Білий капелюх (англ. white hat) — термін, яким позначають хакера або експерта з комп'ютерної безпеки, який спеціалізується на тесті на проникнення і інших перевірках інформаційних систем. Багато джерел помилково пов'язують хакерську етику лише з білими капелюхами, хоча це поняття є ширшим. Назва як чорних, так і білих капелюхів походить з вестернів, де [en]. Білі хакери шукають уразливості на добровільній основі або за плату з метою допомогти розробникам зробити їх продукт більш захищеним. Тому важливим є уникнення негативної конотації слова хакер, оскільки їх діяльність не обов'язково передбачає порушення законодавства. Сам термін хакер — це швидше спеціаліст високого рівня з роботи інформаційних систем. Тому доцільніше говорити про «етичних» хакерів і кіберзлочинців.
Білі капелюхи працюють у командах, що називаються: «sneakers», червоні команди (англ. Red team) та [en] (англ. Tiger team).
Історія
Першою атакою білих капелюхів можна вважати «перевірку безпеки» операційної системи Multics, проведену повітряними силами США для подальшого «використання її, як дворівневої (таємної/дуже таємної) системи». За результатами тестування Multics виявилась «значно краще, ніж інші системи», але також вона мала «…вразливості в апаратній безпеці, безпеці програмного забезпечення та процедурній безпеці». Ці недоліки можна було виявити за допомогою «відносно малої кількості зусиль». Атака проводилась в умовах, близьких до реальності, тому і результати показали ті вразливості, через які надалі міг відбутися напад. Учасники атаки виконували як напади для збору даних, так і прямі атаки, які могли б пошкодити систему.
Існує декілька відкритих звітів, що описують хакерську етику збройних сил США.
До 1981 року Нью-Йорк Таймс описував білих капелюхів, як «шкідливу, але хибно позитивну хакерську традицію». Коли співробітник [en] виявив можливість злому пароля, яку він використовував проти клієнтів, компанія покарала його не за сам злом, а за те, що не повідомив про це раніше. В листі про догану зазначено, що компанія «…заохочує працівників виявляти слабкі місця у програмному забезпеченні».
Вперше ідею перевірки безпеки за допомогою злому сформулювали Ден Фармер та [en]. Маючи на меті покращити рівень безпеки Інтернету та Інтранету, вони описували те, як вони збирали достатню кількість інформації про свою ціль, щоб поставити її під загрозу. Також вони навели декілька конкретних прикладів, як цю інформацію можна використати для того, щоб отримати контроль над ціллю, та як запобігти такому нападу. Потім вони зібрали все, що було використано ними для нападу, в один файл і виклали його в відкритий доступ. Їх програма отримала назву [en], або просто SATAN. У 1992 році ця подія була популярною темою у ЗМІ.
Тактика
До поширених методів атак належать:
- DoS-атаки
- метод соціальної інженерії
- [en]
- Nessus
- Metasploit
Діяльність
Іноді компанії оголошують так звані «конкурси» на виявлення помилок в програмі, використовуючи програму Bug Bounty, що дозволяє як чорним, так і білим хакерам діяти цілком легально і без шкоди для компанії, щороку проводиться сотні таких конкурсів з можливістю заробити сотні тисяч доларів. Зазвичай білі хакери працюють в ІТ компаніях, що займаються кібербезпекою, використовуючи «тестування на проникнення» з метою знайти уразливі ділянки програмного забезпечення клієнта, це вимагає високого рівня навичок і знань, тому їх кількість дуже незначна.
Білий хакінг в Україні
Цей розділ потребує доповнення. (Квітень 2018) |
Див. також
Джерела
- . Searchsecurity.techtarget.com. Архів оригіналу за 1 лютого 2011. Процитовано 6 червня 2012.
- Ward, Mark (14 вересня 1996). [http://www.newscientist .com/article/mg15120471-700-sabotage-in-cyberspace-the-threat-to-national-security-from-computer-terrorists-is-vastly-overblown-most-hackers-are-after-nothing-more-than-an-intellectual-thrill/ Sabotage in cyberspace]. New Scientist. 151 (2047).[недоступне посилання з червня 2019]
- Knight, William (16 жовтня 2009). . InfoSecurity. 6 (6): 38—41. doi:10.1016/s1742-6847(09)70019-9. Архів оригіналу за 9 січня 2014. Процитовано 1 квітня 2018.
- Wilhelm, Thomas; Andress, Jason (2010). . Elsevier. с. 26—7. Архів оригіналу за 23 березня 2019. Процитовано 1 квітня 2018.
- Зануда, Анастасія (22 жовтня 2018). (брит.). Архів оригіналу за 13 квітня 2019. Процитовано 2 листопада 2019.
- . indevlab.com (ru-RU) . Архів оригіналу за 18 жовтня 2019. Процитовано 16 листопада 2019.
- Зануда, Анастасія (22 жовтня 2018). (брит.). Архів оригіналу за 13 квітня 2019. Процитовано 16 листопада 2019.
- Malik, Keshav (13 грудня 2021). . www.getastra.com (амер.). Архів оригіналу за 8 січня 2022. Процитовано 8 січня 2022.
- . Secpoint.com. 20 березня 2012. Архів оригіналу за 2 травня 2019. Процитовано 6 червня 2012.
- Palmer, C.C. (2001). (PDF). IBM Systems Journal. 40 (3): 769. doi:10.1147/sj.403.0769. Архів оригіналу (PDF) за 2 травня 2019. Процитовано 1 квітня 2018.
- Paul A. Karger, Roger R. Scherr (June 1974). (PDF) (Звіт). Архів оригіналу (PDF) за 13 листопада 2017. Процитовано 12 листопада 2017.
- McLellan, Vin (26 липня 1981). . The New York Times. Архів оригіналу за 7 березня 2016. Процитовано 11 August 2015.
- . indevlab.com (укр.). Архів оригіналу за 16 листопада 2019. Процитовано 16 листопада 2019.
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Bilij kapelyuh angl white hat termin yakim poznachayut hakera abo eksperta z komp yuternoyi bezpeki yakij specializuyetsya na testi na proniknennya i inshih perevirkah informacijnih sistem Bagato dzherel pomilkovo pov yazuyut hakersku etiku lishe z bilimi kapelyuhami hocha ce ponyattya ye shirshim Nazva yak chornih tak i bilih kapelyuhiv pohodit z vesterniv de en Bili hakeri shukayut urazlivosti na dobrovilnij osnovi abo za platu z metoyu dopomogti rozrobnikam zrobiti yih produkt bilsh zahishenim Tomu vazhlivim ye uniknennya negativnoyi konotaciyi slova haker oskilki yih diyalnist ne obov yazkovo peredbachaye porushennya zakonodavstva Sam termin haker ce shvidshe specialist visokogo rivnya z roboti informacijnih sistem Tomu docilnishe govoriti pro etichnih hakeriv i kiberzlochinciv Bili kapelyuhi pracyuyut u komandah sho nazivayutsya sneakers chervoni komandi angl Red team ta en angl Tiger team IstoriyaPershoyu atakoyu bilih kapelyuhiv mozhna vvazhati perevirku bezpeki operacijnoyi sistemi Multics provedenu povitryanimi silami SShA dlya podalshogo vikoristannya yiyi yak dvorivnevoyi tayemnoyi duzhe tayemnoyi sistemi Za rezultatami testuvannya Multics viyavilas znachno krashe nizh inshi sistemi ale takozh vona mala vrazlivosti v aparatnij bezpeci bezpeci programnogo zabezpechennya ta procedurnij bezpeci Ci nedoliki mozhna bulo viyaviti za dopomogoyu vidnosno maloyi kilkosti zusil Ataka provodilas v umovah blizkih do realnosti tomu i rezultati pokazali ti vrazlivosti cherez yaki nadali mig vidbutisya napad Uchasniki ataki vikonuvali yak napadi dlya zboru danih tak i pryami ataki yaki mogli b poshkoditi sistemu Isnuye dekilka vidkritih zvitiv sho opisuyut hakersku etiku zbrojnih sil SShA Do 1981 roku Nyu Jork Tajms opisuvav bilih kapelyuhiv yak shkidlivu ale hibno pozitivnu hakersku tradiciyu Koli spivrobitnik en viyaviv mozhlivist zlomu parolya yaku vin vikoristovuvav proti kliyentiv kompaniya pokarala jogo ne za sam zlom a za te sho ne povidomiv pro ce ranishe V listi pro doganu zaznacheno sho kompaniya zaohochuye pracivnikiv viyavlyati slabki miscya u programnomu zabezpechenni Vpershe ideyu perevirki bezpeki za dopomogoyu zlomu sformulyuvali Den Farmer ta en Mayuchi na meti pokrashiti riven bezpeki Internetu ta Intranetu voni opisuvali te yak voni zbirali dostatnyu kilkist informaciyi pro svoyu cil shob postaviti yiyi pid zagrozu Takozh voni naveli dekilka konkretnih prikladiv yak cyu informaciyu mozhna vikoristati dlya togo shob otrimati kontrol nad cillyu ta yak zapobigti takomu napadu Potim voni zibrali vse sho bulo vikoristano nimi dlya napadu v odin fajl i viklali jogo v vidkritij dostup Yih programa otrimala nazvu en abo prosto SATAN U 1992 roci cya podiya bula populyarnoyu temoyu u ZMI TaktikaDo poshirenih metodiv atak nalezhat DoS ataki metod socialnoyi inzheneriyi en Nessus Metasploit Diyalnist Inodi kompaniyi ogoloshuyut tak zvani konkursi na viyavlennya pomilok v programi vikoristovuyuchi programu Bug Bounty sho dozvolyaye yak chornim tak i bilim hakeram diyati cilkom legalno i bez shkodi dlya kompaniyi shoroku provoditsya sotni takih konkursiv z mozhlivistyu zarobiti sotni tisyach dolariv Zazvichaj bili hakeri pracyuyut v IT kompaniyah sho zajmayutsya kiberbezpekoyu vikoristovuyuchi testuvannya na proniknennya z metoyu znajti urazlivi dilyanki programnogo zabezpechennya kliyenta ce vimagaye visokogo rivnya navichok i znan tomu yih kilkist duzhe neznachna Bilij haking v UkrayiniCej rozdil potrebuye dopovnennya Kviten 2018 Div takozhRizik informacijna bezpeka Hakerska etika Bug Bounty Polyuvannya na kiberzagrozi Sirij kapelyuh Chornij kapelyuhDzherela Searchsecurity techtarget com Arhiv originalu za 1 lyutogo 2011 Procitovano 6 chervnya 2012 Ward Mark 14 veresnya 1996 http www newscientist com article mg15120471 700 sabotage in cyberspace the threat to national security from computer terrorists is vastly overblown most hackers are after nothing more than an intellectual thrill Sabotage in cyberspace New Scientist 151 2047 nedostupne posilannya z chervnya 2019 Knight William 16 zhovtnya 2009 InfoSecurity 6 6 38 41 doi 10 1016 s1742 6847 09 70019 9 Arhiv originalu za 9 sichnya 2014 Procitovano 1 kvitnya 2018 Wilhelm Thomas Andress Jason 2010 Elsevier s 26 7 Arhiv originalu za 23 bereznya 2019 Procitovano 1 kvitnya 2018 Zanuda Anastasiya 22 zhovtnya 2018 brit Arhiv originalu za 13 kvitnya 2019 Procitovano 2 listopada 2019 indevlab com ru RU Arhiv originalu za 18 zhovtnya 2019 Procitovano 16 listopada 2019 Zanuda Anastasiya 22 zhovtnya 2018 brit Arhiv originalu za 13 kvitnya 2019 Procitovano 16 listopada 2019 Malik Keshav 13 grudnya 2021 www getastra com amer Arhiv originalu za 8 sichnya 2022 Procitovano 8 sichnya 2022 Secpoint com 20 bereznya 2012 Arhiv originalu za 2 travnya 2019 Procitovano 6 chervnya 2012 Palmer C C 2001 PDF IBM Systems Journal 40 3 769 doi 10 1147 sj 403 0769 Arhiv originalu PDF za 2 travnya 2019 Procitovano 1 kvitnya 2018 Paul A Karger Roger R Scherr June 1974 PDF Zvit Arhiv originalu PDF za 13 listopada 2017 Procitovano 12 listopada 2017 McLellan Vin 26 lipnya 1981 The New York Times Arhiv originalu za 7 bereznya 2016 Procitovano 11 August 2015 indevlab com ukr Arhiv originalu za 16 listopada 2019 Procitovano 16 listopada 2019