Легко мати просту думку про те, що всі хакери — погані хлопці, які спричиняють витік даних і розгортають програми-вимагачі. Однак це неправда. Існує багато хакерів-поганих хлопців. Деякі хакери використовують свої навички етично та законно. «Етичний хакер» — це хакер, який здійснює злам у рамках юридичної угоди з законним власником системи.
Порада: Як протилежність a хакер в чорному капелюсіетичного хакера часто називають хакером у білому капелюсі.
Основою цього є розуміння того, що робить хакерство незаконним. Незважаючи на те, що в усьому світі існують відмінності, більшість законів про хакерство зводяться до того, що «доступ до системи є незаконним, якщо у вас немає на це дозволу». Концепція проста. Фактичні хакерські дії не є незаконними; він просто робить це без дозволу. Але це означає, що дозвіл може бути наданий, щоб дозволити вам робити щось, що інакше було б незаконним.
Цей дозвіл не може надійти від будь-якої випадкової людини на вулиці чи в Інтернеті. Це навіть не може виходити від уряду (
Порада: Щоб було зрозуміло, «законний власник системи» не обов’язково стосується особи, яка придбала систему. Це відноситься до того, хто законно має юридичну відповідальність сказати; це нормально для вас. Зазвичай це буде CISO, генеральний директор або правління, хоча право надавати дозвіл також можна делегувати далі по ланцюжку.
Хоча дозвіл можна просто надати усно, цього ніколи не робиться. Оскільки особа або компанія, яка виконує тестування, буде нести юридичну відповідальність за тестування того, що вони не повинні робити, потрібен письмовий договір.
Обсяг дій
Важливість контракту неможливо переоцінити. Це єдине, що забезпечує законність хакерських дій етичного хакера. Грант за контрактом забезпечує відшкодування за вказані дії та проти зазначених цілей. Таким чином, дуже важливо розуміти контракт і те, що він охоплює, оскільки вихід за рамки контракту означає вихід за рамки юридичної компенсації та порушення закону.
Якщо етичний хакер виходить за рамки контракту, він працює на канаті. Усе, що вони роблять, є технічно незаконним. У багатьох випадках такий крок був би випадковим і швидко зловмисним. За належного поводження це не обов’язково може бути проблемою, але, залежно від ситуації, вона точно може бути.
Запропонований контракт не обов’язково має бути спеціально розроблений. Деякі компанії пропонують винагороду за помилку. Це передбачає публікацію відкритого контракту, що дозволяє будь-кому намагатися етично зламати їхню систему, доки вони грають за визначеними правилами та повідомляють про будь-яку виявлену проблему. Проблеми зі звітністю в цьому випадку зазвичай винагороджуються фінансово.
Типи етичного хакерства
Стандартною формою етичного хакерства є «тест на проникнення» або пентест. Тут залучаються один або кілька етичних хакерів, щоб спробувати проникнути в захист системи. Після завершення взаємодії етичні хакери, які в цій ролі називають пентестерами, повідомляють про свої висновки клієнту. Клієнт може використовувати деталі у звіті для усунення виявлених вразливостей. Хоча можна виконувати індивідуальну роботу та роботу за контрактом, багато пентестерів є внутрішніми ресурсами компанії або наймаються спеціалізовані фірми з тестування.
Порада: Це «перевірка», а не «перевірка». Тестер на проникнення не перевіряє ручки.
У деяких випадках недостатньо перевірити захищеність однієї чи кількох програм чи мереж. У цьому випадку можуть бути проведені більш глибокі тести. Взаємодія з червоною командою зазвичай передбачає тестування значно ширшого спектру заходів безпеки. Дії можуть включати виконання вправ проти співробітників, спробу соціальної інженерії проникнути в будівлю або навіть фізичне проникнення. Хоча кожна вправа для червоної команди різна, концепція, як правило, набагато більше нагадує тест у найгіршому випадку «так що, якщо». За словами «ця веб-програма безпечна, але що, якщо хтось просто зайде в серверну кімнату і забере жорсткий диск з усіма даними на ньому».
Практично будь-яка проблема безпеки, яка може бути використана для шкоди компанії або системі, теоретично відкрита для етичного злому. Це припускає, що власник системи надає дозвіл, однак, і що він готовий заплатити за це.
Дарувати речі поганим хлопцям?
Етичні хакери пишуть, використовують і діляться інструментами злому, щоб полегшити собі життя. Справедливо поставити під сумнів етику цього, оскільки чорні капелюхи можуть кооптувати ці інструменти, щоб сіяти більше хаосу. Реалістично, однак, цілком розумно припустити, що зловмисники вже мають ці інструменти або принаймні щось подібне, оскільки вони намагаються полегшити собі життя. Відсутність інструментів і спроба ускладнити роботу чорних капелюхів означає покладатися на безпеку через невідомість. Ця концепція глибоко негативно сприймається в криптографії та більшій частині світу безпеки загалом.
Відповідальне розкриття інформації
Етичний хакер іноді може натрапити на вразливість під час перегляду веб-сайту або використання продукту. У цьому випадку вони зазвичай намагаються відповідально повідомити про це законного власника системи. Ключовим після цього є те, як впоратися з ситуацією. Етична річ — це приватно розкрити це законному власнику системи, щоб він міг вирішити проблему та розповсюдити програмне виправлення.
Звичайно, будь-який етичний хакер також несе відповідальність за інформування користувачів, які постраждали від такої вразливості, щоб вони могли прийняти власні рішення з точки зору безпеки. Як правило, 90 днів із моменту приватного розголошення розглядається як належний час для розробки та публікації виправлення. Хоча продовження можна надати, якщо потрібно трохи більше часу, це не обов’язково робити.
Навіть якщо виправлення недоступне, воно може будьте етичними, щоб публічно описати проблему. Це, однак, припускає, що етичний хакер намагався відповідально розкрити проблему та, як правило, намагався поінформувати звичайних користувачів, щоб вони могли захистити себе. Хоча деякі вразливості можуть бути детально описані за допомогою робочого підтвердження концептуальних експлойтів, це часто не робиться, якщо виправлення ще не доступне.
Хоча це може звучати не зовсім етично, зрештою це приносить користь користувачеві. За одним із сценаріїв компанія відчуває достатній тиск, щоб вчасно виправити проблему. Користувачі можуть оновити до виправленої версії або принаймні застосувати обхідний шлях. Альтернативою є те, що компанія не може негайно розгорнути виправлення серйозної проблеми безпеки. У цьому випадку користувач може прийняти зважене рішення про продовження використання продукту.
Висновок
Етичний хакер — це хакер, який діє в рамках обмежень закону. Як правило, законний власник системи укладає контракт або іншим чином отримує дозвіл на злом системи. Це робиться за умови, що етичний хакер відповідально повідомить про виявлені проблеми законному власнику системи, щоб їх можна було виправити. Етичне хакерство побудовано на принципі «налаштуй злодія, щоб зловити злодія». Використовуючи знання етичних хакерів, ви можете вирішити проблеми, якими могли скористатися хакери «чорних капелюхів». Етичних хакерів також називають хакерами білих капелюхів. За певних обставин також можуть використовуватися інші терміни, як-от «pentesters» для найму професіоналів.