stringtranslate.com

Белая шляпа (компьютерная безопасность)

Белая шляпа ( или хакер в белой шляпе , whitehat ) — это этичный хакер безопасности . [1] [2] Этичный хакинг — это термин, подразумевающий более широкую категорию, чем просто тестирование на проникновение. [3] [4] С согласия владельца хакеры в белой шляпе стремятся выявить любые уязвимости или проблемы безопасности, которые есть в текущей системе. [5] Белая шляпа противопоставляется черной шляпе , злонамеренному хакеру; эта определяющая дихотомия пришла из вестернов , где героические и враждебные ковбои традиционно носят белую и черную шляпу соответственно . [6] Существует третий тип хакера, известный как серая шляпа , который взламывает с добрыми намерениями, но иногда без разрешения. [7]

Белые хакеры также могут работать в командах, называемых « клубами кроссовок и/или хакеров », [8] красных командах или командах тигров . [9]

История

Одним из первых случаев использования этического взлома была «оценка безопасности», проведенная ВВС США , в которой операционные системы Multics были протестированы на «потенциальное использование в качестве двухуровневой (секретной/совершенно секретной) системы». Оценка определила, что хотя Multics «значительно лучше других обычных систем», она также имела «... уязвимости в аппаратной безопасности, программной безопасности и процедурной безопасности», которые можно было обнаружить «с относительно низким уровнем усилий». [10] Авторы проводили свои тесты в соответствии с принципом реализма, поэтому их результаты точно отображали виды доступа, которые мог потенциально получить злоумышленник. Они проводили тесты, включающие простые упражнения по сбору информации, а также прямые атаки на систему, которые могли нарушить ее целостность; оба результата представляли интерес для целевой аудитории. Существует несколько других, теперь уже несекретных отчетов, описывающих деятельность этического взлома в вооруженных силах США .

К 1981 году The New York Times описала деятельность white-hat как часть «вредной, но извращенно позитивной «хакерской» традиции». Когда сотрудник National CSS раскрыл существование своего взломщика паролей , который он использовал для учетных записей клиентов, компания отчитала его не за написание программного обеспечения, а за то, что он не раскрыл его раньше. В письме с выговором говорилось: «Компания осознает выгоду для NCSS и поощряет усилия сотрудников по выявлению слабых мест безопасности в VP, каталоге и другом конфиденциальном программном обеспечении в файлах». [11]

20 октября 2016 года Министерство обороны США объявило о «взломе Пентагона». [12] [13]

Идея использовать эту тактику этического хакерства для оценки безопасности систем и выявления уязвимостей была сформулирована Дэном Фармером и Витсе Венемой . Чтобы повысить общий уровень безопасности в Интернете и интрасетях , они продолжили описывать, как им удалось собрать достаточно информации о своих целях, чтобы иметь возможность поставить под угрозу безопасность, если бы они решили это сделать. Они привели несколько конкретных примеров того, как эта информация могла быть собрана и использована для получения контроля над целью, и как можно было предотвратить такую ​​атаку. Они собрали все инструменты, которые они использовали во время своей работы, упаковали их в одно простое в использовании приложение и раздали его любому, кто решил его загрузить. Их программа под названием Security Administrator Tool for Analyzing Networks , или SATAN, была встречена большим вниманием средств массовой информации по всему миру в 1992 году. [9]

Тактика

В то время как тестирование на проникновение концентрируется на атаке на программное обеспечение и компьютерные системы с самого начала — например, сканирование портов, изучение известных дефектов в протоколах и приложениях, работающих в системе, и установка исправлений — этичный взлом может включать и другие вещи. Полномасштабный этический взлом может включать отправку писем сотрудникам с просьбой предоставить данные пароля, рыться в мусорных баках руководителей, как правило, без ведома и согласия целей. Об этом знают только владельцы, генеральные директора и члены совета директоров (заинтересованные стороны), которые запросили такую ​​проверку безопасности такого масштаба. Чтобы попытаться воспроизвести некоторые из разрушительных методов, которые может использовать настоящая атака, этичные хакеры могут организовать клонированные тестовые системы или организовать взлом поздно ночью, когда системы менее критичны. [14] В большинстве недавних случаев эти взломы увековечивают долгосрочное мошенничество (дни, если не недели, долгосрочного проникновения человека в организацию). Некоторые примеры включают оставление USB- накопителей / флэш-накопителей со скрытым программным обеспечением для автозапуска в общественном месте, как будто кто-то потерял небольшой диск, а ничего не подозревающий сотрудник нашел его и забрал.

Вот некоторые другие методы их выполнения:

Выявленные методы используют известные уязвимости безопасности и пытаются обойти защиту, чтобы получить доступ к защищенным зонам. Они могут делать это, скрывая программное обеспечение и системные «черные ходы», которые могут использоваться как ссылка на информацию или доступ, к которым может стремиться неэтичный хакер, также известный как «черная шляпа» или «серая шляпа».

Законность

Бельгия

Бельгия легализовала белый хакинг в феврале 2023 года. [15]

Китай

В июле 2021 года правительство Китая перешло от системы добровольной отчетности к системе, которая законодательно обязывает всех хакеров, занимающихся белой хакерской деятельностью, сначала сообщать правительству о любых уязвимостях, прежде чем предпринимать какие-либо дальнейшие шаги по устранению уязвимости или сообщать о ней общественности. [16] Комментаторы описали это изменение как создание «двойной цели», в которой деятельность белых хакеров также служит разведывательным службам страны. [16]

Великобритания

Струан Робертсон, юридический директор Pinsent Masons LLP и редактор OUT-LAW.com, говорит: «В широком смысле, если доступ к системе разрешен, взлом этичен и законен. Если нет, то это правонарушение в соответствии с Законом о неправомерном использовании компьютеров . Правонарушение, связанное с несанкционированным доступом, охватывает все, от подбора пароля до доступа к чьей-либо учетной записи веб-почты и взлома безопасности банка. Максимальное наказание за несанкционированный доступ к компьютеру — два года тюрьмы и штраф. Существуют более высокие наказания — до 10 лет тюрьмы — если хакер также изменяет данные». Несанкционированный доступ даже для раскрытия уязвимостей в интересах многих незаконен, говорит Робертсон. «В наших законах о взломе нет защиты, что ваше поведение направлено на общее благо. Даже если это то, во что вы верите». [4]

Работа

Агентство национальной безопасности США предлагает такие сертификаты, как CNSS 4011. Такой сертификат охватывает упорядоченные, этичные методы взлома и управление командой. Команды агрессоров называются «красными» командами. Команды защитников называются «синими» командами. [8] Когда агентство набирало людей на DEF CON в 2020 году, оно обещало кандидатам, что «если у вас есть несколько, скажем так, неблагоразумных поступков в прошлом, не беспокойтесь. Вы не должны автоматически предполагать, что вас не возьмут на работу». [17]

Хороший "белый хакер" — это конкурентоспособный квалифицированный сотрудник для предприятия, поскольку он может быть контрмерой для поиска ошибок , чтобы защитить сетевую среду предприятия. Таким образом, хороший "белый хакер" может принести неожиданные выгоды в снижении риска для систем, приложений и конечных точек для предприятия. [18]

Недавние исследования показали, что хакеры-белые хакеры все больше становятся важным аспектом защиты сетевой безопасности компании. Выходя за рамки простого тестирования на проникновение, хакеры-белые хакеры создают и меняют свои навыки, поскольку угрозы также меняются. Теперь их навыки включают социальную инженерию , мобильные технологии и социальные сети . [19]

Известные люди

Смотрите также

Ссылки

  1. ^ "Что такое white hat? - определение с Whatis.com". Searchsecurity.techtarget.com. Архивировано из оригинала 2011-02-01 . Получено 2012-06-06 .
  2. ^ Окпа, Джон Томпсон; Угвуоке, Кристофер Учечукву; Ая, Бенджамин Окори; Эшиосте, Эммануэль; Игбе, Джозеф Эгиди; Аджор, Огар Джеймс; Окой, Офем, Ннана; Этенг, Мэри Джуачи; Ннамани, Ребекка Гиниканва (5 сентября 2022 г.). «Киберпространство, хакерские атаки и экономическая устойчивость корпоративных организаций в штате Кросс-Ривер, Нигерия». СЕЙДЖ Открыть . 12 (3): 215824402211227. doi : 10.1177/21582440221122739 . ISSN  2158-2440. S2CID  252096635.{{cite journal}}: CS1 maint: multiple names: authors list (link)
  3. Уорд, Марк (14 сентября 1996 г.). «Саботаж в киберпространстве». New Scientist . 151 (2047). Архивировано из оригинала 13 января 2022 г. Получено 28 марта 2018 г.
  4. ^ ab Knight, William (16 октября 2009 г.). «Лицензия на взлом». InfoSecurity . 6 (6): 38–41. doi :10.1016/s1742-6847(09)70019-9. Архивировано из оригинала 9 января 2014 г. Получено 19 июля 2014 г.
  5. ^ Филиол, Эрик; Меркальдо, Франческо; Сантоне, Антонелла (2021). «Метод автоматического тестирования на проникновение и смягчения последствий: подход Red Hat». Procedia Computer Science . 192 : 2039–2046. doi : 10.1016/j.procs.2021.08.210 . S2CID  244321685.
  6. ^ Вильгельм, Томас; Андресс, Джейсон (2010). Взлом ниндзя: нетрадиционные методы и тактики тестирования на проникновение. Elsevier. С. 26–7. ISBN 978-1-59749-589-9.
  7. ^ "В чем разница между черными, белыми и серыми хакерами". Norton.com . Norton Security. Архивировано из оригинала 15 января 2018 года . Получено 2 октября 2018 года .
  8. ^ ab "Что такое White Hat?". Secpoint.com. 2012-03-20. Архивировано из оригинала 2019-05-02 . Получено 2012-06-06 .
  9. ^ ab Palmer, CC (2001). "Этический хакинг" (PDF) . IBM Systems Journal . 40 (3): 769. doi :10.1147/sj.403.0769. Архивировано (PDF) из оригинала 2019-05-02 . Получено 2014-07-19 .
  10. ^ Пол А. Каргер; Роджер Р. Шерр (июнь 1974 г.). ОЦЕНКА БЕЗОПАСНОСТИ MULTICS: АНАЛИЗ УЯЗВИМОСТЕЙ (PDF) (Отчет). Архивировано (PDF) из оригинала 13 ноября 2017 г. . Получено 12 ноября 2017 г. .
  11. ^ Маклеллан, Вин (1981-07-26). «Дело о похищенном пароле». The New York Times . Архивировано из оригинала 2016-03-07 . Получено 11 августа 2015 .
  12. ^ "DoD Announces 'Hack the Pentagon' Follow-Up Initiative". Министерство обороны США . Получено 15 декабря 2023 г.
  13. ^ Перес, Наташа Бертран, Закари Коэн, Алекс Марквардт, Эван (13.04.2023). «Утечка из Пентагона приводит к ограничениям на то, кто получает доступ к главным военным секретам | Политика CNN». CNN . Архивировано из оригинала 15.12.2023 . Получено 15.12.2023 .{{cite web}}: CS1 maint: multiple names: authors list (link)
  14. ^ Джастин Сейтц, Тим Арнольд (14 апреля 2021 г.). Black Hat Python, 2-е издание: программирование на Python для хакеров и пентестеров. No Starch Press. ISBN 978-1-7185-0112-6. Архивировано из оригинала 26 августа 2021 г. . Получено 30 августа 2021 г. .
  15. ^ Дрекслер, Шарлотта Сомерс, Коэн Вранкерт, Лаура (3 мая 2023 г.). «Бельгия легализует этический хакинг: угроза или возможность для кибербезопасности?». Блог CITIP . Архивировано из оригинала 17 мая 2023 г. . Получено 7 мая 2023 г. .{{cite web}}: CS1 maint: multiple names: authors list (link)
  16. ^ ab Brar, Aadil (18 января 2024 г.). «Китай создает частную армию хакеров для проверки иностранных правительств». Newsweek . Архивировано из оригинала 20 января 2024 г. Получено 20 января 2024 г.
  17. ^ "Вниманию участников DEF CON® 20". Агентство национальной безопасности. 2012. Архивировано из оригинала 2012-07-30.
  18. ^ Колдуэлл, Трейси (2011). «Этические хакеры: надеваем белую шляпу». Сетевая безопасность . 2011 (7): 10–13. doi :10.1016/s1353-4858(11)70075-7. ISSN  1353-4858.
  19. ^ Колдуэлл, Трейси (01.07.2011). «Этические хакеры: надеваем белую шляпу». Сетевая безопасность . 2011 (7): 10–13. doi :10.1016/S1353-4858(11)70075-7. ISSN  1353-4858.