Çfarë është një Haker Etik?

Është e lehtë të kesh pikëpamjen e thjeshtë se të gjithë hakerët janë njerëz të këqij për të shkaktuar shkelje të të dhënave dhe për të vendosur ransomware. Megjithatë, kjo nuk është e vërtetë. Ka shumë hakerë të këqij atje. Disa hakerë përdorin aftësitë e tyre në mënyrë etike dhe ligjore. Një "haker etik" është një haker që hakeron brenda kompetencave të një marrëveshjeje ligjore me pronarin legjitim të sistemit.

Këshillë: Si e kundërta e një hakeri të kapelës së zezë , një haker etik shpesh quhet haker i kapelës së bardhë.

Thelbi i kësaj është të kuptuarit e asaj që e bën hakerimin të paligjshëm. Ndërsa ka ndryshime në mbarë globin, shumica e ligjeve të hakerimit përfundojnë në "është e paligjshme të hysh në një sistem nëse nuk ke leje për ta bërë këtë". Koncepti është i thjeshtë. Veprimet aktuale të hakerimit nuk janë të paligjshme; thjesht po e bën këtë pa leje. Por kjo do të thotë se mund të jepet leja për t'ju lejuar të bëni diçka që përndryshe do të ishte e paligjshme.

Kjo leje nuk mund të vijë thjesht nga ndonjë person i rastësishëm në rrugë ose në internet. Nuk mund të vijë as nga qeveria ( ndonëse agjencitë e inteligjencës funksionojnë sipas rregullave paksa të ndryshme ). Leja duhet të jepet nga pronari legjitim i sistemit.

Këshillë: Për të qenë të qartë, "pronari legjitim i sistemit" nuk i referohet domosdoshmërisht personit që ka blerë sistemin. I referohet dikujt që në mënyrë legjitime ka përgjegjësinë ligjore të thotë; kjo është në rregull për ju. Zakonisht ky do të jetë CISO, CEO ose bordi, megjithëse aftësia për të dhënë leje mund të delegohet edhe më tej në zinxhir.

Ndërsa leja mund të jepej thjesht me gojë, kjo nuk bëhet kurrë. Meqenëse personi ose kompania që kryen testin do të jetë ligjërisht përgjegjës për testimin e asaj që nuk duhet të bëjë, kërkohet një kontratë me shkrim.

Fusha e Veprimeve

Rëndësia e kontratës nuk mund të mbivlerësohet. Është e vetmja gjë që u jep ligjshmëri veprimeve të hakerave të hakerëve etikë. Granti i kontratës jep dëmshpërblim për veprimet e specifikuara dhe kundër objektivave të specifikuara. Si e tillë, është thelbësore të kuptohet kontrata dhe çfarë mbulon ajo, pasi të dalësh nga objekti i kontratës do të thotë të dalësh nga objekti i dëmshpërblimit ligjor dhe të shkelësh ligjin.

Nëse një haker etik del jashtë fushëveprimit të kontratës, ata po ndjekin një litar të ngushtë ligjor. Çdo gjë që ata bëjnë është teknikisht e paligjshme. Në shumë raste, një hap i tillë do të ishte i rastësishëm dhe shpejt i vetë-kapur. Kur trajtohet siç duhet, kjo mund të mos jetë domosdoshmërisht një problem, por në varësi të situatës, sigurisht që mund të jetë.

Kontrata e ofruar nuk duhet domosdoshmërisht të jetë e përshtatur në mënyrë specifike. Disa kompani ofrojnë një skemë shpërblimi të gabimeve. Kjo përfshin publikimin e një kontrate të hapur, duke i lejuar këdo që të përpiqet të hakojë në mënyrë etike sistemin e tyre, për sa kohë që ata veprojnë sipas rregullave të specifikuara dhe raportojnë çdo problem që identifikojnë. Çështjet e raportimit, në këtë rast, zakonisht shpërblehen financiarisht.

Llojet e Hakimit Etik

Forma standarde e hakimit etik është "testi i depërtimit" ose pentesti. Këtu angazhohen një ose më shumë hakerë etikë për të tentuar të depërtojnë në mbrojtjen e sigurisë së një sistemi. Pasi angazhimi të përfundojë, hakerët etikë, të quajtur pentestues në këtë rol, raportojnë gjetjet e tyre te klienti. Klienti mund të përdorë detajet në raport për të rregulluar dobësitë e identifikuara. Ndërkohë që mund të kryhen punë individuale dhe me kontratë, shumë pentestues janë burime të brendshme të kompanisë ose punësohen firma të specializuara pentestuese.

Këshillë: Është "pentestim" jo "testim me stilolaps". Një testues depërtimi nuk teston stilolapsa.

Në disa raste, testimi nëse një ose më shumë aplikacione ose rrjete janë të sigurta nuk mjafton. Në këtë rast, mund të kryhen teste më të thella. Një angazhim me ekipin e kuq zakonisht përfshin testimin e një game shumë më të gjerë masash sigurie. Veprimet mund të përfshijnë kryerjen e ushtrimeve të phishing kundër punonjësve, përpjekjen për të krijuar inxhinieri sociale në rrugën tuaj për në një ndërtesë, apo edhe depërtim fizikisht brenda. Ndërsa çdo ushtrim i ekipit të kuq ndryshon, koncepti është zakonisht shumë më tepër një test i rastit më të keq "pra çfarë nëse" . Përgjatë linjave të "ky aplikacion në internet është i sigurt, por çka nëse dikush thjesht hyn në dhomën e serverit dhe merr hard diskun me të gjitha të dhënat në të."

Pothuajse çdo çështje sigurie që mund të përdoret për të dëmtuar një kompani ose sistem është teorikisht e hapur për hakerim etik. Kjo supozon se pronari i sistemit jep leje, megjithatë, dhe se ata janë të gatshëm të paguajnë për të.

T'u japësh gjëra të këqijve?

Hakerët etikë shkruajnë, përdorin dhe ndajnë mjete hakerimi për ta bërë jetën e tyre më të lehtë. Është e drejtë të vihet në dyshim etika e kësaj, pasi kapelet e zeza mund t'i bashkëveprojnë këto mjete për të bërë më shumë kërdi. Megjithatë, realisht, është krejtësisht e arsyeshme të supozohet se sulmuesit tashmë i kanë këto mjete, ose të paktën diçka të ngjashme me to, pasi përpiqen t'ua bëjnë jetën më të lehtë. Mungesa e mjeteve dhe përpjekja për ta bërë më të vështirë për kapelet e zeza është duke u mbështetur në sigurinë përmes errësirës. Ky koncept është shumë i neveritshëm në kriptografi dhe në pjesën më të madhe të botës së sigurisë në përgjithësi.

Zbulimi i Përgjegjshëm

Një haker etik ndonjëherë mund të ndeshet me një dobësi kur shfleton një faqe interneti ose përdor një produkt. Në këtë rast, ata zakonisht përpiqen ta raportojnë atë me përgjegjësi te pronari legjitim i sistemit. Gjëja kryesore pas kësaj është se si do të trajtohet situata. Gjëja etike që duhet bërë është t'ia zbuloni atë privatisht pronarit legjitim të sistemit për t'i lejuar ata të rregullojnë problemin dhe të shpërndajnë një patch softueri.

Natyrisht, çdo haker etik është gjithashtu përgjegjës për informimin e përdoruesve të prekur nga një dobësi e tillë, në mënyrë që ata të mund të zgjedhin të marrin vendimet e tyre të ndërgjegjshme për sigurinë. Në mënyrë tipike, një kornizë kohore prej 90 ditësh nga zbulimi privat shihet si një kohë e përshtatshme për të zhvilluar dhe publikuar një rregullim. Ndërsa zgjatjet mund të jepen nëse nevojitet pak më shumë kohë, kjo nuk bëhet domosdoshmërisht.

Edhe nëse një rregullim nuk është i disponueshëm, mund të jetë etike të detajoni çështjen publikisht. Kjo, megjithatë, supozon se hakeri etik është përpjekur ta zbulojë çështjen me përgjegjësi dhe, në përgjithësi, se ata po përpiqen të informojnë përdoruesit normalë në mënyrë që ata të mund të mbrohen. Ndërsa disa dobësi mund të detajohen me prova të punës të shfrytëzimeve të konceptit, kjo shpesh nuk bëhet nëse një rregullim nuk është ende i disponueshëm.

Edhe pse kjo mund të mos tingëllojë plotësisht etike, në fund të fundit, ajo përfiton nga përdoruesi. Në një skenar, kompania është nën presion të mjaftueshëm për të ofruar një rregullim në kohë. Përdoruesit mund të përditësojnë në një version fiks ose të paktën të zbatojnë një zgjidhje. Alternativa është se kompania nuk mund të vendosë një rregullim për një çështje të rëndë sigurie menjëherë. Në këtë rast, përdoruesi mund të marrë një vendim të informuar për vazhdimin e përdorimit të produktit.

konkluzioni

Një haker etik është një haker që vepron brenda kufizimeve të ligjit. Zakonisht ato kontraktohen ose u jepet ndryshe leje nga pronari legjitim i sistemit për të hakuar një sistem. Kjo bëhet me kushtin që hakeri etik do t'i raportojë çështjet e identifikuara me përgjegjësi pronarit legjitim të sistemit në mënyrë që ato të mund të rregullohen. Hakerimi etik është ndërtuar mbi "vendosni një hajdut për të kapur një hajdut". Duke përdorur njohuritë e hakerëve etikë, ju mund të zgjidhni çështjet që hakerat e kapelave të zeza mund të kenë shfrytëzuar. Hakerët etikë quhen gjithashtu hakerë të kapelave të bardha. Terma të tjerë mund të përdoren gjithashtu në rrethana të caktuara, të tilla si "pentestues" për punësimin e profesionistëve.