Što je etički haker?

Lako je imati jednostavno stajalište da su svi hakeri loši dečki koji uzrokuju povrede podataka i postavljaju ransomware. To ipak nije istina. Postoji mnogo loših hakera. Neki hakeri koriste svoje vještine etički i zakonito. "Etički haker" je haker koji hakira u okviru pravnog sporazuma s legitimnim vlasnikom sustava.

Savjet: Kao suprotnost hakeru s crnim šeširom , etički haker se često naziva haker s bijelim šeširom.

Srž toga je razumijevanje onoga što hakiranje čini ilegalnim. Iako postoje varijacije diljem svijeta, većina zakona o hakiranju svodi se na "ilegalno je pristupiti sustavu ako za to nemate dozvolu." Koncept je jednostavan. Stvarne akcije hakiranja nisu nezakonite; to samo radi bez dopuštenja. Ali to znači da vam se može dati dopuštenje da učinite nešto što bi inače bilo protuzakonito.

Ovo dopuštenje ne može doći od bilo koje nasumične osobe na ulici ili na internetu. Ne može čak doći ni od vlade ( iako obavještajne agencije rade prema malo drugačijim pravilima ). Dopuštenje treba dati legitimni vlasnik sustava.

Savjet: da bude jasno, "legitimni vlasnik sustava" ne odnosi se nužno na osobu koja je kupila sustav. Odnosi se na nekoga tko legitimno ima zakonsku odgovornost reći; ovo je u redu za tebe. Obično će to biti CISO, glavni izvršni direktor ili upravni odbor, iako se mogućnost davanja dopuštenja može delegirati i dalje u lancu.

Iako se dopuštenje može jednostavno dati usmeno, to se nikada ne čini. Budući da bi osoba ili tvrtka koja provodi testiranje bila zakonski odgovorna za testiranje onoga što ne bi smjela, potreban je pismeni ugovor.

Opseg radnji

Ne može se precijeniti važnost ugovora. To je jedina stvar koja jamči legalnost hakiranja etičkog hakera. Ugovorna bespovratna sredstva daju naknadu za navedene radnje i protiv navedenih ciljeva. Kao takav, bitno je razumjeti ugovor i ono što on pokriva, budući da izlazak iz okvira ugovora znači izlazak iz okvira zakonske naknade štete i kršenje zakona.

Ako etički haker odluta izvan opsega ugovora, on se nalazi u pravnom škripcu. Sve što rade tehnički je nezakonito. U mnogim slučajevima bi takav korak bio slučajan i brzo bi se sam uhvatio. Kad se postupi na odgovarajući način, to ne mora nužno biti problem, ali ovisno o situaciji, svakako bi mogao biti.

Ponuđeni ugovor ne mora nužno biti posebno prilagođen. Neke tvrtke nude shemu nagrada za bugove. To uključuje objavljivanje otvorenog ugovora, dopuštajući svakome da pokuša etički hakirati njihov sustav, sve dok igra prema određenim pravilima i prijavi svaki problem koji identificira. Problemi s izvješćivanjem, u ovom slučaju, obično se financijski nagrađuju.

Vrste etičkog hakiranja

Standardni oblik etičkog hakiranja je "test prodora" ili pentest. Ovdje je angažiran jedan ili više etičkih hakera koji pokušavaju prodrijeti kroz sigurnosnu obranu sustava. Nakon završetka angažmana, etički hakeri, koji se u ovoj ulozi nazivaju pentesterima, izvješćuju klijenta o svojim nalazima. Klijent može koristiti detalje u izvješću kako bi popravio identificirane ranjivosti. Iako se može obavljati individualni rad i posao po ugovoru, mnogi pentesteri su interni resursi tvrtke ili se angažiraju specijalizirane tvrtke za pentestiranje.

Savjet: to je "pentesting", a ne "pentesting". Tester penetracije ne testira olovke.

U nekim slučajevima testiranje jesu li jedna ili više aplikacija ili mreža sigurne nije dovoljno. U tom slučaju mogu se provesti dublji testovi. Angažman crvenog tima obično uključuje testiranje puno šireg raspona sigurnosnih mjera. Radnje mogu uključivati ​​izvođenje vježbi krađe identiteta protiv zaposlenika, pokušaj socijalnog inženjeringa da uđete u zgradu ili čak fizički provaljivanje. Iako svaka vježba crvenog tima varira, koncept je obično mnogo više od testa "pa što ako" u najgorem slučaju . U skladu s "ova web aplikacija je sigurna, ali što ako netko samo uđe u sobu s poslužiteljem i uzme tvrdi disk sa svim podacima na njemu."

Skoro svaki sigurnosni problem koji bi se mogao iskoristiti za nanošenje štete tvrtki ili sustavu teoretski je otvoren za etičko hakiranje. Ovo međutim pretpostavlja da vlasnik sustava daje dopuštenje i da je spreman za to platiti.

Davati stvari negativcima?

Etički hakeri pišu, koriste i dijele alate za hakiranje kako bi si olakšali život. Pošteno je preispitivati ​​etiku ovoga, budući da bi crni šeširi mogli iskoristiti ove alate za izazivanje većeg kaosa. No realno, sasvim je razumno pretpostaviti da napadači već imaju te alate, ili barem nešto slično njima, dok si pokušavaju olakšati život. Nemanje alata i pokušaj otežavanja crnim šeširima znači oslanjanje na sigurnost kroz opskurnost. Ovaj koncept se duboko osuđuje u kriptografiji i većini sigurnosnog svijeta općenito.

Odgovorno otkrivanje

Etički haker ponekad može naići na ranjivost dok pregledava web stranicu ili koristi proizvod. U tom slučaju obično pokušavaju to odgovorno prijaviti legitimnom vlasniku sustava. Ključna stvar nakon toga je kako se situacija rješava. Etička stvar koju treba učiniti je privatno otkriti to legitimnom vlasniku sustava kako bi im se omogućilo da riješe problem i distribuiraju softversku zakrpu.

Naravno, svaki etički haker također je odgovoran za informiranje korisnika pogođenih takvom ranjivošću kako bi mogli odlučiti donijeti vlastite sigurnosne odluke. Obično se vremenski okvir od 90 dana od privatnog otkrivanja smatra prikladnim vremenom za razvoj i objavu popravka. Iako se produljenja mogu odobriti ako je potrebno malo više vremena, to nije nužno učinjeno.

Čak i ako popravak nije dostupan, može biti etično javno opisati problem. Ovo, međutim, pretpostavlja da je etički haker pokušao otkriti problem na odgovoran način i, općenito, da pokušava informirati normalne korisnike kako bi se mogli zaštititi. Iako se neke ranjivosti mogu detaljno opisati s radnim dokazom koncepta iskorištavanja, to se često ne radi ako popravak još nije dostupan.

Iako ovo možda ne zvuči potpuno etično, u konačnici koristi korisniku. U jednom scenariju, tvrtka je pod dovoljnim pritiskom da isporuči popravak na vrijeme. Korisnici mogu ažurirati na fiksnu verziju ili barem primijeniti zaobilazno rješenje. Alternativa je da tvrtka ne može odmah implementirati popravak za ozbiljan sigurnosni problem. U tom slučaju korisnik može donijeti informiranu odluku o nastavku korištenja proizvoda.

Zaključak

Etički haker je haker koji djeluje unutar ograničenja zakona. Obično imaju ugovor ili im na neki drugi način daju dozvolu legitimni vlasnik sustava da hakiraju sustav. To se radi pod uvjetom da će etički haker identificirane probleme odgovorno prijaviti legitimnom vlasniku sustava kako bi se oni mogli popraviti. Etičko hakiranje je izgrađeno na "postavi lopova da uhvati lopova". Koristeći znanje etičkih hakera, možete riješiti probleme koje su crni hakeri mogli iskoristiti. Etički hakeri se također nazivaju hakeri s bijelim šeširom. Drugi izrazi također se mogu koristiti u određenim okolnostima, kao što su "pentesters" za zapošljavanje stručnjaka.