Etické hackování a penetrační testování

V moderním světě existuje mnoho platebních systémů, sociálních sítí a webů, které vyžadují registraci osobních údajů uživatelů, včetně čísel platebních karet, telefonů a e-mailu. Používá to spoustu podvodníků, lámání a krádež peněz z účtů, hledání dat pro spam a phishing. Proto chcete-li chránit data vašeho účtu, musíte pravidelně testovat bezpečnostní systémy pro stránky nebo službu na určitou úroveň, abyste chránili své účty. Za tímto účelem bylo vytvořeno "bílé" nebo etické hackování. Specialisté v kybernetickou bezpečnost v této oblasti hledají mezery v systémech, které zajišťují bezpečnost webu, stahování dat. Správa a majitelé stránek jsou v tomto případě hostitelem soutěží pro hackery, kteří se pokoušejí přerušit své služby za finanční odměnu. Proto je etické hackování (CEH - populární zdroj pro jeho studium) populární.


Chyba lovu
Etické hackování je forma hackingu, která je schválena zákonem a jejímž cílem je vyhledávání ohrožených oblastí systému. To je děláno pro nalezení "průlomů" a apelovat na ně vývojáři. Tím se výrazně zvyšuje úroveň ochrany. Jsou zapojeni do těchto "bílých" hackerů, které v britských zemích nesou název bílý klobouk. Druhou aktivitou jsou protikladní zloději, kteří hledají možnost kompromitovat a prodávat data nebo "sloučit" s konkurenty. Titul takových hackerů je slang - černý klobouk. Tato činnost je zakázána zákonem a trestá.

Činnost

Podle specifik aktivit "bílé" hackeři rozlišují uzavřené a otevřené soutěže. Odlišují se z hlediska plateb, počtu a úrovně kvalifikace účastníků. V prvním případě se jednalo o velký počet mladých profesionálů, kteří byli povoláni na základě obdržených studijních certifikátů. Ve druhém případě správa struktury vybírá tým hackerů z odborníků.


Nejběžnějším způsobem získávání peněz pro odborníky v oblasti kybernetické bezpečnosti je technikou odškodnění chyby. Jedná se o systém pro nalezení chyb kódu, které snižují maximální úroveň zabezpečení. To umožňuje vývojářům včas najít a odstranit chyby kódu v produktech. Zločinci, kteří hackují a šíří ohrožující data o webech a službách a jejich uživatelé, tak nebudou mít šanci. Je to způsobeno oficiálním zveřejněním údajů od vývojářů o vyhlášení soutěže o nalezení chyb a zranitelností v systému. Nejčastěji to souvisí s vyhlášením peněžních odměn. V závislosti na složitosti systému se cena peněz odpovídajícím způsobem zvyšuje. Pak otevřená zdrojová struktura začíná být zkoumána programátory a hackery pro chyby kódu a schopnost získat zašifrované údaje. Při otevřeném programu jsou všechna data o systému zveřejněna na internetu.

Uzavřená soutěž

Existuje však také uzavřený typ testování. V tomto případě vybere vývojový tým určitou skupinu soutěžících pro strukturu nebo systém hackerů. Sada specialistů v kybernetické bezpečnostise provádí na základě souhrnného a konkurenčního výběru. Každému účastníkovi se zašle pozvánka. Často je takové povolání doprovázeno základním zaměstnáním. Taková práce často provádějí programátoři, kteří vyvíjejí anti-virus a jiní, kteří mají chránit. Etické hackování a penetrační testování jsou dodatečným příjmem pro mnoho programátorů. Existují velké soutěže, které vám umožňují vydělávat až milión pro systémy na vysoké úrovni.

Platformy

Existují platformy pro kontakt mezi vývojáři krádeže a softwaru. Dvě nejpopulárnější jsou HackerOne a Bugcrowd. Ve skutečnosti jsou tyto systémy místem, kde mohou kontaktovat vývojáři a odborníci na bezpečnost počítačů. Tímto způsobem jsou místem agregace IT prostředí. Registrovaní a certifikovaní pracovníci mohou najít požadovanou úroveň struktury. Několik set tisíc profesionálů z celého světa se účastní programů. Kromě soukromých společností, které se zabývají vývojem zakázkových programů, jsou podobné objednávky vydávány vládními agenturami. Americká centrála obrany Pentagonu proto spustila platformu HackerOne "Hack Pentagon" pro svůj vlastní program.

Platba

Za zjištění slabých míst v jejich systémech platí vysoké poplatky. V závislosti na složitosti a úrovni ochranné konstrukce může platba překročit několik tisíc dolarů. Podle statistik globální společnosti HackerOne průměrná platba za zjištěnou chybu nebo slabé místo přesáhla 1.800 dolarů. V posledních letech se společnost rozvíjíplacených "bílých" hackerů více než 20 milionů dolarů.

Historie

První model Bug Bounty byl představen americkou společností Netscape Communications Corporations. Jednalo se o vzhled služby na počátku devadesátých let minulého století, který zaplatil za vyhledávání v síti zranitelných oblastí a kritických chyb v prohlížeči. Společnost zjistila, že používání profesionálů z řad třetích stran z celého světa může najít problémy v kódu mnohem rychleji, než při dlouhodobém testování a používání omezeného počtu pracovníků počítačové bezpečnosti. Tato myšlenka se rychle rozšířila a do roku 2000 se začala vztahovat na mnoho firem zabývajících se IT oblastí. V Rusku a v zemích SNS tento model také používá. Často hledají pomoc velkých společností a vládních agentur z kybernetické bezpečnosti a sušenky. Byl spuštěn program pro nalezení chyb a kritických chyb ve veřejných IT systémech. Odhadovaný rozpočet centralizovaného programu by měl činit 800 milionů rublů. Podle statistických studií se etické hackování stalo výhodnější než zlo.

Když mohou být třídy kriminalizovány

Při absenci korporace nebo služby se program Bug Bounty nevědomky zabývá hackováním systému. Byly tam případy, kdy "bílý" hacker, když zjistil chybu a hlásil o své společnosti, namísto ceny obdržel předvolání policii. V tomto případě programátoři často ukončují vězeňské podmínky. Je proto nevítáno hledat chyby ve službách, které nemají oficiální program Bug.

Také může být etické hackování a testovánínebezpečné. Ale pouze pokud je program Bug Bounty zneužit nebo překročen. Takže pro odborníka na etické hackery, který našel několik kritických trhlin v systému Instagram, který umožnil přístup k uživatelům dat a nástrojům, se to stalo nepříjemným překvapením. Úředníci společnosti byli obviněni z porušení zásad programu pro zjištění chyb. "Bílý" hacker vysvětlil, že nemá právo dotknout se důvěrných informací a systémových dat. V důsledku toho byla zaplacena jen část práce a pokud by nedošlo k žádným zásahům médií - do mříže by byl poslán odborník. Proto se doporučuje seznámit se s podmínkami licenční smlouvy před zahájením práce. Nedodržení takového možného stíhání.

Vyučování etického hackování

Zlo bezpečnostních systémů v posledních letech se stalo ziskovými povoláními. Stále více programátorů, administrátorů systémů a odborníků na kybernetickou bezpečnost se zabývá tím. Existuje velký počet kurzů, školení online a místa pro praxi. Níže jsou některé stránky, kde se můžete naučit a procvičovat dovednosti cracker. V mnoha ohledech lze díky popularitě etického hackingu bezpečně využívat torrenty a sociální sítě.

Google Gruyere

Místo je určeno pro začátečníky. Zvláště přidává do zabezpečení velké množství otvorů, abyste se dozvěděli:
  • jak najít problémy v systému ochrany webu a programu;
  • , jak podvodníci používají odlišnéwebové nástroje;
  • jak poskytnout ochranu před zločinci, kteří se chtějí dostat k datům webu a uživatelům.
  • Hack Toto

    Vývoj webu byl speciálně navržen tak, aby naučil začátečníky v "bílé" vloupání. Kurzy učení na zdroji budou schopny naučit dumping, rozhraní a ochranu před hackery. Existuje progresivní rozsah složitosti. Tam je také fórum a chat pro komunikaci mezi profesionály a začátečníky. To dělá službu jedním z nejlepších pro odesílání nových metod a mailing.

    Hellbound Hackers

    Služba je navržena tak, aby zpracovala praktický přístup. Byla vytvořena pro řešení velkého počtu exploitů. Na tomto zdroji je školení pro jejich identifikaci a eliminaci. Hellbound Hackers je považován za nejlepší školicí místo poskytované na internetu. Počet registrovaných účtů přesahuje 100 tisíc. Tímto způsobem můžete zdokonalit své dovednosti a získat status specialisty na etické hackery.

    Související publikace