Je ľahké mať jednoduchý názor, že všetci hackeri sú zlí ľudia, ktorí spôsobujú porušenie údajov a nasadzujú ransomvér. To však nie je pravda. Existuje veľa zloduchov hackerov. Niektorí hackeri využívajú svoje schopnosti eticky a legálne. „Etický hacker“ je hacker, ktorý hackuje v rámci právnej dohody s legitímnym vlastníkom systému.
Tip: Ako opak a čierny klobúk hacker, etický hacker sa často nazýva hacker s bielym klobúkom.
Jadrom toho je pochopenie toho, čo robí hacking nelegálnym. Aj keď existujú variácie po celom svete, väčšina hackerských zákonov sa obmedzuje na „je nezákonné pristupovať do systému, ak na to nemáte povolenie“. Koncept je jednoduchý. Skutočné hackerské akcie nie sú nezákonné; robí to len tak bez povolenia. To však znamená, že môže byť udelené povolenie, ktoré vám umožní robiť niečo, čo by inak bolo nezákonné.
Toto povolenie nemôže pochádzať len od akejkoľvek náhodnej osoby na ulici alebo online. Ani to nemôže prísť od vlády (spravodajské agentúry fungujú podľa trochu iných pravidiel). Povolenie musí udeliť legitímny vlastník systému.
Tip: Aby bolo jasné, „legitímny vlastník systému“ nemusí nevyhnutne odkazovať na osobu, ktorá si systém kúpila. Vzťahuje sa na niekoho, kto má zákonnú právnu zodpovednosť povedať; toto je pre teba v poriadku. Zvyčajne to bude CISO, generálny riaditeľ alebo predstavenstvo, hoci schopnosť udeľovať povolenie môže byť delegovaná aj ďalej v reťazci.
Aj keď povolenie môže byť udelené verbálne, nikdy sa to nerobí. Keďže osoba alebo spoločnosť vykonávajúca test by bola právne zodpovedná za testovanie toho, čo by nemala robiť, vyžaduje sa písomná zmluva.
Rozsah akcií
Význam zmluvy nemožno preceňovať. Je to jediná vec, ktorá zaručuje legálnosť hackerských akcií etického hackera. Zmluvný grant poskytuje odškodnenie za špecifikované akcie a za stanovené ciele. Preto je nevyhnutné porozumieť zmluve a tomu, na čo sa vzťahuje, keďže vybočenie z rozsahu zmluvy znamená vyjsť z rozsahu právnej náhrady a porušiť zákon.
Ak sa etický hacker vymyká z rozsahu zmluvy, sťahuje legálne lano. Všetko, čo robia, je technicky nezákonné. V mnohých prípadoch by bol takýto krok náhodný a rýchlo by sa sám zachytil. Pri správnom zaobchádzaní to nemusí byť nevyhnutne problém, ale v závislosti od situácie určite môže byť.
Ponúkaná zmluva nemusí byť nevyhnutne špeciálne prispôsobená. Niektoré spoločnosti ponúkajú schému odmeny za chyby. Zahŕňa to zverejnenie otvorenej zmluvy, ktorá umožňuje komukoľvek pokúsiť sa eticky hacknúť ich systém, pokiaľ bude hrať podľa určených pravidiel a nahlásiť akýkoľvek problém, ktorý zistí. Problémy s vykazovaním sú v tomto prípade zvyčajne finančne odmenené.
Typy etického hackovania
Štandardnou formou etického hackovania je „penetračný test“ alebo pentest. Toto je miesto, kde sa jeden alebo viacerí etickí hackeri pokúšajú preniknúť do bezpečnostnej ochrany systému. Akonáhle je zapojenie dokončené, etickí hackeri, v tejto úlohe nazývaní pentesteri, oznámia svoje zistenia klientovi. Klient môže použiť podrobnosti v správe na opravu identifikovaných zraniteľností. Aj keď je možné vykonávať individuálnu a zmluvnú prácu, mnohí pentesteri sú internými podnikovými zdrojmi alebo sú najaté špecializované pentesterské firmy.
Tip: Je to „testovanie“, nie „testovanie perom“. Penetračný tester netestuje perá.
V niektorých prípadoch testovanie, či je jedna alebo viac aplikácií alebo sietí bezpečných, nestačí. V tomto prípade je možné vykonať hlbšie testy. Zapojenie červeného tímu zvyčajne zahŕňa testovanie oveľa širšieho rozsahu bezpečnostných opatrení. Akcie môžu zahŕňať vykonávanie phishingových cvičení proti zamestnancom, pokusy o sociálne inžinierstvo, ako sa dostať do budovy, alebo dokonca fyzické vlámanie. Zatiaľ čo každé cvičenie červeného tímu sa líši, koncept je zvyčajne oveľa viac najhorším prípadom testu „čo ak“. V zmysle „táto webová aplikácia je bezpečná, ale čo ak niekto vojde do serverovej miestnosti a vezme pevný disk so všetkými údajmi na ňom“.
Takmer každý bezpečnostný problém, ktorý by mohol byť použitý na poškodenie spoločnosti alebo systému, je teoreticky otvorený etickému hackingu. To však predpokladá, že vlastník systému udelí povolenie a že je pripravený zaň zaplatiť.
Dávať veci zlým chlapom?
Etickí hackeri píšu, používajú a zdieľajú hackerské nástroje, aby im uľahčili život. Je spravodlivé spochybniť etiku tohto, pretože čierne klobúky by mohli kooptovať tieto nástroje, aby spôsobili ešte väčšiu zmätok. Reálne je však úplne rozumné predpokladať, že útočníci už majú tieto nástroje, alebo aspoň niečo podobné, pretože sa im snažia uľahčiť život. Nemať nástroje a snažiť sa to čiernym klobúkom sťažiť znamená spoliehať sa na bezpečnosť prostredníctvom nejasností. Tento koncept je hlboko zavrhovaný v kryptografii a vo väčšine bezpečnostného sveta vo všeobecnosti.
Zodpovedné zverejnenie
Etický hacker môže niekedy naraziť na zraniteľnosť pri prehliadaní webovej stránky alebo používaní produktu. V tomto prípade sa to zvyčajne pokúšajú zodpovedne nahlásiť legitímnemu vlastníkovi systému. Kľúčovou vecou potom je, ako sa situácia vyrieši. Etická vec, ktorú musíte urobiť, je súkromne oznámiť legitímnemu vlastníkovi systému, aby im umožnil vyriešiť problém a distribuovať softvérovú opravu.
Každý etický hacker je, samozrejme, zodpovedný aj za informovanie používateľov postihnutých takouto zraniteľnosťou, aby sa mohli rozhodnúť robiť svoje vlastné bezpečnostné rozhodnutia. Časový rámec 90 dní od súkromného zverejnenia sa zvyčajne považuje za primeraný čas na vývoj a zverejnenie opravy. Aj keď je možné poskytnúť predĺženie, ak je potrebný trochu viac času, nemusí sa to nevyhnutne robiť.
Aj keď oprava nie je k dispozícii, je môcť byť etický, aby ste problém verejne podrobne popísali. To však predpokladá, že etický hacker sa pokúsil problém odhaliť zodpovedne a vo všeobecnosti sa snaží informovať bežných používateľov, aby sa mohli chrániť. Zatiaľ čo niektoré zraniteľnosti môžu byť podrobne opísané s funkčným dôkazom zneužitia konceptu, často sa to nerobí, ak oprava ešte nie je k dispozícii.
Aj keď to nemusí znieť úplne eticky, v konečnom dôsledku je to pre používateľa výhodné. V jednom scenári je spoločnosť pod dostatočným tlakom, aby včas dodala opravu. Používatelia môžu aktualizovať na pevnú verziu alebo aspoň implementovať riešenie. Alternatívou je, že spoločnosť nemôže okamžite nasadiť opravu závažného bezpečnostného problému. V takom prípade môže užívateľ urobiť informované rozhodnutie o ďalšom používaní produktu.
Záver
Etický hacker je hacker, ktorý koná v rámci obmedzení zákona. Typicky sú zmluvne alebo inak udelené legitímnym vlastníkom systému na hacknutie systému. Deje sa tak pod podmienkou, že etický hacker nahlási zistené problémy zodpovedne legitímnemu vlastníkovi systému, aby ich bolo možné opraviť. Etické hackovanie je postavené na „nastavte zlodeja, aby chytil zlodeja“. Použitím znalostí etických hackerov môžete vyriešiť problémy, ktoré by black hat hackeri mohli zneužiť. Etickí hackeri sú označovaní aj ako white hat hackeri. Za určitých okolností sa môžu použiť aj iné výrazy, ako napríklad „pentesteri“ pre najímanie profesionálov.