Den etiske hacking inden for computersikkerhed beskriver aktiviteten af hacking, når den ikke er skadelig.
Den samme praksis med hacking, udnyttelse af mangler, omgå begrænsninger ... kan bruges af hvid hat ( fransk : hvide hatte) med et velvilligt mål (analyse, information, beskyttelse ...) eller sort hat ( fransk : sorte hatte) med et ondsindet mål (destruktion, overtagelse, tyveri ...).
For eksempel er det mere etisk at øve ansvarlig afsløring og handle inden for en juridisk ramme: indtrængningstestmission eller bugpræmie .
I den nuværende sammenhæng, hvor den massive introduktion af nye informations- og kommunikationsteknologier har bragt verden tættere sammen, er der opstået en foruroligende diskurs og har rejst de spørgsmål, som de samme teknologier rejser med hensyn til sikkerhed. Hovedårsagen til denne bekymring er hacking af computersystemer, for mens nye teknologier er stærke, er de også sårbare. Behovet for at beskytte systemer mod gener af hacking (genereret af computerhackere) genererer således begreber som etisk hacking. Dette er det hurtigst voksende område inden for netværkssikkerhed og har mere og mere tendens til at hævde sig selv, mens der genereres en masse debat.
Langt fra det forvrængede billede af den kriminelle netværkshacker fremkaldt af begrebet hacker, som ofte svarer til en ung persons, der skriver et par kommandoer på en computerskærm, så sidstnævnte spytter fortrolige data, er den etiske hacker snarere præsenteret som en dygtig manipulator af teknologier, ofte ukendt for de fleste it- og sikkerhedsprofessionelle, som er specialiserede i at få adgang til information.
Etisk hacker ( engelsk : etisk hackere ) bliver hurtigt en vigtig del af et arsenal af netværkssikkerhed i en virksomhed og møder i stigende grad en rolle ud over penetrationstesten . Efterhånden som trusler ændres, ændres også etiske hackers færdigheder, der omfatter social engineering, sociale medier og almindelige mobile teknologier.
De fleste etiske hackere til piratkopieringsvirksomhed, en kendt virksomhed som penetrationstest ( engelsk : Golden penetration test pentest ). Denne vurderingsmetode udføres normalt af en sikkerhedsprofessionel, en tester, for at identificere risici og sårbarheder i forbindelse med sikkerhed i systemer og netværk. En identifikation, der vil blive brugt i implementeringen af en handlingsplan for at forbedre sikkerheden i et informationssystem, der er mere detaljeret end det foregående.
Virksomheder og regeringer har endelig indset, i deres søgen efter en måde at tackle problemet med computersikkerhed (som er blevet et stort problem), at en af de bedste måder at vurdere den trussel, som en ondsindet hacker udgør, er for deres interesser. at få uafhængige it-sikkerhedspersonale til at prøve at bryde ind i deres systemer.
Disse hold, kaldet "etiske hackere", anvender de samme værktøjer og teknikker som angribere, men i stedet for at forårsage skader på målsystemer og udnytte eller stjæle information, vurderer de sikkerheden i disse systemer og rapporterer tilbage. og løsningerne til at afhjælpe dem.
Vi kan skelne mellem tre typer hackere: Sort hat , Grå hat og Hvid hat (henholdsvis sort, grå og hvid hat på fransk).
Black Hats begår uautoriserede angreb mod informationssystemer, som måske eller ikke er ulovlige i det land, hvor de gennemføres.
På den anden side udfører etiske hackere, der kaldes White Hat, juridisk sikkerhedstests i henhold til en kontraktlig aftale. Deres hovedmål er at forbedre systemet, før en rigtig kriminel hacker kommer ind i organisationen.
Endelig er grå hatte dem, der sidder mellem hvide og sorte, og som opererer inden for rammerne af love og lovbestemmelser, men kan overskride disse grænser lidt.
Da penetrationstest er et forsøg på at tillade autoriseret nedsænkning i en organisations netværk, vil artiklen primært fokusere på hackere med hvide hatte eller hackere med hvide hatte.
Generelt udføres testene af en gruppe, der er en del af White Hat: de røde hold (røde hold på fransk). Dette er hold bestående af eksterne revisorer eller konsulentfirmaer, der leverer denne type tjenester.
Hovedformålet med det røde hold er at simulere de samme eller lignende aktiviteter som hackere ved at udnytte sikkerhedssårbarheder i et kontrolleret testmiljø. Ved at gøre dette kan virksomheden eliminere sine sikkerhedssårbarheder, før uautoriserede brugere faktisk kan udnytte dem.
Internt personale bør ikke være en del af teamet, da dette er i strid med det grundlæggende princip om selvvurdering. Således forventes eksternt personale at have meget lidt eller intet kendskab til systemet for at være i stand til at udføre en mere realistisk simulation, der udfører et angreb svarende til en ondsindet hacker. Ikke desto mindre bør der foretages en baggrundskontrol, kvalifikationer, godt omdømme og erfaring, da teamet vil håndtere fortrolige og følsomme oplysninger.
Røde hold skal overvåges af en person, der holdes ansvarlig for enhver fiasko.
Både automatiseret og manuel penetrationstest kan bruges til at vurdere en organisations sikkerhedskontrolsystem.
Automatiseret test har været den primære tilgang fra organisationer på grund af hurtige teknologiske ændringer, da det giver stordriftsfordele i forhold til manuel test.
En grundig manuel test kan tage flere uger med en investering på flere tusinde dollars, mens en automatiseret test kan udføre testene på få timer til en reduceret pris.
Som et resultat kan automatiserede værktøjer være mere omkostningseffektive og effektive, hvis de bruges korrekt.
En anden fordel ved automatisering er, at virksomheder kan udføre disse tests så ofte, som de vil, og ikke være begrænset til arbejdstid, som det er tilfældet med manuelle tests udført af mennesker.
På den anden side kan automatiserede værktøjer give anledning til falske følelser af sikkerhed. Dette skyldes, at de ikke garanterer 100% fangst af systemsikkerhedsproblemer og i dette tilfælde er så effektive som de mennesker, der programmerede og udførte dem.
Med andre ord vil en utrænet medarbejder, der administrerer automatiseret test, sandsynligvis forårsage mere skade på virksomheden end forventet overskud. Derudover mangler en automatiseret test fleksibiliteten til at erstatte forskellige scenarier for en komplet manuel test udført af en erfaren etisk hacker.
Som nævnt ovenfor skal der udføres test for at håndtere interne og eksterne trusler.
Interne tests udføres i virksomhedens system og simulerer, hvordan en autoriseret bruger eller medarbejder potentielt kan handle. På den anden side forsøger eksterne tests at simulere, hvordan en ekstern hacker potentielt kan skade uden for systemet. Holdet udførte angreb på organisationens netværkssystem ved hjælp af Internettet eller Ekstranet .
Det røde team retter sig typisk mod virksomhedsservere eller enheder såsom domæneserveren, mailserveren, webserveren eller firewallen .
I denne teknik har testeren ingen forudgående kendskab til netværkets arkitektur eller systemer i testnetværket. Normalt udføres den sorte boks test fra et eksternt netværk til et internt netværk. Testeren skal bruge sin ekspertise og færdigheder til at udføre testene.
Hvid boks testTestere har komplet kendskab til testopsætningen og systemopsætningen af netværket / testsystemet. Normalt udføres disse tests fra det interne netværk. White box-test kræver en dyb forståelse af netværket eller testsystemet og giver bedre resultater.
Test af grå kasseUnder denne metode har testeren delvis kendskab til testnetværket. Testeren kender ikke den komplette netværksarkitektur, men kender nogle grundlæggende oplysninger om netværk og systemkonfigurationstest.
Kort sagt er testen af grå boks en kombination af de to andre teknikker. Dette kan gøres fra et internt eller eksternt netværk
Forskellige teknologier, tekniske og ikke-tekniske, kan bruges som en del af penetrationstestprocessen til at håndtere interne og eksterne trusler. Følgende liste viser de mest almindelige værktøjer, der anvendes i penetrationstest.
Da mange virksomheder sælger et betydeligt antal forretningsapplikationer på Internettet, kan der vedtages tests for at vurdere niveauet for kryptering, der bruges til at håndtere fortrolige og følsomme oplysninger (128 eller 256 bit), firewalls og l 'brug af cookies gemt på kundernes computere , adgangskodernes længde og styrke og sikkerheden ved softwarekonfigurationer. For eksempel bør en meddelelse ikke klart angive, at der er en forkert adgangskode, og intet problem med login-brugernavnet.
Disse tests afhænger af organisationens forpligtelse til at sikre informationssystemets løbende tilgængelighed. Det røde hold vurderer systemets sårbarhed over for angreb, der gør det utilgængeligt, ude af stand til at håndtere stor trafik og forhindrer legitime brugere af en tjeneste i at bruge det.
Det kan være:
Denne test består systematisk i at ringe til adskillige telefonnumre for at identificere de modemer, fjernadgangsenheder og vedligeholdelsesforbindelser, der findes på en virksomheds netværk.
Når de er identificeret, udføres udnyttelsesteknikker, såsom strategiske forsøg på at gætte brugernavnet og adgangskoden, for at afgøre, om forbindelsen kan bruges som et middel til at bryde ind i informationssikkerhedssystemet.
Selve ideen om et trådløst netværk introducerer mange steder for angreb og indtrængen, der enten er meget sværere eller helt umulige at udnytte med et standard kablet netværk.
Penetrationstestere omgår desktops for at identificere åbne organisatoriske trådløse netværk, der ikke er relevante.
Målet er at identificere sikkerhedssårbarheder og fejl i design, implementering og drift af en virksomheds trådløse netværkssystem.
Gennem social engineering , mere almindeligt kendt som social engineering, forsøger testere at narre en organisations medarbejdere og leverandører til at indsamle følsomme oplysninger og komme ind i deres systemer. For eksempel foregiver de at være en IT-manager og beder om det tilsvarende brugernavn og adgangskoder.
Selvom dette er en ikke-teknisk test, der involverer menneskelig funktionalitet, anses det for lige så vigtigt at afgøre, om uautoriserede brugere kan få adgang til informationssystemet gennem mennesker.
At være en af de mest anvendte søgemaskiner fra organisationer, ser penetrationstestere hacking gennem Google som en effektiv websikkerhedspraksis. Den bruger søgemaskinen til at finde personlige eller følsomme oplysninger ved at udnytte Googles optimeringsfunktion til søgeresultater overalt på websteder.
F.eks. Fandt test en mappe med socialforsikringsnumrene på over 70 millioner afdøde og pasdokumenter.
Indtrængningstestprocessen kan opdeles i en række trin eller faser. Når disse trin er sammensat, giver de en komplet metode til udførelse af en penetrationstest.
En omhyggelig gennemgang af uklassificerede hændelsesresponsrapporter bekræfter tanken om, at de fleste Black Hat-hackere også følger en proces, når de angriber et mål.
Det er vigtigt at bruge en organiseret tilgang, fordi det ikke kun giver testeren mulighed for at fokusere og fremskridt, men også bruge resultaterne eller outputene fra hvert trin i de efterfølgende trin.
Selvom de globale navne eller antallet af trin kan variere fra metode til metode, er det vigtige, at processen giver et komplet overblik over penetrationstestprocessen.
Processen er derfor opdelt i 5 faser: genkendelse, scanning, drift, vedligeholdelse af adgang og endelig dækning af spor.
I løbet af rekognosceringsfasen forsøger en angriber at samle så meget information som muligt om et mål, før de starter deres angreb. Målområdet for anerkendelse kan omfatte medarbejdere, netværk, systemer og endda tredjeparter. Nogle gange kan informationen, der er tilgængelig online om et mål, afsløre svage indgangspunkter, afhængigt af hvad angriberen finder. En angriber kan bruge to forskellige genkendelsesteknikker: passiv anerkendelse og aktiv anerkendelse.
Passiv anerkendelse vil indebære hentning af information uden direkte interaktion med målet. For eksempel offentlige arkiver søgning (Google hacking), Trashing (dumpster dykning), pressemeddelelser og jobannoncer.
I modsætning hertil indebærer aktiv anerkendelse direkte interaktion med målet. For eksempel at kontakte en medarbejder og stille spørgsmål om virksomheden eller bruge ikke-påtrængende netværksanalyseteknikker.
Scanning eller analyse svarer til fasen for angreb, når angriberen analyserer virksomhedens netværk. Det handler om at uddybe forskningen på de opdagede systemer ved at lede efter nyttige data og tjenester. Analysen omfatter brug af værktøjer såsom port scannere, ping værktøjer , sårbarhed scannere og netværk kortlæggere . Grundlæggende leder vi efter sårbarheder, der kan udnyttes for at få adgang til systemet. En organisation kan have påvisning af indtrængen på sit netværk, så det er vigtigt at lære og bruge unddragelsesteknikker for at undgå alarmer.
På dette tidspunkt får angriberen succesfuld adgang til et system eller et program og fortsætter med sit forsøg på at udrydde så mange oplysninger som muligt (en administratorkonto for at hæve privilegierne).
En hacker kan få adgang til et system eller en applikation gennem et smuthul med adgangskoder, sessionhacking, social engineering osv.
Netværkssystemer kan blive kompromitteret. En angriber kan dog stadig beskadige et system uden administratorrettigheder, fordi nogle værktøjer kan køre uden brug for dem.
Vedligeholdelse af adgang henviser til den fase, hvor en angriber forsøger at opretholde fuldstændig kontrol over systemet. Dette kan gøres ved at installere rootkits , trojanske heste , oprette en administratorkonto eller bruge andre bagdørværktøjer.
Uanset hvilken rute angriberen vælger, kan han til enhver tid downloade og manipulere filer. Da systemet er online, udføres de fleste af disse operationer eksternt. Det ville være meget vanskeligt for en systemadministrator eller normal bruger at opdage disse værktøjer, da de er kendt for at arbejde i stealth-tilstand.
Angriberen kunne også føje det kompromitterede system til et botnet for at få endnu mere kontrol over systemet. Systemet kunne derefter bruges til angreb på et andet mål.
Angriberens sidste fase er at dække hans spor. Det er vigtigt, at angriberen manipulerer eller sletter alle logfiler. Således undgår det enhver detektion og frem for alt enhver forfølgelse. For eksempel kan nogle værktøjer bruges til at rydde systemets historie og dets applikationer, ellers kan hackeren vælge at gøre det manuelt.
En hacker vil sikre, at trojanske heste og rootkits forbliver skjulte og skjuler data ved hjælp af stenografi-teknikker for at undgå detektion ved hjælp af antivirus-software. En anden unddragelsesteknik, der anvendes af en angriber til at sende et sikkerhedsteam i den forkerte retning, er spionering af IP-adresser .
Selvfølgelig er det sidste, som enhver angriber ønsker, at blive fanget og miste kontrol over systemet.
Som etisk hacker er det vigtigt at kende og følge de samme trin, som en ondsindet hacker bruger for at spille en vigtig rolle i forsvaret mod cyberangreb.
Penetrationstest kan hjælpe med at indsnævre kløften mellem beskyttelse eller sikring af en organisations sikkerhedssystem og eksponering af dens sikkerhedsrisici. Dette ved at vurdere, om sikkerhedskontrollen er tilstrækkelig og fungerer effektivt.
Core Security Technologies , førende inden for måle- og it-sikkerhedsløsninger, siger, at "hvis [en virksomhed] ikke foretager penetrationstest [...], hænger den bagud . " Da computerangreb konstant udvikler sig i natur, kompleksitet og metode, kan penetrationstest ses som en løsning på det stadigt skiftende sikkerhedstrusselmiljø. De hjælper også virksomhedens it-system med at være konstant opdateret og i harmoni, altid som en del af dets overordnede sikkerhedsstrategi.
I henhold til PCI og ISO 27001 er styring af sikkerhedsrisici og trusler en vigtig proces i IT. Årsagen er, at organisationer skal forstå deres svagheder fuldt ud for at være i stand til effektivt at forsvare sig selv og beskytte sig mod uautoriseret adgang.
Nøglestatistikker fra Core Security Technologies viser, at 80% af de største sikkerhedssårbarheder i 2004 blev angrebet inden for 60 dage, mens 85% i 2008 blev angrebet inden for 10 dage. Dette demonstrerer tydeligt, at mulighederne for ondsindede hackere bliver større og større, efterhånden som mulighederne og tiden til at udnytte samtidigt udvides. I stedet for at have den forkerte tilgang til sikkerhed i håb om ikke at blive hacket, bør organisationer tage passende skridt til at afbøde og kontrollere risiciene.
Penetrationstest hjælper med at styrke en organisations sikkerhedsprocedurer og yderligere forbedre effektiviteten af dens risikostyring. Det kan også indebære at øge graden af gennemsigtighed ved at vurdere typen af følsomme data, der potentielt kan blive eksponeret, og hvordan netværket kan blive kompromitteret af menneskelige elementer.
I sidste ende er den største fordel, at organisationer kan drage fordel af penetrationstestoplevelsen. Dette giver dem mulighed for at forbedre deres sikkerhedssystemer ved grundigt at analysere deres svagheder, anvende ændringer korrekt og informere alle parter rettidigt.
Penetrationstest kan ikke forventes at identificere enhver mulig sikkerhedssvaghed eller garantere 100% sikkerhed.
Nye teknologier og hackingmetoder kan skabe nye uventede eksponeringer under disse tests. Således er det bestemt muligt, at der efter penetrationstest efterfølgende forekommer hacking-hændelser. Det er umuligt at få fuldstændig beskyttelse, kun god beskyttelse af en organisations sikkerhedssystem.
Penetrationstest involverer at tage skærmbilleder af en computer eller kopiere følsomme oplysninger som bevis for, at systemet har kritiske sikkerhedssårbarheder. Der er dog mange begrænsninger for omfanget af information, der vil være tilgængelig og legitimt tilgængelig for hackeren. Dette forhindrer penetrationstest i at simulere ondsindede hackers aktiviteter så tæt som muligt, da de ikke er underlagt nogen begrænsninger.
For det første kan penetrationstest være underlagt lovgivningen og kontraktlige forpligtelser i organisationens system. Dette skyldes, at hvis testen utilsigtet henter meget fortrolige oplysninger, kan det resultere i en overtrædelse af love og kontraktlige aftaler. Derudover, hvis dataene findes og sikres i et land, kan lovgivningen i dette land forbyde, hvad en etisk hacker kan gøre. For eksempel gør artikel 25 i Den Europæiske Union det klart, at personoplysninger ikke kan udvindes fra Det Europæiske Økonomiske Samarbejdsområde (EØS), medmindre landet tilbyder "tilstrækkelig" beskyttelse, eller De Forenede Stater ikke betragtes som sådanne. Endelig kan virksomheder, der outsourcer deres it-infrastruktur, begrænse brugen af lignende teknikker på grund af licensaftaler.
Alle disse begrænsninger betyder, at etiske organisationer og hackere tager ekstra skridt til at reducere risikoen for uønsket ansvar. For at gøre dette skal der indgås detaljerede skriftlige aftaler mellem virksomheden og den etiske hacker for at definere omfanget, målet, betingelserne og mulige begrænsninger for opgaven.
Derudover udføres en penetrationstest normalt med begrænsede ressourcer over en periode. Derfor, når en ansvarlig hacker identificerer den aktuelle risiko og trusler mod systemet, bør organisationen straks tage korrigerende handlinger for at afbøde disse sikkerhedsbrud og reducere potentiel eksponering for ondsindede hackere.
Med den stigende brug af Internettet af organisationer sker der en ændring i den måde, organisationer forholder sig til deres kunder på. Som et resultat udvikler risiciene og truslerne mod sikkerhedsmiljøet sig parallelt.
I Maj 2011, Sonys PlayStation-videospil er blevet hacket, hvilket resulterer i tab af personlige data for ca. 77 millioner brugere. Selvom Sony har taget de nødvendige skridt til at hærde sit netværk mod potentielle fremtidige angreb, er disse sikkerhedsforanstaltninger blevet anvendt efter det faktum. Hvis en gennemtrængningstest var blevet udført som en forebyggende foranstaltning, ville Sony ikke have overtrådt fortrolighedsaftalen med sine kunder. Tilgængeligheden af PlayStation Network ville også være opretholdt, der ville ikke være anlagt sag mod selskabet for erstatning, ingen gratis downloads i 30 dage ville være blevet etableret, og Sony burde ikke have undskyldt.
Sony Ericssons Canada eShop stødte også på et sikkerhedsbrud, hvor 2.000 kundekonti (for- og efternavne, e-mail-adresser og hash af krypterede adgangskoder) blev hacket. Der har været mindst 10 hackingaktiviteter, som Sony har set sidenapril 2011og påpegede, at Sony er et vigtigt mål for hackere. Dette forstærker det faktum, at penetrationstest er en værdifuld investering, da det potentielt kan hjælpe med at afbøde eventuelle økonomiske tab fra multi-billion dollar virksomheder som Sony.
Takket være disse forskellige angreb indså virksomhederne, at deres sikkerhedssystemer var utilstrækkelige og ikke kunne beskytte deres fortrolige database korrekt. Dette taler om et øget behov for penetrationstest, især for store virksomheder, på grund af hyppigheden og størrelsen af den indvirkning, som hackere kan påvirke en virksomheds generelle tilstand negativt.
Som en del af sin overordnede sikkerhedsstrategi bør en organisation overveje penetrationstest baseret på to faktorer: vigtigheden og sandsynligheden for ondsindet hackers sikkerhedsudnyttelse. Sikkerhedskontrol er grundlaget for tillid fra interessenter i organisationen. Således er vigtigheden relateret til graden af brud på tillid hos kunder, medarbejdere og andre interessenter.
Sandsynligheden for forekomst er relateret til det valgte mål og målet for muligheden. Hvis en organisation er stor og har høj synlighed, såsom regering eller banker, bliver det et primært mål. Hvis en organisation mangler sikkerhedskontrol, er den mere udsat for den øgede hyppighed af angreb på grund af den relativt lette adgang.
Derfor, hvis en organisation mener, at sikkerhedsbrud vil skabe stor sandsynlighed for angreb, kan det være omkostningseffektivt at udføre kombineret, automatisk og manuel penetrationstest med forskellige interne og eksterne teknikker.
Teknologi fortsætter med at udvikle sig, og vi støder på flere og flere værktøjer, der er gavnlige for offentligheden. Men i de forkerte hænder kan det skabe stor kontrovers og krænke vores grundlæggende ret til privatliv og fri vilje.
Er etisk hacking endelig kommet til undsætning for at løse problemer, eller vil det skabe nye?
Faktisk er det stadig et meget alvorligt problem at lære de studerende at hacke os i dag. Kursusledere mener, at de vil lære de studerende at forbedre indbrud. Det er kun meget vanskeligt at forstå de studerendes reelle intentioner. Dette er grunden til, at etisk hacking skal bruges, er meget kontroversielt.
At lære en studerende at blive en hacker og senere finde ud af, at viden er blevet brugt til at begå forbrydelser, vil helt sikkert have en indvirkning på samfundet med hensyn til, hvorfor han fik lov til at finde ud af, hvordan man hackede i første omgang. Vi kan dog ikke bare sige, at det er dem, der har gjort det muligt for ham at tage kurset.
Når en studerende lærer nye færdigheder, som han kan bruge både positivt og ondsindet, håndhæves visse politikker, der skal løse problemet med studerende, der deltager i ondsindede handlinger, ikke.
De kan dog rettes ved at anvende sikkerhedskontrol på mennesker, som det er tilfældet med nogle kurser såsom etisk hacking. En kriminel baggrundskontrol, kravet om en eller anden form for professionel certificering og interview af studerende er nogle af de foranstaltninger, der potentielt kan eliminere mange, hvis ikke alle, studerende med potentielt ondsindede intentioner.
Med en række uddannelser til rådighed over hele verden, ville det være svært at forstå årsagen til deres interesse for dette kursus. En af de motiver, der ikke kan ignoreres, er det faktum, at etiske hackere er højt betalte mennesker.
Penetrationstest er en vigtig del af en virksomheds overordnede sikkerhedsstrategi. De kan helt sikkert tilføre værdi, hvis virksomhedens systemkontroller har store sikkerhedsmæssige svagheder og en høj risiko for uautoriseret adgang på grund af virksomhedens art og drift.
Gennem kontrollerede forsøg på at fordybe sig i computersystemet kan der udvikles en kombination af penetrationstestteknikker og strategier for at imødekomme en virksomheds behov afhængigt af arten af dens forretning, størrelse og kompleksitet. Dette vil igen styrke revisors sikkerhed ved samtidig evaluering af en virksomheds interne kontrol og sikkerhedssystem.
Alt i alt, på trods af kontroversen omkring dette emne, skal etisk hacking og penetrationstest ses som en effektiv måde at indsnævre og lukke sikkerhed og smuthuller, så ondsindede hackere ikke kan udnytte dem.
I Frankrig er “hvide hackere” beskyttet af loven om 7. oktober 2016til en digital republik. De kan på den ene side rapportere til National Agency for the Security of Information Systems (ANSSI) for bedre at beskytte sig selv og på den anden side bevare deres anonymitet.