Ir viegli izveidot vienkāršu uzskatu, ka visi hakeri ir ļaundari, kas cenšas izraisīt datu pārkāpumus un izvietot izspiedējprogrammatūru. Tomēr tā nav taisnība. Ir daudz ļaundaru hakeru. Daži hakeri izmanto savas prasmes ētiski un likumīgi. “Ētiskais hakeris” ir hakeris, kas uzlaužas saskaņā ar juridisku līgumu ar likumīgu sistēmas īpašnieku.
Padoms: Kā pretstats a melnā cepure hakeris, ētisku hakeri bieži sauc par balto cepuru hakeri.
Tās pamatā ir izpratne par to, kas padara uzlaušanu nelikumīgu. Lai gan visā pasaulē pastāv atšķirības, lielākā daļa hakeru likumu nosaka, ka “ir nelikumīgi piekļūt sistēmai, ja jums nav atļaujas to darīt”. Koncepcija ir vienkārša. Faktiskās uzlaušanas darbības nav nelikumīgas; tas vienkārši to dara bez atļaujas. Bet tas nozīmē, ka var tikt piešķirta atļauja, kas ļauj jums darīt kaut ko tādu, kas citādi būtu nelikumīgs.
Šo atļauju nevar saņemt tikai nejauša persona uz ielas vai tiešsaistē. Tas pat nevar nākt no valdības (lai gan izlūkošanas aģentūras darbojas saskaņā ar nedaudz atšķirīgiem noteikumiem
). Atļauja ir jāpiešķir likumīgajam sistēmas īpašniekam.Padoms: Lai būtu skaidrs, “likumīgais sistēmas īpašnieks” ne vienmēr attiecas uz personu, kas iegādājās sistēmu. Tas attiecas uz kādu, kam likumīgi ir juridiska atbildība pateikt; tas jums ir labi. Parasti tas ir CISO, izpilddirektors vai padome, lai gan iespēju piešķirt atļauju var arī deleģēt tālāk ķēdē.
Lai gan atļauju varētu vienkārši sniegt mutiski, tas nekad netiek darīts. Tā kā persona vai uzņēmums, kas veic pārbaudi, būtu juridiski atbildīgs par to, kas viņiem nav jādara, ir nepieciešams rakstisks līgums.
Darbību joma
Līguma nozīmi nevar pārvērtēt. Tas ir vienīgais, kas nodrošina ētiskā hakeru uzlaušanas darbību likumību. Līguma dotācija dod atlīdzību par norādītajām darbībām un pret noteiktajiem mērķiem. Tāpēc ir svarīgi saprast līgumu un to, ko tas aptver, jo iziet no līguma darbības jomas nozīmē iziet no juridiskās atlīdzības darbības jomas un pārkāpt likumu.
Ja ētisks hakeris izklīst ārpus līguma darbības jomas, viņš izmanto juridisku striktu. Viss, ko viņi dara, ir tehniski nelikumīgs. Daudzos gadījumos šāds solis būtu nejaušs un ātri pašķerts. Pareizi rīkojoties, tā var nebūt problēma, taču atkarībā no situācijas tā noteikti varētu būt.
Piedāvātajam līgumam nav obligāti jābūt īpaši pielāgotam. Daži uzņēmumi piedāvā kļūdu atlīdzības shēmu. Tas ietver atklāta līguma publicēšanu, ļaujot ikvienam mēģināt ētiski uzlauzt savu sistēmu, ja vien viņi ievēro noteiktos noteikumus un ziņo par jebkuru konstatēto problēmu. Šajā gadījumā ziņošanas problēmas parasti tiek finansiāli atalgotas.
Ētiskās uzlaušanas veidi
Standarta ētiskās uzlaušanas veids ir “iekļūšanas tests” vai pentests. Šeit tiek iesaistīti viens vai vairāki ētiski hakeri, lai mēģinātu iekļūt sistēmas drošības aizsardzībā. Kad iesaistīšanās ir pabeigta, ētiskie hakeri, kurus sauc par šīs lomas pieteicējiem, ziņo klientam par saviem atklājumiem. Klients var izmantot pārskatā sniegto informāciju, lai novērstu identificētās ievainojamības. Lai gan var veikt individuālus un līgumdarbus, daudzi pārbaudes veicēji ir uzņēmuma iekšējie resursi, vai arī tiek pieņemti darbā specializētas pārbaudes firmas.
Padoms: Tā ir “pildspalvas testēšana”, nevis “pildspalvas pārbaude”. Iespiešanās testeris nepārbauda pildspalvas.
Dažos gadījumos nepietiek ar vienas vai vairāku lietojumprogrammu vai tīklu drošības pārbaudi. Šajā gadījumā var veikt padziļinātas pārbaudes. Sarkanās komandas iesaistīšanās parasti ietver daudz plašāka drošības pasākumu klāsta testēšanu. Darbības var ietvert pikšķerēšanas vingrinājumu veikšanu pret darbiniekiem, mēģinājumu sociālās inženierijas ceļā iekļūt ēkā vai pat fizisku ielaušanos. Lai gan katrs sarkanās komandas vingrinājums ir atšķirīgs, parasti šis jēdziens ir daudz vairāk kā sliktākā gadījuma tests “kā būtu, ja būtu”. Līdzīgi kā "šī tīmekļa lietojumprogramma ir droša, bet ja kāds vienkārši ieiet servera telpā un paņem cieto disku ar visiem tajā esošajiem datiem."
Gandrīz jebkura drošības problēma, ko varētu izmantot, lai kaitētu uzņēmumam vai sistēmai, teorētiski ir atvērta ētiskai uzlaušanai. Tas pieņem, ka sistēmas īpašnieks tomēr piešķir atļauju un ir gatavs par to maksāt.
Vai dot lietas sliktajiem puišiem?
Ētiski hakeri raksta, izmanto un kopīgo uzlaušanas rīkus, lai atvieglotu savu dzīvi. Ir godīgi apšaubīt tā ētiku, jo melnās cepures varētu izmantot šos rīkus, lai radītu lielāku postu. Tomēr reāli ir pilnīgi pamatoti pieņemt, ka uzbrucējiem jau ir šie rīki vai vismaz kaut kas līdzīgs tiem, jo viņi cenšas atvieglot savu dzīvi. Ja nav rīku un mēģina apgrūtināt melnās cepures, paļaujas uz drošību, izmantojot neskaidrības. Šis jēdziens ir ļoti noraidīts kriptogrāfijā un lielākajā daļā drošības pasaules kopumā.
Atbildīga izpaušana
Ētisks hakeris dažkārt var atklāt ievainojamību, pārlūkojot vietni vai izmantojot produktu. Šādā gadījumā viņi parasti cenšas par to atbildīgi ziņot likumīgajam sistēmas īpašniekam. Pēc tam galvenais ir situācijas risināšana. Ētiskā lieta ir to privāti atklāt likumīgajam sistēmas īpašniekam, lai viņš varētu novērst problēmu un izplatīt programmatūras ielāpu.
Protams, ikviens ētisks hakeris ir atbildīgs arī par lietotāju informēšanu, kurus skārusi šāda ievainojamība, lai viņi varētu izvēlēties pieņemt savus drošības apsvērumus. Parasti 90 dienas pēc privātas izpaušanas tiek uzskatīts par piemērotu laiku labojuma izstrādei un publicēšanai. Lai gan pagarinājumus var piešķirt, ja nepieciešams nedaudz vairāk laika, tas ne vienmēr tiek darīts.
Pat ja labojums nav pieejams, tas var esiet ētiski, lai detalizēti izklāstītu šo jautājumu. Tomēr tiek pieņemts, ka ētiskais hakeris ir mēģinājis atbildīgi atklāt problēmu un parasti cenšas informēt parastos lietotājus, lai viņi varētu sevi aizsargāt. Lai gan dažas ievainojamības var būt detalizēti aprakstītas, izmantojot efektīvu koncepcijas izmantošanu, tas bieži netiek darīts, ja labojums vēl nav pieejams.
Lai gan tas var neizklausīties pilnīgi ētiski, galu galā tas dod labumu lietotājam. Vienā no scenārijiem uzņēmums ir pakļauts pietiekamam spiedienam, lai nodrošinātu savlaicīgu labojumu. Lietotāji var atjaunināt uz fiksētu versiju vai vismaz ieviest risinājumu. Alternatīva ir tāda, ka uzņēmums nevar nekavējoties izvietot nopietnas drošības problēmas labojumu. Šādā gadījumā lietotājs var pieņemt apzinātu lēmumu par produkta lietošanas turpināšanu.
Secinājums
Ētisks hakeris ir hakeris, kas darbojas saskaņā ar likuma ierobežojumiem. Parasti likumīgais sistēmas īpašnieks ar tiem noslēdz līgumu vai citādi piešķir atļauju uzlauzt sistēmu. Tas tiek darīts ar nosacījumu, ka ētiskais hakeris par konstatētajām problēmām atbildīgi ziņos likumīgajam sistēmas īpašniekam, lai tās varētu novērst. Ētiskā uzlaušana ir balstīta uz “noteikt zagli, lai tas notvertu zagli”. Izmantojot ētisko hakeru zināšanas, jūs varat atrisināt problēmas, kuras varēja izmantot melno cepuru hakeri. Ētiskie hakeri tiek saukti arī par balto cepuru hakeriem. Noteiktos apstākļos var tikt lietoti arī citi termini, piemēram, profesionāļu algošanai “pentesters”.