เป็นเรื่องง่ายที่จะมองอย่างง่ายๆ ว่าแฮ็กเกอร์ทั้งหมดเป็นผู้ร้ายที่พยายามทำให้เกิดการละเมิดข้อมูลและปรับใช้แรนซัมแวร์ นี้ไม่เป็นความจริงแม้ว่า มีแฮ็กเกอร์ผู้ร้ายมากมายอยู่ที่นั่น แฮ็กเกอร์บางคนใช้ทักษะของตนอย่างมีจริยธรรมและถูกกฎหมาย “แฮ็กเกอร์ที่มีจริยธรรม” คือแฮ็กเกอร์ที่แฮ็กภายในข้อตกลงทางกฎหมายกับเจ้าของระบบที่ถูกต้องตามกฎหมาย
เคล็ดลับ: ตรงกันข้ามกับ ก แฮ็กเกอร์หมวกดำแฮ็กเกอร์ที่มีจริยธรรมมักถูกเรียกว่าแฮ็กเกอร์หมวกขาว
หัวใจหลักของสิ่งนี้คือความเข้าใจว่าอะไรที่ทำให้การแฮ็กผิดกฎหมาย แม้ว่าทั่วโลกจะมีรูปแบบต่างๆ มากมาย แต่กฎหมายเกี่ยวกับการแฮ็กข้อมูลส่วนใหญ่มักระบุว่า “การเข้าถึงระบบเป็นสิ่งผิดกฎหมายหากคุณไม่ได้รับอนุญาตให้ทำเช่นนั้น” แนวคิดนั้นเรียบง่าย การแฮ็คที่เกิดขึ้นจริงไม่ผิดกฎหมาย เป็นเพียงการทำเช่นนั้นโดยไม่ได้รับอนุญาต แต่นั่นหมายความว่าสามารถอนุญาตให้คุณทำสิ่งที่ผิดกฎหมายได้
การอนุญาตนี้ไม่ได้มาจากบุคคลที่สุ่มเสี่ยงบนท้องถนนหรือทางออนไลน์ ไม่สามารถมาจากรัฐบาลได้ด้วยซ้ำ (แม้ว่าหน่วยข่าวกรองจะทำงานภายใต้กฎที่แตกต่างกันเล็กน้อย). ต้องได้รับอนุญาตจากเจ้าของระบบที่ถูกต้องตามกฎหมาย
เคล็ดลับ: เพื่อให้ชัดเจน “เจ้าของระบบที่ถูกต้องตามกฎหมาย” ไม่จำเป็นต้องหมายถึงบุคคลที่ซื้อระบบ มันหมายถึงคนที่มีความรับผิดชอบตามกฎหมายที่จะพูด; สิ่งนี้ใช้ได้สำหรับคุณ โดยทั่วไปจะเป็น CISO, CEO หรือคณะกรรมการ แม้ว่าความสามารถในการให้อนุญาตยังสามารถมอบอำนาจต่อไปในห่วงโซ่ได้
แม้ว่าจะสามารถอนุญาตด้วยวาจาได้ แต่สิ่งนี้ไม่เคยทำ เนื่องจากบุคคลหรือบริษัทที่ทำการทดสอบจะต้องรับผิดตามกฎหมายสำหรับการทดสอบสิ่งที่พวกเขาไม่ควรทำ จึงจำเป็นต้องทำสัญญาเป็นลายลักษณ์อักษร
ขอบเขตของการดำเนินการ
ความสำคัญของสัญญาไม่สามารถพูดเกินจริงได้ เป็นสิ่งเดียวที่อนุญาตให้ดำเนินการแฮ็กของแฮ็กเกอร์ที่มีจริยธรรมตามกฎหมาย ทุนตามสัญญาให้การชดใช้สำหรับการกระทำที่ระบุและต่อเป้าหมายที่ระบุ ด้วยเหตุนี้ จึงจำเป็นอย่างยิ่งที่จะต้องเข้าใจสัญญาและเนื้อหาที่ครอบคลุม เนื่องจากการออกนอกขอบเขตของสัญญาหมายถึงการออกนอกขอบเขตของการชดใช้ค่าเสียหายทางกฎหมายและการละเมิดกฎหมาย
หากแฮ็กเกอร์ที่มีจริยธรรมหลงผิดนอกขอบเขตของสัญญา พวกเขากำลังดำเนินการอย่างเข้มงวดทางกฎหมาย สิ่งที่พวกเขาทำนั้นผิดกฎหมายทางเทคนิค ในหลายกรณี ขั้นตอนดังกล่าวอาจเกิดขึ้นโดยไม่ได้ตั้งใจและถูกจับได้เองอย่างรวดเร็ว เมื่อจัดการอย่างเหมาะสม สิ่งนี้อาจไม่จำเป็นต้องเป็นปัญหาเสมอไป แต่ขึ้นอยู่กับสถานการณ์ อาจเป็นได้อย่างแน่นอน
สัญญาที่เสนอให้ไม่จำเป็นต้องปรับแต่งเป็นพิเศษ บางบริษัทเสนอโครงการรางวัลบั๊ก สิ่งนี้เกี่ยวข้องกับการเผยแพร่สัญญาแบบเปิด ซึ่งอนุญาตให้ทุกคนพยายามเจาะระบบของตนอย่างมีจริยธรรม ตราบใดที่พวกเขาเล่นตามกฎที่ระบุและรายงานปัญหาใด ๆ ที่พวกเขาพบ ในกรณีนี้ การรายงานปัญหามักจะได้รับการตอบแทนทางการเงิน
ประเภทของการแฮ็กอย่างมีจริยธรรม
รูปแบบมาตรฐานของการแฮ็กอย่างมีจริยธรรมคือ "การทดสอบการเจาะระบบ" หรือการทดสอบแบบเจาะจง นี่คือที่ที่แฮ็กเกอร์ที่มีจริยธรรมอย่างน้อยหนึ่งคนมีส่วนร่วมเพื่อพยายามเจาะการป้องกันความปลอดภัยของระบบ เมื่อการมีส่วนร่วมเสร็จสมบูรณ์ แฮ็กเกอร์ที่มีจริยธรรมซึ่งเรียกว่าผู้ทดสอบในบทบาทนี้ จะรายงานสิ่งที่พบให้กับลูกค้า ลูกค้าสามารถใช้รายละเอียดในรายงานเพื่อแก้ไขช่องโหว่ที่ระบุ แม้ว่างานเดี่ยวและงานตามสัญญาสามารถทำได้ แต่ผู้ทดสอบจำนวนมากเป็นทรัพยากรภายในบริษัท หรือมีการจ้างบริษัทผู้ทดสอบที่เชี่ยวชาญ
เคล็ดลับ: มันคือ "การทดสอบ" ไม่ใช่ "การทดสอบด้วยปากกา" เครื่องทดสอบการเจาะไม่ได้ทดสอบปากกา
ในบางกรณี การทดสอบว่ามีแอปพลิเคชั่นหรือเครือข่ายที่ปลอดภัยอย่างน้อยหนึ่งรายการนั้นไม่เพียงพอ ในกรณีนี้ อาจมีการทดสอบเชิงลึกเพิ่มเติม การมีส่วนร่วมของทีมสีแดงมักจะเกี่ยวข้องกับการทดสอบมาตรการรักษาความปลอดภัยที่หลากหลายมากขึ้น การดำเนินการอาจรวมถึงการฟิชชิงกับพนักงาน การพยายามสร้างเครือข่ายสังคมในแบบที่คุณเข้าไปในอาคาร หรือแม้กระทั่งการบุกรุกทางร่างกาย แม้ว่าแบบฝึกหัดของทีมสีแดงแต่ละแบบจะแตกต่างกันไป แต่โดยทั่วไปแล้วแนวคิดจะเป็นแบบทดสอบกรณีที่แย่ที่สุดมากกว่า ตามบรรทัดของ "เว็บแอปพลิเคชันนี้ปลอดภัย แต่จะเกิดอะไรขึ้นถ้ามีคนเดินเข้าไปในห้องเซิร์ฟเวอร์และเอาฮาร์ดไดรฟ์ที่มีข้อมูลทั้งหมดไป"
ปัญหาด้านความปลอดภัยส่วนใหญ่ที่อาจใช้ทำอันตรายต่อบริษัทหรือระบบได้ ในทางทฤษฎีเปิดให้เกิดการแฮ็กข้อมูลอย่างมีจริยธรรม ซึ่งถือว่าเจ้าของระบบให้สิทธิ์ อย่างไรก็ตาม พวกเขาพร้อมที่จะชำระเงิน
ให้ของกับคนเลว?
แฮ็กเกอร์ที่มีจริยธรรมเขียน ใช้ และแบ่งปันเครื่องมือแฮ็กเพื่อทำให้ชีวิตของพวกเขาง่ายขึ้น เป็นเรื่องที่ยุติธรรมที่จะตั้งคำถามถึงจริยธรรมของเรื่องนี้ เนื่องจากกลุ่มหมวกดำอาจร่วมมือกันเลือกใช้เครื่องมือเหล่านี้เพื่อสร้างความหายนะมากขึ้น ในความเป็นจริง มีเหตุผลอย่างยิ่งที่จะสันนิษฐานว่าผู้โจมตีมีเครื่องมือเหล่านี้อยู่แล้ว หรืออย่างน้อยก็มีบางอย่างที่คล้ายกัน เนื่องจากพวกเขาพยายามทำให้ชีวิตของพวกเขาง่ายขึ้น การไม่มีเครื่องมือและการพยายามทำให้ยากขึ้นสำหรับหมวกดำคือการพึ่งพาความปลอดภัยผ่านความสับสน แนวคิดนี้ถูกขมวดคิ้วอย่างลึกซึ้งในการเข้ารหัสและโลกแห่งความปลอดภัยโดยทั่วไป
การเปิดเผยอย่างรับผิดชอบ
แฮ็กเกอร์ที่มีจริยธรรมบางครั้งอาจพบช่องโหว่เมื่อเรียกดูเว็บไซต์หรือใช้ผลิตภัณฑ์ ในกรณีนี้ พวกเขามักจะพยายามรายงานอย่างมีความรับผิดชอบต่อเจ้าของระบบที่ถูกต้องตามกฎหมาย สิ่งสำคัญหลังจากนั้นคือวิธีจัดการกับสถานการณ์ สิ่งที่ควรทำตามหลักจริยธรรมคือการเปิดเผยเป็นการส่วนตัวต่อเจ้าของระบบที่ถูกต้องตามกฎหมายเพื่อให้พวกเขาสามารถแก้ไขปัญหาและแจกจ่ายโปรแกรมแก้ไขซอฟต์แวร์ได้
แน่นอน แฮ็กเกอร์ที่มีจริยธรรมจะต้องรับผิดชอบในการแจ้งผู้ใช้ที่ได้รับผลกระทบจากช่องโหว่ดังกล่าว เพื่อให้พวกเขาสามารถเลือกทำการตัดสินใจที่คำนึงถึงความปลอดภัยของตนเองได้ โดยทั่วไป กรอบเวลา 90 วันนับจากการเปิดเผยข้อมูลส่วนตัวถือเป็นระยะเวลาที่เหมาะสมในการพัฒนาและเผยแพร่การแก้ไข แม้ว่าจะสามารถขยายเวลาได้หากต้องการเวลาเพิ่มขึ้นอีกเล็กน้อย แต่ก็ไม่จำเป็นต้องทำ
แม้ว่าจะไม่สามารถแก้ไขได้ สามารถ มีจริยธรรมในรายละเอียดของปัญหาต่อสาธารณะ อย่างไรก็ตาม สิ่งนี้ถือว่าแฮ็กเกอร์ที่มีจริยธรรมได้พยายามเปิดเผยปัญหาด้วยความรับผิดชอบ และโดยทั่วไปแล้ว พวกเขากำลังพยายามแจ้งให้ผู้ใช้ทั่วไปทราบเพื่อให้พวกเขาสามารถป้องกันตนเองได้ แม้ว่าช่องโหว่บางรายการอาจมีรายละเอียดพร้อมหลักฐานการใช้ประโยชน์จากแนวคิดที่ใช้งานได้ แต่การดำเนินการนี้มักจะไม่เกิดขึ้นหากยังไม่มีการแก้ไข
แม้ว่าสิ่งนี้อาจไม่ฟังดูผิดหลักจริยธรรม แต่ท้ายที่สุดแล้ว ผู้ใช้ก็ได้รับประโยชน์ ในสถานการณ์หนึ่ง บริษัทอยู่ภายใต้แรงกดดันมากพอที่จะส่งมอบการแก้ไขได้ทันท่วงที ผู้ใช้สามารถอัปเดตเป็นเวอร์ชันคงที่หรืออย่างน้อยก็ใช้วิธีแก้ไขปัญหาชั่วคราว อีกทางเลือกหนึ่งคือบริษัทไม่สามารถปรับใช้การแก้ไขปัญหาด้านความปลอดภัยที่รุนแรงได้ทันท่วงที ในกรณีนี้ ผู้ใช้สามารถตัดสินใจโดยใช้ข้อมูลโดยใช้ผลิตภัณฑ์ต่อไป
บทสรุป
แฮ็กเกอร์ที่มีจริยธรรมคือแฮ็กเกอร์ที่กระทำการภายใต้ข้อจำกัดของกฎหมาย โดยทั่วไปจะมีการทำสัญญาหรือได้รับอนุญาตจากเจ้าของระบบที่ถูกต้องตามกฎหมายในการเจาะระบบ สิ่งนี้ทำโดยมีเงื่อนไขว่าแฮ็กเกอร์ที่มีจริยธรรมจะรายงานปัญหาที่ระบุอย่างมีความรับผิดชอบต่อเจ้าของระบบที่ถูกต้องตามกฎหมายเพื่อให้สามารถแก้ไขได้ การแฮ็กอย่างมีจริยธรรมนั้นสร้างขึ้นจาก “ตั้งขโมยเพื่อจับขโมย” ด้วยการใช้ความรู้ของแฮ็กเกอร์ที่มีจริยธรรม คุณสามารถแก้ไขปัญหาที่แฮ็กเกอร์หมวกดำอาจนำไปใช้ประโยชน์ได้ แฮ็กเกอร์ที่มีจริยธรรมเรียกอีกอย่างว่าแฮ็กเกอร์หมวกขาว คำศัพท์อื่นๆ อาจใช้ในบางกรณี เช่น "ผู้ว่าจ้าง" สำหรับการจ้างมืออาชีพ