Шта је етички хакер?

Лако је имати једноставан став да су сви хакери лоши момци који изазивају кршење података и постављају рансомваре. Ово ипак није истина. Постоји много лоших хакера. Неки хакери користе своје вештине етички и легално. „Етички хакер“ је хакер који хакује у оквиру правног споразума са легитимним власником система.

Савет: Као супротност а црни шешир хакер, етички хакер се често назива белим хакером.

Срж овога је разумевање шта хаковање чини незаконитим. Иако постоје варијације широм света, већина закона о хакирању се своди на „незаконито је приступити систему ако немате дозволу за то“. Концепт је једноставан. Стварне радње хаковања нису незаконите; то само ради без дозволе. Али то значи да вам се може дати дозвола да учините нешто што би иначе било незаконито.

Ова дозвола не може доћи само од било које насумичне особе на улици или на мрежи. Не може чак ни да дође од владе (иако обавештајне агенције раде по нешто другачијим правилима). Дозволу мора дати легитимни власник система.

Савет: Да будемо јасни, „легитимни власник система“ се не односи нужно на особу која је купила систем. Односи се на некога ко легитимно има законску одговорност да каже; ово је ок за тебе. Обично ће то бити ЦИСО, извршни директор или одбор, иако могућност давања дозволе може бити делегирана ниже у ланцу.

Иако се дозвола може једноставно дати усмено, то се никада не ради. Пошто би особа или компанија која спроводи тест били законски одговорни за тестирање онога што не би требало, потребан је писмени уговор.

Обим деловања

Важност уговора се не може преценити. То је једино што хакерским акцијама етичког хакера даје легалност. Уговорни грант даје обештећење за наведене радње и против наведених циљева. Као такав, неопходно је разумети уговор и шта он обухвата, јер излазак из оквира уговора значи излазак из оквира правне штете и кршење закона.

Ако етички хакер залута ван делокруга уговора, он води правну конопцу. Све што раде је технички незаконито. У многим случајевима, такав корак би био случајан и брзо би се сам ухватио. Када се поступа на одговарајући начин, ово не мора нужно бити проблем, али у зависности од ситуације, свакако може бити.

Понуђени уговор не мора нужно бити посебно прилагођен. Неке компаније нуде шему награде за грешке. Ово укључује објављивање отвореног уговора, који дозвољава свакоме да покуша етички да хакује њихов систем, све док игра по одређеним правилима и пријави било који проблем који идентификује. Проблеми са извештавањем, у овом случају, се обично финансијски награђују.

Врсте етичког хаковања

Стандардни облик етичког хаковања је „тест пенетрације“ или пентест. Овде се ангажује један или више етичких хакера да покушају да продру у безбедносну одбрану система. Када се ангажман заврши, етички хакери, звани пентестери у овој улози, пријављују своје налазе клијенту. Клијент може користити детаље у извештају да поправи идентификоване рањивости. Док се индивидуални и уговорни послови могу обављати, многи пентестери су интерни ресурси компаније или се ангажују специјализоване фирме за пентестирање.

Савет: То је „пентестирање“, а не „тестирање оловком“. Тестер пенетрације не тестира оловке.

У неким случајевима, тестирање да ли је једна или више апликација или мрежа безбедно није довољно. У овом случају, могу се извршити детаљнији тестови. Ангажман црвеног тима обично укључује тестирање много ширег спектра безбедносних мера. Радње могу укључивати извођење вежби „пецања“ против запослених, покушај друштвеног инжењеринга да вам уђе у зграду или чак физички провалу. Иако се свака вежба црвеног тима разликује, концепт је обично много више тест „па шта ако” у најгорем случају. На пример, „ова веб апликација је безбедна, али шта ако неко само уђе у серверску собу и узме чврсти диск са свим подацима на њему.

Скоро свако безбедносно питање које би могло да се искористи да нанесе штету компанији или систему је теоретски отворено за етичко хаковање. Ово претпоставља да власник система даје дозволу, међутим, и да су спремни да за то плате.

Давање ствари лошим момцима?

Етички хакери пишу, користе и деле хакерске алате да би себи олакшали живот. Поштено је довести у питање етичност овога, јер би црни шешири могли да кооптирају ове алате да изазову још више пустошења. Реално, међутим, сасвим је разумно претпоставити да нападачи већ имају ове алате, или барем нешто слично њима, док покушавају да себи олакшају живот. Непоседовање алата и покушај да се отежају црним шеширима је ослањање на безбедност кроз мрачност. Овај концепт је дубоко мрштен у криптографији и већини безбедносног света уопште.

Одговорно откривање

Етички хакер понекад може наићи на рањивост када прегледава веб локацију или користи производ. У овом случају, они обично покушавају да то одговорно пријаве легитимном власнику система. Кључна ствар након тога је како се решава ситуација. Етичка ствар коју треба урадити је приватно открити то легитимном власнику система како би им се омогућило да поправе проблем и дистрибуирају софтверску закрпу.

Наравно, сваки етички хакер је такође одговоран за информисање корисника који су погођени таквом рањивошћу како би могли да одлуче да донесу сопствене одлуке које су свесне безбедности. Обично се временски оквир од 90 дана од приватног откривања сматра одговарајућим временом за развој и објављивање поправке. Иако се продужења могу одобрити ако је потребно мало више времена, то није нужно учињено.

Чак и ако поправка није доступна, она моћи будите етични да јавно изнесете детаље. Ово, међутим, претпоставља да је етички хакер покушао да открије проблем одговорно и, генерално, да покушава да обавести нормалне кориснике како би могли да се заштите. Иако се неке рањивости могу детаљно описати уз радни доказ о експлоатацији концепта, то се често не ради ако исправка још није доступна.

Иако ово можда не звучи потпуно етично, на крају, користи кориснику. У једном сценарију, компанија је под довољним притиском да испоручи благовремено решење. Корисници могу да ажурирају на фиксну верзију или барем да имплементирају заобилазно решење. Алтернатива је да компанија не може одмах да примени решење за озбиљан безбедносни проблем. У овом случају, корисник може донети информисану одлуку о наставку коришћења производа.

Закључак

Етички хакер је хакер који делује у оквиру ограничења закона. Обично су уговорени или на други начин одобрени од стране легитимног власника система да хакују систем. Ово се ради под условом да ће етички хакер пријавити идентификоване проблеме одговорно легитимном власнику система како би се они могли поправити. Етичко хаковање је изграђено на „подеси лопова да ухвати лопова“. Користећи знање етичких хакера, можете решити проблеме које су црни хакери могли да искористе. Етички хакери се такође називају белим хакерима. У одређеним околностима се могу користити и други термини, као што су „пентестери“ за запошљавање професионалаца.