Що таке етичний хакер?

Легко мати просте уявлення про те, що всі хакери — погані хлопці, які спричиняють витік даних і розгортають програми-вимагачі. Однак це неправда. Існує багато хакерів-поганих хлопців. Деякі хакери використовують свої навички етично та законно. «Етичний хакер» — це хакер, який здійснює злам у рамках юридичної угоди з законним власником системи.

Порада: як протилежність хакеру в чорному капелюсі , етичного хакера часто називають хакером у білому капелюсі.

Основою цього є розуміння того, що робить хакерство незаконним. Хоча в усьому світі існують відмінності, більшість законів про хакерство зводяться до того, що «отримувати доступ до системи, якщо у вас немає на це дозволу, є незаконним». Концепція проста. Фактичні хакерські дії не є незаконними; він просто робить це без дозволу. Але це означає, що дозвіл може бути наданий, щоб дозволити вам робити щось, що інакше було б незаконним.

Цей дозвіл не може надійти від будь-якої випадкової людини на вулиці чи в Інтернеті. Він навіть не може надходити від уряду ( хоча спецслужби діють за дещо іншими правилами ). Дозвіл має надати законний власник системи.

Порада: щоб було зрозуміло, «законний власник системи» не обов’язково стосується особи, яка придбала систему. Це відноситься до того, хто законно має юридичну відповідальність сказати; це нормально для вас. Зазвичай це буде CISO, генеральний директор або правління, хоча право надавати дозвіл також можна делегувати далі по ланцюжку.

Хоча дозвіл можна просто надати усно, цього ніколи не робиться. Оскільки особа або компанія, яка виконує тестування, буде нести юридичну відповідальність за тестування того, що вони не повинні робити, потрібен письмовий договір.

Обсяг дій

Важливість контракту неможливо переоцінити. Це єдине, що забезпечує законність хакерських дій етичного хакера. Грант за контрактом забезпечує відшкодування за вказані дії та проти зазначених цілей. Таким чином, дуже важливо розуміти контракт і те, що він охоплює, оскільки вихід за рамки контракту означає вихід за рамки юридичної компенсації та порушення закону.

Якщо етичний хакер виходить за рамки контракту, він працює на законній основі. Усе, що вони роблять, є технічно незаконним. У багатьох випадках такий крок був би випадковим і швидко зловмисним. За належного поводження це не обов’язково може бути проблемою, але, залежно від ситуації, вона точно може бути.

Запропонований контракт не обов’язково має бути спеціально розроблений. Деякі компанії пропонують винагороду за помилку. Це передбачає публікацію відкритого контракту, що дозволяє будь-кому намагатися етично зламати їхню систему, доки вони грають за визначеними правилами та повідомляють про будь-яку виявлену проблему. Проблеми зі звітністю в цьому випадку зазвичай винагороджуються фінансово.

Типи етичного хакерства

Стандартною формою етичного хакерства є «тест на проникнення» або пентест. Тут залучаються один або кілька етичних хакерів, щоб спробувати проникнути в захист системи. Після завершення взаємодії етичні хакери, які в цій ролі називають пентестерами, повідомляють про свої висновки клієнту. Клієнт може використовувати деталі у звіті для усунення виявлених вразливостей. Хоча можна виконувати індивідуальну роботу та роботу за контрактом, багато пентестерів є внутрішніми ресурсами компанії або наймаються спеціалізовані фірми з тестування.

Порада. Це «перевірка», а не «перевірка». Тестер на проникнення не перевіряє ручки.

У деяких випадках недостатньо перевірити захищеність однієї чи кількох програм чи мереж. У цьому випадку можуть бути проведені більш глибокі тести. Взаємодія з червоною командою зазвичай передбачає тестування значно ширшого спектру заходів безпеки. Дії можуть включати виконання вправ проти співробітників, спробу соціальної інженерії проникнути в будівлю або навіть фізичний вторгнення. Хоча кожна вправа червоної команди різна, концепція зазвичай більше нагадує тест у найгіршому випадку «то що, якщо». . За словами «ця веб-програма безпечна, але що, якщо хтось просто зайде в серверну кімнату і забере жорсткий диск з усіма даними на ньому».

Практично будь-яка проблема безпеки, яка може бути використана для шкоди компанії або системі, теоретично відкрита для етичного злому. Це припускає, що власник системи надає дозвіл, однак, і що він готовий заплатити за це.

Дарувати речі поганим хлопцям?

Етичні хакери пишуть, використовують і діляться інструментами злому, щоб полегшити собі життя. Справедливо поставити під сумнів етику цього, оскільки чорні капелюхи можуть кооптувати ці інструменти, щоб сіяти більше хаосу. Реалістично, однак, цілком розумно припустити, що зловмисники вже мають ці інструменти або принаймні щось подібне, оскільки вони намагаються полегшити собі життя. Відсутність інструментів і спроба ускладнити роботу чорних капелюхів означає покладатися на безпеку через невідомість. Ця концепція глибоко негативно сприймається в криптографії та більшій частині світу безпеки загалом.

Відповідальне розкриття інформації

Етичний хакер іноді може натрапити на вразливість під час перегляду веб-сайту або використання продукту. У цьому випадку вони зазвичай намагаються відповідально повідомити про це законного власника системи. Ключовим після цього є те, як впоратися з ситуацією. Етично, що потрібно зробити, це приватно розкрити це законному власнику системи, щоб він міг вирішити проблему та розповсюдити виправлення програмного забезпечення.

Звичайно, будь-який етичний хакер також несе відповідальність за інформування користувачів, які постраждали від такої вразливості, щоб вони могли прийняти власні рішення з точки зору безпеки. Як правило, 90 днів із моменту приватного розголошення розглядається як належний час для розробки та публікації виправлення. Хоча продовження можна надати, якщо потрібно трохи більше часу, це робити не обов’язково.

Навіть якщо виправлення недоступне, було б етично публічно описати проблему. Це, однак, припускає, що етичний хакер намагався відповідально розкрити проблему та, як правило, намагався поінформувати звичайних користувачів, щоб вони могли захистити себе. Хоча деякі вразливості можуть бути детально описані з робочим доказом концептуальних експлойтів, це часто не робиться, якщо виправлення ще не доступне.

Хоча це може звучати не зовсім етично, зрештою це приносить користь користувачеві. За одним із сценаріїв компанія відчуває достатній тиск, щоб вчасно виправити проблему. Користувачі можуть оновити до виправленої версії або принаймні застосувати обхідний шлях. Альтернативою є те, що компанія не може негайно розгорнути виправлення серйозної проблеми безпеки. У цьому випадку користувач може прийняти зважене рішення про продовження використання продукту.

Висновок

Етичний хакер — це хакер, який діє в рамках обмежень закону. Як правило, законний власник системи укладає контракт або іншим чином отримує дозвіл на злом системи. Це робиться за умови, що етичний хакер відповідально повідомить про виявлені проблеми законному власнику системи, щоб їх можна було виправити. Етичне хакерство побудовано на принципі «налаштуй злодія, щоб зловити злодія». Використовуючи знання етичних хакерів, ви можете вирішити проблеми, якими могли скористатися хакери «чорних капелюхів». Етичних хакерів також називають хакерами білих капелюхів. Інші терміни також можуть використовуватися за певних обставин, наприклад «pentesters» для найму професіоналів.


Leave a Comment

Як додати принтер до Windows 10

Як додати принтер до Windows 10

Додавання принтера до Windows 10 просте, хоча процес для дротових пристроїв відрізнятиметься від процесу для бездротових пристроїв.

Як перевірити оперативну память та перевірити помилки оперативної памяті на вашому компютері з найвищим рівнем точності

Як перевірити оперативну память та перевірити помилки оперативної памяті на вашому компютері з найвищим рівнем точності

Як відомо, оперативна пам'ять є дуже важливою апаратною частиною комп'ютера, яка виконує функцію пам'яті для обробки даних і є фактором, що визначає швидкість роботи ноутбука або ПК. У статті нижче WebTech360 ознайомить вас із деякими способами перевірки помилок оперативної пам'яті за допомогою програмного забезпечення у Windows.

Виправте, що AirPods не працюють із Zoom на Mac

Виправте, що AirPods не працюють із Zoom на Mac

Дізнайтеся, як виправити проблему підключення AirPods до Zoom на Mac за допомогою простих рішення.

Як клонувати жорсткий диск

Як клонувати жорсткий диск

У сучасну цифрову епоху, коли дані є цінним активом, клонування жорсткого диска в Windows може бути вирішальним процесом для багатьох. Цей вичерпний посібник

Як виправити помилку завантаження драйвера WUDFRd у Windows 10?

Як виправити помилку завантаження драйвера WUDFRd у Windows 10?

Ви стикаєтеся з повідомленням про помилку під час завантаження комп’ютера, у якому йдеться про те, що драйвер WUDFRd не вдалося завантажити на ваш комп’ютер?

Як виправити код помилки NVIDIA GeForce Experience 0x0003

Як виправити код помилки NVIDIA GeForce Experience 0x0003

Ви відчуваєте код помилки NVIDIA GeForce 0x0003 на робочому столі? Якщо так, прочитайте блог, щоб дізнатися, як швидко та легко виправити цю помилку.

Що таке SMPS?

Що таке SMPS?

Перш ніж вибрати SMPS для свого комп’ютера, дізнайтеся, що таке SMPS і значення різних показників ефективності.

Чому мій Chromebook не вмикається

Чому мій Chromebook не вмикається

Отримайте відповіді на запитання «Чому мій Chromebook не вмикається?» У цьому корисному посібнику для користувачів Chromebook.

Як повідомити Google про фішинг

Як повідомити Google про фішинг

Дізнайтеся, як повідомити про шахрая в Google, щоб запобігти йому обманювати інших за допомогою цього посібника.

Roomba зупиняється, залипає та розвертається – виправлення

Roomba зупиняється, залипає та розвертається – виправлення

Вирішіть проблему, коли ваш робот-пилосос Roomba зупиняється, залипає та продовжує обертатися.