Tüm bilgisayar korsanlarının, veri ihlallerine neden olmak ve fidye yazılımı dağıtmak için dışarı çıkmış kötü adamlar olduğu şeklindeki basit bir görüşe sahip olmak kolaydır. Yine de bu doğru değil. Dışarıda bir sürü kötü adam bilgisayar korsanı var. Bazı bilgisayar korsanları becerilerini etik ve yasal olarak kullanır. Bir "etik bilgisayar korsanı", meşru sistem sahibiyle yasal bir anlaşma kapsamında bilgisayar korsanlığı yapan bir bilgisayar korsanıdır.
Uç: tersi olarak bir siyah şapka korsanı, etik bir hacker'a genellikle beyaz şapkalı hacker denir.
Bunun özü, bilgisayar korsanlığını neyin yasa dışı kıldığını anlamaktır. Dünyanın her yerinde farklılıklar olsa da, bilgisayar korsanlığı yasalarının çoğu "izniniz yoksa bir sisteme erişmek yasa dışıdır" şeklinde özetlenebilir. Konsept basit. Gerçek bilgisayar korsanlığı eylemleri yasa dışı değildir; sadece izinsiz yapıyor. Ancak bu, aksi takdirde yasa dışı olacak bir şeyi yapmanıza izin vermek için izin verilebileceği anlamına gelir.
Bu izin, sokaktaki veya çevrimiçi herhangi bir kişiden gelemez. Devletten bile gelemez (
Uç: Açık olmak gerekirse, "meşru sistem sahibi", sistemi satın alan kişiye atıfta bulunmak zorunda değildir. Yasal olarak yasal olarak şunu söyleme sorumluluğuna sahip olan birini ifade eder; bu senin için uygun Tipik olarak bu, CISO, CEO veya yönetim kurulu olacaktır, ancak izin verme yetkisi zincirin daha aşağılarına da devredilebilir.
İzin sadece sözlü olarak verilebilirken, bu asla yapılmaz. Testi yapan kişi veya şirket, yapmaması gerekenleri test etmekten yasal olarak sorumlu olacağından, yazılı bir sözleşme gereklidir.
Eylemlerin Kapsamı
Sözleşmenin önemi abartılamaz. Etik hacker'ın hack eylemlerini yasallaştıran tek şey budur. Sözleşme hibesi, belirtilen eylemler için ve belirtilen hedeflere karşı tazminat verir. Bu itibarla sözleşmenin kapsamı dışına çıkmak, kanuni tazminat kapsamından çıkmak ve hukuka aykırılık anlamına geleceğinden, sözleşmeyi ve kapsamını anlamak önemlidir.
Etik bir bilgisayar korsanı sözleşme kapsamının dışına çıkarsa, yasal bir ince ip üzerinde çalışıyor demektir. Yaptıkları her şey teknik olarak yasa dışıdır. Çoğu durumda, böyle bir adım tesadüfi olur ve çabucak kendi kendine yakalanır. Uygun şekilde ele alındığında, bu mutlaka bir sorun olmayabilir, ancak duruma bağlı olarak kesinlikle olabilir.
Teklif edilen sözleşmenin mutlaka özel olarak uyarlanması gerekmez. Bazı şirketler bir hata ödül programı sunar. Bu, belirli kurallara göre oynadıkları ve belirledikleri herhangi bir sorunu bildirdikleri sürece herkesin sistemlerini etik olarak hacklemeye çalışmasına izin veren açık bir sözleşme yayınlamayı içerir. Raporlama sorunları, bu durumda, genellikle finansal olarak ödüllendirilir.
Etik Hacking Türleri
Etik korsanlığın standart biçimi, "sızma testi" veya pentest'tir. Bu, bir sistemin güvenlik savunmasını aşmaya çalışmak için bir veya daha fazla etik korsanın devreye girdiği yerdir. Etkileşim tamamlandıktan sonra, bu rolde pentester olarak adlandırılan etik hackerlar bulgularını müşteriye bildirir. İstemci, tanımlanan güvenlik açıklarını düzeltmek için rapordaki ayrıntıları kullanabilir. Bireysel ve sözleşmeli işler yapılabilirken, birçok sızma testi uzmanı şirket içi kaynaklardır veya uzman sızma testi firmaları işe alınır.
Uç: Bu, "kalem testi" değil, "sızma testi"dir. Penetrasyon test cihazı kalemleri test etmez.
Bazı durumlarda, bir veya daha fazla uygulamanın veya ağın güvenli olup olmadığını test etmek yeterli değildir. Bu durumda, daha derinlemesine testler yapılabilir. Bir kırmızı ekip angajmanı tipik olarak çok daha geniş bir güvenlik önlemleri yelpazesinin test edilmesini içerir. Eylemler, çalışanlara karşı kimlik avı tatbikatları yapmayı, sosyal mühendislikle bir binaya girmeye çalışmayı ve hatta fiziksel olarak zorla girmeyi içerebilir. Her kırmızı takım tatbikatı değişiklik gösterse de, konsept tipik olarak çok daha kötü durum "peki öyleyse" testidir. "Bu web uygulaması güvenlidir, ancak ya birisi sunucu odasına girer ve içindeki tüm verilerle birlikte sabit sürücüyü alırsa" gibi.
Bir şirkete veya sisteme zarar vermek için kullanılabilecek hemen hemen her güvenlik sorunu teorik olarak etik korsanlığa açıktır. Ancak bu, sistem sahibinin izin verdiğini ve bunun için ödeme yapmaya hazır olduğunu varsayar.
Kötü Adamlara Bir Şeyler Vermek?
Etik bilgisayar korsanları, hayatlarını kolaylaştırmak için bilgisayar korsanlığı araçları yazar, kullanır ve paylaşır. Siyah şapkalılar bu araçları daha fazla hasara yol açmak için kullanabileceğinden, bunun etiğini sorgulamak adil olur. Gerçekçi olsa da, saldırganların hayatlarını kolaylaştırmaya çalışırken bu araçlara veya en azından bunlara benzer bir şeye zaten sahip olduklarını varsaymak tamamen mantıklıdır. Aletlere sahip olmamak ve siyah şapkalar için işi zorlaştırmaya çalışmak, belirsizliğe güvenerek güvenmektir. Bu kavram, kriptografide ve genel olarak güvenlik dünyasının çoğunda derinden hoş karşılanmaz.
Sorumlu Açıklama
Etik bir bilgisayar korsanı bazen bir web sitesinde gezinirken veya bir ürün kullanırken bir güvenlik açığıyla karşılaşabilir. Bu durumda, genellikle sorumlu bir şekilde meşru sistem sahibine bildirmeye çalışırlar. Bundan sonra önemli olan, durumun nasıl ele alındığıdır. Yapılması gereken etik şey, sorunu çözmelerine ve bir yazılım yaması dağıtmalarına izin vermek için bunu yasal sistem sahibine özel olarak ifşa etmektir.
Tabii ki, herhangi bir etik hacker, güvenlik açısından bilinçli kararlarını vermeyi seçebilmeleri için bu tür bir güvenlik açığından etkilenen kullanıcıları bilgilendirmekten de sorumludur. Tipik olarak, özel ifşadan itibaren 90 günlük bir zaman dilimi, bir düzeltme geliştirmek ve yayınlamak için uygun bir süre olarak görülür. Biraz daha zamana ihtiyaç duyulursa uzatmalar verilebilir, ancak bu mutlaka yapılmaz.
Bir düzeltme mevcut olmasa bile, olabilmek konuyu kamuya açık bir şekilde detaylandırmak için etik olun. Ancak bu, etik korsanın sorunu sorumlu bir şekilde ifşa etmeye çalıştığını ve genel olarak normal kullanıcıları kendilerini koruyabilmeleri için bilgilendirmeye çalıştıklarını varsayar. Bazı güvenlik açıkları, kavram istismarlarının çalışan kanıtı ile detaylandırılabilse de, henüz bir düzeltme mevcut değilse bu genellikle yapılmaz.
Bu tamamen etik görünmese de, sonuçta kullanıcıya fayda sağlar. Bir senaryoda, şirket zamanında bir düzeltme yapmak için yeterli baskı altındadır. Kullanıcılar sabit bir sürüme güncelleme yapabilir veya en azından bir geçici çözüm uygulayabilir. Bunun alternatifi, şirketin ciddi bir güvenlik sorunu için hemen bir düzeltme uygulayamamasıdır. Bu durumda, kullanıcı ürünü kullanmaya devam etme konusunda bilinçli bir karar verebilir.
Çözüm
Etik bir bilgisayar korsanı, yasanın kısıtlamaları dahilinde hareket eden bir bilgisayar korsanıdır. Tipik olarak, yasal sistem sahibi tarafından bir sistemi hacklemek için sözleşmeli veya başka bir şekilde izin verilir. Bu, etik hacker'ın sorumlu bir şekilde tespit edilen sorunları düzeltilebilmesi için meşru sistem sahibine bildirmesi koşuluyla yapılır. Etik bilgisayar korsanlığı, "bir hırsızı yakalaması için bir hırsız ayarla" üzerine kuruludur. Etik korsanların bilgisini kullanarak, siyah şapkalı bilgisayar korsanlarının istismar etmiş olabileceği sorunları çözebilirsiniz. Etik hackerlara beyaz şapkalı hackerlar da denir. Belirli durumlarda, profesyonelleri işe almak için "sızanlar" gibi başka terimler de kullanılabilir.