Misschien moeten ze eens stoppen met het stellen van belachelijk eisen wanneer iemand zichzelf een ethisch hacker mag noemen. Mn voormalig detacheerder kwam dan aan met een hoop bullshit cursussen die er geen reet mee te maken hebben.

Mischien te hoge eisen? (of vage)
Als ik CEH zie staan met een combinatie van universitaire opleiding vraag ik mij af wie dat geschreven heeft.

Hackers met communicatieve vaardigheden is ook z'n dooddoener.
Communicatie is waar de meesten wel aan kunnen werken.

Advies en presentatie zou men wellicht ook beter kunnen laten doen door personen welke daar goed in zijn. In grote lijnen kan men vertellen wat er mis is en details kunnen in een losse sessie besproken worden met de techneuten/"hackers".

Zelf heb ik er ook een hekel aan (+ reizen) en schiet de vulnerability liever een bug bounty programma of bug tracker in. Ik zou dan ook sneller zoeken op "security tester" of "vulnerability researcher" maar die functies zijn natuurlijk ook niet helemaal gelijk aan ethical hacker.

Een progammeertaal kennen klinkt leuk maar hoe nuttig is het? Laat iemand met een programmeer achtergrond interne tooling ontwikkelen en code-reviews uitvoeren. Een netwerkbeheerder kan zich dan weer focussen op infrastuctuur vulnerabilities. Natuurlijk moet je altijd wel wat code kunnen lezen en kleine modificaties uitvoeren maar daar groei je wel in.

De meeste rapporten die ik zie van bedrijven met ethische hackers zijn ooit opgesteld door iemand (die er geen verstand van hacken had) en worden dan ingevuld door de hacker. Niets geen rapporten en presentaties.

Een ethische hacker werkt bovendien vaak in een team. Daar hoeft niet iedere hacker alle vaardigheden te hebben. Je wilt misschien juist niet dat de hacker de presentatie geeft. Laat hem doen waar hij het beste in is en zorg voor een communicatief vaardig leider, die de presentaties geeft en rapporten redactioneel afmaakt. De hacker kan dan eventueel nog altijd mee op bedrijfsbezoek voor lastige vragen, maar de domme vragen kunnen door de teamleider afgevangen worden. Die is vaak ook diplomatischer als die klant voor de vijfde keer hetzelfde vraagt op een iets andere manier.

Oja, als hij niet in een team werkt, zou ik zijn werk niet vertrouwen. Dat zie ik ook nog wel eens langskomen. Dan heeft de hacker Nessus gedraaid. De resultaten worden dan in verschillende hoofdstukken geplakt met informatie van de relevante CVE paginas erbij om het document maar extra dik te maken.

Peter

Met duffe gesloten platformen zoals mac OS en windows zijn er ook niet zoveel hackers meer in de maak...

Wat hacken vroeger betekende is het nu meer iets "anders" en iets negatiefs... "ethical of whitehat hacker" sja...

net zo een vreemde term als "positieve discriminatie". Discriminatie is niet positief... slim, verwarrend en stigmatizerend.

Misschien is het wel volstrekt normaal om eisen te stellen aan nieuwe ingehuurde medewerkers. Of ze nou ethisch hacker zijn, of iets anders. En als je gaat werken bij een detacheerder is het redelijk common sense dat die detacheerder aan klanten moet aan kunnen tonen welke vaardigheden je hebt - anders nemen ze een andere kandidaat.

Ik zou zeggen, zorg dat je de papiertjes haalt. Of ga werken bij een vaste werkgever, die het niets uitmaakt. Maar gaan werken in de detachering, en dan gaan klagen over het feit dat je werkgevers aan klanten moet kunnen aantonen over wat voor kennis en vaardigheden jij beschikt, is redelijk lachwekkend. Dat is de aard van het vak.

Redelijk vitaal, om je werkzaamheden als ethisch hacker goed uit te kunnen voeren. Immers moet je als ethisch hacker tooling kunnen ontwikkelen, en code-reviews kunnen uitvoeren. Kan je dergelijke zaken niet, dan heb je een mooi label met bar weinig inhoud. Dat soort types zijn tool-tubbies.

Omdat men ook niet weet wat ze moeten zoeken!

Als ik iets aangeef over OSCP dan weet 98% van de recruiters of hr figuren niet eens wat dat is.

Meest basale en vermoedelijk problematische.... ethisch zijn.

stuur gewoon je bestaande mensen op cursus.

LMFAO. Tool tubbies vindt je individueel en in groepsverband. Zelfde geldt voor ervaren pentesters / ethical hackers. De vraag of iemand in een team werkt, zegt vrij weinig over kennis, vaardigheden, en de vraag of men enkel Nessus draait.

Overigens kan je per definitie geen pentest doen met enkel een vulnerability scanner.

Om hun eigen vlees te keuren ? Sommige zaken wil je graag door een externe partij uit laten voeren.


Wat is daar problematisch aan ? Op basis waarvan maak je deze opmerking ? Nog nooit problemen mee gehad.

Misdraag jij je soms als je werkt als ethical hacker / pentester ? Of houdt je je aan je opdracht omschrijving ?

Als je niet ethisch bent, houd je het niet lang vol, en dan kan je beter een andere baan zoeken.

Ach, de helft van de mensen met CEH, OSCP, LPT of soortgelijke certificaten heeft gewoon het examen uit het hoofd geleerd. Je zou eens moeten kijken hoeveel mensen slagen met een score van (praktisch) 100%.....

Er zijn een stel kringloopwinkels in een grote studentenstad, waar ICT afgestudeerde ethische hackers -- met behoud van hun uitkering -- in de weer zijn om afstandse PCs en oude laptops te voorzien van GNU/Linux en BSD distro's.

Volgens de laatste telling zouden ze over de afgelopen 10 jaar een tienduizendtal machines onder handen hebben gehad. Die werden voorzien van Debian, Mint of Ubuntu. Met de meest uiteenlopende hardware en benodigde drivers.

In een aanzienlijk aantal gevallen ging het over Redhat, openSUSE installaties of zelf over OpenBSD voorzien van Gnome, omdat een student of professional, die wel meer te doen had, daar bij de kringloop expliciet om vroeg.

Dit tot veel plezier van talloze armzalige studenten, bejaarden, asielzoekers en bijstandsmoeders met hun kroost die op die manier toch redelijk veilig -- en spotgoedkoop -- met hun refurbished hardware het internet op kunnen gaan.

Op de vraag van sommige kringloop klanten of er ook "Windows?" op hun computer op gezet kan worden, is het standaard antwoord: "Ja, dat kan, maar daar hebben wij geen verstand van". Want, closed source.

Of: "Dat kan wel, maar dan zult u zelf de kosten van de nieuwe licentie daarvan ook moeten ophoesten" Vele klanten verkiezen daarna om aan de slag te gaan met GNU/Linux of een BSD systeem. Dan komen ze met veel plezier terug.

Voor de grap is er ooit een keer een NextSTEP en een OpenVMS machine afgeleverd bij een oudere man die in de AOW zit, die zijn hele leven als ICTer bij de spoorwegen had gewerkt. Een verzamelaar.

Die klanten krijg ik dan, om er windows 7 The Pirate Bay edition op te zetten, want niemand buiten grote bedrijven geeft feitenlijk wat om licenties.

Dat heet "cover your ass", zodat als het fout loopt de manager naar iemand anders kan wijzen.

Ik zie het nodige en ben beroepsblind voor de gevoelige gegevens.
Ik zie echter de mensen die dat niet zijn, Mensen dier er lol in scheppen om een ander een loer te draaien. Dat zijn er best veel en die zitten dan achter de knoppen. Vandaar de opmerking dat juist het ethisch zijn wel het meest problematische is
Tja kijk eens wat onbevangen rond en luister eens wat ze zeggen en kijk wat meer wat ze doen.
Nee paranoïde wordt ik er gelukkig niet van, je ziet dat wel eens gebeuren.

Die gasten die dat doen krijg ik dan, om er een advocaten bureau op te zetten. Eindgebruikers opschepen met een inherent onveilige, want een gekraakte, versie van Windows is niet alleen onethisch, het is illegaal.

Misschien moeten ze eens fatsoenlijk gaan betalen.

Besef je wel dat jij zelf dan de wet overtreedt. Ik zou er niet aan beginnen.