Könnyű az az egyszerű nézet, hogy minden hacker rosszfiú, hogy adatszivárgást okozzon és zsarolóprogramokat telepítsen. Ez azonban nem igaz. Rengeteg rosszfiú hacker van odakint. Egyes hackerek etikusan és legálisan használják készségeiket. Az „etikus hacker” olyan hacker, amely a rendszer törvényes tulajdonosával kötött jogi megállapodás keretein belül tör fel.
Tipp: Ellentéteként a fekete kalapos hacker, az etikus hackert gyakran fehér kalapos hackernek is nevezik.
Ennek lényege annak megértése, hogy mi teszi a hackelést illegálissá. Noha világszerte vannak eltérések, a legtöbb hackertörvény lényege, hogy „illegális hozzáférni egy rendszerhez, ha nincs rá engedélye”. A koncepció egyszerű. A tényleges hackelési műveletek nem illegálisak; csak engedély nélkül teszi. Ez azonban azt jelenti, hogy engedélyt kaphat olyan tevékenységre, ami egyébként illegális lenne.
Ez az engedély nem érkezhet egyetlen véletlenszerű személytől az utcán vagy az interneten. Nem is jöhet a kormánytól (bár a titkosszolgálatok kissé eltérő szabályok szerint működnek
). Az engedélyt a rendszer törvényes tulajdonosának kell megadnia.Tipp: Az egyértelműség kedvéért a „jogos rendszertulajdonos” nem feltétlenül arra a személyre vonatkozik, aki megvásárolta a rendszert. Olyan valakire vonatkozik, akinek törvényesen megvan a jogi felelőssége, hogy megmondja; ez rendben van neked. Általában ez a CISO, a vezérigazgató vagy az igazgatóság, bár az engedély megadásának képessége a láncon lejjebb is delegálható.
Bár az engedélyt egyszerűen szóban is meg lehet adni, ez soha nem történik meg. Mivel a tesztet végző személy vagy cég jogilag felelős azért, hogy olyan tesztelést végezzen, amit nem kellene, ezért írásos szerződésre van szükség.
A cselekvések köre
A szerződés fontosságát nem lehet túlbecsülni. Ez az egyetlen dolog, amely jogszerűvé teszi az etikus hacker hacker akcióit. A szerződéses támogatás a meghatározott tevékenységekért és a kitűzött célokhoz képest kártalanítást nyújt. Ennek megfelelően elengedhetetlen megérteni a szerződést és annak tartalmát, mivel a szerződés hatálya alóli kilépés a jogi kártalanítás hatálya alóli kilépést és törvénysértést jelent.
Ha egy etikus hacker kikerül a szerződés hatálya alól, jogi kötélbe fut. Bármit csinálnak, az technikailag illegális. Sok esetben egy ilyen lépés véletlen és gyorsan magától értetődő lenne. Ha megfelelően kezelik, ez nem feltétlenül jelent problémát, de a helyzettől függően biztosan lehet.
A megajánlott szerződést nem feltétlenül kell konkrétan személyre szabni. Egyes cégek hibajavító rendszert kínálnak. Ez magában foglalja egy nyílt szerződés közzétételét, amely lehetővé teszi bárki számára, hogy megpróbálja etikusan feltörni a rendszerét, mindaddig, amíg betartja a meghatározott szabályokat, és bejelenti az általa azonosított problémákat. A jelentési problémákat ebben az esetben általában anyagi jutalmazzák.
Az etikus hackelés típusai
Az etikus hackelés szokásos formája a „penetrációs teszt” vagy a penteszt. Ez az a hely, ahol egy vagy több etikus hacker vesz részt, hogy megpróbáljon behatolni egy rendszer biztonsági védelmébe. Az elköteleződés befejezése után az etikus hackerek, akiket ebben a szerepkörben pentesternek neveznek, beszámolnak az ügyfélnek az eredményeikről. Az ügyfél felhasználhatja a jelentésben szereplő részleteket az azonosított biztonsági rések kijavításához. Míg egyéni és szerződéses munka is végezhető, sok pentester a vállalat belső erőforrása, vagy speciális pentesztelő cégeket alkalmaznak.
Tipp: Ez „tesztelés”, nem „tollteszt”. A penetrációs teszter nem teszteli a tollakat.
Egyes esetekben nem elegendő annak tesztelése, hogy egy vagy több alkalmazás vagy hálózat biztonságos-e. Ebben az esetben alaposabb vizsgálatokat lehet végezni. A vörös csapat megbízása általában a biztonsági intézkedések sokkal szélesebb körének tesztelését jelenti. A műveletek közé tartozhat az alkalmazottak elleni adathalász gyakorlatok végrehajtása, az épületbe való behatolás kísérlete, vagy akár fizikai betörés. Bár minden egyes vörös csapat gyakorlata eltérő, a koncepció jellemzően sokkal inkább a legrosszabb eset „na és mi lenne, ha” tesztje. A következőhöz hasonlóan: „Ez a webalkalmazás biztonságos, de mi van akkor, ha valaki bemegy a szerverszobába, és elveszi a merevlemezt az összes adattal együtt”.
Gyakorlatilag minden olyan biztonsági probléma, amely egy vállalat vagy rendszer kárára használható, elvileg nyitott az etikus hackelésre. Ez azt feltételezi, hogy a rendszer tulajdonosa megadja az engedélyt, és kész fizetni érte.
Dolgokat adni a rosszfiúknak?
Az etikus hackerek életük megkönnyítése érdekében hackereszközöket írnak, használnak és osztanak meg. Méltányos megkérdőjelezni ennek etikáját, mivel a fekete kalapok ezeket az eszközöket kombinálhatják, hogy nagyobb pusztítást végezzenek. Reálisan azonban teljesen jogos azt feltételezni, hogy a támadók már rendelkeznek ezekkel az eszközökkel, vagy legalábbis valami hasonlóval, mivel megpróbálják megkönnyíteni az életüket. Az eszközök hiánya és a fekete kalapok dolgának megnehezítése az ismeretlenségen keresztüli biztonságra támaszkodik. Ezt a koncepciót mélyen rosszallják a kriptográfia és általában a biztonsági világ nagy részében.
Felelősségteljes nyilvánosságra hozatal
Egy etikus hacker néha egy webhely böngészése vagy egy termék használata közben botlhat bele egy sebezhetőségbe. Ilyenkor jellemzően megpróbálják felelősségteljesen bejelenteni a jogos rendszertulajdonosnak. A legfontosabb ezek után az, hogy hogyan kezelik a helyzetet. Az etikus dolog az, hogy privát módon felfedjük a rendszer törvényes tulajdonosával, hogy lehetővé tegye számukra a probléma megoldását és a szoftverjavítás terjesztését.
Természetesen minden etikus hacker felelős azért is, hogy tájékoztassa az ilyen sérülékenység által érintett felhasználókat, hogy dönthessenek saját biztonságtudatos döntéseik mellett. Jellemzően a privát közzétételtől számított 90 napos időkeret megfelelő időnek tekinthető a javítás kidolgozására és közzétételére. Bár a hosszabbítás engedélyezhető, ha egy kicsit több időre van szükség, ez nem feltétlenül történik meg.
Még ha nem is érhető el javítás, az tud legyen etikus, ha nyilvánosan részletezi a kérdést. Ez azonban azt feltételezi, hogy az etikus hacker megpróbálta felelősségteljesen nyilvánosságra hozni a problémát, és általában megpróbálja tájékoztatni a normál felhasználókat, hogy megvédjék magukat. Noha egyes sebezhetőségek részletesen kifejthetők a koncepciós kihasználások működőképes bizonyításával, ez gyakran nem történik meg, ha még nem érhető el javítás.
Bár ez nem hangzik teljesen etikusnak, végső soron a felhasználó számára előnyös. Az egyik forgatókönyv szerint a vállalat kellő nyomás alatt van ahhoz, hogy időben meghozza a javítást. A felhasználók frissíthetnek egy rögzített verzióra, vagy legalábbis alkalmazhatnak egy kerülő megoldást. Az alternatíva az, hogy a vállalat nem tud azonnal javítani egy súlyos biztonsági problémát. Ebben az esetben a felhasználó megalapozott döntést hozhat a termék további használatáról.
Következtetés
Az etikus hacker olyan hacker, aki a törvényi korlátokon belül cselekszik. Általában a törvényes rendszertulajdonos szerzõdést köt vagy más módon engedélyt ad a rendszer feltörésére. Ez azzal a feltétellel történik, hogy az etikus hacker felelősségteljesen jelenti az azonosított problémákat a rendszer jogos tulajdonosának, hogy azokat kijavíthassák. Az etikus hackelés arra épül, hogy „állítsd be a tolvajt, hogy elkapjon egy tolvajt”. Az etikus hackerek tudásának felhasználásával megoldhatja azokat a problémákat, amelyeket a feketekalapos hackerek kihasználhattak. Az etikus hackereket fehér kalapos hackereknek is nevezik. Bizonyos körülmények között más kifejezések is használhatók, például a „pentesters” szakemberek felvételére.