White hat
White hat (etický hacker) je hovorový název pro hackera nebo specialistu na počítačovou bezpečnost, který se zaměřuje na penetrační a další testy pro zajištění bezpečnosti informačních systémů. Termín etický hacker byl vytvořen firmou IBM a zahrnuje více kategorií než jen penetrační testování. White hat také pracují jako sneakers, red teams nebo tiger teams.
Historie
editovatJedním z prvních případů, kdy byli využiti etičtí hackeři, bylo hodnocení bezpečnosti operačního systému Multics na potenciální využití tohoto systému jako dvojúrovňový systém (tajné/přísně tajné). Tento test byl proveden letectvem Spojených států. Autoři prováděli reálné testy, takže jejich výsledky mohly věrohodně reprezentovat druhy přístupů, které by mohl útočník získat. Prováděli jak testy na pouhý sběr dat, tak testy na poškození systému. Je zřejmé, že zadavatele zajímaly oba výsledky.
Je i několik dalších zpráv, které popisují využití etických hackerů pro účely armády Spojených států. Myšlenka použít tuto taktiku na testování bezpečnosti systémů pochází od Dana Farmera a Wietse Venema. S cílem zajistit celkovou bezpečnost Internetu a Intranetů popisovali, jak získat dostatek informací o cíli, aby mohli narušit jeho bezpečnost, kdyby chtěli. Poskytli několik informací o tom, jak mohou být tato data sbírána a využívána k získání kontroly nad cílem, ale také, jak se dám těmto útokům předejít. Shromáždili všechna data, která používali, zabalili je do jednoduché aplikace a vystavili volně ke stažení. V roce 1992 vyvolal jejich program Security Administrator Tool for Analyzing Networks, neboli SATAN, obrovský zájem světových médií.
Taktika
editovatZatímco se penetrační testování zaměřuje cílový software nebo systém systematicky, například skenováním portů nebo zkoumáním známých vad, etičtí hackeři, přestože pravděpodobně tyto techniky také použijí, nejsou jimi omezeni. Plnohodnotný útok etického hackera může obsahovat také e-mailové vyžádání hesla, prohledávání odpadků vedoucího, dokonce i vloupání, všechno samozřejmě s vědomím a souhlasem zadavatele. Na vyzkoušení některých nebezpečných technik využívají etičtí hackeři testovací klony systémů nebo útok provedou pozdě v noci, kdy jsou systémy méně kritické.
Příklad některých dalších metod:
- DoS útok
- Taktika sociálního inženýrství
- W3af, Nessus, Nexpose
- Metasploit
- a další
Legálnost ve Velké Británii
editovatStruan Robertson, právní ředitel Masons LLP a redaktor OUT-LAW.com, řekl: „Obecně řečeno, je-li přístup k systému oprávněný, je hacking etický a legální. Pokud tomu tak není, je to trestný čin podle zákona o zneužívání počítačů. Neoprávněným přístupem se myslí vše, počínaje hádáním hesla, přes přístup k cizímu mailovému účtu po narušení bezpečnosti banky. Maximální trest je dva roky odnětí svobody a pokuta. Existují i vyšší tresty, až 10 let vězení, pokud hacker pozmění data.“ Neoprávněný přístup i za účelem odhalení slabých míst ve prospěch jiných není legální, říká Robertson. „V našich zákonech není žádná ochrana, že to děláte pro větší dobro, i když tomu sami věříte.“
Zaměstnání
editovatNárodní bezpečnostní agentura Spojených států uděluje certifikáty jako CNSS 4011. Takovéto označení se vztahuje na řádné techniky etického hackování. Týmy útočníků se nazývají červené týmy, týmy obránců modré.
Seznam předních white hat hackerů
editovatReference
editovatV tomto článku byl použit překlad textu z článku White hat (computer security) na anglické Wikipedii.