Co je to etický hacker?

Je snadné mít jednoduchý názor, že všichni hackeři jsou padouši, kteří způsobují narušení dat a nasazují ransomware. To však není pravda. Existuje spousta padouchů hackerů. Někteří hackeři využívají své dovednosti eticky a legálně. „Etický hacker“ je hacker, který hackuje v rámci právní dohody s legitimním vlastníkem systému.

Tip: Jako opak black hat hacker , etický hacker je často nazýván white hat hacker.

Jádrem toho je pochopení toho, co dělá hackování nelegálním. I když existují různé varianty po celém světě, většina hackerských zákonů se scvrkává na „je nezákonné přistupovat k systému, pokud k tomu nemáte oprávnění“. Koncept je jednoduchý. Skutečné hackerské akce nejsou nezákonné; dělá to jen tak bez povolení. To ale znamená, že může být uděleno povolení, abyste mohli dělat něco, co by jinak bylo nezákonné.

Toto povolení nemůže pocházet jen tak od jakékoli náhodné osoby na ulici nebo online. Nemůže to ani pocházet od vlády ( i když zpravodajské agentury fungují podle trochu jiných pravidel ). Povolení musí udělit legitimní vlastník systému.

Tip: Aby bylo jasno, „legitimní vlastník systému“ nemusí nutně odkazovat na osobu, která systém zakoupila. Odkazuje na někoho, kdo má legitimně právní odpovědnost říci; to je pro tebe v pořádku. Obvykle to bude CISO, generální ředitel nebo správní rada, ačkoli schopnost udělovat povolení může být také delegována dále v řetězci.

I když svolení může být uděleno pouze ústně, nikdy se tak nestane. Vzhledem k tomu, že osoba nebo společnost provádějící test by byla právně odpovědná za testování toho, co by neměla, je vyžadována písemná smlouva.

Rozsah akcí

Význam smlouvy nelze přeceňovat. Je to jediná věc, která zajišťuje zákonnost hackerských akcí etického hackera. Smluvní grant poskytuje odškodnění za specifikované akce a proti stanoveným cílům. Jako takové je nezbytné porozumět smlouvě a tomu, co zahrnuje, protože vyjít z rozsahu smlouvy znamená vyjít z rozsahu právního odškodnění a porušit zákon.

Pokud se etický hacker vymyká z rozsahu smlouvy, běží na legální lano. Vše, co dělají, je technicky nezákonné. V mnoha případech by takový krok byl náhodný a rychle by se sám zachytil. Při správném zacházení to nemusí být nutně problém, ale v závislosti na situaci určitě může být.

Nabízená smlouva nemusí být nutně šitá na míru. Některé společnosti nabízejí systém odměn za chyby. To zahrnuje zveřejnění otevřené smlouvy, která umožňuje komukoli pokusit se eticky nabourat jejich systém, pokud bude hrát podle stanovených pravidel a nahlásit jakýkoli problém, který zjistí. Problémy s hlášením jsou v tomto případě obvykle finančně odměněny.

Typy etického hackování

Standardní formou etického hackování je „penetrační test“ neboli pentest. To je místo, kde se jeden nebo více etických hackerů snaží proniknout do bezpečnostní obrany systému. Jakmile je zakázka dokončena, etičtí hackeři, kteří se v této roli nazývají pentesteri, oznámí svá zjištění klientovi. Klient může použít podrobnosti ve zprávě k opravě zjištěných zranitelností. I když lze provádět individuální a smluvní práci, mnoho pentesterů jsou interními firemními zdroji nebo jsou najímány specializované firmy na pentesting.

Tip: Je to „testování“, nikoli „testování perem“. Penetrační tester netestuje pera.

V některých případech nestačí otestovat, zda je jedna nebo více aplikací nebo sítí bezpečné. V tomto případě mohou být provedeny hloubkové testy. Zapojení červeného týmu obvykle zahrnuje testování mnohem širšího spektra bezpečnostních opatření. Akce mohou zahrnovat provádění phishingových cvičení proti zaměstnancům, pokusy o sociální inženýrství, jak se dostat do budovy, nebo dokonce fyzické vloupání. I když se každé cvičení červeného týmu liší, koncept je obvykle mnohem spíše nejhorším případem testu typu „co kdyby“ . Ve smyslu „tato webová aplikace je bezpečná, ale co když někdo vejde do serverové místnosti a vezme pevný disk se všemi daty na něm“.

Téměř jakýkoli problém s bezpečností, který by mohl být použit k poškození společnosti nebo systému, je teoreticky otevřený etickému hackingu. To však předpokládá, že vlastník systému udělí povolení a že je připraven za to zaplatit.

Dávat věci padouchům?

Etičtí hackeři píší, používají a sdílejí hackerské nástroje, aby si usnadnili život. Je spravedlivé zpochybňovat etiku toho, protože černé klobouky by mohly tyto nástroje kooptovat a způsobit další zmatek. Realisticky je však zcela rozumné předpokládat, že útočníci již tyto nástroje nebo alespoň něco podobného mají, protože se jim snaží usnadnit život. Nemít nástroje a snažit se to černým kloboukům ztížit je spoléhat se na bezpečnost prostřednictvím nejasností. Tento koncept je v kryptografii a ve většině bezpečnostního světa obecně odsuzován.

Odpovědné zveřejnění

Etický hacker může někdy narazit na zranitelnost při procházení webových stránek nebo používání produktu. V tomto případě se to obvykle snaží zodpovědně nahlásit legitimnímu vlastníkovi systému. Klíčové pak je, jak se situace vyřeší. Etická věc, kterou je třeba udělat, je soukromě to sdělit legitimnímu vlastníkovi systému, aby mohl problém vyřešit a distribuovat softwarovou opravu.

Každý etický hacker je samozřejmě také zodpovědný za informování uživatelů postižených takovou zranitelností, aby se mohli rozhodnout činit svá vlastní bezpečnostní rozhodnutí. Obvykle se časový rámec 90 dnů od soukromého zveřejnění považuje za vhodnou dobu pro vývoj a zveřejnění opravy. I když je možné udělit prodloužení, pokud je potřeba trochu více času, není to nutně provedeno.

I když oprava není k dispozici, může být etické problém veřejně podrobně popsat. To však předpokládá, že se etický hacker pokusil problém zodpovědně odhalit a obecně, že se snaží informovat běžné uživatele, aby se mohli chránit. I když některé zranitelnosti mohou být podrobně popsány s funkčním důkazem zneužití konceptu, často se tak nestane, pokud oprava ještě není k dispozici.

I když to nemusí znít zcela eticky, v konečném důsledku to pro uživatele přináší výhody. V jednom scénáři je společnost pod dostatečným tlakem, aby zajistila včasnou opravu. Uživatelé mohou aktualizovat na pevnou verzi nebo alespoň implementovat náhradní řešení. Alternativou je, že společnost nemůže okamžitě nasadit opravu závažného bezpečnostního problému. V tomto případě může uživatel učinit informované rozhodnutí o dalším používání produktu.

Závěr

Etický hacker je hacker, který jedná v mezích zákona. Obvykle jsou smluvně nebo jinak uděleny oprávněným vlastníkem systému k hacknutí systému. To se děje pod podmínkou, že etický hacker zodpovědně nahlásí zjištěné problémy legitimnímu vlastníkovi systému, aby mohly být opraveny. Etické hackování je založeno na „nastavení zloděje, aby chytil zloděje“. S využitím znalostí etických hackerů můžete vyřešit problémy, které by black hat hackeři mohli zneužít. Etičtí hackeři jsou také označováni jako white hat hackeři. Za určitých okolností mohou být použity i jiné termíny, například „pentesterové“ pro najímání profesionálů.