Jump to content

Белая шляпа (компьютерная безопасность)

(Перенаправлен от этического взлома )
Часть серии на
Компьютерный взлом
История
Хакерская культура и этика
Конференции
Компьютерное преступление
Хакерские инструменты
Тренировочные сайты
Вредоносное ПО
Компьютерная безопасность
Группа
Публикации

( Белая шляпа или хакер из белого хэта , Уайтхат )-это хакер по этике безопасности . [ 1 ] [ 2 ] Этическое взлом - это термин, предназначенный для более широкой категории, чем просто тестирование на проникновение. [ 3 ] [ 4 ] Согласно согласию владельца, хакеры белого цвета стремятся выявить любые уязвимости или проблемы безопасности, которые существует, которые есть в текущей системе. [ 5 ] Белая шляпа контрастирует с черной шляпой , злым хакером; Эта дихотомия определения поступает из западных фильмов , где героические и антагонистические ковбои могут традиционно носить белую и черную шляпу соответственно . [ 6 ] Есть третий вид хакера, известный как серая шляпа , которая взламывает с добрыми намерениями, но иногда без разрешения. [ 7 ]

Хакеры белого хэта могут также работать в командах под названием « Кроссовки и/или хакерские клубы », [ 8 ] Красные команды или тигровые команды . [ 9 ]

История

[ редактировать ]

Одним из первых случаев используемого этического взлома была «оценка безопасности», проведенную ВВС США , в которой операционные системы с несколькими мастерами были протестированы на «Потенциальное использование в качестве двухуровневой (секретной/составной) системы. " Оценка определила, что, хотя мультики были «значительно лучше, чем другие обычные системы», у нее также были «... уязвимости в области безопасности аппаратного обеспечения, безопасности программного обеспечения и процедурной безопасности», которые можно было бы раскрыть с «относительно низким уровнем усилий». [ 10 ] Авторы выполнили свои тесты в соответствии с руководством реализма, поэтому их результаты будут точно представлять, как может достичь злоумышленник. Они выполнили тесты, включающие простые упражнения по сбору информации, а также прямые атаки на систему, которые могут повредить ее целостности; Оба результата представляли интерес для целевой аудитории. Есть несколько других теперь неклассифицированных отчетов, описывающих этические хакерские мероприятия в военных США .

К 1981 году «Нью-Йорк Таймс» описала деятельность белого хэта как часть «озорной, но извращенной позитивной традиции». Когда национальный сотрудник CSS раскрыл существование своего взломщика паролей , которое он использовал на учетных записях клиентов, компания наказала его не за написание программного обеспечения, а за то, что он не раскрыл его раньше. В письме выговора говорится: «Компания осознает выгоду для NCSS и поощряет усилия сотрудников определять слабые стороны безопасности вице -президента, каталог и другое конфиденциальное программное обеспечение в файлах». [ 11 ]

20 октября 2016 года Министерство обороны (DOD) объявило « взломать Пентагон ». [ 12 ] [ 13 ]

Идея, направленная на то, чтобы принести эту тактику этического взлома для оценки безопасности систем и указания уязвимостей, была сформулирована Дэном Фармером и Wietse Venema . Чтобы повысить общий уровень безопасности в Интернете и интрасети , они приступили к описанию того, как они смогли собрать достаточно информации о своих целях, чтобы иметь возможность поставить под угрозу безопасность, если они решили это сделать. Они предоставили несколько конкретных примеров того, как эта информация может быть собрана и эксплуатирована, чтобы получить контроль над цели, и как такая атака может быть предотвращена. Они собрали все инструменты, которые они использовали во время своей работы, упаковали их в одно простое в использовании приложение и отдали их всем, кто решил его загрузить. Их программа под названием «Инструмент администратора безопасности» для анализа сети или сатаны была встречена с большим количеством внимания средств массовой информации по всему миру в 1992 году. [ 9 ]

Тактика

[ редактировать ]

В то время как тестирование на проникновение концентрируется на атакующем программном обеспечении и компьютерных системах от начала - сканирующие порты, изучение известных дефектов в протоколах и приложениях, работающих в системе, и установок исправлений, например, этическое взлом может включать другие вещи. Полномасштабный этический взлом мог бы включать в себя электронное письмо с персоналом, чтобы запросить данные пароля, разрываясь через исполнительные пыли, обычно без знаний и согласия целей. Знают только владельцы, генеральные директора и члены совета директоров (заинтересованные стороны), которые попросили такого обзора безопасности такого масштаба. Чтобы попытаться воспроизвести некоторые из разрушительных методов, которые может использовать реальная атака, этические хакеры могут организовать клонированные тестовые системы или организовать взлом поздно ночью, в то время как системы менее критичны. [ 14 ] В самых последних случаях эти взломы увековечиваются для долгосрочного мошенничества (дни, если не недели, долгосрочную инфильтрацию человека в организацию). Некоторые примеры включают в себя оставление дисков USB /Flash Key с скрытым программным обеспечением автоматического старта в общедоступной области, как если бы кто-то потерял небольшой диск, и ничего не подозревающий сотрудник нашла его и взял его.

Некоторые другие методы выполнения их включают:

Методы определили известные уязвимости безопасности и пытаются избежать безопасности, чтобы получить вступление в защищенные области. Они могут сделать это, скрывая программное обеспечение и систему «обратные действия», которые могут использоваться в качестве ссылки на информацию или доступ к тому, что неэтичный хакер, также известный как «черная шляпа» или «серая шляпа», может захотеть достичь.

Законность

[ редактировать ]

Бельгия

[ редактировать ]

Бельгия легализовала взлом белой шляпы в феврале 2023 года. [ 15 ]

Китай

[ редактировать ]

В июле 2021 года китайское правительство переехало от системы добровольных отчетов, чтобы на законных основаниях, чтобы все хакеры белой шляпы впервые сообщали о любых уязвимостях для правительства, прежде чем предпринять какие -либо дополнительные шаги для устранения уязвимости или сообщить об этом общественности. [ 16 ] Комментаторы описали изменение как создание «двойной цели», в которой деятельность белой шляпы также служит разведывательным агентствам страны. [ 16 ]

Великобритания

[ редактировать ]

Struan Robertson, юридический директор Pinsent Masons LLP, и редактор Out-waw.com говорит: «В широком смысле, если доступ к системе разрешен, взлом является этичным и законным. Если это не так, есть преступление под Закон о неправильном использовании компьютерного использования . - до 10 лет тюрьмы - когда хакер также изменяет данные ». По словам Робертсона, несанкционированный доступ даже для выявления уязвимостей в интересах многих не является законным. «В наших законах о взломе нет защиты, что ваше поведение для большего блага. Даже если вы верите, что это то, что вы верите». [ 4 ]

Работа

[ редактировать ]

США Агентство национальной безопасности предлагает такие сертификаты, как CNSS 4011. Такая сертификация охватывает упорядоченные, этические методы взлома и управление командой. Агрессорные команды называются «красными» командами. Команды защитников называются «синими» командами. [ 8 ] Когда агентство нанято в Def Con в 2020 году, оно обещало заявителей, что «если у вас есть несколько, скажем так, нельзя никаких значений в вашем прошлом, не волнуйтесь. Вы не должны автоматически предполагать, что вас не будут наняты». [ 17 ]

Хорошая «белая шляпа» является конкурентным умелым сотрудником для предприятия, поскольку они могут быть противоречивой, чтобы найти ошибки для защиты среды корпоративной сети. Таким образом, хорошая «белая шляпа» может принести неожиданные выгоды для снижения риска между системами, приложениями и конечными точками для предприятия. [ 18 ]

Недавние исследования показали, что хакеры белого хэта все чаще становятся важным аспектом защиты безопасности компании. Выходя за рамки простого тестирования на проникновение, хакеры белых шляп создают и меняют свои навыки, поскольку угрозы также меняются. В настоящее время их навыки включают социальную инженерию , мобильные технологии и социальные сети . [ 19 ]

Примечательные люди

[ редактировать ]
  • Тамер Шахин (родился в 1981 году), турецкий хакер из белой шляпы

Смотрите также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ «Что такое белая шляпа? - определение от whatis.com» . Searchsecurity.techtarget.com. Архивировано из оригинала 2011-02-01 . Получено 2012-06-06 .
  2. ^ Окпа, Джон Томпсон; Угвукке, Кристофер Уччукву; Аджа, Бенджамин Окори; Эсист, Эммануэль; Игбе, Джозеф Эгиди; Аджор, Огар Джеймс; Okoi, Ofem, Nnana; Этенг, Мэри Хуачи; Ннамани, Ребекка Джинанва (2022-09-05). «Киберпространство, хакерство черного хата и экономическая устойчивость корпоративных организаций в штате Кросс-Ривер, Нигерия » Мудрец открыт , 12 (3): 215824402211227. DOI : 10.1177/ 2158244022122739 ISSN   2158-2 S2CID   252096635 {{cite journal}}: Cs1 maint: несколько имен: список авторов ( ссылка )
  3. ^ Уорд, Марк (14 сентября 1996 г.). «Саботаж в киберпространстве» . Новый ученый . 151 (2047). Архивировано из оригинала 13 января 2022 года . Получено 28 марта 2018 года .
  4. ^ Jump up to: а беременный Найт, Уильям (16 октября 2009 г.). «Лицензия на взломать» . Инфекция . 6 (6): 38–41. doi : 10.1016/s1742-6847 (09) 70019-9 . Архивировано с оригинала 9 января 2014 года . Получено 19 июля 2014 года .
  5. ^ Филиол, Эрик; Меркальдо, Франческо; Сантоне, Антонелла (2021). «Метод автоматического тестирования и смягчения проникновения: подход к красной шляпе» . Продолжить компьютерную науку . 192 : 2039–2046. Doi : 10.1016/j.procs.2021.08.210 . S2CID   244321685 .
  6. ^ Вильгельм, Томас; Andress, Jason (2010). Взлом ниндзя: нетрадиционная тактика и методы тестирования проникновения . Elsevier. С. 26–7. ISBN  978-1-59749-589-9 .
  7. ^ «В чем разница между черными, белыми и серыми хакерами» . Norton.com . Нортон Безопасность. Архивировано из оригинала 15 января 2018 года . Получено 2 октября 2018 года .
  8. ^ Jump up to: а беременный "Что такое белая шляпа?" Полем Secpoint.com. 2012-03-20. Архивировано с оригинала 2019-05-02 . Получено 2012-06-06 .
  9. ^ Jump up to: а беременный Палмер, CC (2001). «Этическое взлом» (PDF) . IBM Systems Journal . 40 (3): 769. doi : 10.1147/sj.403.0769 . Архивировано (PDF) из оригинала 2019-05-02 . Получено 2014-07-19 .
  10. ^ Пол А. Каргер; Роджер Р. Шерр (июнь 1974 г.). Оценка безопасности с несколькими безопасностью: анализ уязвимости (PDF) (отчет). Архивировано (PDF) из оригинала 13 ноября 2017 года . Получено 12 ноября 2017 года .
  11. ^ McLellan, Vin (1981-07-26). «Случай с пугочным паролем» . New York Times . Архивировано с оригинала 2016-03-07 . Получено 11 августа 2015 года .
  12. ^ «DOD объявляет« взломать Пентагон »последующую инициативу» . Министерство обороны США . Получено 2023-12-15 .
  13. ^ Перес, Наташа Бертран, Захари Коэн, Алекс Марквардт, Эван (2023-04-13). «Утечка Пентагона приводит к ограничениям того, кто получает доступ к главным секретам военных | CNN Politics» . CNN . Архивировано из оригинала в 2023-12-15 . Получено 2023-12-15 . {{cite web}}: Cs1 maint: несколько имен: список авторов ( ссылка )
  14. ^ Джастин Сейц, Тим Арнольд (14 апреля 2021 года). Black Hat Python, 2 -е издание: программирование Python для хакеров и пентестеров . Нет прессы крахмала. ISBN  978-1-7185-0112-6 Полем Архивировано из оригинала 26 августа 2021 года . Получено 30 августа 2021 года .
  15. ^ Дрехслер, Шарлотта Сомерс, Коэн Вранкаерт, Лора (3 мая 2023 г.). «Бельгия легализует этический взлом: угроза или возможность для кибербезопасности?» Полем Блог Citip . Архивировано из оригинала 17 мая 2023 года . Получено 7 мая 2023 года . {{cite web}}: Cs1 maint: несколько имен: список авторов ( ссылка )
  16. ^ Jump up to: а беременный Брэр, Аадил (18 января 2024 г.). «Китай поднимает частную хакеровую армию, чтобы исследовать иностранные правительства» . Newsweek . Архивировано из оригинала 20 января 2024 года . Получено 20 января 2024 года .
  17. ^ «Внимание DEF Con® 20 участников» . Агентство национальной безопасности. 2012. Архивировано из оригинала 2012-07-30.
  18. ^ Caldwell, Tracey (2011). «Этические хакеры: надевать белую шляпу». Сетевая безопасность . 2011 (7): 10–13. doi : 10.1016/s1353-4858 (11) 70075-7 . ISSN   1353-4858 .
  19. ^ Caldwell, Tracey (2011-07-01). «Этические хакеры: надевать белую шляпу» . Сетевая безопасность . 2011 (7): 10–13. doi : 10.1016/s1353-4858 (11) 70075-7 . ISSN   1353-4858 .
Retrieved from "https://en.wikipedia.org/w/index.php?title=White_hat_(computer_security)&oldid=1246420187"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 80b41a9b93a046e1d3fcdfbcc93bc7df__1726682520
URL1:https://arc.ask3.ru/arc/aa/80/df/80b41a9b93a046e1d3fcdfbcc93bc7df.html
Заголовок, (Title) документа по адресу, URL1:
White hat (computer security) - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)