Mis on eetiline häkker?

Lihtne on omada lihtsat seisukohta, et kõik häkkerid on pahad, kes tekitavad andmetega rikkumisi ja juurutavad lunavara. See pole aga tõsi. Seal on palju pahatahtlikke häkkereid. Mõned häkkerid kasutavad oma oskusi eetiliselt ja seaduslikult. „Eetiline häkker” on häkker, kes häkkib süsteemi seadusliku omanikuga sõlmitud juriidilise lepingu raames.

Näpunäide. Musta mütsi häkkeri vastandina nimetatakse eetilist häkkerit sageli valge mütsi häkkeriks.

Selle tuum on arusaam sellest, mis teeb häkkimise ebaseaduslikuks. Kuigi üle maailma on erinevusi, taandub enamik häkkimisseadusi sõnadele "süsteemile juurdepääs on ebaseaduslik, kui teil pole selleks luba". Kontseptsioon on lihtne. Tegelikud häkkimistoimingud ei ole ebaseaduslikud; see lihtsalt teeb seda ilma loata. Kuid see tähendab, et võib anda loa, mis lubab teil teha midagi, mis muidu oleks ebaseaduslik.

See luba ei tohi pärineda lihtsalt suvaliselt inimeselt tänaval või võrgus. See ei saa tulla isegi valitsuselt ( kuigi luureagentuurid tegutsevad veidi teistsuguste reeglite järgi ). Loa peab andma süsteemi seaduslik omanik.

Näpunäide. Selguse huvides ei tähenda „õiguspärane süsteemiomanik” tingimata isikut, kes süsteemi ostis. See viitab kellelegi, kellel on seaduslik õiguslik vastutus öelda; see on teie jaoks ok. Tavaliselt on selleks CISO, tegevjuht või juhatus, kuigi loa andmise võimalust saab delegeerida ka ahelas edasi.

Kuigi loa võib anda lihtsalt suuliselt, ei tehta seda kunagi. Kuna testi teostav isik või ettevõte vastutaks juriidiliselt selle eest, mida nad ei peaks tegema, on vaja kirjalikku lepingut.

Toimingute ulatus

Lepingu tähtsust ei saa üle tähtsustada. See on ainus asi, mis annab eetilise häkkeri häkkimistegevusele seaduslikkuse. Lepingutoetus annab hüvitise kindlaksmääratud tegevuste ja seatud eesmärkide eest. Sellisena on oluline mõista lepingut ja seda, mida see hõlmab, kuna lepingu kohaldamisalast väljumine tähendab juriidilise hüvitise ulatusest väljumist ja seaduse rikkumist.

Kui eetiline häkker jääb lepingu reguleerimisalast välja, ajab ta seaduslikku nööri. Kõik, mida nad teevad, on tehniliselt ebaseaduslik. Paljudel juhtudel oleks selline samm juhuslik ja kiirelt tabatav. Nõuetekohase käsitlemise korral ei pruugi see olla probleem, kuid olenevalt olukorrast võib see kindlasti olla.

Pakutav leping ei pea tingimata olema spetsiaalselt kohandatud. Mõned ettevõtted pakuvad vearahaskeemi. See hõlmab avatud lepingu avaldamist, mis võimaldab kõigil proovida oma süsteemi eetiliselt häkkida, kui nad järgivad kindlaksmääratud reegleid ja teatavad tuvastatud probleemidest. Aruandlusprobleemide eest tasutakse sel juhul tavaliselt rahaliselt.

Eetilise häkkimise tüübid

Eetilise häkkimise standardvorm on läbitungimiskatse või pentest. See on koht, kus üks või mitu eetilist häkkerit püüavad tungida süsteemi turvasüsteemi. Kui kaasamine on lõppenud, teatavad eetilised häkkerid, keda selles rollis täidavad pentestijad, oma leidudest kliendile. Klient saab tuvastatud haavatavuste parandamiseks kasutada aruande üksikasju. Kuigi saab teha nii individuaalset kui ka lepingulist tööd, on paljud pentestijad ettevõttesisesed ressursid või palgatakse spetsiaalsed eeltestimisettevõtted.

Näpunäide: see on "pentestimine", mitte "pliiatsi testimine". Tungivustester ei testi pastakaid.

Mõnel juhul ei piisa ühe või mitme rakenduse või võrgu turvalisuse testimisest. Sel juhul võib läbi viia põhjalikumad testid. Punase meeskonna kaasamine hõlmab tavaliselt palju laiema turvameetmete testimist. Tegevused võivad hõlmata töötajate vastu suunatud andmepüügiharjutusi, hoonesse sisenemist sotsiaalselt kujundada või isegi füüsilist sissemurdmist. Kuigi iga punase meeskonna harjutus on erinev, on kontseptsioon tavaliselt palju rohkem halvima juhtumi "mis siis, kui" test. . Nagu "see veebirakendus on turvaline, aga mis siis, kui keegi lihtsalt astub serveriruumi ja võtab kõvaketta kõigi sellel olevate andmetega."

Peaaegu kõik turbeprobleemid, mida võidakse kasutada ettevõtte või süsteemi kahjustamiseks, on teoreetiliselt avatud eetilisele häkkimisele. See eeldab, et süsteemi omanik annab loa ja on valmis selle eest maksma.

Anda asju halbadele poistele?

Eetilised häkkerid kirjutavad, kasutavad ja jagavad häkkimistööriistu, et oma elu lihtsamaks muuta. On õiglane seada kahtluse alla selle eetika, kuna mustad mütsid võivad neid tööriistu kaasata, et tekitada suuremat kaost. Reaalselt on aga täiesti mõistlik eeldada, et ründajatel on need tööriistad või vähemalt midagi sarnast juba olemas, kuna nad üritavad oma elu lihtsamaks muuta. Tööriistade puudumine ja mustade mütside töö raskemaks muutmine tugineb turvalisusele läbi teadmatuse. See kontseptsioon on krüptograafias ja enamikus julgeolekumaailmas üldiselt taunitud.

Vastutustundlik avalikustamine

Eetiline häkker võib mõnikord veebisaiti sirvides või toodet kasutades haavatavuse otsa komistada. Sel juhul püüavad nad tavaliselt sellest vastutustundlikult teatada süsteemi seaduslikule omanikule. Pärast seda on oluline, kuidas olukorda lahendatakse. Eetiline asi on see privaatselt avalikustada seaduslikule süsteemiomanikule, et nad saaksid probleemi lahendada ja tarkvarapaiga levitada.

Loomulikult vastutab iga eetiline häkker ka sellisest haavatavusest mõjutatud kasutajate teavitamise eest, et nad saaksid teha oma turvateadlikud otsused. Tavaliselt peetakse paranduse väljatöötamiseks ja avaldamiseks sobivaks ajaks 90-päevast ajavahemikku alates eraviisilisest avalikustamisest. Kuigi ajapikendusi saab anda, kui on vaja veidi rohkem aega, ei pruugi seda teha.

Isegi kui parandus pole saadaval, võib olla eetiline probleemi avalikult kirjeldada. See aga eeldab, et eetiline häkker on püüdnud probleemi vastutustundlikult avalikustada ja üldiselt üritavad nad tavakasutajaid sellest teavitada, et nad saaksid end kaitsta. Kuigi mõned haavatavused võivad olla üksikasjalikud kontseptsiooni ärakasutamiste tõenditega, ei tehta seda sageli, kui parandus pole veel saadaval.

Kuigi see ei pruugi tunduda täiesti eetiline, on see lõppkokkuvõttes kasutajale kasulik. Ühe stsenaariumi korral on ettevõte õigeaegse lahenduse pakkumiseks piisava surve all. Kasutajad saavad värskendada fikseeritud versioonile või rakendada vähemalt lahenduse. Alternatiiv on see, et ettevõte ei saa tõsise turbeprobleemi jaoks viivitamatult lahendust kasutusele võtta. Sel juhul saab kasutaja teha teadliku otsuse toote kasutamise jätkamise kohta.

Järeldus

Eetiline häkker on häkker, kes tegutseb seaduse piirangute piires. Tavaliselt sõlmib seaduslik süsteemiomanik nendega lepingu või annab neile muul viisil loa süsteemi häkkimiseks. Seda tehakse tingimusel, et eetiline häkker teatab tuvastatud probleemidest vastutustundlikult süsteemi seaduslikule omanikule, et need saaks parandada. Eetilise häkkimise aluseks on "vargale määramine varast tabama". Kasutades eetiliste häkkerite teadmisi, saate lahendada probleemid, mida musta mütsi häkkerid võisid ära kasutada. Eetilisi häkkereid nimetatakse ka valge mütsi häkkeriteks. Teatud asjaoludel võidakse kasutada ka muid termineid, näiteks professionaalide palkamiseks „pentester“.


Mis on SMPS?

Mis on SMPS?

Enne oma arvutile SMPS-i valimist uurige, mis on SMPS ja mida tähendab erinevate tõhususe reiting.

Mis on isolatsioonipõhine turvalisus?

Mis on isolatsioonipõhine turvalisus?

Kavatsesin süveneda teemasse, mis muutub küberturvalisuse maailmas üha olulisemaks: isolatsioonipõhine turvalisus. See lähenemine

Kuidas kasutada automaatset klikkerit Chromebooki jaoks

Kuidas kasutada automaatset klikkerit Chromebooki jaoks

Täna kavatsesime süveneda tööriista, mis suudab teie Chromebookis korduvaid klõpsamisi automatiseerida: automaatset klõpsurit. See tööriist võib säästa teie aega ja

Roomba peatub, jääb kinni ja pöörab ümber – paranda

Roomba peatub, jääb kinni ja pöörab ümber – paranda

Lahendage probleem, kus teie Roomba robottolmuimeja peatub, kinni jääb ja pöörleb pidevalt ümber.

Miks minu Chromebook ei lülitu sisse?

Miks minu Chromebook ei lülitu sisse?

Hankige vastused küsimusele, miks minu Chromebook ei lülitu sisse? Selles kasulikus juhendis Chromebooki kasutajatele.

Kuidas muuta Steam Decki graafikaseadeid

Kuidas muuta Steam Decki graafikaseadeid

Steam Deck pakub jõulist ja mitmekülgset mängukogemust otse teie käeulatuses. Kuid selleks, et optimeerida oma mängimist ja tagada parim võimalik

Kuidas muuta Fitbit Versa 4 kella numbrit

Kuidas muuta Fitbit Versa 4 kella numbrit

Muutke oma Fitbit Versa 4 kella sihverplaati, et anda oma kellale iga päev tasuta uus välimus. Vaadake, kui kiire ja lihtne see on.

Kuidas Googleile andmepüügipettustest teatada

Kuidas Googleile andmepüügipettustest teatada

Sellest juhendist leiate teavet selle kohta, kuidas petturist Google'ile teatada, et vältida teiste petmist.

Kuidas eemaldada GPU Windowsi arvutist 2023. aastal

Kuidas eemaldada GPU Windowsi arvutist 2023. aastal

Kas peate GPU arvutist eemaldama? Liituge minuga ja selgitan selles samm-sammulises juhendis, kuidas GPU arvutist eemaldada.

Mis on õlasurf?

Mis on õlasurf?

Õlas surfamine on sotsiaalse manipuleerimise rünnak. See hõlmab ründajat, kes kogub teavet teie ekraani vaadates.