Етично хакерство и тестване за проникване

Съдържание

В днешния свят има много платежни системи, сайтове за социални мрежи и уебсайтове, които изискват лични данни на потребителите за регистрация, включително номера на платежни карти, телефонни номера и електронна поща. Това се използва от много измамници за хакване и кражба на пари от сметки, намиране на данни за спам и фишинг. Ето защо, за да защитите данните от акаунтите си, трябва редовно да тествате системите за сигурност на сайта или услугата си на определено ниво, за да защитите акаунтите си.

За тази цел "бял" или етично хакерство. Експертите по киберсигурност в тази област търсят пробиви в сигурността на системите, които защитават сайта, изтеглят данни. След това администраторите и собствениците на сайтове организират състезания за специализирани хакери, които се опитват да хакнат услугата им срещу парична награда. Ето защо етичното хакерство (CEH е популярен ресурс за неговото изучаване) стана търсено.

Етични хакери

Лов на грешки

Етичното хакерство е законно одобрена форма на хакерство, при която се търсят уязвимости в системите. Това се прави, за да се намери "нарушения" и привличане на вниманието на разработчиците към тях. Те значително повишават нивото на защита. Те правят това "бял" хакери, които в английските страни се наричат white hat. По професия те се сблъскват с хакери, които искат да компрометират и продадат данни или "течове" конкуренти. Терминът на жаргон за такива хакери е "черна шапка". Тази дейност е незаконна и се наказва от закона.

дейности

В зависимост от специфичните дейности на "бял" хакерите правят разлика между затворени и отворени състезания. Те се различават помежду си по отношение на заплащането, броя и нивото на уменията на участниците. В първия случай има голям брой млади специалисти, които са приети въз основа на получените от тях сертификати. Във втория случай администрацията на структурата избира екип от хакери измежду професионалисти.

Неофициалното лице на хакерската общност

Най-разпространеният начин за печелене на пари от специалисти по киберсигурност е чрез награди за грешки. Това е система за откриване на грешки в кода, които намаляват максималното ниво на сигурност. Това позволява на разработчиците да откриват и отстраняват грешки в кода на продуктите предварително. Престъпниците, които печелят пари от хакерство и разпространение на компрометиращи данни за сайтове и услуги и техните потребители, няма да имат никакъв шанс.

Това става чрез официално публикуване на данни от разработчици, които обявяват конкурс за откриване на грешки и уязвимости в дадена система. Най-често тя включва обявяване на парична награда. В зависимост от степента на сложност на системата наградният фонд се увеличава съответно. След това програмистите и хакерите започват да проучват публично достъпната рамка за грешки в кода и възможности за добив на криптирани данни. При отворен тест всички данни за системата се предоставят в интернет.

програмистът с кафето

Затворен конкурс

Съществува обаче и затворен тип тестване. След това екипът разработчици избира конкретен набор от състезатели, които да проникнат в структурата или системата. Специалистите по киберсигурност се набират въз основа на автобиографии и конкурентни търгове. До всеки от участниците се изпраща покана. Често тази професия е допълнителна работа към основната професия. Тези работни места често се заемат от програмисти, които разработват антивирусен и друг софтуер за сигурност. Етичното хакерство и тестовете за проникване са допълнителен доход за много програмисти. Има големи състезания, които ви позволяват да спечелите до един милион за разбиване на системи от високо ниво.

Хакването на превозни средства е новата тенденция

Платформи

Осъществяване на контакт между крекерите и разработчиците софтуер има платформи. Две от най-популярните са HackerOne и Bugcrowd. Всъщност тези системи са място, където разработчиците и специалистите по киберсигурност могат да се свързват. По този начин те са събирателна точка за ИТ средата. Регистрираните и сертифицираните служители могат да намерят желаното ниво на структура.

В програмите участват няколкостотин хиляди професионалисти от цял свят. Освен частни компании за разработка на софтуер по поръчка, подобни поръчки се публикуват и от правителствени организации. Например щабът на Пентагона за отбрана на САЩ работи с платформата HackerOne "Хакнете Пентагона" за собствената си програма.

Бяла шапка

Плащане

Плащат се високи такси за намиране на уязвимости в техните системи. В зависимост от сложността и нивото на структурата за сигурност плащането може да надхвърли няколко хиляди долара. Според глобалната статистика на HackerOne средното заплащане за откриване на грешка или слабост надхвърля 1800 долара. През последните години развойните компании плащат "бял" от хакери за повече от 20 милиона долара.

История

Първата компания, която въведе модела Bug Bounty, беше Netscape Communications Corporations of America. В началото на 90-те години на миналия век се появи услуга, която плащаше за намиране на уязвимости и критични грешки в мрежовия код на браузъра. Netscape установи, че може да открие проблеми в кода си много по-бързо с помощта на външни експерти отвън, вместо с отнемащо време тестване и използване на ограничен персонал в областта на киберсигурността. Идеята бързо се разпространи и до 2000 г. много корпорации, работещи в областта на ИТ, я възприеха.

Русия и страните от ОНД също използват този модел. Големите компании и правителствените агенции често се обръщат за помощ към специалисти по киберсигурност и хакери. Стартира програма за откриване на грешки и критични грешки в правителствените ИТ системи. прогнозен бюджет от 800 милиона рубли за централизирана програма. Според статистически проучвания етичното хакерство е станало по-печелившо от хакерството.

Клавиатурата е черна

Когато дейността може да представлява престъпление

Ако дадена корпорация или услуга не разполага с Bug Bounty, не е желателно да се занимавате с хакване на системи. Имало е случаи, в които "бял" хакер, който е открил грешката и е съобщил за нея на компанията, е получил полицейска призовка вместо награда. В такъв случай програмистите неведнъж са получавали присъда затвор. Затова не е желателно да търсите грешки в услуги, които нямат официална програма за грешки.

Етичното хакерство и тестване също може да бъде опасно. Но само ако програмата за възнаграждения за грешки се използва неправомерно или се надхвърлят възможностите й. Така че за експерта по етично хакерство откриването на няколко критични грешки в системата на Instagram, които позволяват достъп до данните на потребителите и услугите, е неприятна изненада. Служители на компанията обвиняват ловеца на глави за бъгове. "Бял" хакер обясни, че няма право да докосва поверителна информация и системни данни. Резултатът е, че е платена само част от работата и ако не бяха медиите, специалистът щеше да бъде изпратен в затвора.

Затова е препоръчително да прочетете условията на лицензионното споразумение, преди да продължите. Неспазването на това изискване може да доведе до съдебно преследване наказателно дело.

Обучение по етично хакерство

През последните години хакерството в системите за сигурност се превърна в доходоносна професия. Така все повече програмисти го правят, системни администратори и специалисти по киберсигурност. Появиха се голям брой курсове, сайтове за онлайн обучение и практика. Ето няколко сайта, на които можете да научите и да упражнявате хакерските си умения. До голяма степен благодарение на популярността на етичното хакерство торентите и социалните мрежи могат да се използват безопасно.

Работа на уеб приложението

Google Грюер

Сайтът е предназначен за начинаещи. В него умишлено са добавени голям брой дупки в сигурността, благодарение на които могат да да научите за

  • как да откривате проблеми в системата за сигурност на сайта и приложението;
  • как измамниците използват различни уеб-базирани инструменти;
  • Как да се осигури защита от престъпници, които искат да се доберат до сайта и данните на потребителите.

Hack This

Сайт, разработен специално за обучение на начинаещи в "бял" хакерство. Курсовете за обучение на ресурса могат да преподават дъмпинг, интерфейс и защита срещу хакери. Съществува прогресивна скала на трудност. Форум и чат стая за комуникация между експерти и начинаещи. Това прави услугата една от най- най-добър за изпращане на нови методи и списъци за кореспонденция.

Адски обвързани хакери

Услугата има за цел да прилага практически подход. Създаден за решаване на много проблеми с експлойти. Този ресурс предоставя обучение за това как да ги идентифицирате и отстранявате. Hellbound Hackers се счита за най-добрия сайт за обучение в мрежата. Повече от 100 хил. регистрирани акаунта. Ето как можете да усъвършенствате уменията си и да станете етичен хакер.

Статии по темата
Етично образование: цели и задачи Етично образование: цели и задачи
Тетанус бацил: местообитание, начин на проникване и характеристики на бактериите Тетанус бацил: местообитание, начин на проникване и характеристики на бактериите
Модел на домейна: концепция, структура и основни принципи Модел на домейна: концепция, структура и основни принципи
Инструменти за тестване на флашки за производителност: основни разновидности Инструменти за тестване на флашки за производителност: основни разновидности
Сложна система: характеристики, структура и методи за дефиниране Сложна система: характеристики, структура и методи за дефиниране
Общност на практикуващите: концепция, структура, причини за създаването й, цели и задачи Общност на практикуващите: концепция, структура, причини за създаването й, цели и задачи
Слоеве на референтния модел на osi. Слой на приложението Слоеве на референтния модел на osi. Слой на приложението
Система за управление на обучението (lms): история, технически аспекти, предимства и недостатъци. Система за управление на обучението Система за управление на обучението (lms): история, технически аспекти, предимства и недостатъци. Система за управление на обучението
Канализация на ostendorf: видове, характеристики и снимки Канализация на ostendorf: видове, характеристики и снимки