Lihtne on omada lihtsat seisukohta, et kõik häkkerid on pahad, kes põhjustavad andmetega rikkumisi ja juurutavad lunavara. See pole siiski tõsi. Seal on palju pahatahtlikke häkkereid. Mõned häkkerid kasutavad oma oskusi eetiliselt ja seaduslikult. „Eetiline häkker” on häkker, kes häkkib süsteemi seadusliku omanikuga sõlmitud juriidilise lepingu raames.
Näpunäide: Vastandina a musta mütsi häkker, eetilist häkkerit nimetatakse sageli valge mütsi häkkeriks.
Selle tuum on arusaam sellest, mis teeb häkkimise ebaseaduslikuks. Kuigi üle maailma on erinevusi, taandub enamik häkkimisseadusi sellele, et "süsteemile juurdepääs on ebaseaduslik, kui teil pole selleks luba". Kontseptsioon on lihtne. Tegelikud häkkimistoimingud ei ole ebaseaduslikud; see lihtsalt teeb seda ilma loata. Kuid see tähendab, et võib anda loa, mis lubab teil teha midagi, mis muidu oleks ebaseaduslik.
See luba ei tohi pärineda lihtsalt juhuslikult tänaval või võrgus viibivalt inimeselt. See ei saa tulla isegi valitsuselt (kuigi luureagentuurid tegutsevad veidi teistsuguste reeglite järgi
Näpunäide: Selguse huvides ei tähenda "õigustatud süsteemiomanik" tingimata isikut, kes süsteemi ostis. See viitab kellelegi, kellel on seaduslik õiguslik vastutus öelda; see on teie jaoks ok. Tavaliselt on selleks CISO, tegevjuht või juhatus, kuigi loa andmise võimalust saab delegeerida ka ahelas edasi.
Kuigi loa võib anda lihtsalt suuliselt, ei tehta seda kunagi. Kuna testi teostav isik või ettevõte vastutaks juriidiliselt selle eest, mida nad ei peaks tegema, on vaja kirjalikku lepingut.
Toimingute ulatus
Lepingu tähtsust ei saa üle tähtsustada. See on ainus asi, mis annab eetilise häkkeri häkkimistegevusele seaduslikkuse. Lepingutoetus annab hüvitise kindlaksmääratud tegevuste ja seatud eesmärkide eest. Sellisena on oluline mõista lepingut ja seda, mida see hõlmab, kuna lepingu kohaldamisalast väljumine tähendab juriidilise hüvitise ulatusest väljumist ja seaduse rikkumist.
Kui eetiline häkker jääb lepingu reguleerimisalast välja, ajab ta seaduslikku nööri. Kõik, mida nad teevad, on tehniliselt ebaseaduslik. Paljudel juhtudel oleks selline samm juhuslik ja kiirelt tabatav. Nõuetekohase käsitlemise korral ei pruugi see olla probleem, kuid olenevalt olukorrast võib see kindlasti olla.
Pakutav leping ei pea tingimata olema spetsiaalselt kohandatud. Mõned ettevõtted pakuvad vearahaskeemi. See hõlmab avatud lepingu avaldamist, mis võimaldab kõigil proovida oma süsteemi eetiliselt häkkida, kui nad järgivad kindlaksmääratud reegleid ja teatavad tuvastatud probleemidest. Aruandlusprobleemide eest tasutakse sel juhul tavaliselt rahaliselt.
Eetilise häkkimise tüübid
Eetilise häkkimise standardvorm on läbitungimiskatse või pentest. See on koht, kus üks või mitu eetilist häkkerit püüavad tungida süsteemi turvasüsteemi. Kui kaasamine on lõppenud, teatavad eetilised häkkerid, keda selles rollis täidavad pentestijad, oma leidudest kliendile. Klient saab tuvastatud haavatavuste parandamiseks kasutada aruande üksikasju. Kuigi saab teha nii individuaalset kui ka lepingulist tööd, on paljud pentestijad ettevõttesisesed ressursid või palgatakse spetsiaalseid eeltestimisettevõtteid.
Näpunäide: See on "pentestimine", mitte "pliiatsi testimine". Tungimise tester ei testi pastakaid.
Mõnel juhul ei piisa ühe või mitme rakenduse või võrgu turvalisuse testimisest. Sel juhul võib läbi viia põhjalikumad testid. Punase meeskonna kaasamine hõlmab tavaliselt palju laiema turvameetmete testimist. Tegevused võivad hõlmata töötajate vastu suunatud andmepüügiharjutusi, hoonesse sisenemist sotsiaalselt manipuleerida või isegi füüsilist sissemurdmist. Kuigi iga punase meeskonna harjutus on erinev, on kontseptsioon tavaliselt palju rohkem halvima juhtumi test "mis siis, kui". Nagu "see veebirakendus on turvaline, aga mis siis, kui keegi lihtsalt astub serveriruumi ja võtab kõvaketta kõigi sellel olevate andmetega."
Peaaegu kõik turbeprobleemid, mida võidakse kasutada ettevõtte või süsteemi kahjustamiseks, on teoreetiliselt avatud eetilisele häkkimisele. See eeldab, et süsteemi omanik annab loa ja on valmis selle eest maksma.
Anda asju halbadele poistele?
Eetilised häkkerid kirjutavad, kasutavad ja jagavad häkkimistööriistu, et oma elu lihtsamaks muuta. On õiglane seada kahtluse alla selle eetika, kuna mustad mütsid võivad neid tööriistu kaasata, et tekitada suuremat kaost. Reaalselt on aga täiesti mõistlik eeldada, et ründajatel on need tööriistad või vähemalt midagi sarnast juba olemas, kuna nad üritavad oma elu lihtsamaks muuta. Tööriistade puudumine ja mustade mütside töö raskemaks muutmine tugineb turvalisusele läbi teadmatuse. See kontseptsioon on krüptograafias ja enamikus julgeolekumaailmas üldiselt taunitud.
Vastutustundlik avalikustamine
Eetiline häkker võib mõnikord veebisaiti sirvides või toodet kasutades haavatavuse otsa komistada. Sel juhul püüavad nad tavaliselt sellest vastutustundlikult teatada süsteemi seaduslikule omanikule. Pärast seda on oluline, kuidas olukorda lahendatakse. Eetiline asi on see privaatselt avalikustada seaduslikule süsteemiomanikule, et nad saaksid probleemi lahendada ja tarkvarapaiga levitada.
Loomulikult vastutab iga eetiline häkker ka sellisest haavatavusest mõjutatud kasutajate teavitamise eest, et nad saaksid teha oma turvateadlikud otsused. Tavaliselt peetakse paranduse väljatöötamiseks ja avaldamiseks sobivaks ajaks 90-päevast ajavahemikku alates eraviisilisest avalikustamisest. Kuigi ajapikendusi saab anda, kui on vaja veidi rohkem aega, ei pruugi seda teha.
Isegi kui parandus pole saadaval, on see saab olge eetiline ja kirjeldage probleemi avalikult. See aga eeldab, et eetiline häkker on püüdnud probleemi vastutustundlikult avalikustada ja üldiselt üritavad nad tavakasutajaid sellest teavitada, et nad saaksid end kaitsta. Kuigi mõned haavatavused võivad olla üksikasjalikud kontseptsiooni ärakasutamiste tõenditega, ei tehta seda sageli, kui parandus pole veel saadaval.
Kuigi see ei pruugi tunduda täiesti eetiline, on see lõppkokkuvõttes kasutajale kasulik. Ühe stsenaariumi korral on ettevõte õigeaegse lahenduse pakkumiseks piisava surve all. Kasutajad saavad värskendada fikseeritud versioonile või rakendada vähemalt lahenduse. Alternatiiv on see, et ettevõte ei saa tõsise turvaprobleemi jaoks viivitamatult lahendust kasutusele võtta. Sel juhul saab kasutaja teha teadliku otsuse toote kasutamise jätkamise kohta.
Järeldus
Eetiline häkker on häkker, kes tegutseb seaduse piirangute piires. Tavaliselt sõlmib seaduslik süsteemiomanik nendega lepingu või annab neile muul viisil loa süsteemi häkkimiseks. Seda tehakse tingimusel, et eetiline häkker teatab tuvastatud probleemidest vastutustundlikult süsteemi seaduslikule omanikule, et need saaks parandada. Eetilise häkkimise aluseks on "vargale määramine varast tabama". Kasutades eetiliste häkkerite teadmisi, saate lahendada probleemid, mida musta mütsi häkkerid võisid ära kasutada. Eetilisi häkkereid nimetatakse ka valge mütsi häkkeriteks. Teatud asjaoludel võidakse kasutada ka muid termineid, näiteks professionaalide palkamiseks „pentester“.