Mi az az etikus hacker?

Könnyű az az egyszerű nézet, hogy minden hacker rosszfiú, hogy adatszivárgást okozzon és zsarolóprogramokat telepítsen. Ez azonban nem igaz. Rengeteg rosszfiú hacker van odakint. Egyes hackerek etikusan és legálisan használják készségeiket. Az „etikus hacker” olyan hacker, amely a rendszer törvényes tulajdonosával kötött jogi megállapodás keretein belül tör fel.

Tipp: A fekete kalapos hacker ellentéteként az etikus hackert gyakran fehér kalapos hackernek nevezik.

Ennek lényege annak megértése, hogy mi teszi a hackelést illegálissá. Noha világszerte vannak eltérések, a legtöbb hackertörvény lényege, hogy „illegális hozzáférni egy rendszerhez, ha nincs rá engedélye”. A koncepció egyszerű. A tényleges hacker akciók nem illegálisak; csak engedély nélkül teszi. Ez azonban azt jelenti, hogy engedélyt adhatunk olyan tevékenységre, ami egyébként illegális lenne.

Ez az engedély nem érkezhet egyetlen véletlenszerű személytől az utcán vagy az interneten. Még csak nem is a kormánytól származhat ( bár a titkosszolgálatok kissé eltérő szabályok szerint működnek ). Az engedélyt a rendszer törvényes tulajdonosának kell megadnia.

Tipp: Az egyértelműség kedvéért a „jogos rendszertulajdonos” nem feltétlenül arra a személyre vonatkozik, aki megvásárolta a rendszert. Olyan valakire vonatkozik, akinek törvényesen megvan a jogi felelőssége, hogy megmondja; ez rendben van neked. Általában ez a CISO, a vezérigazgató vagy az igazgatóság, bár az engedély megadásának képessége a láncon lejjebb is delegálható.

Bár az engedélyt egyszerűen szóban is meg lehet adni, ez soha nem történik meg. Mivel a tesztet végző személy vagy cég jogilag felelős azért, hogy olyan tesztelést végezzen, amit nem kellene, ezért írásos szerződésre van szükség.

A cselekvések köre

A szerződés fontosságát nem lehet túlbecsülni. Ez az egyetlen dolog, amely jogszerűvé teszi az etikus hacker hacker akcióit. A szerződéses támogatás a meghatározott tevékenységekért és a kitűzött célokhoz képest kártalanítást nyújt. Mint ilyen, elengedhetetlen megérteni a szerződést és annak tartalmát, mivel a szerződés hatálya alóli kilépés a jogi kártalanítás hatálya alóli kilépést és törvénysértést jelent.

Ha egy etikus hacker kikerül a szerződés hatálya alól, jogi kötélt fut. Bármit csinálnak, az technikailag illegális. Sok esetben egy ilyen lépés véletlen és gyorsan magától értetődő lenne. Ha megfelelően kezelik, ez nem feltétlenül jelent problémát, de a helyzettől függően biztosan lehet.

A megajánlott szerződést nem feltétlenül kell kifejezetten személyre szabni. Egyes cégek hibajavító rendszert kínálnak. Ez magában foglalja egy nyílt szerződés közzétételét, amely lehetővé teszi, hogy bárki megpróbálja etikusan feltörni a rendszerét, mindaddig, amíg betartja a meghatározott szabályokat, és bejelenti az általa azonosított problémákat. A jelentési problémákat ebben az esetben általában anyagi jutalmazzák.

Az etikus hackelés típusai

Az etikus hackelés szokásos formája a „penetrációs teszt” vagy a penteszt. Ez az a hely, ahol egy vagy több etikus hacker vesz részt, hogy megpróbáljon behatolni egy rendszer biztonsági védelmébe. Az elköteleződés befejezése után az etikus hackerek, akiket ebben a szerepkörben pentesternek neveznek, beszámolnak az ügyfélnek az eredményeikről. Az ügyfél felhasználhatja a jelentésben szereplő részleteket az azonosított biztonsági rések kijavításához. Míg egyéni és szerződéses munka is végezhető, sok pentester a vállalat belső erőforrása, vagy speciális pentesztelő cégeket alkalmaznak.

Tipp: Ez „tesztelés”, nem „tollteszt”. A penetrációs teszter nem teszteli a tollakat.

Egyes esetekben nem elegendő annak tesztelése, hogy egy vagy több alkalmazás vagy hálózat biztonságos-e. Ebben az esetben alaposabb vizsgálatokat lehet végezni. A vörös csapat megbízása általában a biztonsági intézkedések sokkal szélesebb körének tesztelését jelenti. A műveletek közé tartozhat az alkalmazottak elleni adathalász gyakorlatok végrehajtása, az épületbe való behatolás kísérlete, vagy akár fizikai betörés. Bár minden egyes vörös csapat gyakorlata eltérő, a koncepció jellemzően sokkal inkább a legrosszabb eset „na és mi lenne, ha” tesztje. . A következőhöz hasonlóan: „Ez a webalkalmazás biztonságos, de mi van akkor, ha valaki bemegy a szerverszobába, és elveszi a merevlemezt az összes adattal együtt”.

Gyakorlatilag minden olyan biztonsági probléma, amely egy vállalat vagy rendszer kárára használható, elvileg nyitott az etikus hackelésre. Ez azt feltételezi, hogy a rendszer tulajdonosa megadja az engedélyt, és kész fizetni érte.

Dolgokat adni a rosszfiúknak?

Az etikus hackerek életük megkönnyítése érdekében hackereszközöket írnak, használnak és osztanak meg. Méltányos megkérdőjelezni ennek etikáját, mivel a fekete kalapok ezeket az eszközöket kombinálhatják, hogy nagyobb pusztítást végezzenek. Reálisan azonban teljesen jogos azt feltételezni, hogy a támadók már rendelkeznek ezekkel az eszközökkel, vagy legalábbis valami hasonlóval, mivel megpróbálják megkönnyíteni az életüket. Az eszközök hiánya és a fekete kalapok dolgának megnehezítése az ismeretlenségen keresztüli biztonságra támaszkodik. Ezt a koncepciót mélyen rosszallják a kriptográfia és általában a biztonsági világ nagy részében.

Felelősségteljes nyilvánosságra hozatal

Egy etikus hacker néha egy webhely böngészése vagy egy termék használata közben botlhat bele egy sebezhetőségbe. Ilyenkor jellemzően megpróbálják felelősségteljesen bejelenteni a jogos rendszertulajdonosnak. A legfontosabb ezek után az, hogy hogyan kezelik a helyzetet. Az etikus dolog az, hogy privát módon felfedjük a törvényes rendszertulajdonossal, hogy kijavíthassák a problémát és kioszthassák a szoftverjavítást.

Természetesen minden etikus hacker felelős azért is, hogy tájékoztassa az ilyen sérülékenység által érintett felhasználókat, hogy dönthessenek saját biztonságtudatos döntéseik mellett. Jellemzően a privát közzétételtől számított 90 napos időkeret megfelelő időnek tekinthető a javítás kidolgozására és közzétételére. Bár a hosszabbítás megadható, ha egy kicsit több időre van szükség, ez nem feltétlenül történik meg.

Még ha nem is érhető el javítás, etikus lehet a problémát nyilvánosan részletezni. Ez azonban azt feltételezi, hogy az etikus hacker megpróbálta felelősségteljesen felfedni a problémát, és általában megpróbálja tájékoztatni a normál felhasználókat, hogy megvédhessék magukat. Bár egyes sebezhetőségek részletesen kifejthetők a koncepciós kihasználások működőképes bizonyításával, ez gyakran nem történik meg, ha még nem érhető el javítás.

Bár ez nem hangzik teljesen etikusnak, végső soron a felhasználó számára előnyös. Az egyik forgatókönyv szerint a vállalat kellő nyomás alatt van ahhoz, hogy időben meghozza a javítást. A felhasználók frissíthetnek egy rögzített verzióra, vagy legalábbis alkalmazhatnak egy kerülő megoldást. Az alternatíva az, hogy a vállalat nem tud azonnal javítani egy súlyos biztonsági problémát. Ebben az esetben a felhasználó megalapozott döntést hozhat a termék további használatáról.

Következtetés

Az etikus hacker olyan hacker, aki a törvényi korlátokon belül cselekszik. Általában a törvényes rendszertulajdonos szerzõdést köt vagy más módon engedélyt ad a rendszer feltörésére. Ez azzal a feltétellel történik, hogy az etikus hacker felelősségteljesen jelenti az azonosított problémákat a rendszer jogos tulajdonosának, hogy azokat kijavíthassák. Az etikus hackelés arra épül, hogy „állítsd be a tolvajt, hogy elkapjon egy tolvajt”. Az etikus hackerek tudásának felhasználásával megoldhatja azokat a problémákat, amelyeket a feketekalapos hackerek kihasználhattak. Az etikus hackereket fehér kalapos hackereknek is nevezik. Bizonyos körülmények között más kifejezések is használhatók, például a „pentesters” szakemberek felvételére.


Merevlemez klónozása

Merevlemez klónozása

A modern digitális korban, ahol az adatok értékes eszközök, a merevlemez klónozása Windows rendszeren sokak számára döntő fontosságú folyamat lehet. Ez az átfogó útmutató

Hogyan javítható a WUDFRd illesztőprogram betöltése a Windows 10 rendszeren?

Hogyan javítható a WUDFRd illesztőprogram betöltése a Windows 10 rendszeren?

A számítógép indításakor a hibaüzenet azt jelzi, hogy nem sikerült betölteni a WUDFRd illesztőprogramot a számítógépére?

Az NVIDIA GeForce Experience hibakód 0x0003 kijavítása

Az NVIDIA GeForce Experience hibakód 0x0003 kijavítása

Az NVIDIA GeForce tapasztalati hibakód 0x0003 az asztalon? Ha igen, olvassa el a blogot, hogy megtudja, hogyan javíthatja ki ezt a hibát gyorsan és egyszerűen.

Mi az SMPS?

Mi az SMPS?

Mielőtt SMPS-t választana számítógépéhez, ismerje meg, mi az SMPS és mit jelent a különböző hatékonysági besorolások.

Miért nem kapcsol be a Chromebookom?

Miért nem kapcsol be a Chromebookom?

Válaszokat kaphat a következő kérdésre: Miért nem kapcsol be a Chromebookom? Ebben a Chromebook-felhasználóknak szóló hasznos útmutatóban.

Az adathalász csalások bejelentése a Google-nak

Az adathalász csalások bejelentése a Google-nak

Ebből az útmutatóból megtudhatja, hogyan jelentheti be a csalókat a Google-nak, hogy megakadályozza, hogy átverjenek másokat.

A Roomba megáll, kiáll és megfordul – Javítás

A Roomba megáll, kiáll és megfordul – Javítás

Javítsa ki azt a problémát, amikor a Roomba robotporszívója leáll, beragad, és folyamatosan megfordul.

Grafikai beállítások módosítása a Steam Decken

Grafikai beállítások módosítása a Steam Decken

A Steam Deck robusztus és sokoldalú játékélményt kínál az Ön keze ügyében. Azonban a játék optimalizálása és a lehető legjobb biztosítása érdekében

Mi az elszigetelésen alapuló biztonság?

Mi az elszigetelésen alapuló biztonság?

Egy olyan témában készültek elmélyülni, amely egyre fontosabbá válik a kiberbiztonság világában: az elszigeteltségen alapuló biztonsággal. Ez a megközelítés a

Az Auto Clicker használata Chromebookhoz

Az Auto Clicker használata Chromebookhoz

Ma egy olyan eszközzel készültünk, amely képes automatizálni az ismétlődő kattintási feladatokat a Chromebookon: az Automatikus klikkelőt. Ezzel az eszközzel időt takaríthat meg és