რა არის ეთიკური ჰაკერი?

ადვილია გქონდეს მარტივი შეხედულება, რომ ყველა ჰაკერი ცუდი ბიჭია, რათა გამოიწვიონ მონაცემების დარღვევა და გამოიყენონ გამოსასყიდი პროგრამა. თუმცა ეს სიმართლეს არ შეესაბამება. არსებობს უამრავი ცუდი ბიჭი ჰაკერი. ზოგიერთი ჰაკერი იყენებს თავის უნარებს ეთიკურად და ლეგალურად. „ეთიკური ჰაკერი“ არის ჰაკერი, რომელიც ჰაკერებს სისტემის ლეგიტიმურ მფლობელთან სამართლებრივი შეთანხმების ფარგლებში.

რჩევა: როგორც საპირისპირო ა შავი ქუდის ჰაკერიეთიკურ ჰაკერს ხშირად თეთრი ქუდის ჰაკერს უწოდებენ.

ამის საფუძველია იმის გაგება, თუ რა ხდის ჰაკერობას უკანონო. მიუხედავად იმისა, რომ არსებობს ვარიაციები მთელს მსოფლიოში, ჰაკერების კანონების უმეტესობა ემყარება იმას, რომ „სისტემაზე წვდომა უკანონოა, თუ ამის ნებართვა არ გაქვს“. კონცეფცია მარტივია. ფაქტობრივი ჰაკერული ქმედებები არ არის უკანონო; უბრალოდ აკეთებს ამას ნებართვის გარეშე. მაგრამ ეს ნიშნავს, რომ ნებართვა შეიძლება გაცემული იყოს, რაც საშუალებას მოგცემთ გააკეთო ის, რაც სხვაგვარად უკანონო იქნებოდა.

ეს ნებართვა არ შეიძლება იყოს ნებისმიერი შემთხვევითი ადამიანისგან ქუჩაში ან ინტერნეტში. ეს ვერც კი მოდის ხელისუფლებისგან (

თუმცა სადაზვერვო სააგენტოები მოქმედებენ ოდნავ განსხვავებული წესებით). ნებართვა საჭიროა სისტემის ლეგიტიმური მფლობელის მიერ.

რჩევა: გასაგებად რომ ვთქვათ, „სისტემის ლეგიტიმური მფლობელი“ სულაც არ ეხება იმ პირს, ვინც სისტემა იყიდა. ეს ეხება ადამიანს, რომელსაც კანონიერად აქვს უფლება თქვას; ეს კარგია შენთვის. როგორც წესი, ეს იქნება CISO, აღმასრულებელი დირექტორი ან საბჭო, თუმცა ნებართვის გაცემის შესაძლებლობა ასევე შეიძლება დელეგირებული იყოს ჯაჭვის ქვემოთ.

მიუხედავად იმისა, რომ ნებართვა შეიძლება უბრალოდ ზეპირად გაცემულიყო, ეს არასოდეს კეთდება. იმის გამო, რომ პირი ან კომპანია, რომელიც ახორციელებს ტესტს, იურიდიულად პასუხისმგებელი იქნება იმის შესამოწმებლად, რაც მათ არ უნდა გააკეთონ, საჭიროა წერილობითი კონტრაქტი.

მოქმედებების სფერო

ხელშეკრულების მნიშვნელობა არ შეიძლება გადაჭარბებული იყოს. ეს არის ერთადერთი, რაც ეთიკური ჰაკერების ჰაკერულ ქმედებებს კანონიერებას ანიჭებს. კონტრაქტის გრანტი იძლევა ანაზღაურებას განსაზღვრული ქმედებებისთვის და მითითებული მიზნების საწინააღმდეგოდ. როგორც ასეთი, აუცილებელია გავიგოთ ხელშეკრულება და რას მოიცავს იგი, რადგან ხელშეკრულების ფარგლებიდან გასვლა ნიშნავს სამართლებრივი ანაზღაურების ფარგლებს გარეთ გამოსვლას და კანონის დარღვევას.

თუ ეთიკური ჰაკერი ცდება კონტრაქტის ფარგლებს გარეთ, ისინი ლეგალურ თოკს ატარებენ. რასაც ისინი აკეთებენ, ტექნიკურად უკანონოა. ხშირ შემთხვევაში, ასეთი ნაბიჯი იქნება შემთხვევითი და სწრაფად თვითდაჭერა. სათანადოდ მოპყრობის შემთხვევაში, ეს შეიძლება სულაც არ იყოს პრობლემა, მაგრამ სიტუაციიდან გამომდინარე, ეს ნამდვილად შეიძლება იყოს.

შემოთავაზებული კონტრაქტი სულაც არ უნდა იყოს კონკრეტულად მორგებული. ზოგიერთი კომპანია გთავაზობთ bug bounty სქემას. ეს გულისხმობს ღია კონტრაქტის გამოქვეყნებას, რომელიც საშუალებას აძლევს ნებისმიერს, სცადოს საკუთარი სისტემის ეთიკური გატეხვა, სანამ ისინი თამაშობენ მითითებული წესებით და აცნობებენ მათ მიერ გამოვლენილ ნებისმიერ პრობლემას. ანგარიშგების საკითხები, ამ შემთხვევაში, როგორც წესი, ფინანსურად დაჯილდოვდება.

ეთიკური ჰაკერების სახეები

ეთიკური ჰაკერების სტანდარტული ფორმა არის „შეღწევადობის ტესტი“ ან პენტესტი. ეს არის ადგილი, სადაც ერთი ან მეტი ეთიკური ჰაკერია ჩართული, რათა შეაღწიონ სისტემის უსაფრთხოების დაცვას. ჩართულობის დასრულების შემდეგ, ეთიკური ჰაკერები, რომლებსაც ამ როლის შემსრულებლები უწოდებენ, აცნობებენ კლიენტს თავიანთ დასკვნებს. კლიენტს შეუძლია გამოიყენოს ანგარიშში მოცემული დეტალები გამოვლენილი დაუცველობის გამოსასწორებლად. მიუხედავად იმისა, რომ ინდივიდუალური და საკონტრაქტო სამუშაოები შეიძლება შესრულდეს, ბევრი პენსტერი არის კომპანიის შიდა რესურსი, ან დაქირავებულია სპეციალიზირებული ფირმები.

რჩევა: ეს არის "პენტესტი" და არა "კალმის ტესტირება". შეღწევადობის ტესტერი არ ამოწმებს კალმებს.

ზოგიერთ შემთხვევაში, ტესტირება, არის თუ არა ერთი ან მეტი აპლიკაცია ან ქსელი უსაფრთხო, საკმარისი არ არის. ამ შემთხვევაში შეიძლება ჩატარდეს უფრო ღრმა ტესტები. წითელი გუნდის ჩართულობა, როგორც წესი, მოიცავს უსაფრთხოების ზომების უფრო ფართო სპექტრის ტესტირებას. ქმედებები შეიძლება მოიცავდეს თანამშრომლების წინააღმდეგ ფიშინგის ვარჯიშების შესრულებას, შენობაში შესვლის სოციალური ინჟინერიის მცდელობას ან თუნდაც ფიზიკურ შეჭრას. მიუხედავად იმისა, რომ წითელი გუნდის თითოეული სავარჯიშო განსხვავდება, კონცეფცია, როგორც წესი, ბევრად უფრო უარესი ტესტია "მერე რა თუ". "ეს ვებ აპლიკაცია უსაფრთხოა, მაგრამ რა მოხდება, თუ ვინმე უბრალოდ შევა სერვერის ოთახში და იღებს მყარ დისკს მასზე არსებული ყველა მონაცემით."

თითქმის ნებისმიერი უსაფრთხოების საკითხი, რომელიც შეიძლება გამოყენებულ იქნას კომპანიის ან სისტემის დაზიანებისთვის, თეორიულად ღიაა ეთიკური ჰაკერებისთვის. ეს ვარაუდობს, რომ სისტემის მფლობელი გასცემს ნებართვას და რომ ისინი მზად არიან გადაიხადონ ეს.

რამის მიცემა ცუდ ბიჭებს?

ეთიკური ჰაკერები წერენ, იყენებენ და აზიარებენ ჰაკერულ ინსტრუმენტებს, რათა გაუადვილონ ცხოვრება. სამართლიანია ამის ეთიკის ეჭვქვეშ დაყენება, რადგან შავ ქუდებს შეუძლიათ გამოიყენონ ეს ხელსაწყოები მეტი ნგრევის მოსატანად. თუმცა, რეალისტურად, სავსებით გონივრული იქნება ვივარაუდოთ, რომ თავდამსხმელებს უკვე აქვთ ეს იარაღები, ან სულ ცოტა მსგავსი, რადგან ისინი ცდილობენ გაამარტივონ ცხოვრება. ხელსაწყოების არქონა და შავი ქუდების გაძნელების მცდელობა არის უსაფრთხოებაზე დაყრდნობა გაურკვევლობის გზით. კრიპტოგრაფიაში და ზოგადად უსაფრთხოების სამყაროს უმეტესობაში ეს კონცეფცია ღრმად შეურაცხყოფილია.

პასუხისმგებელი გამჟღავნება

ეთიკურმა ჰაკერმა შეიძლება ზოგჯერ წააწყდეს დაუცველობას ვებსაიტის დათვალიერებისას ან პროდუქტის გამოყენებისას. ამ შემთხვევაში, ისინი, როგორც წესი, ცდილობენ ამის შესახებ პასუხისმგებლობით შეატყობინონ სისტემის ლეგიტიმურ მფლობელს. ამის შემდეგ მთავარია, როგორ მოგვარდება სიტუაცია. ეთიკური რამ, რაც უნდა გააკეთოთ, არის ის პირადად გაამჟღავნოთ ის სისტემის ლეგიტიმურ მფლობელს, რათა მათ საშუალება მისცენ მოაგვარონ პრობლემა და გაავრცელონ პროგრამული პაჩი.

რა თქმა უნდა, ნებისმიერი ეთიკური ჰაკერი ასევე პასუხისმგებელია მომხმარებლების ინფორმირებაზე, რომლებიც გავლენას ახდენენ ასეთი მოწყვლადობით, რათა მათ თავად აირჩიონ უსაფრთხოებისთვის შეგნებული გადაწყვეტილებების მიღება. როგორც წესი, პირადი გამჟღავნებიდან 90 დღის ვადა განიხილება, როგორც სათანადო დრო შესწორების შემუშავებისა და გამოქვეყნებისთვის. მიუხედავად იმისა, რომ გაფართოებების მინიჭება შესაძლებელია, თუ ცოტა მეტი დროა საჭირო, ეს სულაც არ კეთდება.

მაშინაც კი, თუ გამოსწორება არ არის ხელმისაწვდომი, ის შეუძლია იყავით ეთიკური საკითხის საჯაროდ დეტალებისთვის. თუმცა, ეს ვარაუდობს, რომ ეთიკური ჰაკერი ცდილობდა პასუხისმგებლობით გაემჟღავნებინა საკითხი და, ზოგადად, რომ ისინი ცდილობენ ნორმალური მომხმარებლების ინფორმირებას, რათა მათ შეძლონ საკუთარი თავის დაცვა. მიუხედავად იმისა, რომ ზოგიერთი დაუცველობა შეიძლება დეტალურად იყოს აღწერილი კონცეფციის ექსპლოიტების სამუშაო მტკიცებულებით, ეს ხშირად არ კეთდება, თუ გამოსწორება ჯერ არ არის ხელმისაწვდომი.

მიუხედავად იმისა, რომ ეს შეიძლება სრულიად ეთიკურად არ ჟღერდეს, საბოლოო ჯამში, ეს მომხმარებელზე სარგებელს მოაქვს. ერთ სცენარში კომპანია საკმარის ზეწოლას განიცდის დროული გამოსწორების მიზნით. მომხმარებლებს შეუძლიათ განაახლონ ფიქსირებულ ვერსიაზე ან მინიმუმ განახორციელონ გამოსავალი. ალტერნატივა არის ის, რომ კომპანიას არ შეუძლია დაუყონებლივ განათავსოს გამოსწორება უსაფრთხოების სერიოზული პრობლემის შესახებ. ამ შემთხვევაში მომხმარებელს შეუძლია მიიღოს ინფორმირებული გადაწყვეტილება პროდუქტის გამოყენების გაგრძელების შესახებ.

დასკვნა

ეთიკური ჰაკერი არის ჰაკერი, რომელიც მოქმედებს კანონის შეზღუდვების ფარგლებში. როგორც წესი, მათ აქვთ კონტრაქტი ან სხვაგვარად მინიჭებული ნებართვა სისტემის ლეგიტიმური მფლობელის მიერ სისტემის გატეხვის მიზნით. ეს კეთდება იმ პირობით, რომ ეთიკური ჰაკერი პასუხისმგებლობით შეატყობინებს გამოვლენილ საკითხებს სისტემის ლეგიტიმურ მფლობელს, რათა მოხდეს მათი გამოსწორება. ეთიკური ჰაკერობა ეფუძნება „დააყენე ქურდი, რომ დაიჭიროს ქურდი“. ეთიკური ჰაკერების ცოდნის გამოყენებით, შეგიძლიათ მოაგვაროთ ის საკითხები, რომლებიც შავი ქუდის ჰაკერებს შეეძლოთ ესარგებლათ. ეთიკურ ჰაკერებს ასევე მოიხსენიებენ, როგორც თეთრი ქუდის ჰაკერებს. სხვა ტერმინები ასევე შეიძლება გამოყენებულ იქნას გარკვეულ გარემოებებში, როგორიცაა "pentesters" პროფესიონალების დაქირავებისთვის.