Hvað er siðferðilegur tölvuþrjótur?

Það er auðvelt að hafa þá einföldu skoðun að allir tölvuþrjótar séu vondir til að valda gagnabrotum og beita lausnarhugbúnaði. Þetta er samt ekki satt. Það er fullt af illmenni tölvuþrjótum þarna úti. Sumir tölvuþrjótar nota hæfileika sína á siðferðilegan og löglegan hátt. „Siðferðilegur tölvuþrjótur“ er tölvuþrjótur sem hakkar sig innan verksviðs lagalegs samnings við lögmætan kerfiseiganda.

Ábending: Eins og andstæðan við svarta hatthakkara er siðferðilegur tölvuþrjótur oft kallaður hvítur hatthakkari.

Kjarninn í þessu er skilningur á því hvað gerir reiðhestur ólöglegt. Þó að það séu afbrigði um allan heim, snýst flest lög um tölvuþrjót niður í "það er ólöglegt að fá aðgang að kerfi ef þú hefur ekki leyfi til þess." Hugmyndin er einföld. Raunverulegar reiðhestur aðgerðir eru ekki ólöglegar; það er bara að gera það án leyfis. En það þýðir að hægt er að veita leyfi til að leyfa þér að gera eitthvað sem annars væri ólöglegt.

Þetta leyfi getur ekki bara komið frá hvaða handahófi sem er á götunni eða á netinu. Það getur ekki einu sinni komið frá stjórnvöldum ( þó að leyniþjónustustofnanir starfi undir aðeins öðrum reglum ). Leyfi þarf að vera veitt af lögmætum kerfiseiganda.

Ábending: Svo það sé á hreinu, þá vísar „lögmætur kerfiseigandi“ ekki endilega til manneskjunnar sem keypti kerfið. Það vísar til einhvers sem ber lagalega ábyrgð að segja; þetta er allt í lagi hjá þér. Venjulega mun þetta vera CISO, forstjóri eða stjórn, þó að getu til að veita leyfi er einnig hægt að framselja neðar í keðjunni.

Þó að leyfi gæti einfaldlega verið gefið munnlega er þetta aldrei gert. Þar sem sá eða fyrirtækið sem framkvæmir prófið væri lagalega ábyrgt fyrir því að prófa það sem þeir eiga ekki að gera, þarf skriflegur samningur.

Umfang aðgerða

Ekki er hægt að ofmeta mikilvægi samningsins. Það er það eina sem veitir innbrotsaðgerðum siðferðilegra tölvuþrjóta lögmæti. Samningsstyrkurinn veitir skaðabætur fyrir tilgreindar aðgerðir og gegn tilgreindum markmiðum. Sem slíkur er nauðsynlegt að skilja samninginn og hvað hann tekur til, þar sem að fara út fyrir gildissvið samningsins þýðir að fara út fyrir gildissvið lagabótanna og brjóta lög.

Ef siðferðilegur tölvuþrjótur villast út fyrir gildissvið samningsins, er hann að reka lagalegan streng. Allt sem þeir gera er tæknilega ólöglegt. Í mörgum tilfellum væri slíkt skref tilviljun og fljótt gripið sjálft. Þegar það er meðhöndlað á viðeigandi hátt getur þetta ekki endilega verið vandamál, en það gæti verið það, allt eftir aðstæðum.

Samningurinn sem boðið er upp á þarf ekki endilega að vera sérsniðinn. Sum fyrirtæki bjóða upp á villufé. Þetta felur í sér að birta opinn samning, sem gerir hverjum sem er kleift að reyna að hakka kerfið sitt á siðferðilegan hátt, svo framarlega sem þeir fara eftir tilgreindum reglum og tilkynna hvaða vandamál sem þeir finna. Tilkynningarvandamál, í þessu tilfelli, eru venjulega verðlaunuð fjárhagslega.

Tegundir siðferðilegrar reiðhestur

Hið staðlaða form siðferðilegrar reiðhestur er „penetrationsprófið“ eða pentest. Þetta er þar sem einn eða fleiri siðferðilegir tölvuþrjótar eru ráðnir til að reyna að komast inn í öryggisvarnir kerfis. Þegar þátttöku er lokið tilkynna siðferðisþrjótarnir, kallaðir pentesters í þessu hlutverki, niðurstöður sínar til viðskiptavinarins. Viðskiptavinurinn getur notað upplýsingarnar í skýrslunni til að laga tilgreinda veikleika. Þó að hægt sé að vinna einstaklings- og samningsvinnu, eru margir peneters innri auðlindir fyrirtækisins, eða sérhæfð pentesting fyrirtæki eru ráðin.

Ábending: Það er „pennaprófun“ ekki „pennaprófun“. Skarpprófari prófar ekki penna.

Í sumum tilfellum er ekki nóg að prófa hvort eitt eða fleiri forrit eða netkerfi séu örugg. Í þessu tilviki er hægt að gera ítarlegri prófanir. Ástundun rauðra teyma felur venjulega í sér að prófa mun fjölbreyttari öryggisráðstafanir. Aðgerðir geta falið í sér að framkvæma phishing æfingar gegn starfsmönnum, reyna að sníða þig inn í byggingu eða jafnvel brjótast inn líkamlega. Þó að hver æfing rauðra liða sé breytileg, er hugmyndin venjulega miklu meira „svo hvað ef“ próf í versta falli . Í samræmi við línuna „þetta vefforrit er öruggt, en hvað ef einhver gengur bara inn í netþjónaherbergið og tekur harða diskinn með öllum gögnum á honum.

Nánast öll öryggisvandamál sem hægt er að nota til að skaða fyrirtæki eða kerfi eru fræðilega opin fyrir siðferðilegu reiðhestur. Þetta gerir ráð fyrir að kerfiseigandi veiti leyfi og að hann sé tilbúinn að greiða fyrir það.

Að gefa vondum hlutum?

Siðferðilegir tölvuþrjótar skrifa, nota og deila hakkaverkfærum til að gera líf þeirra auðveldara. Það er sanngjarnt að efast um siðferði þessa, þar sem svartir hattar gætu notað þessi tæki til að valda meiri eyðileggingu. Raunhæft þó, það er fullkomlega sanngjarnt að gera ráð fyrir að árásarmennirnir hafi nú þegar þessi verkfæri, eða að minnsta kosti eitthvað í líkingu við þau, þar sem þeir reyna að gera líf sitt auðveldara. Að hafa ekki verkfæri og reyna að gera svarta hatta erfiðara er að treysta á öryggi í gegnum myrkur. Þetta hugtak er mjög illa séð í dulmáli og flestum öryggisheiminum almennt.

Ábyrg upplýsingagjöf

Siðferðilegur tölvuþrjótur getur stundum rekist á veikleika þegar hann vafrar á vefsíðu eða notar vöru. Í þessu tilviki reyna þeir venjulega að tilkynna það á ábyrgan hátt til lögmætra kerfiseiganda. Lykilatriðið eftir það er hvernig farið er með ástandið. Það siðferðilega sem þarf að gera er að láta lögmætum kerfiseiganda það í einkaskilaboðum til að leyfa þeim að laga vandamálið og dreifa hugbúnaðarplástri.

Auðvitað er hvaða siðferðilegi tölvuþrjótur líka ábyrgur fyrir því að upplýsa notendur sem verða fyrir áhrifum af slíkum varnarleysi svo þeir geti valið að taka eigin öryggismeðvitaðar ákvarðanir. Venjulega er litið á tímaramma 90 daga frá birtingu einkaaðila sem hæfilegan tíma til að þróa og birta lagfæringu. Þó að hægt sé að veita framlengingu ef aðeins meiri tíma þarf, þá er þetta ekki endilega gert.

Jafnvel þótt lagfæring sé ekki tiltæk getur það verið siðferðilegt að gera grein fyrir málinu opinberlega. Þetta gerir hins vegar ráð fyrir að siðferðisþrjóturinn hafi reynt að upplýsa málið á ábyrgan hátt og almennt að þeir séu að reyna að upplýsa venjulega notendur svo þeir geti verndað sig. Þó að sumir veikleikar kunni að vera ítarlegir með sönnun fyrir hagnýtingu hugmynda, er þetta oft ekki gert ef lagfæring er ekki tiltæk ennþá.

Þó að þetta hljómi kannski ekki alveg siðferðilegt, kemur það notandanum á endanum til góða. Í einni atburðarás er fyrirtækið undir nægum þrýstingi til að skila tímanlegri lagfæringu. Notendur geta uppfært í fasta útgáfu eða að minnsta kosti innleitt lausn. Valkosturinn er sá að fyrirtækið getur ekki sett upp lagfæringu fyrir alvarlegt öryggisvandamál tafarlaust. Í þessu tilviki getur notandinn tekið upplýsta ákvörðun um að halda áfram að nota vöruna.

Niðurstaða

Siðferðilegur tölvuþrjótur er tölvuþrjótur sem starfar innan takmarkana laganna. Venjulega eru þeir samningsbundnir eða á annan hátt veitt leyfi frá lögmætum kerfiseiganda til að hakka kerfi. Þetta er gert með þeim fyrirvara að siðferðilegi tölvuþrjóturinn muni tilkynna vandamálin sem tilgreind eru á ábyrgan hátt til lögmætra kerfiseiganda svo hægt sé að laga þau. Siðferðileg reiðhestur byggist á því að „setja þjóf til að ná þjófi“. Með því að nota þekkingu siðferðilegra tölvuþrjóta geturðu leyst vandamálin sem svarthattahattarar gætu hafa nýtt sér. Siðferðilegir tölvuþrjótar eru einnig nefndir hvítir hattar tölvuþrjótar. Önnur hugtök geta einnig verið notuð við ákveðnar aðstæður, svo sem „pentesters“ til að ráða fagfólk.