Лесно е да имате простата гледна точка, че всички хакери са лоши момчета, които причиняват пробиви на данни и внедряват рансъмуер. Това обаче не е вярно. Има много лоши хакери. Някои хакери използват уменията си етично и законно. „Етичен хакер“ е хакер, който извършва хакване в рамките на правно споразумение със законния собственик на системата.
Бакшиш: Като противоположност на a хакер с черна шапка, етичният хакер често се нарича хакер с бяла шапка.
В основата на това е разбирането какво прави хакването незаконно. Въпреки че има вариации по света, повечето закони за хакване се свеждат до „незаконен е достъпът до система, ако нямате разрешение за това“. Концепцията е проста. Действителните хакерски действия не са незаконни; просто го прави без разрешение. Но това означава, че може да бъде дадено разрешение, за да ви позволи да направите нещо, което иначе би било незаконно.
Това разрешение не може да дойде просто от случаен човек на улицата или онлайн. Дори не може да дойде от правителството (
въпреки че разузнавателните агенции работят по малко по-различни правила). Разрешението трябва да бъде дадено от законния собственик на системата.Бакшиш: За да бъде ясно, „легитимният собственик на системата“ не се отнася непременно до лицето, което е закупило системата. Отнася се за някой, който законно има законната отговорност да каже; това е добре за теб. Обикновено това ще бъде CISO, главен изпълнителен директор или борд, въпреки че възможността за даване на разрешение може да бъде делегирана и по-надолу по веригата.
Докато разрешението може просто да бъде дадено устно, това никога не се прави. Тъй като лицето или компанията, извършващи теста, ще бъдат законово отговорни за тестване на това, което не би трябвало да правят, е необходим писмен договор.
Обхват на действията
Значението на договора не може да бъде надценено. Това е единственото нещо, което гарантира законността на хакерските действия на етичния хакер. Безвъзмездната помощ по договора дава обезщетение за посочените действия и спрямо посочените цели. Като такъв е от съществено значение да се разбере договорът и какво обхваща той, тъй като излизането от обхвата на договора означава излизане от обхвата на правното обезщетение и нарушаване на закона.
Ако етичен хакер се отклони извън обхвата на договора, той върти законово опънато въже. Всичко, което правят, е технически незаконно. В много случаи подобна стъпка би била случайна и бързо самоуловена. Когато се третира по подходящ начин, това може да не е непременно проблем, но в зависимост от ситуацията със сигурност може да бъде.
Не е необходимо предлаганият договор да бъде специално пригоден. Някои компании предлагат схема за награди за грешки. Това включва публикуване на отворен договор, позволяващ на всеки да се опита етично да хакне тяхната система, стига да играе по определените правила и да докладва всеки проблем, който идентифицира. Проблемите с докладването в този случай обикновено се възнаграждават финансово.
Видове етично хакерство
Стандартната форма на етично хакерство е „тестът за проникване“ или пентест. Това е мястото, където един или повече етични хакери са ангажирани, за да се опитат да проникнат в защитата на системата. След като ангажиментът приключи, етичните хакери, наречени pentesters в тази роля, докладват своите открития на клиента. Клиентът може да използва подробностите в доклада, за да коригира идентифицираните уязвимости. Въпреки че може да се извършва индивидуална и договорна работа, много пентестери са вътрешни ресурси на компанията или се наемат специализирани фирми за пентест.
Бакшиш: Това е „pentesting“, а не „pentesting“. Тестерът за проникване не тества писалки.
В някои случаи тестването дали едно или повече приложения или мрежи са защитени не е достатъчно. В този случай могат да се извършат по-задълбочени изследвания. Ангажиментът на червения екип обикновено включва тестване на много по-широк набор от мерки за сигурност. Действията могат да включват извършване на фишинг упражнения срещу служители, опит за социално инженерство да проникнете в сграда или дори физическо проникване. Въпреки че всяко упражнение на червения отбор варира, концепцията обикновено е много по-скоро тест за най-лошия случай „и какво, ако“. По линия на „това уеб приложение е защитено, но какво ще стане, ако някой просто влезе в сървърната стая и вземе твърдия диск с всички данни на него.“
Почти всеки проблем със сигурността, който може да се използва за нараняване на компания или система, теоретично е отворен за етично хакерство. Това обаче предполага, че собственикът на системата дава разрешение и че е готов да плати за това.
Давате неща на лошите?
Етичните хакери пишат, използват и споделят хакерски инструменти, за да улеснят живота си. Справедливо е да се постави под съмнение етиката на това, тъй като черните шапки биха могли да кооптират тези инструменти, за да предизвикат повече хаос. Реалистично обаче е напълно разумно да се предположи, че нападателите вече имат тези инструменти или поне нещо подобно, докато се опитват да улеснят живота си. Липсата на инструменти и опитът да се направи по-трудно за черните шапки е разчитане на сигурност чрез неизвестност. Тази концепция е дълбоко неодобрена в криптографията и по-голямата част от света на сигурността като цяло.
Отговорно разкриване
Етичният хакер може понякога да се натъкне на уязвимост, когато сърфира в уебсайт или използва продукт. В този случай те обикновено се опитват да го докладват отговорно на законния собственик на системата. Ключовото след това е как се овладява ситуацията. Етичното нещо, което трябва да направите, е да го разкриете лично на законния собственик на системата, за да му позволите да коригира проблема и да разпространи софтуерна корекция.
Разбира се, всеки етичен хакер също е отговорен за информирането на потребителите, засегнати от такава уязвимост, така че да могат да изберат да вземат свои собствени решения, съобразени със сигурността. Обикновено времева рамка от 90 дни от личното разкриване се разглежда като подходящ период от време за разработване и публикуване на корекция. Въпреки че могат да бъдат предоставени удължения, ако е необходимо малко повече време, това не е задължително да се прави.
Дори ако корекцията не е налична, тя мога бъдете етични, за да изложите подробно проблема публично. Това обаче предполага, че етичният хакер се е опитал да разкрие проблема отговорно и като цяло, че се опитват да информират нормалните потребители, за да могат да се защитят. Въпреки че някои уязвимости могат да бъдат подробно описани с работещо доказателство за концептуални експлойти, това често не се прави, ако все още не е налична корекция.
Въпреки че това може да не звучи напълно етично, в крайна сметка е от полза за потребителя. В един сценарий компанията е под достатъчен натиск, за да предостави навременна корекция. Потребителите могат да актуализират до фиксирана версия или поне да приложат заобиколно решение. Алтернативата е, че компанията не може да разположи незабавно корекция за сериозен проблем със сигурността. В този случай потребителят може да вземе информирано решение дали да продължи да използва продукта.
Заключение
Етичният хакер е хакер, който действа в рамките на ограниченията на закона. Обикновено те са договорени или по друг начин са получили разрешение от законния собственик на системата да хакнат система. Това се прави при условие, че етичният хакер ще докладва идентифицираните проблеми отговорно на законния собственик на системата, така че те да могат да бъдат коригирани. Етичното хакване се основава на „настройте крадец да хване крадец“. Като използвате знанията на етичните хакери, можете да разрешите проблемите, които хакерите с черна шапка биха могли да експлоатират. Етичните хакери се наричат още хакери с бели шапки. При определени обстоятелства могат да се използват и други термини, като „pentesters“ за наемане на професионалисти.