Белая шляпа (компьютерная безопасность)
Часть серии о |
Компьютерный взлом |
---|
( Белая шляпа или белый хакер , белая шляпа ) — это хакер этической безопасности . [ 1 ] [ 2 ] Этический взлом — это термин, подразумевающий более широкую категорию, чем просто тестирование на проникновение. [ 3 ] [ 4 ] С согласия владельца хакеры «белой шляпы» стремятся выявить любые уязвимости или проблемы безопасности, которые есть в текущей системе. [ 5 ] Белая шляпа контрастирует с черной шляпой злонамеренного хакера; Эта дихотомия определений пришла из западных фильмов , где героические и антагонистические ковбои традиционно носили белую и черную шляпу соответственно . [ 6 ] Существует третий тип хакеров, известный как « серая шляпа» , который взламывает с благими намерениями, но иногда без разрешения. [ 7 ]
Хакеры в белых шляпах также могут работать в командах, называемых « кроссовками и/или хакерскими клубами ». [ 8 ] красные команды или команды тигров . [ 9 ]
История
[ редактировать ]Одним из первых случаев использования этического взлома была «оценка безопасности», проведенная ВВС США , в ходе которой операционные системы Multics были проверены на «потенциальное использование в качестве двухуровневой (секретной/совершенно секретной) системы. " Оценка показала, что, хотя Multics была «значительно лучше, чем другие традиционные системы», она также имела «… уязвимости в аппаратной безопасности, безопасности программного обеспечения и процедурной безопасности», которые можно было обнаружить с «относительно небольшими усилиями». [ 10 ] Авторы проводили свои тесты, руководствуясь принципом реализма, поэтому их результаты точно отражают виды доступа, которые потенциально может получить злоумышленник. Они проводили тесты, включающие простые упражнения по сбору информации, а также прямые атаки на систему, которые могли повредить ее целостность; оба результата представляли интерес для целевой аудитории. Есть еще несколько несекретных отчетов, описывающих этическую хакерскую деятельность в армии США .
К 1981 году газета New York Times описала деятельность белых как часть «озорной, но извращенно позитивной« хакерской »традиции». Когда сотрудник National CSS сообщил о существовании своей программы для взлома паролей , которую он использовал в учетных записях клиентов, компания отчитала его не за написание программного обеспечения, а за то, что он не раскрыл его раньше. В письме с выговором говорилось: «Компания осознает преимущества NCSS и поощряет усилия сотрудников по выявлению слабых мест в безопасности вице-президента, каталога и другого конфиденциального программного обеспечения в файлах». [ 11 ]
20 октября 2016 года Министерство обороны (DOD) объявило о « Взломании Пентагона ». [ 12 ] [ 13 ]
Идею применить эту тактику этического взлома для оценки безопасности систем и выявления уязвимостей сформулировали Дэн Фармер и Витсе Венема . Чтобы повысить общий уровень безопасности в Интернете и интранетах , они начали описывать, как им удалось собрать достаточно информации о своих целях, чтобы иметь возможность поставить под угрозу безопасность, если бы они решили это сделать. Они привели несколько конкретных примеров того, как эту информацию можно собрать и использовать для получения контроля над целью и как можно предотвратить такую атаку. Они собрали все инструменты, которыми пользовались во время работы, упаковали их в одно простое в использовании приложение и раздали всем, кто захотел его загрузить. Их программа под названием Инструмент администратора безопасности для анализа сетей , или SATAN, в 1992 году была встречена большим вниманием средств массовой информации во всем мире. [ 9 ]
Тактика
[ редактировать ]В то время как тестирование на проникновение концентрируется на атаке на программное обеспечение и компьютерные системы с самого начала — например, на сканировании портов, изучении известных дефектов в протоколах и приложениях, работающих в системе, а также на установке исправлений — этический взлом может включать в себя и другие вещи. Полномасштабный этический взлом может включать в себя отправку сотрудникам электронной почты с просьбой предоставить данные пароля, рыться в мусорных баках руководителей, обычно без ведома и согласия жертв. Знают только владельцы, генеральные директора и члены совета директоров (заинтересованные стороны), которые запросили такую проверку безопасности такого масштаба. Чтобы попытаться воспроизвести некоторые разрушительные методы, которые может использовать реальная атака, этические хакеры могут организовать клонирование тестовых систем или организовать взлом поздно ночью, когда системы менее критичны. [ 14 ] В большинстве последних случаев эти хаки сохраняются в долгосрочной перспективе (дни, если не недели, длительного проникновения людей в организацию). Некоторые примеры включают оставление USB- накопителей/флэш-накопителей со скрытым программным обеспечением автозапуска в общедоступном месте, как если бы кто-то потерял небольшой диск, а ничего не подозревающий сотрудник нашел его и забрал.
Некоторые другие методы их выполнения включают в себя:
- Экспертиза дисков и памяти
- DoS-атаки
- Такие рамки, как:
- Сетевая безопасность
- Реверс-инжиниринг
- Сканеры безопасности, такие как:
- Тактики социальной инженерии, такие как:
- Фишинг
- предлог
- Учебные платформы
- Исследование уязвимостей
Выявленные методы используют известные уязвимости безопасности и пытаются обойти систему безопасности, чтобы проникнуть в охраняемые зоны. Они могут сделать это, скрывая «черные ходы» программного обеспечения и системы, которые можно использовать в качестве ссылки на информацию или доступ, к которым может стремиться неэтичный хакер, также известный как «черная шляпа» или «серая шляпа».
Законность
[ редактировать ]Бельгия
[ редактировать ]Бельгия легализовала хакинг в белых шляпах в феврале 2023 года. [ 15 ]
Китай
[ редактировать ]В июле 2021 года китайское правительство перешло от системы добровольной отчетности к системе, согласно которой все хакеры в белой шляпе по закону обязаны сначала сообщать правительству о любых уязвимостях, прежде чем предпринимать какие-либо дальнейшие шаги по устранению уязвимости или сообщать о ней общественности. [ 16 ] Комментаторы описали это изменение как создание «двойной цели», при которой деятельность «белых шляп» также служит спецслужбам страны. [ 16 ]
Великобритания
[ редактировать ]Струан Робертсон, директор по правовым вопросам Pinsent Masons LLP и редактор OUT-LAW.com, говорит: «Говоря в общих чертах, если доступ к системе разрешен, взлом является этическим и законным. Если это не так, то это преступление, предусмотренное Закон о несанкционированном доступе к компьютеру охватывает все: от подбора пароля до доступа к чьей-либо учетной записи веб-почты и взлома системы безопасности банка. Максимальное наказание за несанкционированный доступ к компьютеру составляет два года тюремного заключения и штраф. — до 10 лет лишения свободы — если хакер еще и модифицирует данные». Несанкционированный доступ даже с целью выявления уязвимостей в интересах многих противозаконен, говорит Робертсон. «В наших законах о хакерстве нет защиты от того, что ваше поведение служит всеобщему благу. Даже если вы верите в это». [ 4 ]
Работа
[ редактировать ]Примеры и перспективы в этой статье касаются главным образом Соединенных Штатов и не отражают мировую точку зрения на этот вопрос . ( июнь 2011 г. ) |
США Агентство национальной безопасности предлагает такие сертификаты, как CNSS 4011. Такая сертификация охватывает упорядоченные, этические методы взлома и управление командой. Команды-агрессоры называются «красными». Команды защитников называются «синими» командами. [ 8 ] Когда агентство набирало сотрудников в DEF CON в 2020 году, оно обещало кандидатам: «Если у вас в прошлом были, скажем так, неблагоразумные проступки , не беспокойтесь. Вы не должны автоматически предполагать, что вас не возьмут на работу». [ 17 ]
Хорошая «белая шляпа» — это конкурентоспособный квалифицированный сотрудник для предприятия, поскольку он может стать контрмерой для поиска ошибок и защиты сетевой среды предприятия. Таким образом, хорошая «белая шляпа» может принести неожиданные преимущества в снижении рисков в системах, приложениях и конечных точках предприятия. [ 18 ]
Недавние исследования показали, что хакеры в белой шляпе все чаще становятся важным аспектом защиты сети компании. Выходя за рамки простого тестирования на проникновение, хакеры в белой шляпе развивают и меняют свои навыки, поскольку угрозы также меняются. Их навыки теперь включают социальную инженерию , мобильные технологии и социальные сети . [ 19 ]
Известные люди
[ редактировать ]- Тамер Шахин (1981 г.р.), турецкий хакер в белой шляпе
См. также
[ редактировать ]Ссылки
[ редактировать ]- ^ «Что такое белая шляпа? — определение с сайта Whatis.com» . Searchsecurity.techtarget.com. Архивировано из оригинала 1 февраля 2011 г. Проверено 6 июня 2012 г.
- ^ Окпа, Джон Томпсон; Угвуоке, Кристофер Учечукву; Ая, Бенджамин Окори; Эшиосте, Эммануэль; Смерть, Джозеф Эгиди; Аджор, Хоум Джеймс; Окой, Офем, Дедушка; Этенг, Мэри Джуачи; Наман, Ребекка Гиниканва (5 сентября 2022 г.). «Киберпространство, хакерские атаки и экономическая устойчивость корпоративных организаций в штате Кросс-Ривер, Нигерия» . СЕЙДЖ Открыть . 10.1177 21582440221122739 дои : / . ISSN 2158-2440 . S2CID 252096635 .
{{cite journal}}
: CS1 maint: несколько имен: список авторов ( ссылка ) - ^ Уорд, Марк (14 сентября 1996 г.). «Диверсия в киберпространстве» . Новый учёный . 151 (2047). Архивировано из оригинала 13 января 2022 года . Проверено 28 марта 2018 г.
- ^ Перейти обратно: а б Найт, Уильям (16 октября 2009 г.). «Лицензия на взлом» . Инфобезопасность . 6 (6): 38–41. дои : 10.1016/s1742-6847(09)70019-9 . Архивировано из оригинала 9 января 2014 года . Проверено 19 июля 2014 г.
- ^ Филиол, Эрик; Меркальдо, Франческо; Сантоне, Антонелла (2021). «Метод автоматического тестирования на проникновение и смягчения последствий: подход Red Hat» . Procedia Информатика . 192 : 2039–2046. дои : 10.1016/j.procs.2021.08.210 . S2CID 244321685 .
- ^ Вильгельм, Томас; Андресс, Джейсон (2010). Ninja Hacking: нетрадиционные тактики и методы тестирования на проникновение . Эльзевир. стр. 26–7. ISBN 978-1-59749-589-9 .
- ^ «В чем разница между черными, белыми и серыми хакерами» . Нортон.com . Нортон Секьюрити. Архивировано из оригинала 15 января 2018 года . Проверено 2 октября 2018 г.
- ^ Перейти обратно: а б «Что такое белая шляпа?» . Secpoint.com. 20 марта 2012 г. Архивировано из оригинала 02 мая 2019 г. Проверено 6 июня 2012 г.
- ^ Перейти обратно: а б Палмер, CC (2001). «Этический хакинг» (PDF) . IBM Systems Journal . 40 (3): 769. doi : 10.1147/sj.403.0769 . Архивировано (PDF) из оригинала 02 мая 2019 г. Проверено 19 июля 2014 г.
- ^ Пол А. Каргер; Роджер Р. Шерр (июнь 1974 г.). MULTICS SECURITY EVALUATION: АНАЛИЗ УЯЗВИМОСТЕЙ (PDF) (Отчет). Архивировано (PDF) из оригинала 13 ноября 2017 года . Проверено 12 ноября 2017 г.
- ^ Маклеллан, Вин (26 июля 1981 г.). «Дело об украденном пароле» . Нью-Йорк Таймс . Архивировано из оригинала 07 марта 2016 г. Проверено 11 августа 2015 г.
- ^ «Министерство обороны объявляет о последующей инициативе «Взломай Пентагон»» . Министерство обороны США . Проверено 15 декабря 2023 г.
- ^ Перес, Наташа Бертран, Закари Коэн, Алекс Марквардт, Эван (13 апреля 2023 г.). «Утечка из Пентагона приводит к ограничению доступа к главным военным секретам | CNN Politics» . CNN . Архивировано из оригинала 15 декабря 2023 г. Проверено 15 декабря 2023 г.
{{cite web}}
: CS1 maint: несколько имен: список авторов ( ссылка ) - ^ Джастин Зейтц, Тим Арнольд (14 апреля 2021 г.). Black Hat Python, 2-е издание: Программирование на Python для хакеров и пентестеров . Нет крахмального пресса. ISBN 978-1-7185-0112-6 . Архивировано из оригинала 26 августа 2021 года . Проверено 30 августа 2021 г.
- ^ Дрекслер, Шарлотта Сомерс, Коэн Вранкарт, Лаура (3 мая 2023 г.). «Бельгия легализует этический хакерство: угроза или возможность для кибербезопасности?» . Блог СИТИП . Архивировано из оригинала 17 мая 2023 года . Проверено 7 мая 2023 г.
{{cite web}}
: CS1 maint: несколько имен: список авторов ( ссылка ) - ^ Перейти обратно: а б Брар, Аадил (18 января 2024 г.). «Китай формирует частную хакерскую армию для проверки иностранных правительств» . Newsweek . Архивировано из оригинала 20 января 2024 года . Проверено 20 января 2024 г.
- ^ «Вниманию участников DEF CON® 20» . Агентство национальной безопасности. 2012. Архивировано из оригинала 30 июля 2012 г.
- ^ Колдуэлл, Трейси (2011). «Этические хакеры: надеваем белую шляпу». Сетевая безопасность . 2011 (7): 10–13. дои : 10.1016/s1353-4858(11)70075-7 . ISSN 1353-4858 .
- ^ Колдуэлл, Трейси (1 июля 2011 г.). «Этические хакеры: надеваем белую шляпу» . Сетевая безопасность . 2011 (7): 10–13. дои : 10.1016/S1353-4858(11)70075-7 . ISSN 1353-4858 .