מהו האקר אתי?

MiscellaneaApr 07, 2023

קל לקבל את הדעה הפשוטה שכל ההאקרים הם בחורים רעים שמטרתם לגרום לפרצות נתונים ולפרוס תוכנות כופר. זה לא נכון, עם זאת. יש הרבה האקרים רעים בחוץ. כמה האקרים משתמשים בכישוריהם בצורה אתית וחוקית. "האקר אתי" הוא האקר שפורץ במסגרת הסכם משפטי עם בעל המערכת הלגיטימי.

עֵצָה: כמו ההיפך מא האקר כובע שחור, האקר אתי נקרא לעתים קרובות האקר כובע לבן.

הליבה של זה היא הבנה של מה הופך פריצה לבלתי חוקית. למרות שישנן וריאציות ברחבי העולם, רוב חוקי הפריצה מסתכמים ב"זה לא חוקי לגשת למערכת אם אין לך הרשאה לעשות זאת." הקונספט פשוט. פעולות הפריצה בפועל אינן בלתי חוקיות; זה פשוט עושה זאת ללא רשות. אבל זה אומר שניתן לתת רשות כדי לאפשר לך לעשות משהו שאחרת היה לא חוקי.

ההרשאה הזו לא יכולה להגיע מכל אדם אקראי ברחוב או באינטרנט. זה אפילו לא יכול לבוא מהממשלה (למרות שסוכנויות המודיעין פועלות תחת כללים מעט שונים). הרשאה צריכה להינתן על ידי בעל המערכת הלגיטימי.

עֵצָה: שיהיה ברור, "בעל מערכת לגיטימי" אינו מתייחס בהכרח לאדם שקנה ​​את המערכת. זה מתייחס למישהו שיש לו באופן לגיטימי את האחריות המשפטית לומר; זה בסדר בשבילך. בדרך כלל זה יהיה ה-CISO, המנכ"ל או הדירקטוריון, אם כי ניתן להאציל את היכולת להעניק הרשאה גם בהמשך השרשרת.

אמנם ניתן פשוט לתת רשות בעל פה, אבל זה אף פעם לא נעשה. מכיוון שהאדם או החברה המבצעים את הבדיקה יהיו אחראים משפטית לבדיקת מה שהם לא אמורים לעשות, נדרש חוזה בכתב.

היקף הפעולות

לא ניתן להפריז בחשיבות החוזה. זה הדבר היחיד שמעניק לפעולות הפריצה של ההאקר האתי חוקיות. מענק החוזה נותן שיפוי בגין הפעולות שצוינו וכנגד היעדים שצוינו. ככזה, חיוני להבין את החוזה ומה הוא מכסה, שכן יציאה ממסגרת החוזה משמעה יציאה מגדר השיפוי המשפטי והפרת החוק.

אם האקר אתי חורג מחוץ לתחום החוזה, הוא מנהל חבל דק משפטי. כל דבר שהם עושים אינו חוקי מבחינה טכנית. במקרים רבים, צעד כזה יהיה מקרי ויתפס בעצמו במהירות. כאשר מטפלים בו כראוי, זה לא בהכרח יכול להיות בעיה, אבל בהתאם למצב, זה בהחלט יכול להיות.

החוזה המוצע לא בהכרח צריך להיות מותאם במיוחד. חברות מסוימות מציעות תוכנית פרס באג. זה כרוך בפרסום חוזה פתוח, המאפשר לכל אחד לנסות לפרוץ את המערכת שלו בצורה אתית, כל עוד הוא פועל לפי הכללים שצוינו וידווח על כל בעיה שהוא מזהה. בעיות דיווח, במקרה זה, בדרך כלל מתוגמלות כלכלית.

סוגי פריצה אתית

הצורה הסטנדרטית של פריצה אתית היא "מבחן החדירה", או pentest. זה המקום שבו מאורסים האקרים אתיים אחד או יותר כדי לנסות לחדור להגנת האבטחה של מערכת. לאחר השלמת ההתקשרות, ההאקרים האתיים, המכונים פנטסטרים בתפקיד זה, מדווחים על ממצאיהם ללקוח. הלקוח יכול להשתמש בפרטים בדוח כדי לתקן את הפגיעויות שזוהו. אמנם ניתן לבצע עבודה פרטנית וקבלנית, אך רבים מהפנטסטרים הם משאבים פנימיים של החברה, או שחברות מומחים מתמחות נשכרות.

עֵצָה: זה "בדיקת עט" לא "בדיקת עטים". בודק חדירה אינו בודק עטים.

במקרים מסוימים, בדיקה אם אפליקציה או רשת אחת או יותר מאובטחות אינה מספיקה. במקרה זה, ניתן לבצע בדיקות מעמיקות יותר. מעורבות של צוות אדום כרוכה בדרך כלל בבדיקת מגוון רחב הרבה יותר של אמצעי אבטחה. הפעולות יכולות לכלול ביצוע תרגילי פישינג נגד עובדים, ניסיון להנדס את דרכך לבניין, או אפילו פריצה פיזית. למרות שכל תרגיל של צוות אדום משתנה, הרעיון הוא בדרך כלל הרבה יותר מבחן "אז מה אם" במקרה הגרוע ביותר. בנוסח "יישום האינטרנט הזה מאובטח, אבל מה אם מישהו פשוט נכנס לחדר השרת ולוקח את הכונן הקשיח עם כל הנתונים שעליו."

כמעט כל בעיית אבטחה שיכולה לשמש כדי לפגוע בחברה או במערכת פתוחה תיאורטית לפריצה אתית. זאת בהנחה שבעל המערכת נותן הרשאה, עם זאת, ושהוא מוכן לשלם עבורה.

לתת דברים לרעים?

האקרים אתיים כותבים, משתמשים ומשתפים כלי פריצה כדי להקל על חייהם. זה הוגן לפקפק באתיקה של זה, שכן כובעים שחורים יכולים לצרף כלים אלה כדי לזרוע הרס נוסף. עם זאת, מציאותית, סביר בהחלט להניח שלתוקפים כבר יש את הכלים האלה, או לפחות משהו כמוהם, כשהם מנסים להקל על חייהם. חוסר כלים וניסיון להקשות על כובעים שחורים הוא הסתמכות על אבטחה דרך ערפול. מושג זה זוכה לזעף עמוק בקריפטוגרפיה וברוב עולם האבטחה בכלל.

גילוי אחראי

האקר אתי עלול לפעמים להיתקל בפגיעות בעת גלישה באתר או שימוש במוצר. במקרה זה, הם בדרך כלל מנסים לדווח על כך באחריות לבעל המערכת הלגיטימי. המפתח לאחר מכן הוא איך מתנהל המצב. הדבר האתי לעשות הוא לחשוף זאת באופן פרטי לבעל המערכת הלגיטימית כדי לאפשר לו לתקן את הבעיה ולהפיץ תיקון תוכנה.

כמובן, כל האקר אתי אחראי גם ליידע את המשתמשים המושפעים מפגיעות כזו כדי שיוכלו לבחור לקבל החלטות מודעת אבטחה משלהם. בדרך כלל, מסגרת זמן של 90 יום מהחשיפה הפרטית נתפסת כזמן מתאים לפיתוח ופרסום תיקון. אמנם ניתן להעניק הארכות אם צריך קצת יותר זמן, אבל זה לא בהכרח נעשה.

גם אם תיקון לא זמין, זה פחית להיות מוסרי לפרט את הנושא בפומבי. עם זאת, זה מניח שההאקר האתי ניסה לחשוף את הנושא באחריות, ובאופן כללי, שהם מנסים ליידע משתמשים רגילים כדי שיוכלו להגן על עצמם. בעוד שחלק מהפגיעויות עשויות להיות מפורטות עם ניצול הוכחה למושג עבודה, לעתים קרובות זה לא נעשה אם תיקון עדיין לא זמין.

למרות שזה אולי לא נשמע אתי לחלוטין, בסופו של דבר, זה מועיל למשתמש. בתרחיש אחד, החברה נמצאת בלחץ מספיק כדי לספק תיקון בזמן. משתמשים יכולים לעדכן לגרסה קבועה או לפחות ליישם פתרון עוקף. האלטרנטיבה היא שהחברה לא יכולה לפרוס תיקון לבעיית אבטחה חמורה באופן מיידי. במקרה זה, המשתמש יכול לקבל החלטה מושכלת לגבי המשך השימוש במוצר.

סיכום

האקר אתי הוא האקר הפועל במסגרת מגבלות החוק. בדרך כלל הם מקבלים חוזה או מוענקת הרשאה אחרת על ידי בעל המערכת הלגיטימי לפרוץ למערכת. זה נעשה בתנאי שההאקר האתי ידווח על הבעיות שזוהו באחריות לבעל המערכת הלגיטימי כדי שניתן יהיה לתקן אותן. פריצה אתית בנויה על "להגדיר גנב לתפוס גנב". על ידי שימוש בידע של האקרים אתיים, אתה יכול לפתור את הבעיות שהאקרים עם כובע שחור יכלו לנצל. האקרים אתיים מכונים גם כהאקרים כובע לבן. מונחים אחרים עשויים לשמש גם בנסיבות מסוימות, כגון "פנטסטרים" להעסקת אנשי מקצוע.