Легко принять простое мнение, что все хакеры — плохие парни, которые вызывают утечку данных и внедряют программы-вымогатели. Однако это неправда. Есть много хакеров-плохих парней. Некоторые хакеры используют свои навыки этично и законно. «Этический хакер» — это хакер, взламывающий в рамках юридического соглашения с законным владельцем системы.
Кончик: Как противоположность а хакер в черной шляпе, этического хакера часто называют хакером в белой шляпе.
Суть этого заключается в понимании того, что делает взлом незаконным. Несмотря на то, что по всему миру существуют вариации, большинство законов о взломе сводятся к тому, что «доступ к системе является незаконным, если у вас нет на это разрешения». Концепция проста. Фактические действия по взлому не являются незаконными; он просто делает это без разрешения. Но это означает, что вам может быть предоставлено разрешение на то, что в противном случае было бы незаконным.
Это разрешение не может исходить от любого случайного человека на улице или в сети. Это не может исходить даже от правительства (
правда спецслужбы работают по немного другим правилам). Разрешение должно быть предоставлено законным владельцем системы.Кончик: Чтобы было ясно, «законный владелец системы» не обязательно относится к лицу, купившему систему. Это относится к тому, кто на законных основаниях несет юридическую ответственность сказать; это нормально для вас. Как правило, это директор по информационной безопасности, генеральный директор или правление, хотя возможность предоставления разрешения также может быть делегирована ниже по цепочке.
Хотя разрешение можно просто дать в устной форме, этого никогда не делается. Поскольку лицо или компания, проводящие тест, будут нести юридическую ответственность за тестирование того, что они не должны делать, требуется письменный договор.
Объем действий
Важность контракта невозможно переоценить. Это единственное, что делает хакерские действия этического хакера законными. Грант по контракту дает возмещение за указанные действия и против указанных целей. Таким образом, важно понимать договор и то, что он охватывает, поскольку выход за рамки договора означает выход за рамки юридической ответственности и нарушение закона.
Если этичный хакер выходит за рамки контракта, он попадает в юридическую ловушку. Все, что они делают, технически незаконно. Во многих случаях такой шаг был бы случайным и быстро настигнутым. При правильном обращении это не обязательно может быть проблемой, но в зависимости от ситуации, безусловно, может быть.
Предлагаемый контракт не обязательно должен быть специально адаптирован. Некоторые компании предлагают программу вознаграждения за обнаружение ошибок. Это включает в себя публикацию открытого контракта, позволяющего любому попытаться этически взломать свою систему, если он играет по указанным правилам и сообщает о любой выявленной проблеме. Проблемы с отчетностью в этом случае обычно вознаграждаются в финансовом отношении.
Типы этичного взлома
Стандартной формой этического взлома является «тест на проникновение» или пентест. Это когда один или несколько этичных хакеров пытаются проникнуть через систему безопасности. После завершения взаимодействия этичные хакеры, называемые в этой роли пентестерами, сообщают о своих выводах клиенту. Клиент может использовать детали в отчете для исправления выявленных уязвимостей. В то время как индивидуальная и контрактная работа может выполняться, многие пентестеры являются внутренними ресурсами компании или нанимаются специализированные фирмы, занимающиеся пентестингом.
Кончик: Это «пентестинг», а не «пентестинг». Тестер на проникновение не проверяет ручки.
В некоторых случаях проверки безопасности одного или нескольких приложений или сетей недостаточно. В этом случае могут быть проведены более глубокие тесты. Взаимодействие с красной командой обычно включает в себя тестирование гораздо более широкого спектра мер безопасности. Действия могут включать выполнение фишинговых упражнений против сотрудников, попытки проникнуть в здание с помощью социальной инженерии или даже физический взлом. В то время как каждое упражнение красной команды варьируется, концепция, как правило, гораздо больше похожа на наихудший тест «а что, если». В духе «это веб-приложение безопасно, но что, если кто-то просто войдет в серверную и заберет жесткий диск со всеми данными на нем».
Практически любая проблема безопасности, которая может быть использована для нанесения вреда компании или системе, теоретически открыта для этического взлома. Однако это предполагает, что владелец системы дает разрешение и готов заплатить за него.
Дарить вещи плохим парням?
Этические хакеры пишут, используют и делятся хакерскими инструментами, чтобы облегчить себе жизнь. Справедливо поставить под сомнение этичность этого, поскольку черные шляпы могут использовать эти инструменты, чтобы нанести еще больший ущерб. Однако в реальности вполне разумно предположить, что у злоумышленников уже есть эти инструменты или, по крайней мере, что-то вроде них, поскольку они пытаются облегчить себе жизнь. Не имея инструментов и пытаясь усложнить задачу для черных шляп, вы полагаетесь на безопасность через неизвестность. Эта концепция вызывает неодобрение в криптографии и большей части мира безопасности в целом.
Ответственное раскрытие информации
Этический хакер может иногда наткнуться на уязвимость при просмотре веб-сайта или использовании продукта. В этом случае они обычно пытаются ответственно сообщить об этом законному владельцу системы. После этого главное, как разрешить ситуацию. Этично было бы в частном порядке сообщить об этом законному владельцу системы, чтобы он мог исправить проблему и распространить исправление программного обеспечения.
Конечно, любой этичный хакер также несет ответственность за информирование пользователей, пострадавших от такой уязвимости, чтобы они могли принимать собственные решения, связанные с безопасностью. Как правило, срок в 90 дней с момента раскрытия конфиденциальной информации считается подходящим сроком для разработки и публикации исправления. Хотя продление может быть предоставлено, если требуется немного больше времени, это не обязательно делается.
Даже если исправление недоступно, оно может быть этичным, чтобы подробно рассказать о проблеме публично. Это, однако, предполагает, что этичный хакер пытался ответственно раскрыть проблему и, как правило, пытается информировать обычных пользователей, чтобы они могли защитить себя. Хотя некоторые уязвимости могут быть подробно описаны с помощью рабочих доказательств концепции эксплойтов, это часто не делается, если исправление еще не доступно.
Хотя это может показаться не совсем этичным, в конечном итоге это приносит пользу пользователю. В одном сценарии компания находится под достаточным давлением, чтобы предоставить своевременное исправление. Пользователи могут обновиться до фиксированной версии или, по крайней мере, реализовать обходной путь. Альтернативой является то, что компания не может быстро развернуть исправление серьезной проблемы безопасности. В этом случае пользователь может принять обоснованное решение о продолжении использования продукта.
Заключение
Этический хакер — это хакер, который действует в рамках закона. Обычно законный владелец системы заключает контракт или иным образом дает разрешение на взлом системы. Это делается при условии, что этичный хакер ответственно сообщит о выявленных проблемах законному владельцу системы, чтобы их можно было исправить. Этический взлом основан на принципе «заставить вора поймать вора». Используя знания этичных хакеров, вы можете решить проблемы, которыми могли воспользоваться черные хакеры. Этичных хакеров также называют хакерами в белой шляпе. В определенных обстоятельствах могут использоваться и другие термины, например, «пентестеры» для найма профессионалов.