Een ethisch hacker is een beveiligingsprofessional die met opzet systemen aanvalt, met toestemming van de eigenaar, om de gaten te vinden voordat een echte aanvaller ze misbruikt. Hij gebruikt dezelfde tools en trucs als een kwaadwillende hacker, maar meldt wat hij vindt zodat het gerepareerd kan worden in plaats van misbruikt. Het woord ethisch komt neer op één ding: toestemming en bedoeling.
Zie het als een ex-inbreker inhuren om je gebouw te testen. Je vraagt hem elke deur, raam en slot te proberen, en daarna geeft hij je een lijst van elk zwak punt waar hij doorheen kwam. Je betaalt liever iemand om de gaten te vinden op een rustige dinsdag dan ze te ontdekken tijdens een echte inbraak. Dat is de waarde van een ethisch hacker, en het is de menselijke kant die automatische vulnerability scanning niet helemaal kan dekken. Hun praktische werk wordt meestal opgezet als een penetratietest.
Goede ethisch hackers draaien niet alleen tools. Ze knopen kleine zwakke plekken aan elkaar tot een echt aanvalspad, zoals een vastbesloten indringer zou doen, vaak geleid door frameworks als de OWASP Top 10. Juist die creativiteit is wat een checklist mist. Een scanner haalt zijn schouders op bij een onschuldig ogend opmerkingenveld, terwijl een mens ziet dat het ongefilterd terugkomt, het koppelt aan een zwakke sessiecookie en zo een adminaccount in loopt. Eén klein gat op zichzelf stelt weinig voor. Drie aan elkaar geknoopt worden een lek.
Bij TopDevs zien we de denkwijze van een aanvaller als onderdeel van software bouwen. We ontwerpen systemen zo dat ze het soort prikken van een ethisch hacker weerstaan, en halen er een binnen om te testen voordat gevoelige systemen live gaan.