すべてのハッカーがデータ侵害を引き起こし、ランサムウェアを展開する悪者であるという単純な見方をするのは簡単です. しかし、これは正しくありません。 そこにはたくさんの悪者ハッカーがいます。 一部のハッカーは、スキルを倫理的かつ合法的に使用しています。 「倫理的ハッカー」とは、正当なシステム所有者との法的契約の範囲内でハッキングするハッカーです。
ヒント: の反対として ブラックハットハッカー、倫理的なハッカーはしばしばホワイトハットハッカーと呼ばれます.
これの核心は、ハッキングを違法にするものを理解することです。 世界中でさまざまな違いがありますが、ほとんどのハッキング法は、「許可を得ていない場合にシステムにアクセスすることは違法です」と要約されます。 コンセプトはシンプルです。 実際のハッキング行為は違法ではありません。 許可なくそうしているだけです。 しかし、それは、そうでなければ違法となるようなことをする許可を与えることができることを意味します。
この許可は、路上やオンラインのランダムな人物からだけではありません。 それは政府から来ることさえできません(諜報機関はわずかに異なるルールの下で活動していますが、). 許可は、正当なシステム所有者によって付与される必要があります。
ヒント: 明確にするために、「正当なシステム所有者」は必ずしもシステムを購入した人を指すわけではありません。 それは、合法的に発言する法的責任を負っている人を指します。 これで問題ありません。 通常、これは CISO、CEO、または取締役会になりますが、許可を付与する権限はチェーンのさらに下に委任することもできます。
許可は口頭で簡単に与えることができますが、これは決して行われません。 テストを実行する個人または会社は、想定されていないものをテストする法的責任を負うため、書面による契約が必要です。
行動範囲
契約の重要性はいくら強調してもしすぎることはありません。 倫理的ハッカーのハッキング行為を正当化する唯一のものです。 契約付与は、指定されたアクションおよび指定されたターゲットに対して補償を提供します。 そのため、契約の範囲外に出るということは、法的補償の範囲外になり、法律に違反することを意味するため、契約とその内容を理解することが不可欠です。
倫理的なハッカーが契約の範囲から外れた場合、彼らは法的な綱渡りをしていることになります。 彼らが行うことはすべて、技術的に違法です。 多くの場合、そのようなステップは偶発的であり、すぐに自分で見つけます。 適切に処理すれば、これは必ずしも問題になるとは限りませんが、状況によっては問題になる可能性があります。
提供される契約は、必ずしも特別に調整する必要はありません。 一部の企業は、バグ報奨金制度を提供しています。 これには公開契約が含まれており、指定されたルールに従ってプレイし、特定した問題を報告する限り、誰でも倫理的にシステムをハッキングしようとすることができます。 この場合、レポートの問題は通常、金銭的に報われます。
倫理的ハッキングの種類
倫理的なハッキングの標準的な形式は、「ペネトレーション テスト」またはペンテストです。 これは、1 人以上の倫理的ハッカーが関与して、システムのセキュリティ防御を突破しようとする場所です。 エンゲージメントが完了すると、この役割ではペンテスターと呼ばれる倫理的ハッカーが、調査結果をクライアントに報告します。 クライアントはレポートの詳細を使用して、特定された脆弱性を修正できます。 個人作業や契約作業を行うこともできますが、多くのペンテスターは社内のリソースであるか、専門のペンテスト会社を雇っています。
ヒント: 「侵入テスト」ではなく「侵入テスト」です。 侵入テスターはペンをテストしません。
場合によっては、1 つ以上のアプリケーションまたはネットワークが安全かどうかをテストするだけでは不十分です。 この場合、より詳細なテストが実行される場合があります。 通常、赤いチームの関与には、より広範なセキュリティ対策のテストが含まれます。 アクションには、従業員に対するフィッシング演習の実行、建物へのソーシャル エンジニアリングの試み、さらには物理的な侵入が含まれる場合があります。 レッドチームの演習はそれぞれ異なりますが、コンセプトは通常、最悪の場合の「もしも」のテストです。 「この Web アプリケーションは安全ですが、誰かがサーバー ルームに足を踏み入れて、すべてのデータが保存されているハード ドライブを持って行ったらどうなるでしょうか」という行に沿って。
企業やシステムに危害を加えるために使用される可能性のあるセキュリティ問題は、理論的には倫理的なハッキングにさらされています。 ただし、これは、システム所有者が許可を与え、それに対して支払う準備ができていることを前提としています。
悪者に物を与える?
エシカル ハッカーは、ハッキング ツールを作成、使用、共有して、生活を楽にしています。 ブラック ハットがこれらのツールを利用してさらに大混乱を引き起こす可能性があるため、これの倫理に疑問を呈するのは当然です。 しかし、現実的には、攻撃者が自分たちの生活を楽にしようとしているため、これらのツール、または少なくともそれに似たものをすでに持っていると想定することは完全に合理的です。 ツールを持たず、ブラック ハットをより困難にしようとすることは、あいまいさを通じてセキュリティに依存することです。 この概念は、暗号化やセキュリティの世界のほとんどで一般的に嫌われています。
責任ある開示
倫理的なハッカーは、Web サイトを閲覧したり、製品を使用したりするときに、脆弱性に出くわすことがあります。 この場合、彼らは通常、正当なシステム所有者に責任を持って報告しようとします。 その後の重要なことは、状況をどのように処理するかです。 倫理的に行うべきことは、正当なシステム所有者に非公開で開示して、問題を修正し、ソフトウェア パッチを配布できるようにすることです。
もちろん、倫理的なハッカーは、そのような脆弱性の影響を受けるユーザーに通知して、セキュリティを意識した独自の決定を下せるようにする責任もあります。 通常、非公開開示から 90 日の期間は、修正プログラムを開発して公開するための適切な時間と見なされます。 もう少し時間が必要な場合は延長が許可されますが、これは必ずしも行われるわけではありません.
修正が利用できない場合でも、 できる 問題を公に詳述することは倫理的であること。 ただし、これは、倫理的なハッカーが責任を持って問題を開示しようとしたこと、および一般的に、通常のユーザーが自分自身を保護できるように通知しようとしていることが前提です。 一部の脆弱性は、動作する概念実証のエクスプロイトで詳細に説明される場合がありますが、修正がまだ利用できない場合、多くの場合、これは行われません.
これは完全に倫理的に聞こえないかもしれませんが、最終的にはユーザーに利益をもたらします。 あるシナリオでは、会社はタイムリーな修正を提供するために十分なプレッシャーにさらされています。 ユーザーは、修正済みバージョンに更新するか、少なくとも回避策を実装できます。 別の方法は、会社が重大なセキュリティ問題の修正をすぐに展開できないことです。 この場合、ユーザーは、製品の使用を継続することについて十分な情報に基づいた決定を下すことができます。
結論
倫理的ハッカーとは、法律の制約の中で行動するハッカーです。 通常、彼らは、システムをハッキングするために、正当なシステム所有者から契約またはその他の方法で許可を与えられています。 これは、倫理的なハッカーが責任を持って特定された問題を正当なシステム所有者に報告し、修正できるようにするという条件で行われます。 倫理的なハッキングは、「泥棒を捕まえるために泥棒を設定する」ことに基づいています。 倫理的なハッカーの知識を使用することで、ブラック ハット ハッカーが悪用した可能性がある問題を解決できます。 エシカル ハッカーは、ホワイト ハット ハッカーとも呼ばれます。 専門家を雇うための「ペンテスター」など、特定の状況では他の用語も使用される場合があります。