(TW/London) Traditionellt delar vi in hackare i två läger – black hats och white hats. De förra är förstås de onda och de senare är de goda. Men bägge sidorna består av hackare, det vill säga folk som kan ta sönder digitala system. Skillnaden ligger i att den ena sidan nyttjar sin kompetens till kriminell verksamhet, medan de andra i allmänhet ser till att rapportera sina fynd så att systemen kan lappas, eller att de byggs på ett säkert sätt från början.

Detta med hackare är ett knepigt ämne. Ordet i sig har en negativ klang, även om hackaren i fråga är hur god som helst. När jag intervjuade Mårten Mickos, grundaren av MySQL och sen drygt fyra år vd för buggjägarforumet Hacker One, återkom han ofta till ordet hackare.

Mickos och Hacker One har gett sig den på att vända på betydelsen av ordet hackare – de vill att hackare ska vara något positivt, och att deras verksamheter är bra för it-industrin som helhet. De är stolta över att de är hackare, och menar att de hackare som gör kriminella saker helt enkelt ska kallas kriminella, för det är vad de är.

Inga kriminella hackare på scen

Denna vecka befinner jag mig på Black Hat Europe-konferensen i London. Och man kan ju fråga sig varför konferensen heter just Black Hat. Jag tvivlar på att någon med insikt i branschen tror att det är en konferens för kriminella, men en och annan lekman har höjt på ögonbrynen när jag nämnt att jag skulle åka hit. Så låt oss lägga den saken åt sidan – det står inte kriminella hackare på scenerna och berättar om sina brott.

Men det finns ett element, eller en egenskap med Black Hat som gör att konferensen till viss del förtjänar sitt namn och rykte. Och det är att man inte hymlar med att man hackar. För det gör man så det står härliga till. Konferensen är till bredden proppad med demonstrationer där hackare visar hur man har sönder digitala system, månde de vara sajter, operativsystem, hårdvara eller applikationer. I de flesta fall handlar det om demonstrationer av verktyg, exempelvis hur man använder sig av ett visst verktyg för att bryta sig in i ett visst system.

Om det kan man ju tycka vad man vill, men jag tycker det är bra. Verktygen finns där för alla att använda, naturligtvis inklusive de kriminella, och de kommer inte att försvinna, de kan inte sopas under mattan och det funkar inte att låtsas som om de inte finns. Och, förstås, de är riktigt bra, i bemärkelsen att de är livsfarliga.

Kastar sig in i den nya tekniken

På senare tid har användandet av containrar seglat upp som ett effektivt sätt att utveckla och driva online- och webbapplikationer. Och som så ofta tidigare kastar sig folk in i den nya tekniken utan att tänka på säkerheten, eller så har man helt enkelt inte kommit så långt att man upptäckt problem med säkerheten. Kube-Hunter är ett verktyg för att pen-testa Kubernetes-miljöer. Docker Security Playground är ett annat.

Är nätfiske per sms ett problem? Testa TapIt – SMS Phishing Framework. Här finns Automatic API Attack Tool och CrackQ: Intelligent Password Cracking. Vad RansomCoin kan ställa till med är det nästan så man inte vill veta. Eller varför inte WHID Elite?: ”The Hacking Device for Pwning Computers, Moving Cranes, Exploding Things and Electrocuting Nuts.

Well, well. Så här fortsätter det från morgon till kväll i dagarna två. Och då är jag inte ens bjuden, fattas bara annat, till de sessioner dit bara inbjudna får komma och betalar hiskeliga summor för att få delta. Där är det Chatham House Rules som gäller.

Det jag vill komma till är att vi som vill sätta stopp för otyg, mot oss själva eller sett till it-samhället i stort, måste börja dels fatta vad som finns där ute, dels lära oss hur grejerna fungerar. Hackare hackar, goda som onda, men det är hög tid att dra nytta av dem som hackar för att förbättra, och hög tid att inse att det bästa sättet att motverka dålig hacking är att ta till sig verktygen, testa själv, förstå hur de fungerar, hacka dig själv och täpp till de hål du hittar. Hålen finns där, verktygen att utnyttja dem finns där, och kriminella hackare finns där. Du fattar.

