Белая шляпа (компьютерная безопасность)

Взлом компьютера
Часть серии о
История Фрикинг Криптовирусология Взлом бытовой электроники Список хакеров
Хакерская культура и этика Хакатон Хакерский манифест Хакерспейс Хактивизм Культура создателя Типы хакеров Черная шляпа Серая шляпа белая шляпа
Конференции Брифинги черной шляпы Хаос Коммуникационный Конгресс ЗАЩИТА КОН Хакеры на планете Земля Безопасность ШмуКон Саммеркон
Компьютерное преступление Криминальное ПО Список компьютерных преступников Сценарий малыш
Инструменты взлома Эксплойт криминалистические операционные системы Полезная нагрузка Социальная инженерия Уязвимость
Практические сайты Взломать этот сайт Зона-H
Вредоносное ПО руткит Задняя дверь троянский конь Вирус Червь Шпионское ПО Программы-вымогатели Логическая бомба Ботнет Регистрация нажатий клавиш СКРЫТ Веб-оболочка РЦЭ
Компьютерная безопасность Безопасность приложений Безопасность облачных вычислений Сетевая безопасность
Группы Анонимный Компьютерный Клуб Хаоса Клуб домашних компьютеров (несуществующий) Легион Судьбы (несуществующий) LulzSec (несуществующий) Мастера обмана (несуществующий) Красная команда / Синяя команда
Публикации 2600: Ежеквартальное издание «Хакер» Хакер Новости Орехи и вольты Фрак
в т е

Белая шляпа (или белый хакер ) — это этичный хакер безопасности . ^[1] Этический взлом — это термин, подразумевающий более широкую категорию, чем просто тестирование на проникновение. ^[2]^[3] В отличие от черной шляпы , злонамеренного хакера, название происходит от западных фильмов , где героические и антагонистические ковбои традиционно носили белую и черную шляпы соответственно . ^[4] Существует третий тип хакеров, известный как серая шляпа , который взламывает с добрыми намерениями, но иногда без разрешения. ^{[Группа Symantec 1]}

Белые хакеры могут также работать в командах, называемых « кроссовками и/или хакерскими клубами », ^[5] красными командами или тигровыми командами . ^[6]

История

Одним из первых случаев использования этического взлома была «оценка безопасности», проведенная ВВС США , в ходе которой операционные системы Multics были проверены на «потенциальное использование в качестве двухуровневой (секретной/совершенно секретной) системы. " Оценка показала, что, хотя Multics была «значительно лучше, чем другие обычные системы», она также имела «... уязвимости в аппаратной, программной и процедурной безопасности», которые можно было обнаружить с «относительно небольшими усилиями». ^[7]Авторы выполнили свои тесты, руководствуясь принципом реализма, поэтому их результаты точно отражали виды доступа, которые потенциально может получить злоумышленник. Они проводили тесты, включающие простые упражнения по сбору информации, а также прямые атаки на систему, которые могли нарушить ее целостность; оба результата заинтересовали целевую аудиторию. Есть несколько других ныне не засекреченных отчетов, описывающих этические действия хакеров в вооруженных силах США .

К 1981 году The New York Times описала деятельность белых шляп как часть «озорной, но извращенно позитивной« хакерской »традиции». Когда сотрудник National CSS сообщил о существовании своего взломщика паролей , который он использовал для учетных записей клиентов, компания наказала его не за то, что он написал программное обеспечение, а за то, что он не раскрыл его раньше. В письме с выговором говорилось: «Компания осознает выгоду для NCSS и фактически поощряет усилия сотрудников по выявлению слабых мест в безопасности вице-президента, каталога и другого конфиденциального программного обеспечения в файлах». ^[8]

Идея применить эту тактику этического взлома для оценки безопасности систем была сформулирована Дэном Фармером и Витсе Венема . С целью повышения общего уровня безопасности в Интернете и интранетах они продолжили описание того, как им удалось собрать достаточно информации о своих целях, чтобы иметь возможность поставить под угрозу безопасность, если бы они захотели это сделать. Они привели несколько конкретных примеров того, как эта информация может быть собрана и использована для получения контроля над целью, и как такая атака может быть предотвращена. Они собрали все инструменты, которые использовали в своей работе, упаковали их в одно простое в использовании приложение и раздали всем, кто решил его загрузить. Их программа под названиемИнструмент администратора безопасности для анализа сетей , или SATAN, в 1992 году привлек большое внимание средств массовой информации по всему миру. ^[6]

Тактика

В то время как тестирование на проникновение концентрируется на атаке программного обеспечения и компьютерных систем с самого начала — сканировании портов, изучении известных дефектов в протоколах и приложениях, работающих в системе, и установке исправлений, например, — этический взлом может включать в себя и другие вещи. Полноценный этический взлом может включать в себя отправку электронных писем персоналу с просьбой предоставить данные пароля, рыться в мусорных баках руководителей и, как правило, взлом и проникновение без ведома и согласия целей. Знают только владельцы, генеральные директора и члены правления (заинтересованные стороны), которые запросили такую проверку безопасности такого масштаба. Чтобы попытаться воспроизвести некоторые деструктивные методы, которые могут использоваться в реальной атаке, этичные хакеры могут организовать клонированные тестовые системы или организовать взлом поздно ночью, когда системы менее критичны. ^[9]В самых последних случаях эти взломы увековечены для долгосрочной аферы (дни, если не недели, долгосрочного проникновения человека в организацию). Некоторые примеры включают в себя хранение USB -накопителей /флэш-накопителей со скрытым программным обеспечением для автоматического запуска в общественных местах, как будто кто-то потерял небольшой диск, а ничего не подозревающий сотрудник нашел его и забрал.

Некоторые другие методы их выполнения включают:

DoS-атаки
Тактика социальной инженерии
Разобрать механизм с целью понять, как это работает
Сетевая безопасность
Экспертиза дисков и памяти
Исследование уязвимостей
Сканеры безопасности, такие как:
- W3af
- Несс
- Отрыжка люкс
Фреймворки, такие как:
- Метасплоит
Учебные платформы

Эти методы выявляют и используют известные уязвимости системы безопасности и пытаются обойти систему безопасности, чтобы получить доступ в защищенные области. Они могут сделать это, скрыв программные и системные «черные ходы», которые могут использоваться как ссылка на информацию или доступ, который может получить неэтичный хакер, также известный как «черный» или «серый» хочу достичь.

Законность в Великобритании

Струан Робертсон, юридический директор Pinsent Masons LLP и редактор OUT-LAW.com , говорит: «Вообще говоря, если доступ к системе разрешен, взлом является этичным и законным. Закон о неправомерном использовании компьютеров. Нарушение несанкционированного доступа охватывает все: от угадывания пароля до доступа к чьей-либо учетной записи веб-почты и взлома системы безопасности банка. Максимальное наказание за несанкционированный доступ к компьютеру — два года тюрьмы и штраф. Существуют более строгие наказания — до 10 лет тюремного заключения — когда хакер также изменяет данные». Несанкционированный доступ даже для раскрытия уязвимостей в интересах многих является незаконным, говорит Робертсон. «В наших законах о хакерстве нет защиты от того, что ваше поведение для большей пользы. Даже если это то, во что вы верите». ^[3]

Работа

Примеры и точка зрения в этой статье касаются в первую очередь Соединенных Штатов и не отражают мировую точку зрения на предмет . Вы можете улучшить эту статью , обсудить проблему на странице обсуждения или создать новую статью , если это необходимо. ( июнь 2011 г. ) ( узнайте, как и когда удалять это шаблонное сообщение )

Агентство национальной безопасности США предлагает такие сертификаты, как CNSS 4011. Такой сертификат распространяется на упорядоченные, этичные методы взлома и управление командой. Команды-агрессоры называются «красными». Команды защитников называются «синими» командами. ^[5] Когда агентство набирало сотрудников на DEF CON в 2012 году, оно обещало соискателям, что «если в вашем прошлом есть несколько, скажем так, неосмотрительных проступков , не пугайтесь. Вы не должны автоматически предполагать, что не будете наемный". ^[10]

Хороший «белый шляпщик» — это конкурентоспособный квалифицированный сотрудник для предприятия, поскольку он может быть контрмерой для поиска ошибок для защиты сетевой среды предприятия. Таким образом, хорошая «белая шляпа» может принести неожиданные преимущества в снижении риска для систем, приложений и конечных точек предприятия. ^[11]

Смотрите также

Программа вознаграждения за ошибки
ИТ-риск
Вредоносное ПОMustDie
Беспроводная кража личных данных

Примечания

^ «В чем разница между черными, белыми и серыми хакерами» . Нортон.ком . Нортон Секьюрити . Проверено 2 октября 2018 г.

использованная литература

^ «Что такое белая шляпа? - определение от Whatis.com» . Searchsecurity.techtarget.com . Проверено 6 июня 2012 г. .
↑ Уорд, Марк (14 сентября 1996 г.). «Саботаж в киберпространстве» . Новый ученый . 151 (2047).
↑ a b Найт, Уильям (16 октября 2009 г.). «Лицензия на взлом» . Инфобезопасность . 6 (6): 38–41. doi : 10.1016/s1742-6847(09)70019-9 .
^ Вильгельм, Томас; Андресс, Джейсон (2010). Взлом ниндзя: нетрадиционные тактики и методы тестирования на проникновение . Эльзевир. стр. 26–7. ISBN 9781597495899.
^ a b "Что такое белая шляпа?" . Secpoint.com. 20 марта 2012 г. . Проверено 6 июня 2012 г. .
^ б Палмер, CC (2001) . «Этический взлом» (PDF) . Системный журнал IBM . 40 (3): 769. doi : 10.1147/sj.403.0769 .
↑ Пол А. Каргер, Роджер Р. Шерр (июнь 1974 г.). MULTICS SECURITY EVALUATION: АНАЛИЗ УЯЗВИМОСТЕЙ (PDF) (Отчет) . Проверено 12 ноября 2017 г. CS1 maint: использует параметр авторов ( ссылка )
^ Маклеллан, Вин (1981-07-26). «Дело об украденном пароле» . Нью-Йорк Таймс . Проверено 11 августа 2015 г.
↑ Джастин Зейтц, Тим Арнольд (14 апреля 2021 г.). Black Hat Python, 2-е издание: программирование на Python для хакеров и пентестеров . ISBN 978-1718501126.
^ «Вниманию участников DEF CON® 20» . Национальное Агенство Безопасности. 2012. Архивировано из оригинала 30 июля 2012 г.
^ Колдуэлл, Трейси (2011). «Этические хакеры: надевая белую шляпу». Сетевая безопасность . 2011 (7): 10–13. doi : 10.1016/s1353-4858(11)70075-7 . ISSN 1353-4858 .

[5] «В чем разница между черными, белыми и серыми хакерами» . Нортон.ком . Нортон Секьюрити . Проверено 2 октября 2018 г.

[1] «Что такое белая шляпа? - определение от Whatis.com» . Searchsecurity.techtarget.com . Проверено 6 июня 2012 г. .

[2] Уорд, Марк (14 сентября 1996 г.). «Саботаж в киберпространстве» . Новый ученый . 151 (2047).

[Knight-3] Найт, Уильям (16 октября 2009 г.). «Лицензия на взлом» . Инфобезопасность . 6 (6): 38–41. doi : 10.1016/s1742-6847(09)70019-9 .

[4] Вильгельм, Томас; Андресс, Джейсон (2010). Взлом ниндзя: нетрадиционные тактики и методы тестирования на проникновение . Эльзевир. стр. 26–7. ISBN 9781597495899.

[Secpoint-6] "Что такое белая шляпа?" . Secpoint.com. 20 марта 2012 г. . Проверено 6 июня 2012 г. .

[Palmer-7] б Палмер, CC (2001) . «Этический взлом» (PDF) . Системный журнал IBM . 40 (3): 769. doi : 10.1147/sj.403.0769 .

[8] Пол А. Каргер, Роджер Р. Шерр (июнь 1974 г.). MULTICS SECURITY EVALUATION: АНАЛИЗ УЯЗВИМОСТЕЙ (PDF) (Отчет) . Проверено 12 ноября 2017 г. CS1 maint: использует параметр авторов ( ссылка )

[mclellan19810726-9] Маклеллан, Вин (1981-07-26). «Дело об украденном пароле» . Нью-Йорк Таймс . Проверено 11 августа 2015 г.

[10] Джастин Зейтц, Тим Арнольд (14 апреля 2021 г.). Black Hat Python, 2-е издание: программирование на Python для хакеров и пентестеров . ISBN 978-1718501126.

[11] «Вниманию участников DEF CON® 20» . Национальное Агенство Безопасности. 2012. Архивировано из оригинала 30 июля 2012 г.

[12] Колдуэлл, Трейси (2011). «Этические хакеры: надевая белую шляпу». Сетевая безопасность . 2011 (7): 10–13. doi : 10.1016/s1353-4858(11)70075-7 . ISSN 1353-4858 .