Είναι εύκολο να έχουμε την απλή άποψη ότι όλοι οι χάκερ είναι κακοί για να προκαλέσουν παραβιάσεις δεδομένων και να αναπτύξουν ransomware. Αυτό όμως δεν είναι αλήθεια. Υπάρχουν πολλοί κακοί χάκερ εκεί έξω. Ορισμένοι χάκερ χρησιμοποιούν τις δεξιότητές τους ηθικά και νόμιμα. Ένας «ηθικός χάκερ» είναι ένας χάκερ που εισβάλλει στο πλαίσιο μιας νομικής συμφωνίας με τον νόμιμο κάτοχο του συστήματος.
Υπόδειξη: Ως αντίθετο του α χάκερ μαύρο καπέλο, ένας ηθικός χάκερ ονομάζεται συχνά χάκερ λευκού καπέλου.
Ο πυρήνας αυτού είναι η κατανόηση του τι κάνει το hacking παράνομο. Αν και υπάρχουν παραλλαγές σε όλο τον κόσμο, οι περισσότεροι νόμοι για το hacking συνοψίζονται στο ότι «είναι παράνομη η πρόσβαση σε ένα σύστημα εάν δεν έχετε άδεια να το κάνετε». Η ιδέα είναι απλή. Οι πραγματικές ενέργειες hacking δεν είναι παράνομες. απλά το κάνει χωρίς άδεια. Αλλά αυτό σημαίνει ότι μπορεί να χορηγηθεί άδεια για να σας επιτρέψει να κάνετε κάτι που διαφορετικά θα ήταν παράνομο.
Αυτή η άδεια δεν μπορεί να προέρχεται απλώς από οποιοδήποτε τυχαίο άτομο στο δρόμο ή στο διαδίκτυο. Δεν μπορεί να προέλθει ούτε από την κυβέρνηση (
αν και οι υπηρεσίες πληροφοριών λειτουργούν με ελαφρώς διαφορετικούς κανόνες). Η άδεια πρέπει να χορηγηθεί από τον νόμιμο κάτοχο του συστήματος.Υπόδειξη: Για να είμαστε σαφείς, ο "νόμιμος κάτοχος συστήματος" δεν αναφέρεται απαραίτητα στο άτομο που αγόρασε το σύστημα. Αναφέρεται σε κάποιον που έχει νόμιμα τη νομική ευθύνη να πει· αυτό είναι εντάξει για σένα. Συνήθως αυτός θα είναι ο CISO, ο Διευθύνων Σύμβουλος ή το διοικητικό συμβούλιο, αν και η δυνατότητα χορήγησης άδειας μπορεί επίσης να εκχωρηθεί περαιτέρω στην αλυσίδα.
Ενώ η άδεια θα μπορούσε να δοθεί απλώς προφορικά, αυτό δεν γίνεται ποτέ. Δεδομένου ότι το άτομο ή η εταιρεία που πραγματοποιεί τη δοκιμή θα είναι νομικά υπεύθυνο για τον έλεγχο του τι δεν πρέπει να κάνει, απαιτείται γραπτή σύμβαση.
Πεδίο δράσης
Η σημασία της σύμβασης δεν μπορεί να υπερεκτιμηθεί. Είναι το μόνο πράγμα που παρέχει νομιμότητα στις ενέργειες πειρατείας του ηθικού χάκερ. Η επιχορήγηση της σύμβασης παρέχει αποζημίωση για τις ενέργειες που καθορίζονται και έναντι των καθορισμένων στόχων. Ως εκ τούτου, είναι απαραίτητο να κατανοήσουμε τη σύμβαση και τι καλύπτει, καθώς η έξοδος από το πεδίο εφαρμογής της σύμβασης σημαίνει έξοδο από το πεδίο εφαρμογής της νομικής αποζημίωσης και παράβαση του νόμου.
Εάν ένας ηθικός χάκερ ξεφεύγει από το πεδίο εφαρμογής της σύμβασης, ακολουθεί νομικό τεντωμένο σκοινί. Οτιδήποτε κάνουν είναι τεχνικά παράνομο. Σε πολλές περιπτώσεις, ένα τέτοιο βήμα θα ήταν τυχαίο και γρήγορα αυτοεξυπηρετούμενο. Όταν αντιμετωπιστεί σωστά, αυτό μπορεί να μην είναι απαραίτητα πρόβλημα, αλλά ανάλογα με την κατάσταση, σίγουρα θα μπορούσε να είναι.
Το συμβόλαιο που προσφέρεται δεν χρειάζεται απαραίτητα να είναι ειδικά προσαρμοσμένο. Ορισμένες εταιρείες προσφέρουν ένα πρόγραμμα επιβράβευσης σφαλμάτων. Αυτό περιλαμβάνει τη δημοσίευση ενός ανοιχτού συμβολαίου, που επιτρέπει σε οποιονδήποτε να προσπαθήσει να παραβιάσει ηθικά το σύστημά του, αρκεί να συμμορφώνεται με τους καθορισμένους κανόνες και να αναφέρει οποιοδήποτε ζήτημα εντοπίζει. Τα θέματα αναφοράς, σε αυτήν την περίπτωση, συνήθως ανταμείβονται οικονομικά.
Τύποι Ηθικού Hacking
Η τυπική μορφή ηθικής πειρατείας είναι η «δοκιμή διείσδυσης» ή pentest. Αυτό είναι όπου ένας ή περισσότεροι ηθικοί χάκερ προσπαθούν να διεισδύσουν στις άμυνες ασφαλείας ενός συστήματος. Μόλις ολοκληρωθεί η δέσμευση, οι ηθικοί χάκερ, που ονομάζονται pentesters σε αυτόν τον ρόλο, αναφέρουν τα ευρήματά τους στον πελάτη. Ο πελάτης μπορεί να χρησιμοποιήσει τις λεπτομέρειες στην αναφορά για να διορθώσει τα εντοπισμένα τρωτά σημεία. Ενώ μπορεί να γίνει ατομική και συμβατική εργασία, πολλοί διεκπεραιωτές είναι εσωτερικοί πόροι της εταιρείας ή προσλαμβάνονται εξειδικευμένες εταιρείες διεκπεραίωσης.
Υπόδειξη: Είναι «δοκιμή με στυλό» όχι «δοκιμή με στυλό». Ένας ελεγκτής διείσδυσης δεν δοκιμάζει στυλό.
Σε ορισμένες περιπτώσεις, ο έλεγχος εάν μία ή περισσότερες εφαρμογές ή δίκτυα είναι ασφαλή δεν αρκεί. Σε αυτή την περίπτωση, μπορεί να πραγματοποιηθούν πιο εις βάθος δοκιμές. Μια δέσμευση της κόκκινης ομάδας συνήθως περιλαμβάνει τη δοκιμή ενός πολύ ευρύτερου φάσματος μέτρων ασφαλείας. Οι ενέργειες μπορεί να περιλαμβάνουν την εκτέλεση ασκήσεων phishing εναντίον εργαζομένων, την προσπάθεια κοινωνικής μηχανικής να εισέλθετε σε ένα κτίριο ή ακόμα και τη φυσική διάρρηξη. Ενώ κάθε άσκηση της κόκκινης ομάδας ποικίλλει, η ιδέα είναι συνήθως πολύ περισσότερο ένα τεστ της χειρότερης περίπτωσης «έτσι κι αν». Σύμφωνα με τις γραμμές "αυτή η εφαρμογή Ιστού είναι ασφαλής, αλλά τι γίνεται αν κάποιος μπει στο δωμάτιο του διακομιστή και πάρει το σκληρό δίσκο με όλα τα δεδομένα σε αυτόν."
Σχεδόν οποιοδήποτε ζήτημα ασφαλείας που θα μπορούσε να χρησιμοποιηθεί για να βλάψει μια εταιρεία ή ένα σύστημα είναι θεωρητικά ανοιχτό σε ηθική παραβίαση. Αυτό προϋποθέτει ότι ο κάτοχος του συστήματος χορηγεί άδεια, ωστόσο, και ότι είναι έτοιμος να πληρώσει για αυτό.
Δίνοντας πράγματα στους κακούς;
Οι ηθικοί χάκερ γράφουν, χρησιμοποιούν και μοιράζονται εργαλεία hacking για να κάνουν τη ζωή τους πιο εύκολη. Είναι δίκαιο να αμφισβητηθεί η ηθική αυτού του γεγονότος, καθώς τα μαύρα καπέλα θα μπορούσαν να χρησιμοποιήσουν αυτά τα εργαλεία για να προκαλέσουν περισσότερο όλεθρο. Ρεαλιστικά όμως, είναι απολύτως λογικό να υποθέσουμε ότι οι επιτιθέμενοι έχουν ήδη αυτά τα εργαλεία, ή τουλάχιστον κάτι παρόμοια, καθώς προσπαθούν να κάνουν τη ζωή τους πιο εύκολη. Το να μην έχεις εργαλεία και να προσπαθείς να δυσκολέψεις τα μαύρα καπέλα βασίζεται στην ασφάλεια μέσω της αφάνειας. Αυτή η έννοια είναι βαθιά απογοητευμένη στην κρυπτογραφία και στο μεγαλύτερο μέρος του κόσμου της ασφάλειας γενικότερα.
Υπεύθυνη Αποκάλυψη
Ένας ηθικός χάκερ μπορεί μερικές φορές να συναντήσει μια ευπάθεια όταν περιηγείται σε έναν ιστότοπο ή χρησιμοποιεί ένα προϊόν. Σε αυτήν την περίπτωση, συνήθως προσπαθούν να το αναφέρουν υπεύθυνα στον νόμιμο κάτοχο του συστήματος. Το βασικό μετά από αυτό είναι πώς αντιμετωπίζεται η κατάσταση. Το ηθικό πράγμα που πρέπει να κάνετε είναι να το αποκαλύψετε ιδιωτικά στον νόμιμο κάτοχο του συστήματος για να του επιτρέψετε να διορθώσουν το πρόβλημα και να διανείμουν μια ενημέρωση κώδικα λογισμικού.
Φυσικά, οποιοσδήποτε ηθικός χάκερ είναι επίσης υπεύθυνος για την ενημέρωση των χρηστών που επηρεάζονται από μια τέτοια ευπάθεια, ώστε να μπορούν να επιλέξουν να λάβουν τις δικές τους αποφάσεις με συνείδηση της ασφάλειας. Συνήθως, ένα χρονικό πλαίσιο 90 ημερών από την ιδιωτική αποκάλυψη θεωρείται ως ο κατάλληλος χρόνος για την ανάπτυξη και τη δημοσίευση μιας ενημέρωσης κώδικα. Ενώ μπορούν να δοθούν παρατάσεις εάν απαιτείται λίγος περισσότερος χρόνος, αυτό δεν γίνεται απαραίτητα.
Ακόμα κι αν δεν είναι διαθέσιμη μια επιδιόρθωση, είναι μπορώ να είστε ηθικοί να αναφέρετε το θέμα δημόσια. Αυτό, ωστόσο, προϋποθέτει ότι ο ηθικός χάκερ προσπάθησε να αποκαλύψει το ζήτημα με υπευθυνότητα και, γενικά, ότι προσπαθούν να ενημερώσουν τους κανονικούς χρήστες, ώστε να μπορούν να προστατευτούν. Ενώ ορισμένα τρωτά σημεία μπορεί να περιγράφονται λεπτομερώς με την απόδειξη εργασίας για την εκμετάλλευση της ιδέας, αυτό συχνά δεν γίνεται εάν δεν υπάρχει ακόμα διαθέσιμη μια επιδιόρθωση.
Αν και αυτό μπορεί να μην ακούγεται εντελώς ηθικό, τελικά, ωφελεί τον χρήστη. Σε ένα σενάριο, η εταιρεία βρίσκεται υπό αρκετή πίεση για να δώσει μια έγκαιρη επιδιόρθωση. Οι χρήστες μπορούν να ενημερώσουν σε μια σταθερή έκδοση ή τουλάχιστον να εφαρμόσουν μια λύση. Η εναλλακτική είναι ότι η εταιρεία δεν μπορεί να αναπτύξει εγκαίρως μια επιδιόρθωση για ένα σοβαρό ζήτημα ασφαλείας. Σε αυτήν την περίπτωση, ο χρήστης μπορεί να λάβει τεκμηριωμένη απόφαση σχετικά με τη συνέχιση της χρήσης του προϊόντος.
συμπέρασμα
Ένας ηθικός χάκερ είναι ένας χάκερ που ενεργεί εντός των περιορισμών του νόμου. Συνήθως τους έχει συνάψει σύμβαση ή τους χορηγείται με άλλο τρόπο άδεια από τον νόμιμο κάτοχο του συστήματος για να χακάρουν ένα σύστημα. Αυτό γίνεται με την προϋπόθεση ότι ο ηθικός χάκερ θα αναφέρει τα προβλήματα που εντοπίστηκαν υπεύθυνα στον νόμιμο κάτοχο του συστήματος, ώστε να μπορούν να επιλυθούν. Η ηθική πειρατεία βασίζεται στο «θέστε έναν κλέφτη να πιάσει έναν κλέφτη». Χρησιμοποιώντας τη γνώση των ηθικών χάκερ, μπορείτε να επιλύσετε τα ζητήματα που θα μπορούσαν να έχουν εκμεταλλευτεί οι χάκερ με μαύρο καπέλο. Οι ηθικοί χάκερ αναφέρονται επίσης ως χάκερ λευκού καπέλου. Άλλοι όροι μπορούν επίσης να χρησιμοποιηθούν σε ορισμένες περιπτώσεις, όπως "penesters" για την πρόσληψη επαγγελματιών.