एथिकल हैकर क्या है?

यह सरल दृष्टिकोण रखना आसान है कि सभी हैकर डेटा उल्लंघनों और रैनसमवेयर को तैनात करने के लिए बुरे लोग हैं। हालांकि यह सच नहीं है। वहाँ बहुत सारे बुरे आदमी हैकर हैं। कुछ हैकर नैतिक और कानूनी रूप से अपने कौशल का उपयोग करते हैं। एक "एथिकल हैकर" एक हैकर है जो वैध सिस्टम मालिक के साथ कानूनी समझौते के दायरे में हैक करता है।

बख्शीश: ए के विपरीत के रूप में काली टोपी हैकर, एक एथिकल हैकर को अक्सर व्हाइट हैट हैकर कहा जाता है।

इसका मूल यह समझना है कि क्या हैकिंग को अवैध बनाता है। जबकि दुनिया भर में विविधताएं हैं, अधिकांश हैकिंग कानून "यदि आपके पास ऐसा करने की अनुमति नहीं है, तो किसी सिस्टम तक पहुंचना अवैध है।" अवधारणा सरल है। वास्तविक हैकिंग क्रियाएं अवैध नहीं हैं; यह बिना अनुमति के बस ऐसा कर रहा है। लेकिन इसका मतलब है कि अनुमति आपको कुछ ऐसा करने की अनुमति देने के लिए दी जा सकती है जो अन्यथा अवैध होगी।

यह अनुमति सड़क पर या ऑनलाइन किसी भी यादृच्छिक व्यक्ति से नहीं आ सकती है। यह सरकार से भी नहीं आ सकता (हालांकि खुफिया एजेंसियां ​​थोड़े अलग नियमों के तहत काम करती हैं). वैध सिस्टम स्वामी द्वारा अनुमति प्रदान करने की आवश्यकता है।

बख्शीश: स्पष्ट होने के लिए, "वैध सिस्टम स्वामी" आवश्यक रूप से उस व्यक्ति को संदर्भित नहीं करता है जिसने सिस्टम खरीदा है। यह किसी ऐसे व्यक्ति को संदर्भित करता है जिसके पास वैध रूप से कहने की कानूनी जिम्मेदारी है; यह आपके लिए ठीक है। आमतौर पर यह सीआईएसओ, सीईओ या बोर्ड होगा, हालांकि अनुमति देने की क्षमता को श्रृंखला के नीचे भी प्रत्यायोजित किया जा सकता है।

जबकि अनुमति केवल मौखिक रूप से दी जा सकती है, ऐसा कभी नहीं किया जाता है। जैसा कि परीक्षण करने वाला व्यक्ति या कंपनी कानूनी रूप से परीक्षण के लिए उत्तरदायी होगा जो वे नहीं चाहते थे, एक लिखित अनुबंध की आवश्यकता होती है।

क्रियाओं का दायरा

अनुबंध के महत्व को अतिरंजित नहीं किया जा सकता है। एथिकल हैकर की हैकिंग कार्रवाइयों को वैधता प्रदान करने वाली यह एकमात्र चीज है। अनुबंध अनुदान निर्दिष्ट कार्यों के लिए और निर्दिष्ट लक्ष्यों के विरुद्ध क्षतिपूर्ति देता है। इस प्रकार, अनुबंध को समझना आवश्यक है और इसमें क्या शामिल है, क्योंकि अनुबंध के दायरे से बाहर जाने का मतलब कानूनी क्षतिपूर्ति के दायरे से बाहर जाना और कानून तोड़ना है।

यदि कोई एथिकल हैकर अनुबंध के दायरे से बाहर निकलता है, तो वे एक कानूनी कसौटी पर चल रहे हैं। वे जो कुछ भी करते हैं वह तकनीकी रूप से अवैध है। कई मामलों में, ऐसा कदम आकस्मिक और जल्दी से स्वयं पकड़ा जाएगा। जब उचित तरीके से संभाला जाए, तो यह जरूरी नहीं कि एक मुद्दा हो, लेकिन स्थिति के आधार पर, यह निश्चित रूप से हो सकता है।

प्रस्तावित अनुबंध को विशेष रूप से तैयार करने की आवश्यकता नहीं है। कुछ कंपनियां बग बाउंटी स्कीम पेश करती हैं। इसमें एक खुला अनुबंध प्रकाशित करना शामिल है, जो किसी को भी अपने सिस्टम को नैतिक रूप से हैक करने की कोशिश करने की अनुमति देता है, जब तक कि वे निर्दिष्ट नियमों से खेलते हैं और किसी भी मुद्दे की रिपोर्ट करते हैं जो वे पहचानते हैं। इस मामले में रिपोर्टिंग मुद्दों को आम तौर पर वित्तीय रूप से पुरस्कृत किया जाता है।

एथिकल हैकिंग के प्रकार

एथिकल हैकिंग का मानक रूप "प्रवेश परीक्षण," या पेंटेस्ट है। यह वह जगह है जहां एक या एक से अधिक एथिकल हैकर सिस्टम की सुरक्षा सुरक्षा को भेदने की कोशिश में लगे हुए हैं। एक बार सगाई पूरी हो जाने के बाद, एथिकल हैकर्स, जिन्हें इस भूमिका में पेंटेस्टर कहा जाता है, क्लाइंट को अपने निष्कर्षों की रिपोर्ट करते हैं। ग्राहक पहचानी गई कमजोरियों को ठीक करने के लिए रिपोर्ट में विवरण का उपयोग कर सकता है। जबकि व्यक्तिगत और अनुबंध कार्य किया जा सकता है, कई पेंटेस्टर आंतरिक कंपनी संसाधन हैं, या विशेषज्ञ पेंटेस्टिंग फर्मों को काम पर रखा जाता है।

बख्शीश: यह "कलम परीक्षण" नहीं "पेंटिंग" है। पैठ परीक्षक पेन का परीक्षण नहीं करता है।

कुछ मामलों में, एक या अधिक एप्लिकेशन या नेटवर्क सुरक्षित होने पर परीक्षण करना पर्याप्त नहीं है। इस मामले में, अधिक गहन परीक्षण किए जा सकते हैं। एक रेड-टीम एंगेजमेंट में आमतौर पर सुरक्षा उपायों की एक व्यापक श्रेणी का परीक्षण शामिल होता है। कार्रवाइयों में कर्मचारियों के खिलाफ फ़िशिंग अभ्यास करना, सोशल इंजीनियर को किसी इमारत में अपना रास्ता बनाने की कोशिश करना, या यहां तक ​​कि शारीरिक रूप से तोड़ना शामिल हो सकता है। जबकि प्रत्येक रेड-टीम अभ्यास भिन्न होता है, अवधारणा आमतौर पर सबसे खराब स्थिति "तो क्या हुआ अगर" परीक्षण से अधिक है। "यह वेब एप्लिकेशन सुरक्षित है, लेकिन क्या होगा अगर कोई सर्वर रूम में चलता है और हार्ड ड्राइव को उस पर सभी डेटा के साथ ले जाता है।"

लगभग कोई भी सुरक्षा समस्या जिसका उपयोग किसी कंपनी या सिस्टम को नुकसान पहुँचाने के लिए किया जा सकता है, सैद्धांतिक रूप से एथिकल हैकिंग के लिए खुला है। यह मानता है कि सिस्टम स्वामी अनुमति देता है, हालांकि, और वे इसके लिए भुगतान करने के लिए तैयार हैं।

बुरे लोगों को चीजें देना?

एथिकल हैकर अपने जीवन को आसान बनाने के लिए हैकिंग टूल लिखते हैं, उपयोग करते हैं और साझा करते हैं। इसकी नैतिकता पर सवाल उठाना उचित है, क्योंकि काली टोपी इन उपकरणों को और अधिक कहर बरपा सकती है। वास्तविक रूप से हालांकि, यह मान लेना पूरी तरह से उचित है कि हमलावरों के पास पहले से ही ये उपकरण हैं, या कम से कम उनके जैसा कुछ है, क्योंकि वे अपने जीवन को आसान बनाने की कोशिश करते हैं। उपकरण नहीं होना और काली टोपी के लिए इसे कठिन बनाने की कोशिश करना अस्पष्टता के माध्यम से सुरक्षा पर निर्भर है। यह अवधारणा क्रिप्टोग्राफी और सामान्य रूप से अधिकांश सुरक्षा दुनिया में गहराई से फैली हुई है।

जिम्मेदार प्रकटीकरण

किसी वेबसाइट को ब्राउज़ करते समय या किसी उत्पाद का उपयोग करते समय एक नैतिक हैकर को कभी-कभी भेद्यता का सामना करना पड़ सकता है। इस मामले में, वे आमतौर पर इसे वैध सिस्टम स्वामी को जिम्मेदारी से रिपोर्ट करने का प्रयास करते हैं। उसके बाद अहम बात यह है कि स्थिति को कैसे संभाला जाता है। करने के लिए नैतिक बात यह है कि इसे वैध सिस्टम स्वामी को निजी तौर पर प्रकट करना है ताकि उन्हें समस्या को ठीक करने और सॉफ़्टवेयर पैच वितरित करने की अनुमति मिल सके।

बेशक, कोई भी एथिकल हैकर ऐसी भेद्यता से प्रभावित उपयोगकर्ताओं को सूचित करने के लिए भी जिम्मेदार है ताकि वे अपने स्वयं के सुरक्षा-सचेत निर्णय लेने का विकल्प चुन सकें। आमतौर पर, निजी प्रकटीकरण से 90 दिनों की समय सीमा को फिक्स विकसित करने और प्रकाशित करने के लिए उचित समय के रूप में देखा जाता है। हालांकि अगर थोड़ा और समय चाहिए तो एक्सटेंशन दिया जा सकता है, लेकिन ऐसा जरूरी नहीं है।

यहां तक ​​कि अगर एक फिक्स उपलब्ध नहीं है, यह कर सकना मुद्दे को सार्वजनिक रूप से विस्तृत करने के लिए नैतिक बनें। हालांकि, यह माना जाता है कि एथिकल हैकर ने जिम्मेदारी से इस मुद्दे का खुलासा करने की कोशिश की है और आम तौर पर, कि वे सामान्य उपयोगकर्ताओं को सूचित करने की कोशिश कर रहे हैं ताकि वे अपनी सुरक्षा कर सकें। जबकि कुछ कमजोरियों को अवधारणा के शोषण के कार्य प्रमाण के साथ विस्तृत किया जा सकता है, अगर अभी तक कोई सुधार उपलब्ध नहीं है तो ऐसा अक्सर नहीं किया जाता है।

हालांकि यह पूरी तरह से नैतिक नहीं लग सकता है, अंततः, यह उपयोगकर्ता को लाभ पहुंचाता है। एक परिदृश्य में, कंपनी समय पर समाधान देने के लिए पर्याप्त दबाव में है। उपयोगकर्ता एक निश्चित संस्करण में अपडेट कर सकते हैं या कम से कम वर्कअराउंड लागू कर सकते हैं। इसका विकल्प यह है कि कंपनी किसी गंभीर सुरक्षा समस्या के समाधान को तुरंत लागू नहीं कर सकती है। इस मामले में, उपयोगकर्ता उत्पाद का उपयोग जारी रखने के बारे में सूचित निर्णय ले सकता है।

निष्कर्ष

एथिकल हैकर एक हैकर होता है जो कानून के दायरे में रहकर काम करता है। विशिष्ट रूप से उन्हें सिस्टम को हैक करने के लिए वैध सिस्टम स्वामी द्वारा अनुबंधित या अन्यथा अनुमति दी जाती है। यह इस शर्त पर किया जाता है कि एथिकल हैकर जिम्मेदारी से पहचाने गए मुद्दों की रिपोर्ट वैध सिस्टम मालिक को करेगा ताकि उन्हें ठीक किया जा सके। एथिकल हैकिंग "एक चोर को पकड़ने के लिए एक चोर को सेट करें" पर बनाया गया है। एथिकल हैकर्स के ज्ञान का उपयोग करके, आप उन मुद्दों को हल कर सकते हैं जिनका ब्लैक हैट हैकर्स फायदा उठा सकते थे। एथिकल हैकर्स को व्हाइट हैट हैकर्स भी कहा जाता है। अन्य शर्तों का भी कुछ परिस्थितियों में उपयोग किया जा सकता है, जैसे पेशेवरों को काम पर रखने के लिए "पेंटेस्टर"।