Weißer Hut (Computersicherheit)
A weißer Hut (oder ein White Hat Hacker, ein Whitehat) ist ethisch Sicherheitshacker.[1] Ethisches Hacking ist ein Begriff, der eine breitere Kategorie implizieren soll als nur Penetrationstests.[2][3] Nach Einwilligung des Eigentümers wollen White Hat Hacker alle Schwachstellen identifizieren, die das aktuelle System hat.[4] Der weiße Hut steht im Gegensatz zu dem schwarzer Hut, ein bösartiger Hacker; Diese Definitionsdichotomie kommt von Westliche Filme, wo Heroische und antagonistische Cowboys können traditionell einen weißen bzw. einen schwarzen Hut tragen.[5] Es gibt eine dritte Art von Hacker, die als a bekannt ist grauer Hut Wer hackt mit guten Absichten, aber manchmal ohne Erlaubnis.[6]
White Hat Hacker können auch in Teams arbeiten, die genannt werden "Turnschuhe und/oder Hacker -Clubs",",[7] Rote Teams, oder Tigerteams.[8]
Geschichte
Eine der ersten Fälle eines ethischen Hacks, der verwendet wurde, war eine "Sicherheitsbewertung", die von der durchgeführt wurde Luftwaffe der Vereinigten Staaten, in dem die Mehrheit Betriebssysteme wurden auf "potenzielle Verwendung als zweistufiges (geheimes/heimliches) System" getestet. Die Bewertung ergab, dass Multics zwar "signifikant besser als andere herkömmliche Systeme" war, aber auch "..." ... Schwachstellen in der Hardware -Sicherheit, Software -Sicherheit und prozedurale Sicherheit ", die mit" relativ geringem Aufwand "aufgedeckt werden könnte.[9] Die Autoren führten ihre Tests unter einer Richtlinie des Realismus durch, sodass ihre Ergebnisse die Arten des Zugriffs, die ein Eindringling möglicherweise erreichen könnte, genau darstellen. Sie führten Tests durch, die einfache Übungen für die Sammlung von Informationsansammlungen sowie direkte Angriffe auf das System umfassten, die seine Integrität beschädigen könnten. Beide Ergebnisse waren für die Zielgruppe von Interesse. Es gibt mehrere andere jetzt nicht klassifizierte Berichte, die ethische Hacking -Aktivitäten in der beschreiben U.S. Militär.
Bis 1981 Die New York Times beschrieben White Hat -Aktivitäten als Teil einer "schelmischen, aber perversen positiven" Hacker "-Tradition". Wenn ein Nationales CSS Mitarbeiter enthüllte die Existenz von ihm Passwort CrackerDas Unternehmen, das er auf Kundenkonten verwendet hatte, bestraft ihn nicht, weil er die Software geschrieben hat, sondern sie nicht früher offengelegt hatte. In dem Verweisungsschreiben heißt es: "Das Unternehmen erkennt den Nutzen für NCSS und ermutigt tatsächlich die Bemühungen der Mitarbeiter, Sicherheitsschwächen für VP, das Verzeichnis und andere sensible Software in Dateien zu identifizieren."[10]
Die Idee, diese Taktik des ethischen Hackens zur Beurteilung der Sicherheit von Systemen zu bewerten, wurde von formuliert Dan Farmer und Wietse Venema. Mit dem Ziel, das allgemeine Sicherheitsniveau auf der zu erhöhen Internet und IntranetsSie beschreiben, wie sie genügend Informationen über ihre Ziele sammeln konnten, um die Sicherheit kompromittieren zu können, wenn sie sich dafür entschieden hatten. Sie lieferten mehrere spezifische Beispiele dafür, wie diese Informationen gesammelt und ausgenutzt werden konnten, um die Kontrolle über das Ziel zu erlangen, und wie ein solcher Angriff verhindert werden kann. Sie sammelten alle Werkzeuge, die sie während ihrer Arbeit verwendet hatten, sie in einer einzigen, benutzerfreundlichen Anwendung verpackt und sie an alle verschenkt, die sie heruntergeladen haben. Ihr Programm, genannt Sicherheitsadministrator -Tool zur Analyse von Netzwerkenoder Satan wurde 1992 auf die weltweite Aufmerksamkeit der Medien aufgenommen.[8]
Taktik
Während Penetrationstests Konzentriert sich auf die Angriff von Software und Computersystemen von den Starts - Scannen von Ports, untersucht bekannte Mängel in Protokollen und Anwendungen, die auf dem System- und Patch -Installationen ausgeführt werden. Das ethische Hacking kann andere Dinge umfassen. Ein ausgewachsener ethischer Hack könnte das E-Mail-Mitarbeiter beinhalten, um Passwortdetails zu fragen, durch die Mülleimer der Exekutive zu stöbern und normalerweise ohne Wissen und Zustimmung der Ziele zu brechen und einzugeben. Nur die Eigentümer, CEOs und Vorstandsmitglieder (Beteiligten), die um eine solche Sicherheitsüberprüfung dieser Größenordnung gefragt haben, sind sich bewusst. Um zu versuchen, einige der zerstörerischen Techniken zu replizieren, die ein echter Angriff anwenden könnte, können ethische Hacker geklonte Testsysteme organisieren oder einen Hack spät in der Nacht organisieren, während Systeme weniger kritisch sind.[11] In jüngsten Fällen verewigen diese Hacks für die langfristige Betrügerin (Tage, wenn nicht Wochen der langfristigen menschlichen Infiltration in eine Organisation). Einige Beispiele sind das Verlassen USB/Flash-Key-Laufwerke mit versteckter Auto-Start-Software in einem öffentlichen Bereich, als würde jemand die kleine Fahrt verloren und ein ahnungsloser Mitarbeiter es gefunden und nahm.
Einige andere Methoden zur Durchführung von diesen umfassen:
- Festplatten- und Gedächtnis -Forensik
- DOS -Angriffe
- Frameworks wie:
- Netzwerksicherheit
- Reverse engineering
- Sicherheitsscanner wie:
- Soziale Entwicklung Taktik
- Trainingsplattformen
- Verwundbarkeitsforschung
Diese Methoden identifizieren und Ausbeuten Bekannte Sicherheit Schwachstellen und versuchen, sich der Sicherheit zu entziehen, um den Einstieg in gesicherte Bereiche zu erhalten. Sie können dies tun, indem sie Software und System „Back-Doors“ verstecken, die als Link zu Informationen oder Zugriff verwendet werden können will erreichen.
Rechtmäßigkeit in Großbritannien
Struan Robertson, Rechtsdirektor bei Pinsent Masons LLP und Herausgeber von Herausgeber von Out-law.com, sagt: "Im Allgemeinen ist das Hacking ethisch und legal, wenn der Zugang zu einem System genehmigt ist. Wenn dies nicht der Fall ist, gibt es eine Straftat unter dem Computermissbrauchsgesetz. Die nicht autorisierte Zugriffsdelikte deckt alles ab, vom Erraten des Passworts über den Zugriff auf das Webmail -Konto einer anderen, bis hin zur Sicherheit der Sicherheit einer Bank. Die maximale Strafe für den unbefugten Zugang zu einem Computer beträgt zwei Jahre Gefängnis und eine Geldstrafe. Es gibt höhere Strafen - bis zu 10 Jahre Gefängnis -, wenn der Hacker auch Daten ändert. " für das Allgemeinwohl. Auch wenn es das ist, was Sie glauben. "[3]
Beschäftigung
Die Vereinigten Staaten Nationale Sicherheitsbehörde Bietet Zertifizierungen wie das CNSS 4011 an. Eine solche Zertifizierung umfasst ordentliche, ethische Hacking-Techniken und Teammanagement. Aggressor -Teams heißen "rote" Teams. Verteidiger Teams heißen "blaue" Teams.[7] Wenn die Agentur bei rekrutierten Def con Im Jahr 2012 versprach es den Bewerbern, dass "wenn Sie ein paar haben, sollen wir sagen, Indiskretionen Seien Sie in Ihrer Vergangenheit nicht alarmiert. Sie sollten nicht automatisch davon ausgehen, dass Sie nicht eingestellt werden.[12]
Ein guter "weißer Hut" ist ein wettbewerbsfähiger geschickter Mitarbeiter für ein Unternehmen, da sie ein sein können Gegenmaßnahme um das zu finden Käfer Um die Enterprise -Netzwerkumgebung zu schützen. Ein guter "weißer Hut" könnte daher unerwartete Vorteile bei der Verringerung des Risikos über Systeme, Anwendungen und Endpunkte für ein Unternehmen bringen.[13]
Siehe auch
Verweise
- ^ "Was ist weißer Hut? - Eine Definition von Whatis.com". Searchsecurity.techtarget.com. Abgerufen 2012-06-06.
- ^ Ward, Mark (14. September 1996). "Sabotage im Cyberspace". Neuer Wissenschaftler. 151 (2047).
- ^ a b Knight, William (16. Oktober 2009). "Lizenz zum Hacken". Infosesicherheit. 6 (6): 38–41. doi:10.1016/s1742-6847 (09) 70019-9.
- ^ Filiol, Eric; Mercaldo, Francesco; Santone, Antonella (2021). "Eine Methode für automatische Penetrationstests und Minderung: Ein Red Hat -Ansatz". Verfahren Informatik. 192: 2039–2046. doi:10.1016/j.Procs.2021.08.210. S2CID 244321685.
- ^ Wilhelm, Thomas; Andress, Jason (2010). Ninja -Hacking: Taktik und Techniken für unkonventionelle Penetrationstests. Elsevier. S. 26–7. ISBN 9781597495899.
- ^ "Was ist der Unterschied zwischen schwarzen, weißen und grauen Hackern". Norton.com. Norton Sicherheit. Abgerufen 2. Oktober 2018.
- ^ a b "Was ist ein weißer Hut?". Secpoint.com. 2012-03-20. Abgerufen 2012-06-06.
- ^ a b Palmer, C.C. (2001). "Ethisches Hacken" (PDF). IBM Systems Journal. 40 (3): 769. doi:10.1147/sj.403.0769.
- ^ Paul A. Karger, Roger R. Scherr (Juni 1974). Multics -Sicherheitsbewertung: Sicherheitsanalyse (PDF) (Bericht). Abgerufen 12. November 2017.
{{}}
: CS1 Wartung: Verwendet Autorenparameter (Link) - ^ McLellan, Vin (1981-07-26). "Fall des purlozierten Passworts". Die New York Times. Abgerufen 11. August 2015.
- ^ Justin Seitz, Tim Arnold (14. April 2021). Black Hat Python, 2. Ausgabe: Python -Programmierung für Hacker und Pentesters. ISBN 978-1718501126.
- ^ "Achtung Def con® 20 Teilnehmer". Nationale Sicherheitsbehörde. 2012. archiviert von das Original Am 2012-07-30.
- ^ Caldwell, Tracey (2011). "Ethische Hacker: Anziehen des weißen Hutes". Netzwerksicherheit. 2011 (7): 10–13. doi:10.1016/s1353-4858 (11) 70075-7. ISSN 1353-4858.