Kaj je etični heker?

Preprosto je imeti preprosto mnenje, da so vsi hekerji slabi fantje, ki povzročajo vdore v podatke in uvajajo izsiljevalsko programsko opremo. Vendar to ni res. Tam zunaj je veliko zlobnih hekerjev. Nekateri hekerji svoje sposobnosti uporabljajo etično in zakonito. »Etični heker« je heker, ki vdira v okviru zakonske pogodbe z zakonitim lastnikom sistema.

Namig: kot nasprotje hekerju s črnim klobukom se etični heker pogosto imenuje heker z belim klobukom.

Bistvo tega je razumevanje, zakaj je hekanje nezakonito. Čeprav obstajajo razlike po vsem svetu, se večina zakonov o hekerjih skrči na to, da je "nezakonit dostop do sistema, če za to nimate dovoljenja." Koncept je preprost. Dejanska hekerska dejanja niso nezakonita; to samo počne brez dovoljenja. Toda to pomeni, da se lahko izda dovoljenje, ki vam omogoča, da storite nekaj, kar bi bilo sicer nezakonito.

To dovoljenje ne more priti od katere koli naključne osebe na ulici ali na spletu. Ne more priti niti od vlade ( čeprav obveščevalne agencije delujejo po nekoliko drugačnih pravilih ). Dovoljenje mora dati zakoniti lastnik sistema.

Namig: Če želite biti jasni, se »legitimni lastnik sistema« ne nanaša nujno na osebo, ki je kupila sistem. Nanaša se na nekoga, ki ima zakonito pravno odgovornost povedati; to je v redu zate. Običajno bo to CISO, izvršni direktor ali upravni odbor, čeprav je možnost podelitve dovoljenja mogoče prenesti tudi nižje po verigi.

Medtem ko je dovoljenje lahko preprosto dano ustno, se to nikoli ne naredi. Ker bi bila oseba ali podjetje, ki izvaja test, pravno odgovorno za testiranje, česar ne bi smelo, je potrebna pisna pogodba.

Obseg ukrepov

Pomena pogodbe ni mogoče preceniti. To je edina stvar, ki hekerskim dejanjem etičnega hekerja zagotavlja zakonitost. Pogodbena nepovratna sredstva zagotavljajo nadomestilo za določene ukrepe in proti navedenim ciljem. Kot tako je bistvenega pomena razumeti pogodbo in kaj zajema, saj izstop iz obsega pogodbe pomeni izstop iz obsega zakonske odškodnine in kršitev zakona.

Če etični heker zaide izven obsega pogodbe, je v pravni vrvi. Vse, kar počnejo, je tehnično nezakonito. V mnogih primerih bi bil takšen korak naključen in bi se hitro zgodil sam. Ob ustreznem ravnanju to morda ni nujno težava, vendar je glede na situacijo zagotovo lahko.

Ni nujno, da je ponujena pogodba posebej prilagojena. Nekatera podjetja ponujajo shemo nagrad za hrošče. To vključuje objavo odprte pogodbe, ki omogoča vsakomur, da poskuša etično vdreti v njihov sistem, če igra po določenih pravilih in poroča o kakršni koli težavi, ki jo odkrije. Poročanje o težavah je v tem primeru običajno finančno nagrajeno.

Vrste etičnega hekanja

Standardna oblika etičnega hekanja je "penetracijski test" ali pentest. Tukaj sodeluje eden ali več etičnih hekerjev, ki poskušajo prodreti skozi varnostno zaščito sistema. Ko je sodelovanje končano, etični hekerji, ki se v tej vlogi imenujejo pentesterji, o svojih ugotovitvah poročajo stranki. Naročnik lahko uporabi podrobnosti v poročilu za odpravo ugotovljenih ranljivosti. Medtem ko je mogoče opraviti individualno in pogodbeno delo, so številni pentesterji notranji viri podjetja ali pa so najeta specializirana podjetja za pentestiranje.

Namig: gre za »pentesting« in ne za »pentesting«. Tester penetracije ne testira pisal.

V nekaterih primerih testiranje, ali je ena ali več aplikacij ali omrežij varnih, ni dovolj. V tem primeru se lahko izvedejo bolj poglobljeni testi. Sodelovanje rdeče ekipe običajno vključuje preizkušanje veliko širšega nabora varnostnih ukrepov. Dejanja lahko vključujejo izvajanje vaj z lažnim predstavljanjem proti zaposlenim, poskus družbenega inženiringa, da bi vstopili v zgradbo, ali celo fizični vdor. Medtem ko se vsaka vaja rdeče ekipe razlikuje, je koncept običajno bolj podoben testu v najslabšem primeru »pa kaj če« . V skladu z "ta spletna aplikacija je varna, a kaj, ko nekdo samo stopi v strežniško sobo in vzame trdi disk z vsemi podatki na njem."

Skoraj vsaka varnostna težava, ki bi jo lahko uporabili za škodo podjetju ali sistemu, je teoretično odprta za etično vdiranje. To predpostavlja, da lastnik sistema izda dovoljenje in da je za to pripravljen plačati.

Dajati stvari slabim fantom?

Etični hekerji pišejo, uporabljajo in delijo hekerska orodja, da si olajšajo življenje. Pošteno je dvomiti v etičnost tega, saj bi lahko črni klobuki izkoristili ta orodja, da bi povzročili več opustošenja. Realno pa je povsem razumno domnevati, da napadalci že imajo ta orodja ali vsaj nekaj podobnega, saj si skušajo olajšati življenje. Če nimate orodij in poskušate črnim klobukom otežiti delo, se zanašate na varnost prek nejasnosti. Ta koncept je v kriptografiji in večini varnostnega sveta na splošno močno zavrnjen.

Odgovorno razkritje

Etični heker lahko včasih naleti na ranljivost, ko brska po spletnem mestu ali uporablja izdelek. V tem primeru običajno poskušajo to odgovorno prijaviti zakonitemu lastniku sistema. Ključna stvar po tem je, kako se situacija obravnava. Etično je, da to zasebno razkrijete zakonitemu lastniku sistema, da mu omogočite, da odpravi težavo in razdeli programski popravek.

Seveda je vsak etični heker odgovoren tudi za obveščanje uporabnikov, ki jih je prizadela taka ranljivost, tako da se lahko odločijo za lastne odločitve, ki upoštevajo varnost. Običajno se časovni okvir 90 dni od zasebnega razkritja obravnava kot primeren čas za razvoj in objavo popravka. Čeprav je mogoče odobriti podaljšanja, če je potrebno malo več časa, to ni nujno storjeno.

Tudi če popravek ni na voljo, je lahko etično javno opisati težavo. To pa predpostavlja, da je etični heker poskušal odgovorno razkriti težavo in na splošno, da poskuša obvestiti običajne uporabnike, da se lahko zaščitijo. Medtem ko so nekatere ranljivosti morda podrobno opisane z delujočim dokazom koncepta izkoriščanja, se to pogosto ne naredi, če popravek še ni na voljo.

Čeprav se to morda ne sliši povsem etično, navsezadnje koristi uporabniku. Po enem scenariju je podjetje pod zadostnim pritiskom, da zagotovi pravočasno rešitev. Uporabniki lahko posodobijo na fiksno različico ali vsaj uvedejo rešitev. Druga možnost je, da podjetje ne more takoj uvesti popravka za resno varnostno težavo. V tem primeru se lahko uporabnik premišljeno odloči o nadaljnji uporabi izdelka.

Zaključek

Etični heker je heker, ki deluje v okviru omejitev zakona. Običajno jih zakoniti lastnik sistema sklene s pogodbo ali jim kako drugače podeli dovoljenje za vdor v sistem. To se naredi pod pogojem, da bo etični heker ugotovljene težave odgovorno prijavil zakonitemu lastniku sistema, tako da jih je mogoče popraviti. Etično vdiranje je zgrajeno na "nastavi tatu, da ujame tatu." Z uporabo znanja etičnih hekerjev lahko rešite težave, ki bi jih lahko črni hekerji izkoristili. Etični hekerji se imenujejo tudi beli hekerji. V določenih okoliščinah se lahko uporabljajo tudi drugi izrazi, na primer »pentesterji« za najem strokovnjakov.