stringtranslate.com

Белая шляпа (компьютерная безопасность)

Белая шляпа ( или белый хакер , белая шляпа ) — это хакер этической безопасности . [1] [2] Этический взлом — это термин, подразумевающий более широкую категорию, чем просто тестирование на проникновение. [3] [4] С согласия владельца хакеры «белой шляпы» стремятся выявить любые уязвимости или проблемы безопасности, которые есть в текущей системе. [5] Белая шляпа контрастирует с черной шляпой злонамеренного хакера; Эта дихотомия определений исходит из западных фильмов , где героические и антагонистические ковбои традиционно носят белую и черную шляпу соответственно . [6] Есть третий тип хакеров, известный как « серая шляпа» , который взламывает с благими намерениями, но иногда без разрешения. [7]

Хакеры в белых шляпах также могут работать в командах, называемых « клубами кроссовок и/или хакеров », [8] красными командами или командами тигров . [9]

История

Одним из первых случаев использования этического взлома была «оценка безопасности», проведенная ВВС США , в ходе которой операционные системы Multics были проверены на «потенциальное использование в качестве двухуровневой (секретной/совершенно секретной) системы. " Оценка показала, что, хотя Multics была «значительно лучше, чем другие традиционные системы», она также имела «… уязвимости в аппаратной безопасности, безопасности программного обеспечения и процедурной безопасности», которые можно было обнаружить с «относительно небольшими усилиями». [10] Авторы проводили свои тесты, руководствуясь принципом реалистичности, поэтому их результаты точно отражают виды доступа, которые потенциально может получить злоумышленник. Они проводили тесты, включающие простые упражнения по сбору информации, а также прямые атаки на систему, которые могли повредить ее целостность; оба результата представляли интерес для целевой аудитории. Есть еще несколько несекретных отчетов, описывающих этическую хакерскую деятельность в армии США .

К 1981 году газета New York Times описала деятельность белых как часть «озорной, но извращенно позитивной «хакерской» традиции». Когда сотрудник National CSS сообщил о существовании своей программы для взлома паролей , которую он использовал в учетных записях клиентов, компания отчитала его не за написание программного обеспечения, а за то, что он не раскрыл его раньше. В письме с выговором говорилось: «Компания осознает преимущества NCSS и поощряет усилия сотрудников по выявлению слабых мест в безопасности вице-президента, каталога и другого конфиденциального программного обеспечения в файлах». [11]

20 октября 2016 года Министерство обороны (DOD) объявило о «взломе Пентагона». [12] [13]

Идею применить эту тактику этического взлома для оценки безопасности систем и выявления уязвимостей сформулировали Дэн Фармер и Витсе Венема . Чтобы повысить общий уровень безопасности в Интернете и интранетах , они начали описывать, как им удалось собрать достаточно информации о своих целях, чтобы иметь возможность поставить под угрозу безопасность, если бы они решили это сделать. Они привели несколько конкретных примеров того, как можно собрать и использовать эту информацию для получения контроля над целью и как можно предотвратить такую ​​атаку. Они собрали все инструменты, которыми пользовались во время работы, упаковали их в одно простое в использовании приложение и раздали всем, кто захотел его загрузить. Их программа под названием « Инструмент администратора безопасности для анализа сетей» , или SATAN, в 1992 году была встречена большим вниманием средств массовой информации во всем мире. [9]

Тактика

В то время как тестирование на проникновение концентрируется на атаке на программное обеспечение и компьютерные системы с самого начала — например, на сканировании портов, изучении известных дефектов в протоколах и приложениях, работающих в системе, а также на установке исправлений — этический взлом может включать в себя и другие вещи. Полномасштабный этический взлом может включать в себя отправку сотрудникам электронной почты с просьбой предоставить данные пароля, рыться в мусорных баках руководителей, обычно без ведома и согласия жертв. Знают об этом только владельцы, генеральные директора и члены совета директоров (заинтересованные стороны), которые запросили такую ​​проверку безопасности такого масштаба. Чтобы попытаться воспроизвести некоторые разрушительные методы, которые может использовать реальная атака, этические хакеры могут организовать клонирование тестовых систем или организовать взлом поздно ночью, когда системы менее критичны. [14] В большинстве последних случаев эти хаки сохраняются в долгосрочной перспективе (дни, если не недели, длительного проникновения человека в организацию). Некоторые примеры включают оставление USB- накопителей/флэш-накопителей со скрытым программным обеспечением автозапуска в общедоступном месте, как если бы кто-то потерял небольшой диск, а ничего не подозревающий сотрудник нашел его и забрал.

Некоторые другие методы их выполнения включают в себя:

Выявленные методы используют известные уязвимости безопасности и пытаются обойти систему безопасности для проникновения в защищенные области. Они могут сделать это, скрывая «черные ходы» программного обеспечения и системы, которые можно использовать в качестве ссылки на информацию или доступ, к которым может стремиться неэтичный хакер, также известный как «черная шляпа» или «серая шляпа».

Законность

Бельгия

Бельгия легализовала хакинг в белых шляпах в феврале 2023 года. [15]

Китай

В июле 2021 года китайское правительство перешло от системы добровольной отчетности к системе, согласно которой все хакеры в белой шляпе по закону обязаны сначала сообщать правительству о любых уязвимостях, прежде чем предпринимать какие-либо дальнейшие шаги по устранению уязвимости или сообщать о ней общественности. [16] Комментаторы описали это изменение как создание «двойной цели», при которой деятельность «белых шляп» также служит спецслужбам страны. [16]

Великобритания

Струан Робертсон, директор по правовым вопросам Pinsent Masons LLP и редактор OUT-LAW.com, говорит: «Говоря в общих чертах, если доступ к системе разрешен, взлом является этическим и законным. Если это не так, то это преступление, предусмотренное Закон о несанкционированном доступе к компьютеру охватывает все: от подбора пароля до доступа к чьей-либо учетной записи веб-почты и взлома системы безопасности банка. Максимальное наказание за несанкционированный доступ к компьютеру составляет два года тюремного заключения и штраф. — до 10 лет лишения свободы — если хакер еще и модифицирует данные». Несанкционированный доступ даже с целью выявления уязвимостей в интересах многих противозаконен, говорит Робертсон. «В наших законах о хакерстве нет защиты от того, что ваше поведение служит всеобщему благу. Даже если вы верите в это». [4]

Работа

Агентство национальной безопасности США предлагает такие сертификаты, как CNSS 4011. Такая сертификация охватывает упорядоченные, этические методы взлома и управление командой. Команды-агрессоры называются «красными». Команды защитников называются «синими» командами. [8] Когда агентство набирало сотрудников на DEF CON в 2020 году, оно обещало кандидатам: «Если у вас есть, скажем так, неосмотрительные проступки в прошлом, не беспокойтесь. Вы не должны автоматически предполагать, что вы не будете наемный". [17]

Хорошая «белая шляпа» — это конкурентоспособный квалифицированный сотрудник для предприятия, поскольку он может стать контрмерой для поиска ошибок и защиты сетевой среды предприятия. Таким образом, хорошая «белая шляпа» может принести неожиданные преимущества в снижении рисков в системах, приложениях и конечных точках предприятия. [18]

Недавние исследования показали, что хакеры в белой шляпе все чаще становятся важным аспектом защиты сети компании. Выходя за рамки простого тестирования на проникновение, хакеры в белой шляпе развивают и меняют свои навыки, поскольку угрозы также меняются. Их навыки теперь включают социальную инженерию , мобильные технологии и социальные сети . [19]

Известные люди

Смотрите также

Рекомендации

  1. ^ «Что такое белая шляпа? - определение с Whatis.com» . Searchsecurity.techtarget.com. Архивировано из оригинала 1 февраля 2011 г. Проверено 6 июня 2012 г.
  2. ^ Окпа, Джон Томпсон; Угвуоке, Кристофер Учечукву; Ая, Бенджамин Окори; Эшиосте, Эммануэль; Игбе, Джозеф Эгиди; Аджор, Огар Джеймс; Окой, Офем, Ннана; Этенг, Мэри Джуачи; Ннамани, Ребекка Гиниканва (05 сентября 2022 г.). «Киберпространство, хакерские атаки и экономическая устойчивость корпоративных организаций в штате Кросс-Ривер, Нигерия». СЕЙДЖ Открыть . 12 (3): 215824402211227. doi : 10.1177/21582440221122739 . ISSN  2158-2440. S2CID  252096635.{{cite journal}}: CS1 maint: multiple names: authors list (link)
  3. Уорд, Марк (14 сентября 1996 г.). «Диверсия в киберпространстве». Новый учёный . 151 (2047). Архивировано из оригинала 13 января 2022 года . Проверено 28 марта 2018 г.
  4. ^ Аб Найт, Уильям (16 октября 2009 г.). «Лицензия на взлом». Инфобезопасность . 6 (6): 38–41. дои : 10.1016/s1742-6847(09)70019-9. Архивировано из оригинала 9 января 2014 года . Проверено 19 июля 2014 г.
  5. ^ Филиол, Эрик; Меркальдо, Франческо; Сантоне, Антонелла (2021). «Метод автоматического тестирования на проникновение и смягчения последствий: подход Red Hat». Procedia Информатика . 192 : 2039–2046. дои : 10.1016/j.procs.2021.08.210 . S2CID  244321685.
  6. ^ Вильгельм, Томас; Андресс, Джейсон (2010). Ninja Hacking: нетрадиционные тактики и методы тестирования на проникновение. Эльзевир. стр. 26–7. ISBN 978-1-59749-589-9.
  7. ^ «В чем разница между черными, белыми и серыми хакерами» . Нортон.com . Нортон Секьюрити. Архивировано из оригинала 15 января 2018 года . Проверено 2 октября 2018 г.
  8. ^ ab «Что такое белая шляпа?». Secpoint.com. 20 марта 2012 г. Архивировано из оригинала 2 мая 2019 г. Проверено 6 июня 2012 г.
  9. ^ Аб Палмер, CC (2001). «Этический хакинг» (PDF) . IBM Systems Journal . 40 (3): 769. doi :10.1147/sj.403.0769. Архивировано (PDF) из оригинала 2 мая 2019 г. Проверено 19 июля 2014 г.
  10. ^ Пол А. Каргер; Роджер Р. Шерр (июнь 1974 г.). MULTICS SECURITY EVALUATION: АНАЛИЗ УЯЗВИМОСТЕЙ (PDF) (Отчет). Архивировано (PDF) из оригинала 13 ноября 2017 года . Проверено 12 ноября 2017 г.
  11. ^ Маклеллан, Вин (26 июля 1981). «Дело об украденном пароле». Нью-Йорк Таймс . Архивировано из оригинала 07 марта 2016 г. Проверено 11 августа 2015 г.
  12. ^ «Министерство обороны объявляет о последующей инициативе «Взломать Пентагон»» . Министерство обороны США . Проверено 15 декабря 2023 г.
  13. ^ Перес, Наташа Бертран, Захари Коэн, Алекс Марквардт, Эван (13 апреля 2023 г.). «Утечка из Пентагона приводит к ограничению доступа к главным военным секретам | CNN Politics». CNN . Архивировано из оригинала 15 декабря 2023 г. Проверено 15 декабря 2023 г.{{cite web}}: CS1 maint: multiple names: authors list (link)
  14. Джастин Зейтц, Тим Арнольд (14 апреля 2021 г.). Black Hat Python, 2-е издание: Программирование на Python для хакеров и пентестеров. Нет крахмального пресса. ISBN 978-1-7185-0112-6. Архивировано из оригинала 26 августа 2021 года . Проверено 30 августа 2021 г.
  15. Дрекслер, Шарлотта Сомерс, Коэн Вранкарт, Лаура (3 мая 2023 г.). «Бельгия легализует этический хакерство: угроза или возможность для кибербезопасности?». Блог СИТИП . Архивировано из оригинала 17 мая 2023 года . Проверено 7 мая 2023 г.{{cite web}}: CS1 maint: multiple names: authors list (link)
  16. ↑ Аб Брар, Адил (18 января 2024 г.). «Китай собирает частную хакерскую армию для проверки иностранных правительств». Newsweek . Архивировано из оригинала 20 января 2024 года . Проверено 20 января 2024 г.
  17. ^ «Внимание участников DEF CON® 20» . Национальное Агенство Безопасности. 2012. Архивировано из оригинала 30 июля 2012 г.
  18. ^ Колдуэлл, Трейси (2011). «Этические хакеры: надеваем белую шляпу». Сетевая безопасность . 2011 (7): 10–13. дои : 10.1016/s1353-4858(11)70075-7. ISSN  1353-4858.
  19. ^ Колдуэлл, Трейси (1 июля 2011 г.). «Этические хакеры: надеваем белую шляпу». Сетевая безопасность . 2011 (7): 10–13. дои : 10.1016/S1353-4858(11)70075-7. ISSN  1353-4858.