Этичный хакер
Эти́чный ха́кер, также на сетевом сленге «бе́лая шля́па», «белошляпник» (от англ. «white hat») — специалист действия которого вокруг (критических) инфраструктур нацелены на их исследование, личное самообразование и не ведут к нанесению прямого ущерба их владельцам или собственникам, а также выгоде или прибыли для хакера без ведома владельцев атакуемых инфраструктур. Такие специалисты часто (но необязательно) работают экспертами в сфере информационной безопасности. Когда этичный хакер действует на основании договора с владельцем инфраструктуры, можно говорить о профессии, и в этом случае таких специалистов принято называть пентестерами (от англ. «penetration test», дословно — испытание на проникновение)[1][2].
Ответственность
Деятельность этичного хакера является пограничной, а законодательство не различает хакеров «по шляпам», поэтому действия этичного хакера подпадают под статьи 272 (Неправомерный доступ к компьютерной информации)[3], 273 (Создание, использование и распространение вредоносных программ для ЭВМ)[4] и 274 (Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети)[5] УК РФ.
3 февраля 2012 года Правительство РФ утвердило постановление №79 «О лицензировании деятельности по технической защите конфиденциальной информации», согласно которому любая деятельность по тестированию возможностей проникновения в критические инфраструктуры может осуществляться только организациями имеющими лицензию ФСТЭК на ТЗКИ (техническая защита конфиденциальной информации)[6][7].
История
Одним из первых примеров этического взлома была «проверка безопасности» OC Multics, проведенная в ВВС США. Их оценка показала, что «безопасность Multics была значительно выше, чем у других систем в то время». Они провели тесты, направленные на сбор информации, а также непосредственные атаки на безопасность ОС, направленные на вывод её из строя. Также известно о других этических взломах в вооруженных силах США, официальных отчетов о которых не опубликовано.
Идея использования методик «этического взлома» с целью повышения безопасности в Интернете и локальных сетях была предложена Dan Farmer и Wietse Venema. Они вручную проанализировали множество систем с целью получения данных и контроля над жертвой. После чего они собрали все инструменты, которые они использовали для взлома в одной программе. Их программа получила название SATAN или «инструмент администратора безопасности для анализа сетей» (англ. Security Administrator Tool for Analyzing Networks).
Известные этичные хакеры
- Eric Corley[англ.]
- Przemysław Frasunek[англ.]
- Raphael Gray[англ.]
- Barnaby Jack[англ.]
- Митник, Кевин (Kevin Mitnick)
- Agha S (Агха С)
- Моррис, Роберт Тэппэн (Robert Tappan Morris)
- Поулсен, Кевин (Kevin Poulsen)
Ссылки
- Испытание на проникновение
- Пентестер: суть профессии, востребованность, зарплата и другие нюансы // Хабр (12 февраля 2022)
- Этичное хакерство как инструмент управления рисками // Альфастрахование, Институт Риска (31 марта 2022)
Примечания
- ↑ Музалевский Федор Александрович. Что такое пентест (pentest) и кто такой пентестер?. RTM Group.
- ↑ Кто такой этичный хакер?. Хабр (15 августа 2022).
- ↑ УК РФ Статья 272. Неправомерный доступ к компьютерной информации. КонсультантПлюс.
- ↑ УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ. КонсультантПлюс.
- ↑ УК РФ Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей. КонсультантПлюс.
- ↑ ФСТЭК опредилилась с тем, что такое ТКЗИ. SecurityLab (8 февраля 2012).
- ↑ Постановление №79 от 3 февраля 2012 года. ФСТЭК (3 февраля 2012).