Етичен хакер
Етичният хакер (на английски: ethical hacker), наричан още white hat, е компютърен специалист, който прониква в компютърни системи, за да тества сигурността им. Това са лица, които извършват тестове, търсейки уязвимости в информационните системи в рамките на договорно споразумение. Работят често като консултанти.
Те използват различни методи на тестване, с които целят да гарантират, че информационните системи на компанията са достатъчно сигурни. Методите са най-разнородни, включват DoS-атаки, използването на хакерски инструменти като W3af, Nessus, LOIC, Metasploit, Nmap и др., които идентифицират уязвимости в системите. Не на последно място използват и социално инженерство.
Съществуват организации, които регулират етичното хакване. Това са напр. Агенцията за национална сигурност (NSA) в САЩ, която предлага сертификата CNSS 4011, както и Международният съвет за електронна търговия, който е разработил сертификати, курсове и онлайн обучение, обхващащи различни сфери на тази дейност. [1]
История
[редактиране | редактиране на кода]Един от първите случаи на използване на така наречения етичен хак е при оценка на сигурността, проведена за военновъздушните сили на САЩ чрез „Multics opertating systems“.
Оценката показала, че докато „Multics“ била значително по-добра от други конвенционални системи, тя също имала уязвимости в хардуерната и софтуерна сигурност и така наречената процедурна сигурност, които биха могли да бъдат разкрити с относително малко усилия. Авторите извършвали своите тестове така, че техните резултати точно да представят видовете достъп, които нарушител потенциално би постигнал. Проверките служели за събиране на информация за предотвратяване на директно посегателство срещу системата.
Очевидно тяхната публика се е интересувала и от този резултат. Има още няколко некласифицирани доклада, които описват етични хакерски дейности в американската армия.
До 1981 година „The New York Times“ описва етичните хакерски дейности като част от „пакостлива, но все пак позитивна 'хакерска' традиция“. Когато „National CSS“ служител разкрива съществуването на така наречения „трошач на пароли“, който бил използвал върху сметките на клиентите на компанията, същата го наказва, но не за написването на този софтуер, а за това, че не го разкрива по-рано. Порицателното писмо започнало с това, че дружеството осъзнава ползата от „NCSS“ и всъщност насърчава усилията на служителите да откриват слабости в сигурността.
Идеята за етичния хакер и неговата работа е формулирана от Дан Фармър и Вице Венема. С цел повишаване на общото ниво на сигурност в Интернет, те продължават да описват как са успели да съберат достатъчно информация за своите мишени. Представят няколко специфични примера за това как тази информация може да бъде извлечена и използвана, за да се получи контрол върху мишената и как подобна атака би могла да се предотврати. Така те събрали всички инструменти, които били използвали по време на работата в едно лесно за използване приложение, и го направили лесно достъпно за всеки, който има желание да го изтегли. Тяхната програма, наречена „Security Administrator Tool for Analyzing Networks“ (SATAN), е посрещната с голямо медийно внимание в целия свят през 1992 година.
Тактики
[редактиране | редактиране на кода]Докато така наречените проникващи тестове са концентрирани върху атаки срещу софтуер и компютърни системи от самото начало, например сканиране на портове, разглеждане на познати дефекти и инсталации на подобрения, етичното хакерство може да съдържа и други неща. Един пълен етичен хак може да съдържа изпращане на съобщения по електронната поща до персонал с цел искане на пароли, ровене в кошчетата на изпълнителните директори на компанията и разбира се разбиване на всички защити и получаване на достъп до важна информация, всичко това без знания за целите и съгласието на потенциалните жертви. Само собствениците, CEO’s(главните изпълнителни директори) и членовете на борда (притежателите на акциите), които са поискали подобен преглед на сигурността на такава степен, са наясно. За да се опитат да възпроизведат някои от разрушителните техники на истинска атака, се наемат етични хакери, които могат да направят клонирани тестови системи или да направят хака късно през нощта, докато системите са по-малко критични.
Някои други методи за провеждане на такива тестове включват: DoS (denial-of-service) атаки, Social engineering (тактика за социално инженерство), скенери за сигурност като W3af (web application attack and audit framework), Nessus и други, както и платформи като Metaspoit.
Такива методи се идентифицират и използват за известни уязвимости, като се опитват да избегнат защитата и да влязат в защитени зони. Те са в състояние да направят това, като крият софтуера и системните „задни вратички“, които могат да се използват като връзка с информацията и достъп до неетичния хакер, известен също като „black-hat“ (черна шапка) или „grey-hat“ (сива шапка), до които искате да достигнете.
Работа като етичен хакер
[редактиране | редактиране на кода]Агенцията за национална сигурност (разузнавателната организация на САЩ) предлага сертификати като CNSS 4011. Този вид сертификати обхващат разбирането на техники за етично хакерство и ръководене на отбори. Отборът на нападателите се нарича „червеният“ отбор, а отборът на защитниците – „синият“ отбор.
Списък на известни етични хакери
[редактиране | редактиране на кода]Чарли Милър
[редактиране | редактиране на кода]Чарълс Алфред Милър е изследовател на компютърната сигурност в Uber. Преди това той работи за Агенцията за национална сигурност на САЩ. Има докторантура по математика от Нотърдамския университет.
Той е известен с това, че разкрива слаби звена в защитата на Aple. Чарли е първият, който открива критичен бъг в MacBook Air. Успява да кракне браузъра Safari, а през 2009 г. показва как чрез SMS може да направи Атака за отказ на услуга на iPhone. През 2011 г. Милър показва на Apple как чрез дупка в защитата на iPhone и iPad могат да се извлекат лични данни на потребителя.
Марк Майфрет
[редактиране | редактиране на кода]Марк Майфрет е главният технологичен директор в BeyondTrust, водеща компания за компютърна сигурност. Майфрет създава един от първите продукти за контрол над уязвимостта и защитна стена за уеб приложения. Той открива едни от първите критични слаби места в защитата Microsoft, включително и първият компютърен червей за Windows – Code Red.
Рафаел Грей
[редактиране | редактиране на кода]Рафаел Грей е компютърен хакер, който на 19-годишна възраст хаква компютърните системи по света за период от 6 седмици между януари и февруари 1999 г. като част от мултимилионна паундова кредитна мисия. След това той започва да публикува данни за кредитните карти на над 6500 потребителя, като пример за слаба защита в нарастващия брой потребителски уеб сайтове.
Барнаби Джак
[редактиране | редактиране на кода]Барнаби Джак е най-известен с това, че през 2010 година по време на конференция за защита от злонамерени хакери е експлоатирал 2 банкомата да раздават фалшиви банкноти на сцената. Сред другите му забележителни работи са и експлоатирането на различни медицински устройства, включително пейсмейкъра и инсулиновата помпа.
Кевин Митник
[редактиране | редактиране на кода]След като излежава присъдата си за злонамерено хакване, Кевин Митник започва да работи като платен консултант по сигурността, оратор и автор[2]. Извършва консултации по сигурността за компании в списъка на Fortune Global 500 и за ФБР, извършва тестови прониквания в най-големите компании в света и преподава социалното инженерство на дузина компании и правителствени организации. Основател на фондация за защита от хакерски атаки „Defensive Thinking“, с партньор Кевин Спейси.
Кевин Полсън
[редактиране | редактиране на кода]Първоначално злонамерен хакер, Кевин Полсън е известен журналист по дигитална сигурност. Заедно с Арон Шварц той създава програмата SecureDrop, софтуер с отворен код за сигурна комуникация между журналистите и техните източници. Първоначално е разработвана под името DeadDrop. След смъртта на Шварц, Полсън пуска първата инстанция на платформата в Ню Йоркър на 15 май 2013. Полсън по-късно предава разработването на SecureDrop на Freedom of the Press Foundation, след което се присъединява към борда на консултантите на фондацията.
Източници
[редактиране | редактиране на кода]- ↑ Security University CNSS-Certified Training Programs securityuniversity.net
- ↑ Митник, Кевин Д. и др. Изкуството на измамата: Скритите механизми на измамата според най-опасния хакер в света. Първо издание. София, Ciela, 2005. ISBN 954-649-837-8. Посетен на 03.07.2022.
Вижте също
[редактиране | редактиране на кода]Външни препратки
[редактиране | редактиране на кода]- White hat definition
- What is a White Hat?
- Какво е етичен хакер ? – определение от Whatis.com. Извлечено от 2012-06-06
- Принц Уилиям (16 октомври 2009) „Хакерски лиценз“
- Палмър, С.С.(2001) „Етично хакерство“.
- Маклийн, Вин (1981-07-26). Ню Йорк Таймс. Извлечено 05 11 август 2015