V sodobnem svetu obstaja veliko plačilnih sistemov, socialnih omrežij in spletnih mest, ki zahtevajo registracijo osebnih podatkov uporabnikov, vključno s številkami plačilnih kartic, telefoni in elektronsko pošto. To uporablja veliko scammers, zlom in krajo denarja iz računov, išče podatke za spam in phishing. Da bi zaščitili svoje podatke o računu, morate zato za določeno raven redno preskušati varnostne sisteme spletnega mesta ali storitev, da zaščitite svoje račune. V ta namen je bil ustvarjen "beli" ali etični vdor. Strokovnjaki za kibernetsko varnost na tem področju iščejo vrzeli v sistemih, ki zagotavljajo varnost mesta, prenašajo podatke. Administracija in lastniki mest v tem primeru gostijo tekmovanja za hekerje, ki poskušajo prekiniti svojo storitev za denarno nagrado. Zato je postal etični hacking (CEH - priljubljen vir za njegovo proučevanje) priljubljen.
Lov na hrošče
Etično hekanje je oblika taksiranja, ki je zakonsko odobrena, s čimer se iščejo iskanja ranljivih območij sistema. To je storjeno, da bi našli "preboj" in pritožba na njih razvijalci. Na ta način se raven zaščite bistveno poveča. Ukvarjajo se s temi "belimi" hekerji, ki v britanskih državah nosijo ime bel klobuk. Po vrsti dejavnosti nasprotujejo tatovi, ki iščejo sposobnost kompromisa in prodaje podatkov ali "združitve" s konkurenti. Naslov takih hekerjev je sleng - črn klobuk. Ta dejavnost je zakonsko prepovedana in kazniva.
Dejavnost
Glede na posebnosti dejavnosti "bele" hekerji razlikujejo zaprta in odprta tekmovanja. Razlikujejo se glede plačila, števila in ravni kvalifikacij udeležencev. V prvem primeru je sodelovalo veliko število mladih strokovnjakov, ki so dovoljeni na podlagi prejetih študijskih potrdil. V drugem primeru uprava strukture izbere ekipo hekerjev od strokovnjakov.
Najpogostejši način za pridobivanje denarja za strokovnjake za kibernetsko varnost je tehnika žuželk. To je sistem za iskanje napak kod, ki zmanjšujejo najvišjo raven varnosti. To razvijalcem omogoča pravočasno iskanje in odpravo napak v izdelkih. Tako storilci kaznivih dejanj, ki povzročajo hekanje in širjenje ogroženih podatkov o spletnih mestih in storitvah ter njihovim uporabnikom, ne bodo imeli možnosti. Razlog za to je uradna objava podatkov razvijalcev o napovedi natečaja za iskanje napak in ranljivosti v sistemu. To je najpogosteje povezano z napovedjo denarnih nagrad. Glede na kompleksnost sistema se denarna nagrada ustrezno poveča. Nato programatorji in hekerji preučujejo odprto izvorno strukturo za napake v kodi in zmožnost pridobivanja šifriranih podatkov. Z odprtim programom so vsi podatki v sistemu objavljeni na internetu.
Zaprta konkurenca
Vendar pa obstaja tudi zaprta vrsta testiranja. V tem primeru razvojna ekipa izbere določeno skupino tekmovalcev za hekersko strukturo ali sistem. Niz strokovnjakov za kibernetsko varnostpoteka na podlagi povzetka in konkurenčne izbire. Vsakemu udeležencu se pošlje povabilo. Pogosto je takšen poklic temeljni poklic. Takšno delo pogosto delajo programerji, ki razvijajo anti-virus in druge za zaščito. Etični hekerski in penetracijski testi so dodaten prihodek za mnoge programerje. Obstajajo velika tekmovanja, ki vam omogočajo, da zaslužite do milijon za sisteme na visoki ravni.
Platforme
Obstajajo platforme za stike med tatvino in razvijalci programske opreme. Najbolj priljubljena sta HackerOne in Bugcrowd. Pravzaprav so ti sistemi prostor, na katerem se lahko obrnejo razvijalci in strokovnjaki za računalniško varnost. Tako so kraj agregacije informacijskega okolja. Registrirani in certificirani delavci lahko najdejo želeno raven strukture. V programih sodeluje več sto tisoč strokovnjakov z vsega sveta. Poleg zasebnih podjetij, ki sodelujejo pri razvoju programske opreme po meri, podobna naročila objavljajo tudi vladne agencije. Tako je ameriški štab za obrambo Pentagona lansiral platformo HackerOne "Hack The Pentagon" za svoj program.
Plačilo
Za iskanje ranljivosti v njihovih sistemih, plačajte visoke pristojbine. Odvisno od kompleksnosti in ravni zaščitne strukture lahko plačilo preseže več tisoč dolarjev. Po statističnih podatkih svetovne družbe HackerOne je povprečno plačilo za ugotovljeno napako ali šibko točko preseglo 1.800 USD. V zadnjih letih se podjetje razvijaplača "bele" hekerje več kot 20 milijonov dolarjev.
Zgodovina
Prvi model Bug Bounty je predstavil ameriško podjetje Netscape Communications Corporation. To je bil videz storitve v zgodnjih devetdesetih, ki je plačal za iskanje v omrežju ranljivih območij in kritičnih hroščev v brskalniku. Korporacija je ugotovila, da lahko s pomočjo tretjih strokovnjakov iz celega sveta težave v kodi najdemo veliko hitreje kot pri dolgoročnem testiranju in uporabi omejenega števila osebja kibernetske varnosti. Ta zamisel se je hitro razširila in do leta 2000 je začela veljati za številne korporacije, ki se ukvarjajo z IT. V Rusiji in državah SND tudi ta model uporabljajo. Pogosto iščejo pomoč od kibernetske varnosti in krekerjev do velikih podjetij in vladnih agencij. Začel se je program za iskanje napak in kritičnih napak v javnih informacijskih sistemih. Ocenjeni proračun centraliziranega programa naj bi znašal 800 milijonov rubljev. Po statističnih študijah je etično hekanje postalo bolj donosno kot zlo.
Kadar se lahko razredi kaznivega dejanja
V odsotnosti korporacije ali storitve, se program Bug Bounty nehote ukvarja s hekanjem sistema. Bili so primeri, ko je "beli" heker, ki je našel napako in poročal o svojem podjetju, namesto nagrade prejel poziv policiji. V tem primeru programerji pogosto odpovejo zaporne kazni. Zato je nezaželeno iskati napake v storitvah, ki nimajo uradnega programa za Bug.
Prav tako je lahko etično hekanje in testiranjenevarno. Ampak samo, če je program Bug Bounty zlorabljen ali presežen. Torej, za strokovnjaka za etično hekanje, ki je našel nekaj kritičnih razpok v sistemu Instagram, ki je omogočil dostop do podatkov in storitev, se je spremenilo v neprijetno presenečenje. Uradniki podjetja so bili obtoženi kršenja načel programa za iskanje napak. "Beli" heker je bil pojasnjen, da nima pravice do dotika zaupnih informacij in sistemskih podatkov. Posledično je bil plačan le del dela in če ni bilo posredovanja medijev, bi bil v mrežo poslan strokovnjak. Zato se je priporočljivo pred začetkom dela seznaniti s pogoji licenčne pogodbe. Neupoštevanje takega morebitnega pregona.
Učenje etičnega hekanja
Zla varnostnih sistemov v zadnjih letih so postali dobičkonosni poklici. Tako se vedno bolj ukvarja s programerji, sistemskimi administratorji in strokovnjaki za kibernetsko varnost. Obstaja veliko število tečajev, spletna usposabljanja in spletna mesta za vadbo. Spodaj so našteta nekatera spletna mesta, kjer se lahko naučite in vadite veščine krekerja. V mnogih pogledih, zahvaljujoč priljubljenosti etičnega hekanja, se lahko varno uporabljajo torrenti in socialna omrežja.
Google Gruyere
Spletna stran je namenjena začetnikom. Posebej doda veliko število lukenj v varnost, tako da lahko spoznaš:
kako najti težave v sistemu zaščite mesta in programa;
kako se goljufi uporabljajo drugačespletne storitve;
kako zagotoviti zaščito pred storilci kaznivih dejanj, ki želijo priti do podatkov o lokaciji in uporabnikih.
Hack This
Razvoj spletne strani je bil posebej zasnovan za učenje začetnikov v "beli" vlomi. Učni tečaji na viru bodo lahko poučevali damping, vmesnik in zaščito pred hekerji. Obstaja progresivna lestvica kompleksnosti. Obstaja tudi forum in klepet za komunikacijo med strokovnjaki in začetniki. Zaradi tega je storitev ena najboljših za objavljanje novih metod in pošiljanje.
Hekerji Hellbound
Storitev je zasnovana tako, da pripravi praktičen pristop. Ustvarjen je bil za obravnavo velikega števila izkoriščanja. Na tem viru je usposabljanje za njihovo identifikacijo in odpravo. Hellbound Hackers velja za najboljše spletno mesto za usposabljanje na internetu. Število registriranih računov presega 100 tisoč. Na ta način lahko izboljšate svoje znanje in pridobite status specialista za etično hekanje.
