Nesunku turėti paprastą požiūrį, kad visi įsilaužėliai yra blogi vaikinai, kurie siekia sukelti duomenų pažeidimus ir įdiegti išpirkos reikalaujančias programas. Tačiau tai netiesa. Ten yra daug piktadarių įsilaužėlių. Kai kurie įsilaužėliai savo įgūdžius naudoja etiškai ir teisėtai. „Etinis įsilaužėlis“ yra įsilaužėlis, kuris įsilaužia pagal teisinio susitarimo su teisėtu sistemos savininku kompetenciją.
Patarimas: Kaip priešingybė a juodos skrybėlės įsilaužėlis, etiškas įsilaužėlis dažnai vadinamas baltosios skrybėlės įsilaužėliu.
Esmė yra suprasti, kas daro įsilaužimą neteisėtu. Nors visame pasaulyje yra skirtumų, dauguma įsilaužimo įstatymų apsiriboja „neteisėta prieiga prie sistemos, jei neturite leidimo“. Koncepcija paprasta. Tikrieji įsilaužimo veiksmai nėra neteisėti; tai tiesiog daro be leidimo. Tačiau tai reiškia, kad gali būti suteiktas leidimas leisti jums daryti tai, kas kitu atveju būtų neteisėta.
Šį leidimą gali gauti ne tik koks nors atsitiktinis asmuo gatvėje ar internete. Tai net negali ateiti iš vyriausybės (
nors žvalgybos agentūros veikia pagal kiek kitokias taisykles). Leidimą turi suteikti teisėtas sistemos savininkas.Patarimas: Kad būtų aišku, „teisėtas sistemos savininkas“ nebūtinai reiškia asmenį, kuris nusipirko sistemą. Tai reiškia asmenį, kuris teisėtai turi teisinę atsakomybę pasakyti; tai tau gerai. Paprastai tai bus CISO, generalinis direktorius arba valdyba, nors galimybė suteikti leidimą taip pat gali būti perduodama toliau grandinėje.
Nors leidimas gali būti duodamas tiesiog žodžiu, tai niekada nedaroma. Kadangi testą atliekantis asmuo ar įmonė būtų teisiškai atsakinga už tai, ko jie neturėtų atlikti, būtina sudaryti rašytinę sutartį.
Veiksmų sritis
Negalima pervertinti sutarties svarbos. Tai vienintelis dalykas, suteikiantis teisėtumą etiško įsilaužėlio įsilaužimo veiksmams. Sutarties dotacija suteikia kompensaciją už nurodytus veiksmus ir numatytus tikslus. Todėl labai svarbu suprasti sutartį ir tai, ką ji apima, nes išėjimas iš sutarties taikymo srities reiškia išėjimą iš teisinės žalos atlyginimo ir įstatymų pažeidimo.
Jei etiškas įsilaužėlis nepatenka į sutarties taikymo sritį, jis laikosi teisinės virvės. Viskas, ką jie daro, yra techniškai neteisėta. Daugeliu atvejų toks žingsnis būtų atsitiktinis ir greitai pagautas. Tinkamai elgiantis, tai nebūtinai gali būti problema, tačiau, atsižvelgiant į situaciją, ji tikrai gali būti.
Siūloma sutartis nebūtinai turi būti specialiai pritaikyta. Kai kurios įmonės siūlo klaidų kompensavimo schemą. Tai apima atviros sutarties paskelbimą, leidžiančią bet kam pabandyti etiškai įsilaužti į savo sistemą, jei jie laikosi nurodytų taisyklių ir praneša apie bet kokią problemą. Šiuo atveju už ataskaitų teikimo problemas paprastai atlyginama finansiškai.
Etinio įsilaužimo rūšys
Standartinė etinio įsilaužimo forma yra „siskverbimo testas“ arba pentestas. Čia vienas ar daugiau etiškų įsilaužėlių imasi bandyti įsiskverbti į sistemos saugumo apsaugą. Užbaigus įsipareigojimą, etiški įsilaužėliai, vadinami šio vaidmens pentestuotojais, praneša klientui apie savo išvadas. Klientas gali naudoti ataskaitoje pateiktą informaciją, kad ištaisytų nustatytus pažeidžiamumus. Nors galima atlikti individualų ir sutartinį darbą, daugelis pentestuotojų yra įmonės vidiniai ištekliai arba yra samdomos specializuotos tikrinančios įmonės.
Patarimas: Tai „pentestavimas“, o ne „bandymas rašikliu“. Prasiskverbimo tikrintuvas netikrina rašiklių.
Kai kuriais atvejais nepakanka patikrinti, ar viena ar daugiau programų ar tinklų yra saugūs. Tokiu atveju gali būti atliekami išsamesni tyrimai. Raudonosios komandos įsipareigojimas paprastai apima daug įvairesnių saugos priemonių išbandymą. Veiksmai gali apimti sukčiavimo pratimus prieš darbuotojus, bandymą socialiai įvesti jūsų kelią į pastatą ar net fizinį įsilaužimą. Nors kiekvienas raudonosios komandos pratimas skiriasi, koncepcija paprastai yra labiau „blogiausio atvejo“ testas „o kas būtų, jei“. „Ši žiniatinklio programa yra saugi, bet ką daryti, jei kas nors tiesiog įeina į serverio kambarį ir paima standųjį diską su visais joje esančiais duomenimis“.
Beveik bet kokia saugumo problema, kuri gali būti panaudota pakenkti įmonei ar sistemai, teoriškai yra atvira etiškam įsilaužimui. Tai reiškia, kad sistemos savininkas suteikia leidimą ir yra pasirengęs už tai sumokėti.
Duoti daiktus blogiukams?
Etiški įsilaužėliai rašo, naudoja ir dalijasi įsilaužimo įrankiais, kad palengvintų savo gyvenimą. Teisinga abejoti to etika, nes juodos skrybėlės gali naudoti šias priemones, kad sukeltų daugiau sumaišties. Tačiau realiai visiškai pagrįsta manyti, kad užpuolikai jau turi šiuos įrankius ar bent jau kažką panašaus, nes bando palengvinti savo gyvenimą. Neturėdamas įrankių ir bandydamas apsunkinti juodąsias skrybėles, pasitiki saugumu per neaiškumą. Ši koncepcija kriptografijoje ir apskritai daugumoje saugumo pasaulio šalių yra labai nerimta.
Atsakingas atskleidimas
Etinis įsilaužėlis kartais gali suklupti dėl pažeidžiamumo naršydamas svetainėje arba naudodamas produktą. Tokiu atveju jie paprastai stengiasi apie tai atsakingai pranešti teisėtam sistemos savininkui. Svarbiausia po to, kaip situacija tvarkoma. Etiškas dalykas – tai privačiai atskleisti teisėtam sistemos savininkui, kad jis galėtų išspręsti problemą ir platinti programinės įrangos pataisą.
Žinoma, bet kuris etiškas įsilaužėlis taip pat yra atsakingas už tokio pažeidžiamumo paveiktų vartotojų informavimą, kad jie galėtų patys priimti sprendimus dėl saugumo. Paprastai 90 dienų laikotarpis nuo privataus atskleidimo laikomas tinkamu laiku pataisymui sukurti ir paskelbti. Nors pratęsimas gali būti suteiktas, jei reikia šiek tiek daugiau laiko, tai nebūtinai daroma.
Net jei pataisymas nepasiekiamas, jis gali būkite etiški viešai detalizuoti problemą. Tačiau tai daroma prielaida, kad etiškas įsilaužėlis bandė atsakingai atskleisti problemą ir paprastai bando informuoti įprastus vartotojus, kad jie galėtų apsisaugoti. Nors kai kurie pažeidžiamumai gali būti išsamiai aprašyti naudojant koncepcijos išnaudojimo įrodymą, dažnai tai neatliekama, jei pataisymas dar nepasiekiamas.
Nors tai gali atrodyti ne visiškai etiška, galiausiai tai naudinga vartotojui. Pagal vieną scenarijų įmonė patiria pakankamai spaudimo laiku pateikti pataisymą. Vartotojai gali atnaujinti į fiksuotą versiją arba bent jau įgyvendinti sprendimą. Alternatyva yra ta, kad įmonė negali greitai išspręsti rimtos saugos problemos. Tokiu atveju vartotojas gali priimti pagrįstą sprendimą dėl tolesnio produkto naudojimo.
Išvada
Etinis įsilaužėlis yra įsilaužėlis, kuris veikia neperžengdamas įstatymų apribojimų. Paprastai su jais teisėtas sistemos savininkas sudaro sutartį arba kitaip suteikia leidimą įsilaužti į sistemą. Tai daroma su sąlyga, kad etiškas įsilaužėlis apie nustatytas problemas atsakingai praneš teisėtam sistemos savininkui, kad jas būtų galima išspręsti. Etinis įsilaužimas grindžiamas „nustatyti vagį, kad jis sugautų vagį“. Pasinaudodami etiškų įsilaužėlių žiniomis, galite išspręsti problemas, kuriomis galėjo pasinaudoti juodosios kepurės įsilaužėliai. Etiški įsilaužėliai taip pat vadinami baltųjų skrybėlių įsilaužėliais. Tam tikromis aplinkybėmis gali būti vartojami ir kiti terminai, pvz., „pentesters“ samdant profesionalus.