Łatwo jest mieć prosty pogląd, że wszyscy hakerzy to źli ludzie, którzy chcą powodować naruszenia danych i wdrażać oprogramowanie ransomware. To jednak nieprawda. Jest wielu złych hakerów. Niektórzy hakerzy wykorzystują swoje umiejętności w sposób etyczny i zgodny z prawem. „Etyczny haker” to haker, który hakuje w ramach umowy prawnej z prawowitym właścicielem systemu.
Wskazówka: Jako przeciwieństwo A haker w czarnym kapeluszu, etyczny haker jest często nazywany hakerem w białym kapeluszu.
Istotą tego jest zrozumienie, dlaczego hakowanie jest nielegalne. Chociaż istnieją różnice na całym świecie, większość przepisów dotyczących hakowania sprowadza się do tego, że „nielegalny jest dostęp do systemu, jeśli nie masz na to pozwolenia”. Koncepcja jest prosta. Rzeczywiste działania hakerskie nie są nielegalne; po prostu robi to bez pozwolenia. Oznacza to jednak, że można udzielić pozwolenia na zrobienie czegoś, co w przeciwnym razie byłoby nielegalne.
To pozwolenie nie może pochodzić od przypadkowej osoby na ulicy lub w Internecie. Nie może nawet pochodzić od rządu (
chociaż agencje wywiadowcze działają na nieco innych zasadach). Pozwolenie musi zostać udzielone przez prawowitego właściciela systemu.Wskazówka: Dla jasności, „prawowity właściciel systemu” niekoniecznie odnosi się do osoby, która kupiła system. Odnosi się do kogoś, kto zgodnie z prawem ma prawny obowiązek powiedzieć; to jest dla ciebie ok. Zazwyczaj będzie to CISO, dyrektor generalny lub zarząd, chociaż możliwość udzielania pozwoleń może być również przekazywana dalej w łańcuchu.
Chociaż pozwolenie można po prostu udzielić ustnie, nigdy się tego nie robi. Ponieważ osoba lub firma przeprowadzająca test byłaby prawnie odpowiedzialna za testowanie tego, czego nie powinna, wymagana jest pisemna umowa.
Zakres działań
Nie można przecenić wagi kontraktu. Jest to jedyna rzecz, która zapewnia legalność działań hakerskich etycznego hakera. Dotacja kontraktowa zapewnia rekompensatę za określone działania i za określone cele. W związku z tym konieczne jest zrozumienie umowy i tego, co ona obejmuje, ponieważ wyjście poza zakres umowy oznacza wyjście z zakresu ochrony prawnej i złamanie prawa.
Jeśli etyczny haker zbłądzi poza zakres umowy, prowadzi legalną linę. Wszystko, co robią, jest technicznie nielegalne. W wielu przypadkach taki krok byłby przypadkowy i szybko wpadłby w pułapkę. Przy odpowiednim postępowaniu niekoniecznie musi to stanowić problem, ale w zależności od sytuacji z pewnością może.
Oferowana umowa nie musi być specjalnie dopasowana. Niektóre firmy oferują program bug bounty. Wiąże się to z opublikowaniem otwartej umowy, umożliwiającej każdemu próbę włamania się do systemu w sposób etyczny, o ile gra on zgodnie z określonymi zasadami i zgłasza wszelkie zidentyfikowane problemy. Zgłaszanie problemów w tym przypadku jest zwykle nagradzane finansowo.
Rodzaje etycznego hakowania
Standardową formą hakowania etycznego jest „test penetracyjny” lub pentest. W tym przypadku jeden lub więcej etycznych hakerów jest zaangażowanych w próbę spenetrowania zabezpieczeń systemu. Po zakończeniu zaangażowania etyczni hakerzy, zwani w tej roli pentesterami, zgłaszają klientowi swoje ustalenia. Klient może wykorzystać szczegóły zawarte w raporcie do naprawy zidentyfikowanych luk. Chociaż można wykonywać pracę indywidualną i kontraktową, wielu pentesterów to wewnętrzne zasoby firmy lub zatrudniane są specjalistyczne firmy zajmujące się pentestami.
Wskazówka: To „pentestowanie”, a nie „testowanie piórem”. Tester penetracyjny nie sprawdza długopisów.
W niektórych przypadkach sprawdzenie, czy co najmniej jedna aplikacja lub sieć jest bezpieczna, nie wystarczy. W takim przypadku można przeprowadzić bardziej szczegółowe testy. Zaangażowanie czerwonego zespołu zwykle obejmuje testowanie znacznie szerszego zakresu środków bezpieczeństwa. Działania mogą obejmować przeprowadzanie ćwiczeń phishingowych przeciwko pracownikom, próby socjotechniki przedostania się do budynku, a nawet fizyczne włamanie. Chociaż każde ćwiczenie z czerwonymi drużynami jest inne, koncepcja ta jest zazwyczaj bardziej testem „co z tego, jeśli” w najgorszym przypadku. W stylu „ta aplikacja internetowa jest bezpieczna, ale co, jeśli ktoś po prostu wejdzie do serwerowni i zabierze dysk twardy ze wszystkimi danymi”.
Prawie każdy problem z bezpieczeństwem, który mógłby zostać wykorzystany do wyrządzenia szkody firmie lub systemowi, jest teoretycznie otwarty na etyczne hakowanie. Zakłada się jednak, że właściciel systemu udziela pozwolenia i jest gotów za nie zapłacić.
Dawanie rzeczy złym facetom?
Etyczni hakerzy piszą, używają i udostępniają narzędzia hakerskie, aby ułatwić sobie życie. Uczciwie jest kwestionować etykę tego, ponieważ czarne kapelusze mogą dokooptować te narzędzia, aby siać większe spustoszenie. Realistycznie jednak całkowicie rozsądne jest założenie, że osoby atakujące mają już te narzędzia lub przynajmniej coś podobnego do nich, ponieważ próbują ułatwić sobie życie. Brak narzędzi i próba utrudnienia pracy czarnym kapeluszom to poleganie na bezpieczeństwie poprzez zaciemnienie. Ta koncepcja jest głęboko mile widziana w kryptografii i ogólnie w większości świata bezpieczeństwa.
Odpowiedzialne ujawnienie
Etyczny haker może czasami natknąć się na lukę podczas przeglądania strony internetowej lub korzystania z produktu. W takim przypadku zazwyczaj starają się zgłosić to w sposób odpowiedzialny prawowitemu właścicielowi systemu. Kluczową rzeczą po tym jest sposób, w jaki sytuacja jest traktowana. Etyczną rzeczą do zrobienia jest prywatne ujawnienie go prawowitemu właścicielowi systemu, aby umożliwić mu rozwiązanie problemu i dystrybucję poprawki oprogramowania.
Oczywiście każdy etyczny haker jest również odpowiedzialny za poinformowanie użytkowników dotkniętych taką luką, aby mogli podjąć własne decyzje związane z bezpieczeństwem. Zazwyczaj ramy czasowe 90 dni od prywatnego ujawnienia są postrzegane jako odpowiednia ilość czasu na opracowanie i opublikowanie poprawki. Chociaż przedłużenie może zostać przyznane, jeśli potrzeba trochę więcej czasu, niekoniecznie jest to zrobione.
Nawet jeśli poprawka nie jest dostępna, to Móc Postępuj etycznie, aby uszczegółowić problem publicznie. To jednak zakłada, że etyczny haker próbował ujawnić problem w sposób odpowiedzialny i ogólnie, że próbuje poinformować zwykłych użytkowników, aby mogli się chronić. Chociaż niektóre luki w zabezpieczeniach mogą być wyszczególnione za pomocą exploitów sprawdzających działanie koncepcji, często nie jest to wykonywane, jeśli poprawka nie jest jeszcze dostępna.
Chociaż może to nie brzmieć całkowicie etycznie, ostatecznie przynosi korzyści użytkownikowi. W jednym ze scenariuszy firma znajduje się pod presją wystarczającą, aby dostarczyć poprawkę na czas. Użytkownicy mogą zaktualizować do ustalonej wersji lub przynajmniej wdrożyć obejście. Alternatywą jest to, że firma nie może szybko wdrożyć poprawki poważnego problemu z bezpieczeństwem. W takim przypadku użytkownik może podjąć świadomą decyzję o dalszym korzystaniu z produktu.
Wniosek
Haker etyczny to haker, który działa w granicach prawa. Zazwyczaj są oni zakontraktowani lub w inny sposób otrzymują pozwolenie od prawowitego właściciela systemu na włamanie się do systemu. Odbywa się to pod warunkiem, że etyczny haker zgłosi zidentyfikowane problemy w sposób odpowiedzialny prawowitemu właścicielowi systemu, aby można je było naprawić. Etyczne hakowanie opiera się na „nastawieniu złodzieja na złapanie złodzieja”. Korzystając z wiedzy etycznych hakerów, możesz rozwiązać problemy, które mogli wykorzystać hakerzy w czarnych kapeluszach. Etyczni hakerzy są również określani jako hakerzy białych kapeluszy. W pewnych okolicznościach mogą być również używane inne terminy, takie jak „pentester” do zatrudniania profesjonalistów.