On helppo olla yksinkertainen näkemys, että kaikki hakkerit ovat pahiksia aiheuttamaan tietomurtoja ja ottamaan käyttöön kiristysohjelmia. Tämä ei kuitenkaan ole totta. Siellä on paljon pahiksia hakkereita. Jotkut hakkerit käyttävät taitojaan eettisesti ja laillisesti. "Eettinen hakkeri" on hakkeri, joka hakkeroi laillisen järjestelmän omistajan kanssa tehdyn laillisen sopimuksen puitteissa.
Kärki: Vastakohtana a musta hattu hakkeri, eettistä hakkeria kutsutaan usein valkohattuhakkeriksi.
Tämän ydin on ymmärrys siitä, mikä tekee hakkeroinnista laitonta. Vaikka vaihteluita on eri puolilla maailmaa, useimmat hakkerointilainsäädäntö tiivistyvät sanoihin "järjestelmään pääsy on laitonta, jos sinulla ei ole siihen lupaa". Konsepti on yksinkertainen. Varsinaiset hakkerointitoimet eivät ole laittomia; se vain tekee niin ilman lupaa. Mutta se tarkoittaa, että lupa voidaan myöntää, jotta voit tehdä jotain, mikä muuten olisi laitonta.
Tämä lupa ei voi tulla vain satunnaiselta henkilöltä kadulla tai verkossa. Se ei voi tulla edes hallitukselta (
vaikka tiedustelupalvelut toimivat hieman eri sääntöjen mukaan). Järjestelmän laillisen omistajan on annettava lupa.Kärki: Selvyyden vuoksi "laillinen järjestelmän omistaja" ei välttämättä tarkoita henkilöä, joka osti järjestelmän. Se viittaa henkilöön, jolla on laillinen vastuu sanoa; tämä on ok sinulle. Tyypillisesti tämä on CISO, toimitusjohtaja tai hallitus, vaikka luvan myöntämismahdollisuus voidaan delegoida myös ketjun alempana.
Vaikka lupa voidaan antaa yksinkertaisesti suullisesti, sitä ei koskaan tehdä. Koska testin suorittava henkilö tai yritys olisi laillisesti vastuussa testaamaan sen, mitä heidän ei pitäisi tehdä, vaaditaan kirjallinen sopimus.
Toimien laajuus
Sopimuksen merkitystä ei voi liioitella. Se on ainoa asia, joka myöntää eettisen hakkerin hakkerointitoimille laillisuuden. Sopimusavustus korvaa määritellyt toimet ja asetettuja tavoitteita vastaan. Sellaisenaan on olennaista ymmärtää sopimus ja mitä se kattaa, sillä sopimuksen soveltamisalan ulkopuolelle jääminen tarkoittaa laillisen korvauksen ulkopuolelle jättämistä ja lain rikkomista.
Jos eettinen hakkeri eksyy sopimuksen soveltamisalan ulkopuolelle, hän ajaa laillista köyttä. Kaikki mitä he tekevät, on teknisesti laitonta. Monissa tapauksissa tällainen askel olisi vahingossa ja nopeasti itsestään kiinni. Asianmukaisesti käsiteltynä tämä ei välttämättä ole ongelma, mutta tilanteesta riippuen se voi varmasti olla.
Tarjottua sopimusta ei välttämättä tarvitse erikseen räätälöidä. Jotkut yritykset tarjoavat bugipalkkiojärjestelmän. Tämä edellyttää avoimen sopimuksen julkaisemista, jolloin kuka tahansa voi yrittää hakkeroida järjestelmäänsä eettisesti, kunhan he noudattavat määriteltyjä sääntöjä ja raportoivat havaitsemistaan ongelmista. Raportointiongelmista tässä tapauksessa yleensä palkitaan taloudellisesti.
Eettisen hakkeroinnin tyypit
Eettisen hakkeroinnin vakiomuoto on "läpäisytesti" tai pentest. Täällä yksi tai useampi eettinen hakkeri sitoutuu yrittämään tunkeutua järjestelmän suojauskeinoihin. Kun sitoutuminen on valmis, eettiset hakkerit, joita kutsutaan tässä roolissa oleviksi pentestereiksi, raportoivat havainnoistaan asiakkaalle. Asiakas voi käyttää raportin tietoja havaittujen haavoittuvuuksien korjaamiseen. Vaikka yksilö- ja sopimustyötä voidaan tehdä, monet testaajat ovat yrityksen sisäisiä resursseja tai erikoistuneita testausyrityksiä palkataan.
Kärki: Se on "kynätestausta" ei "kynätestausta". Läpäisymittari ei testaa kyniä.
Joissakin tapauksissa yhden tai useamman sovelluksen tai verkon turvallisuuden testaaminen ei riitä. Tässä tapauksessa voidaan tehdä perusteellisempia testejä. Punaisen tiimin sitouttamiseen kuuluu tyypillisesti paljon laajemman turvatoimien testaaminen. Toimet voivat sisältää tietojenkalasteluharjoituksia työntekijöitä vastaan, yrittäminen sosiaalisesti ohjata tiesi rakennukseen tai jopa fyysinen murtautuminen. Vaikka jokainen punaisen joukkueen harjoitus vaihtelee, konsepti on tyypillisesti paljon enemmän pahimman tapauksen "mitä jos" -testi. Kuten "tämä verkkosovellus on turvallinen, mutta entä jos joku vain kävelee palvelinhuoneeseen ja ottaa kiintolevyn kaikkine tiedoineen."
Melkein kaikki tietoturvaongelmat, joita voitaisiin käyttää vahingoittamaan yritystä tai järjestelmää, ovat teoriassa avoinna eettiselle hakkeroinnille. Tämä edellyttää, että järjestelmän omistaja kuitenkin myöntää luvan ja on valmis maksamaan siitä.
Annatko tavaroita pahiksi?
Eettiset hakkerit kirjoittavat, käyttävät ja jakavat hakkerointityökaluja helpottaakseen elämäänsä. On reilua kyseenalaistaa tämän etiikka, sillä mustat hatut voisivat käyttää näitä työkaluja lisäämään tuhoa. Realistisesti on kuitenkin täysin järkevää olettaa, että hyökkääjillä on jo nämä työkalut tai ainakin jotain niiden kaltaisia, kun he yrittävät helpottaa elämäänsä. Työkalujen puuttuminen ja mustien hattujen vaikeuttaminen luottaa turvallisuuteen epäselvyyden kautta. Tätä käsitettä paheksutaan syvästi kryptografiassa ja useimmissa turvallisuusmaailmassa yleensä.
Vastuullinen paljastaminen
Eettinen hakkeri voi joskus törmätä haavoittuvuuteen selatessaan verkkosivustoa tai käyttäessään tuotetta. Tässä tapauksessa he yleensä yrittävät ilmoittaa siitä vastuullisesti järjestelmän lailliselle omistajalle. Sen jälkeen tärkeintä on, miten tilanne hoidetaan. Eettinen asia on paljastaa se yksityisesti lailliselle järjestelmän omistajalle, jotta he voivat korjata ongelman ja jakaa ohjelmistokorjauksen.
Tietenkin jokainen eettinen hakkeri on myös vastuussa haavoittuvuudesta kärsiville käyttäjille tiedottamisesta, jotta he voivat tehdä omat turvallisuustietoiset päätöksensä. Tyypillisesti 90 päivän ajanjakso yksityisen julkistamisen jälkeen katsotaan sopivaksi ajaksi korjauksen kehittämiseen ja julkaisemiseen. Vaikka pidennystä voidaan myöntää, jos tarvitaan hieman enemmän aikaa, sitä ei välttämättä tehdä.
Vaikka korjausta ei olisi saatavilla, se voi on eettinen kertoa asiasta julkisesti. Tämä kuitenkin edellyttää, että eettinen hakkeri on yrittänyt paljastaa ongelman vastuullisesti ja yleensä, että he yrittävät informoida tavallisia käyttäjiä, jotta he voivat suojautua. Vaikka jotkin haavoittuvuudet saattavat olla yksityiskohtaisia konseptien hyväksikäyttöä koskevien toimivien todisteiden avulla, tätä ei usein tehdä, jos korjausta ei ole vielä saatavilla.
Vaikka tämä ei ehkä kuulosta täysin eettiseltä, se hyödyttää lopulta käyttäjää. Yhdessä skenaariossa yrityksellä on tarpeeksi paineita toimittaa oikea-aikainen korjaus. Käyttäjät voivat päivittää kiinteään versioon tai ainakin toteuttaa kiertotavan. Vaihtoehtona on, että yritys ei voi ottaa käyttöön korjausta vakavaan tietoturvaongelmaan nopeasti. Tässä tapauksessa käyttäjä voi tehdä tietoisen päätöksen tuotteen käytön jatkamisesta.
Johtopäätös
Eettinen hakkeri on hakkeri, joka toimii lain rajoissa. Yleensä laillinen järjestelmän omistaja on tehnyt sopimuksen tai muutoin myöntänyt heille luvan hakkeroida järjestelmä. Tämä tehdään sillä ehdolla, että eettinen hakkeri ilmoittaa havaitsemistaan ongelmista vastuullisesti lailliselle järjestelmän omistajalle, jotta ne voidaan korjata. Eettinen hakkerointi perustuu "asettaa varas saamaan varkaan". Käyttämällä eettisten hakkerien tietämystä voit ratkaista ongelmat, joita mustahattu-hakkerit ovat saattaneet hyödyntää. Eettisiä hakkereita kutsutaan myös valkohattuhakkereiksi. Tietyissä olosuhteissa voidaan käyttää myös muita termejä, kuten ammattilaisten palkkaamiseen tarkoitettuja termejä.