben wir uns bei scip AG (http://www.scip.ch) mittlerweile einen derart guten Namen geschaffen, dass wir durchaus auch mal "uninteressante" Aufträge ablehnen können. Prostitution würde ich das also nicht nennen. Als viel schwerwiegender verstehe ich hingegen das offensichtlich zur Schau getragene Unwissen, wie Informationssicherheit beschaffen ist. Viele Kiddies denken, dass Coding und Exploiting die Hauptpfeiler dieses Themengebiets sind. Tatsächlich ist es bedeutend vielschichtiger und komplexer. Wer nur auf diesen beiden Gebieten bewandert ist, wird in unserer Firma noch nicht einmal zu einem Vorstellungsgespräch (http://www.scip.ch/?firma.jobs) eingeladen. Unsere Kunden erwarten, dass wir sämtliche Aspekte der Informationssicherheit verstehen können. Dazu gehört beispielsweise auch das in technischen Kreisen gerne vernachlässigte Thema Risikomanagement. Bevor man über Exploits und Patches spricht, sollte man über Bedrohungen und Risiken reden. Denn das Hauptziel ist stets das Eliminieren von Risiken (http://www.computec.ch/projekte/tractatus/?s=tractatus). Ein gutes Beispiel, warum ein Blackhat nicht einfach die Arbeit eines Whitehat machen kann, findet sich im Bereich der Backdoor Tests (http://www.scip.ch/?dienstleistungen.backdoortest). Durch das Entwickeln einer kundenspezifischen Malware soll ein möglichst realistischer Angriff durchgespielt werden. Durch diesen wird es möglich, sämtliche Facetten der etablierten Sicherheitsmassnahmen betrachten zu können. Ein Blackhat wird in den meisten Fällen eine Malware programmieren, um seiner Experimentierfreudigkeit und Kreativität freien Lauf zu lassen. Ob und inwiefern etwas bei der Ausführung mal nicht reibungslos funktioniert, ist eher zweitrangig, sofern es überhaupt funktioniert. Bei einer professionellen Sicherheitsüberprüfung sind jedoch ganz andere Anforderungen (http://www.computec.ch/news.php?item.209) gegeben. Hier geht es darum, ein Maximum an Zuverlässigkeit, Nachvollziehbarkeit und Transparenz zu erreichen. Die Entwicklungs-Phase ist in den meisten Fällen schnell abgeschlossen (üblicherweise 2-3 Manntage). Überproportional viel Aufwand wird hingegen in das Testing gesteckt (im Extremfall bis zu 30 Manntagen). Schliesslich wird man mit der Malware eine produktive Umgebung infiltrieren und dabei darf ja nichts schief gehen. Zudem muss zu jedem Zeitpunkt klar ausgewiesen werden können, welche Systeme infiziert sind und wie weit die Infizierung fortgeschritten ist. Im Notfall muss unverzüglich eine Desinfektion stattfinden können. Fremd-Infektionen von Systemen anderer Firmen sind dabei genauso zu verhindern, wie ein Verlust der Kommunikationsmöglichkeit mit dem C&C-Server. Diese Funktionalitäten einzubringen erfordert zusätzlichen Aufwand. Erweiterte Anforderungen dieser Art gibt es bei allen Projekten, egal ob es sich nun um Backdooring, Exploiting oder Auditing handelt. In der Geschäftswelt in produktiver Weise und mit Verlässlichkeit zu agieren, ist bedeutend schwieriger, als sich die meisten Hobby-Hacker vorstellen. Denn da gibt es immer jemanden, bei dem man sich für seine Fehler rechtfertigen muss. Und im schlimmsten Fall hat dies gar finanzielle oder juristische Auswirkungen. Denn wer übernimmt die Kosten, wenn die Malware keine eigenständige Desinfektion mehr umsetzen kann und stattdessen auf 120'000 Rechnern in verschiedenen Ländern eine manuelle Säuberung stattzufinden hat? Die Zeiten ändern sich wohl nie und so habe ich gerade vor einigen Wochen eine Foren-Diskussion (http://back2hack.cc/showthread.php?tid=6047) mitgekriegt, in der meine Arbeit mit "Whitehate" abgespiesen wurde. Schade, dass die Schreiberlinge sich nicht die Mühe gemacht haben, meinen gesamten Artikel (http://www.scip.ch/?labs.20110914) zu lesen. Weil dann hätten sie ihre Fehlbarkeit bemerken müssen. Es zeugt nicht gerade von Professionalität der selbsternannten "Blackhats", wenn sie sich nicht einmal die Mühe machen, die einfachen Fakten zu prüfen. So jemanden würde ich ebenfalls nie zu einem Vorstellungsgespräch einladen wollen.