Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Эта статья является частью серии статей о
Взлом компьютеров
История
Хакерская культура и этика
Конференции
Компьютерное преступление
Инструменты для взлома
Сайты практики
Вредоносное ПО
Компьютерная безопасность
Группы
  • Анонимный
  • Компьютерный Клуб Хаоса
  • Домашний компьютерный клуб (несуществующий)
  • Легион Судьбы (несуществующий)
  • Мастера обмана (несуществующие)
  • LulzSec (несуществующий)
  • Красные и синие команды
Публикации
  • 2600: Ежеквартальный журнал The Hacker
  • Хакерские новости
  • Гайки и вольт
  • Phrack
  • v
  • т
  • е

Серая шляпа ( greyhat или серая шляпа ) является компьютерным хакером или компьютерной безопасности эксперта , который может иногда нарушать законы или типовые этические нормы , но не имеет злой умысел характерно для черной шляпе хакера.

Этот термин вошел в употребление в конце 1990-х годов и произошел от понятий «хакеры в белой и черной шляпе ». [1] Когда хакер в белой шляпе обнаруживает уязвимость , он будет использовать ее только с разрешения и не разглашать ее существование до тех пор, пока она не будет исправлена, тогда как хакер в черной шляпе будет использовать ее незаконно и / или указывать другим, как это сделать. Серая шляпа не будет использовать ее незаконно и не укажет другим, как это сделать. [2]

Еще одно различие между этими типами хакеров заключается в их методах обнаружения уязвимостей. Белая шляпа взламывает системы и сети по запросу своего работодателя или с явного разрешения с целью определить, насколько она защищена от хакеров, тогда как черная шляпа взламывает любую систему или сеть, чтобы раскрыть конфиденциальную информацию для личной выгоды. . Серая шляпа обычно обладает навыками и намерениями белой шляпы, но может взломать любую систему или сеть без разрешения. [3] [4]

Согласно одному из определений "серого хакера", когда он обнаруживает уязвимость, вместо того, чтобы сообщить поставщику, как работает эксплойт, они могут предложить исправить ее за небольшую плату. Когда кто-то получает незаконный доступ к системе или сети, он может предложить системному администратору нанять одного из своих друзей для решения проблемы; однако эта практика сокращается из-за растущей готовности предприятий возбуждать уголовное дело. Другое определение «серой шляпы» утверждает, что хакеры «серой шляпы» нарушают закон только в целях исследования и повышения безопасности: законность устанавливается в соответствии с конкретными последствиями любых взломов, в которых они участвуют. [5]

В сообществе поисковой оптимизации (SEO) серые хакеры - это те, кто манипулирует рейтингом веб-сайтов в поисковых системах, используя ненадлежащие или неэтичные средства, но это не считается спамом в поисковых системах . [6]

История [ править ]

Фраза « серая шляпа» впервые была публично использована в контексте компьютерной безопасности, когда DEF CON объявил о первых запланированных брифингах «Черная шляпа» в 1996 году, хотя до этого времени она, возможно, использовалась небольшими группами. [1] [7] Кроме того, на этой конференции была представлена ​​презентация, в которой Mudge, ключевой член хакерской группы L0pht , обсудил свое намерение как хакеров серой шляпы предоставить Microsoft обнаружение уязвимостей для защиты огромного числа пользователей. своей операционной системы. [8]Наконец, Майк Нэш, директор серверной группы Microsoft, заявил, что серые хакеры во многом похожи на технических специалистов в независимой индустрии программного обеспечения в том, что «они ценны тем, что дают нам обратную связь, чтобы сделать наши продукты лучше». [9]

Фраза « серая шляпа» использовалась хакерской группой L0pht в интервью 1999 года газете The New York Times [10] для описания своей хакерской деятельности.

Эта фраза использовалась для описания хакеров, которые поддерживают этическое сообщение об уязвимостях непосредственно поставщику программного обеспечения, в отличие от практики полного раскрытия информации, которая преобладала в сообществе белых шляп, согласно которой уязвимости не раскрываются за пределами их группы. [2]

Однако в 2002 году сообщество Anti-Sec опубликовало использование этого термина для обозначения людей, которые днем ​​работают в сфере безопасности, а ночью занимаются черной шляпой. [11] Ирония заключалась в том, что для черных шляп такая интерпретация рассматривалась как уничижительный термин; в то время как среди белых шляп этот термин придавал популярность известности.

После подъема и, в конечном итоге, упадка «золотой эры» полного раскрытия информации и антисекретаря - и последующего роста философии «этического хакерства» - термин « серая шляпа» начал приобретать самые разные значения. Судебное преследование Дмитрия Склярова в США за действия, которые были законными в его родной стране, изменило отношение многих исследователей безопасности. Поскольку Интернет стал использоваться для выполнения более важных функций, а озабоченность по поводу терроризма росла, термин «белая шляпа» стал относиться к экспертам по корпоративной безопасности, которые не поддерживали полное раскрытие информации. [12]

В 2008 году EFF определил серых шляп как исследователей этической безопасности, которые непреднамеренно или предположительно нарушают закон, пытаясь исследовать и улучшить безопасность. Они выступают за более четкие и узкие законы о компьютерных преступлениях. [13]

Примеры [ править ]

В апреле 2000 года хакеры, известные как "{}" и "Hardbeat", получили несанкционированный доступ к Apache.org . [14] Они предпочли предупредить команду Apache о проблемах, а не пытаться повредить серверы Apache.org. [15]

В июне 2010 года группа компьютерных экспертов, известная как Goatse Security, обнаружила уязвимость в системе безопасности AT&T, которая позволила раскрыть адреса электронной почты пользователей iPad . [16] Группа сообщила СМИ об уязвимости системы безопасности вскоре после уведомления AT&T. С тех пор ФБР начало расследование инцидента и совершило налет на дом Weev , самого известного члена новой группы. [17]

В апреле 2011 года группа экспертов обнаружила, что Apple iPhone и 3G iPad «записывают информацию о посещениях пользователя». Apple опубликовала заявление, в котором говорилось, что iPad и iPhone регистрировали только башни, к которым имел доступ телефон. [18] По этому поводу было опубликовано множество статей, и это рассматривалось как незначительная проблема безопасности. Этот случай был бы классифицирован как «серая шляпа», потому что, хотя эксперты могли использовать это со злым умыслом, о проблеме, тем не менее, сообщили. [19]

В августе 2013 года Халил Шрейтех, безработный исследователь компьютерной безопасности, взломал страницу Марка Цукерберга в Facebook , чтобы заставить действовать по исправлению обнаруженной им ошибки, которая позволяла ему публиковать сообщения на странице любого пользователя без их согласия. Он неоднократно пытался сообщить Facebook об этой ошибке, но Facebook сообщил ему, что это не ошибка. После этого инцидента Facebook исправил эту уязвимость, которая могла стать мощным оружием в руках профессиональных спамеров. Программа Facebook «Белая шляпа» не возместила Шрейту, поскольку он нарушил их политику, что сделало этот инцидент серой шляпой. [20]

См. Также [ править ]

  • Аноним (группа)
  • Компьютерное преступление
  • Кибервойна
  • Хактивизм
  • IT риск
  • Metasploit
  • Несчатье
  • Тест на проникновение

Ссылки [ править ]

  1. ^ а б Де, Чу (2002). «Белая шляпа? Черная шляпа? Серая шляпа?» . ddth.com . Джелсофт Энтерпрайзис . Проверено 19 февраля 2015 года .
  2. ^ a b Regalado; и другие. (2015). Gray Hat Hacking: The Ethical Hacker's Handbook (4-е изд.). Нью-Йорк: McGraw-Hill Education. п. 18.
  3. ^ Фуллер, Джонрей; Ха, Джон; Фокс, Тэмми (2003). «Руководство по безопасности Red Hat Enterprise Linux 3» . Документация по продукту . Красная шляпа. Раздел (2.1.1). Архивировано из оригинального 29 июля 2012 года . Проверено 16 февраля 2015 года .
  4. ^ Клифф, А. "Терминология обнаружения систем вторжений, часть первая: AH" . Symantec Connect . Symantec . Проверено 16 февраля 2015 года .
  5. ^ Мур, Роберт (2011). Киберпреступность: расследование высокотехнологичных компьютерных преступлений (2-е изд.). Берлингтон, Массачусетс: Издательство Андерсон. п. 25.
  6. ^ AE (2014). Gray Hat SEO 2014: самые эффективные и безопасные методы 10 веб-разработчиков. Секреты высокого ранга, включая самые быстрые возмещения штрафов . Research & Co. ASIN B00H25O8RM . 
  7. ^ "Def Con Communications представляет брифинги Black Hat" . blackhat.com . blackhat.com. 1996 г.
  8. Ланге, Ларри (15 июля 1997 г.). «Microsoft открывает диалог с NT-хакерами» . blackhat.com . blackhat.com . Проверено 31 марта 2015 года .
  9. Ланге, Ларри (22 сентября 1997 г.). «Возвышение подземного инженера» . blackhat.com . blackhat.com . Проверено 31 марта 2015 года .
  10. ^ "HACK, CouNterHaCk" . Журнал New York Times . 3 октября 1999 . Проверено 6 января 2011 года .
  11. ^ Digitalsec.net архивации 26 декабря 2017 в Wayback Machine #Phrack Верховного Совета. 20 августа 2002 г. "Список грейхэт-ИГ-уайтхэта"
  12. ^ "Тонкая серая линия" . CNET News . 23 сентября 2002 . Проверено 6 января 2011 года .
  13. ^ EFF.org Фонд электронных границ (EFF). 20 августа 2008 г. «Путеводитель по« серой шляпе »»
  14. Мишель Финли (28 марта 2013 г.). «Wired.com» . Проводной . Wired.com . Проверено 1 ноября 2013 года .
  15. ^ "Textfiles.com" . Проверено 1 ноября 2013 года .
  16. ФБР открывает расследование взлома iPad Wall Street Journal, Спенсер Анте и Бен Уортен. 11 июня 2010 г.
  17. Тейт, Райан (9 июня 2010 г.). «Худшее нарушение безопасности Apple: разоблачены 114 000 владельцев iPad» . Gawker.com . Gawker Media . Архивировано из оригинального 12 июня 2010 года . Проверено 13 июня 2010 года .
  18. ^ Харрисон, Натали; Керрис, Натали (27 апреля 2011 г.). «Вопросы и ответы Apple о данных о местоположении» . Apple Press Info . Apple, Inc.
  19. ^ "Apple отслеживает вас?" . hackfile.org . Архивировано из оригинального 23 марта 2012 года.
  20. Гросс, Дуг (20 августа 2013 г.). «Страница Цукерберга в Facebook взломана, чтобы доказать уязвимость безопасности» . cnn.com . CNN . Проверено 4 апреля 2015 года .

Дальнейшее чтение [ править ]

  • Даниэль Регаладо ; Шон Харрис ; Аллен Харпер ; Крис Игл ; Джонатан Несс ; Бранко Спасоевич ; Райан Линн и Стивен Симс (2015). Gray Hat Hacking: The Ethical Hacker's Handbook (4-е изд.). Нью-Йорк: McGraw-Hill Education. ISBN 978-0-07-183238-0.
  • АЕ (2014). Gray Hat SEO 2014: самые эффективные и безопасные методы 10 веб-разработчиков. Секреты высокого ранга, включая самые быстрые возмещения штрафов . Research & Co. ASIN  B00H25O8RM .