← Terug naar alle modules
Beginner MODULE 05 ⏱️ 2-3 uur

Ethical Hacking Basis

Wat maakt een hacker "ethisch"? Leer de wet- en regelgeving, de gedragscodes en de vaste methodologie (de 5 fases) die elke professionele pentester volgt.

Jouw voortgang: 0%

1. Ethiek en Wetgeving

Het enige technische verschil tussen een kwaadaardige hacker en een ethical hacker (pentester) is **toestemming**. Als jij een kwetsbaarheid uitbuit in een systeem zónder voorafgaande expliciete, schriftelijke toestemming van de eigenaar, pleeg je een misdrijf (Computervredebreuk, Art. 138ab WvK in Nederland).

Gouden Regel van CyberPad: Hack nooit systemen die niet van jou zijn, tenzij je schriftelijke toestemming hebt (Rules of Engagement) of wanneer het systeem uitdrukkelijk is bedoeld om te hacken (zoals TryHackMe of HackTheBox).

2. De "Hoed" Kleuren

Binnen de industrie gebruiken we hoedkleuren (afgeleid van oude western-films) om hackers te categoriseren:

  • White Hat: De ethical hacker. Werkt met toestemming, helpt organisaties veiliger te worden, breekt de wet niet.
  • Black Hat: De criminele hacker. Steelt data, verspreidt ransomware, werkt voor persoonlijk gewin.
  • Grey Hat: Hangt er tussenin. Hackt vaak zonder toestemming, maar heeft geen kwade intenties (meldt het lek bijvoorbeeld anoniem). Let op: dit is nog steeds illegaal!

3. De 5 Fases van Hacking (Methodologie)

Hacken is niet wild op een toetsenbord rammelen. Het is een extreem gestructureerd proces. Iedere professionele hack- of pentest bestaat uit de volgende 5 opeenvolgende stappen:

  1. Reconnaissance (Verkenning): Informatie verzamelen over het doelwit zonder op te vallen. Dit is passief. Denk aan het zoeken van emailadressen via Google, LinkedIn analyseren, of openbare DNS-records bekijken (OSINT).
  2. Scanning & Enumeration: Actief verbinding maken met het doelwit. Je scant welke poorten open staan (bijv. met Nmap) en welke services daarop draaien. Dit laat sporen achter in de logboeken van de server.
  3. Gaining Access (Exploitation): De daadwerkelijke "hack". Je misbruikt een gevonden kwetsbaarheid om toegang te krijgen tot het systeem of data te stelen.
  4. Maintaining Access (Persistence): Ervoor zorgen dat je erin blijft. Je installeert bijvoorbeeld een "backdoor" (achterdeur) of maakt een verborgen admin-account aan, zodat je morgen niet opnieuw hoeft in te breken.
  5. Covering Tracks (Sporen Wissen): Je verwijdert logbestanden, wist je foutmeldingen en verbergt je tools, zodat het slachtoffer en forensisch onderzoekers niet doorhebben dat je bent binnengeweest. (Als White Hat doe je dit ook, gevolgd door het overhandigen van een rapportage!).

4. Types Penetration Tests

Wanneer een bedrijf je inhuurt, bepalen ze hoeveel informatie ze je vooraf geven. Dit bepaalt de soort test:

  • Black Box: Je weet helemaal niets over de infrastructuur, net als een echte externe aanvaller. Ze geven je alleen de naam van het bedrijf.
  • White Box: (Ook wel Crystal Box genoemd) Je krijgt álle informatie: broncode, netwerktekeningen en wachtwoorden. Dit is de meest grondige manier om fouten te vinden.
  • Grey Box: Je krijgt een beetje informatie, bijvoorbeeld inloggegevens voor een normaal medewerkers-account. Ideaal om te testen of een interne medewerker schade kan aanrichten.

🎯 Praktijkopdrachten

  • Bug Bounty Programma's geven jou toestemming om hun site te hacken onder strikte voorwaarden. Ga naar HackerOne, zoek een groot bedrijf (bijv. Yahoo of PayPal) en lees hun 'Rules of Engagement' of 'Policy' door.

📝 Kennis Test

Vraag 1 van 3