کلاه سفید (امنیت رایانه)

آرین تا اصطلاح " کلاه سفید " در زبان عامیانه اینترنت به یک هکر رایانه اخلاقی یا یک متخصص امنیت رایانه اشاره دارد، که متخصص آزمایش نفوذ و سایر روشهای تست است که امنیت سیستم‌های اطلاعاتی سازمان را تضمین می‌کند.^[۱] هک اخلاقی اصطلاحی است که معنای آن به مقوله وسیع تری نسبت به آزمایش نفوذ، اشاره دارد.^[۲]^[۳] در مقایسه با کلاه سیاه، یک هکر مخرب، باید گفت که این اسم‌ها از فیلم‌های غربی گرفته شده‌است، جایی که کابوی‌های قهرمان و متضاد یکدیگر به‌طور سنتی در مقابل یکدیگر یک کلاه سفید و یک کلاه سیاه بر سر می‌گذاشتند.^[۴] در حالی که یک هکر کلاه سفید طی اهداف مناسب و با مجوزهای لازم هک را انجام می‌دهد، یک هکر کلاه سیاه طی اهداف بد خواهانه و بدون مجوز هک را انجام می‌دهد، یک نوع سوم وجود دارد که به عنوان یک هکر کلاه خاکستری شناخته می‌شود که با اهداف خوب هک می‌کند اما در بعضی مواقع بدون اجازه هک را انجام می‌دهد.^{[Symantec Group ۱]}

هکرهای کلاه سفید ممکن سلام بر تو ای جوان در تیم‌هایی بنام " کلاب کفش ورزشی و / یا کلاب هکرها "،^[۵] تیم‌های قرمز یا تیم‌های ببر نیز فعالیت کنند.^[۶]

تاریخچه

یکی از اولین نمونه‌های مورد استفاده هک اخلاقی، "ارزیابی امنیتی" بود که توسط نیروی هوایی ایالات متحده انجام شد، و در آن سیستم عامل‌های Multics برای "استفاده بالقوه به عنوان یک سیستم دو سطحه (سری/ بسیار سری) مورد آزمایش قرار گرفتند". این ارزیابی مشخص کرد که "در حالی که Multics به طور قابل توجهی بهتر از سایر سیستم عاملهای معمولی بود "، "همچنان دارای آسیب پذیری در امنیت سخت افزار، امنیت نرم‌افزار و امنیت رویه ای بود"که می‌تواند با "سطح کمی از تلاش" این کاستی‌ها کشف شود.^[۷] نویسندگان آزمایش‌ها خود را تحت هدایت واقع گرایی انجام دادند، بنابراین نتایج آنها به‌طور دقیق نشان دهنده انواع دسترسی یک رخنه گر به سیستم بود. آنها آزمایش‌هایی را انجام دادند که شامل تمرینهای ساده جمع‌آوری اطلاعات و همچنین حمله‌های آشکار بر روی سیستم می‌شد که ممکن است اینگونه حمله‌ها به یکپارچگی سیستم آسیب برساند. هر دو نتیجه مورد توجه مخاطبان هدف قرار گرفت. چندین گزارش غیرمستقیم دیگر وجود دارد که فعالیت هک اخلاقی را در ارتش آمریکا توصیف می‌کند.

در سال ۱۹۸۱، نیویورک تایمز فعالیت‌های کلاه سفید را بخشی از یک "رفتار بدخواهانه، اما بر اساس سنت هک کاملاً مثبت "توصیف کرد. هنگامی که یک کارمند CSS ملی وجود رمزعبور شکنی را که در حساب‌های مشتری استفاده کرده بود فاش کرد، این شرکت او را نه به خاطر نوشتن نرم‌افزار رمز عبور شکن بلکه به دلیل عدم افشای زودهنگام این قضیه توبیخ کرد. در نامه توبیخ اظهار شده‌است: "این شرکت منافع NCSS را متوجه می‌شد و در واقع کارمندان را برای شناسایی نقاط ضعف امنیتی به VP، دایرکتوری و سایر نرم‌افزارهای حساس تشویق می‌کرد".^[۸]

ایده این تاکتیک هک اخلاقی برای ارزیابی امنیت سیستم‌ها توسط Dan Farmer و Wietse Venema تدوین شده‌است. آنها با هدف بالا بردن سطح کلی امنیت در اینترنت و اینترانت، توضیح دادند چگونه توانستند اطلاعات مناسب را در مورد اهداف خود به دست آورند تا در صورت انتخاب، بتوانند امنیت را به خطر بیندازند. آنها چندین مثال خاص از چگونگی جمع‌آوری و بهره‌برداری از این اطلاعات برای به دست آوردن کنترل هدف و چگونگی جلوگیری از چنین حمله ای ارائه دادند. آنها تمام ابزارهایی را که در طول کار استفاده کرده بودند جمع کردند، آنها را در یک برنامه کاربردی ساده و آسان قرار دادند و آن را به هر کس که تصمیم به بارگیری آن گرفت، دادند. برنامه آنها با نام ابزار مدیریت امنیت برای تجزیه و تحلیل شبکه‌ها یا SATAN در سال ۱۹۹۲ با توجه زیادی از رسانه‌ها در سراسر جهان روبرو شد.^[۶]

تاکتیکها

در حالی که آزمایش نفوذ از همان ابتدا روی حمله به نرم‌افزارها و سیستمهای رایانه ای متمرکز است به عنوان مثال، اسکن پورتها، بررسی نقایص شناخته شده در پروتکل‌ها و برنامه‌های کاربردی در سیستم و نصبهای پچ - هک شدن اخلاقی ممکن است موارد دیگری را شامل شود. یک هک اخلاقی تمام عیار ممکن است شامل ایمیل زدن به کارمندان باشد که به گونه ای از آنها جزئیات رمز عبور را بپرسند، از طریق صندوق‌های مربوط به حذف شروع به کاویدن کنند و معمولاً بدون اطلاع و رضایت از افراد، مانع‌های دفاعی را می‌شکنند و وارد می‌شوند. فقط مالکان، مدیر عاملان و اعضای هیئت مدیره (دارندگان سهام) که درخواست چنین بررسی امنیتی از این افراد را دارند، آگاه هستند. برای تکرار برخی از تکنیک‌های مخرب یک حمله واقعی، هکرهای اخلاقی ممکن است سامانه‌های آزمایش کلون شده را ترتیب دهند، یا اگر اهمیت سیستم‌ها پایین باشد در اواخر شب هک را انجام بدهند.^[۳] در اکثر موارد اخیر، این هک‌ها برای طولانی مدت (روزها، اگر نه هفته‌ها) به یک سازمان ادامه پیدا می‌کند. برخی از نمونه‌ها شامل گذاشتن درایوهای USB با نرم‌افزار پنهان خودکار شروع به کار در یک مکان عمومی است که گویی شخصی درایو کوچک را گم کرده و یک کارمند ناشناس آن را پیدا کرده و آن را گرفته‌است.

برخی از روش‌های دیگر انجام این موارد عبارتند از:

حمله‌های DoS
تاکتیک‌های مهندسی اجتماعی (Social Engineering)
مهندسی معکوس (Reverse Engineering)
امنیت شبکه (Network Security)
حمله جستجوی فراگیر (Brute Force)
جرم یابی دیجیتال دیسک و حافظه
تحقیق‌های آسیب‌پذیری
اسکنرهای امنیتی مانند:
- W3af
- Nessus
- Burp suite
چارچوب‌هایی مانند:
- متاسپلویت
پلتفرمهای آموزشی

این روشها آسیب پذیریهای شناخته شده امنیتی را شناسایی و از آنها بهره‌برداری می‌کند تا از دستیابی به مناطق امن جلوگیری شود. آنها می‌توانند این کار را با مخفی کردن نرم‌افزارها و «درهای پشتی» سیستم انجام دهند که می‌توانند باعث دسترسی به اطلاعات توسط هکر غیراخلاقی، معروف به «کلاه سیاه» یا «کلاه خاکستری» شوند.

قانونی بودن در انگلیس

Struan Robertson، مدیر حقوقی Pinsent Mason LLP و سردبیر OUT-LAW.com می‌گوید: "به طور کلی، اگر دسترسی به سیستم مجاز باشد، هک کردن اخلاقی و قانونی است. اگر اینگونه نباشد، طبق قانون سوء استفاده از رایانه تخلف صورت گرفته‌است. جرم دسترسی غیرمجاز همه چیز را از حدس زدن گذرواژه، دسترسی به حساب وب ایمیل شخصی، تا سرکوب امنیت یک بانک در بر می‌گیرد. حداکثر مجازات دسترسی غیرمجاز به رایانه دو سال حبس و جزای نقدی است. مجازات‌های بالاتر هم هست - تا ۱۰ سال زندان - هنگامی که هکر همچنین داده‌ها را تغییر می‌دهد ". رابرتسون می‌گوید دسترسی غیرمجاز حتی برای آشکارسازی آسیب‌پذیری برای منافع بسیاری از افراد قانونی نیست. "هیچ دفاعی در قوانین هکری ما وجود ندارد که رفتار شما به سود کسی بهتر باشد. حتی اگر این همان چیزی است که شما اعتقاد دارید. "^[۳]

استخدام

آژانس امنیت ملی ایالات متحده گواهینامه‌هایی مانند CNSS 4011 را ارائه می‌دهد. چنین گواهینامه ای روشهای هک اخلاقی منظم و مدیریت تیم را در بر می‌گیرد. به تیم‌های مهاجم تیم‌های «قرمز» گفته می‌شود. تیم‌های مدافع را تیم‌های «آبی» می‌نامند.^[۵] هنگامی که آژانس در سال ۲۰۱۲ در DEF CON شروع به استخدام افراد کرد، به متقاضیان قول داد "اگر تعداد معدودی گرفته شده، ما می‌گوییم، موارد نادرست در گذشته شماست، نگران نباشید. شما نباید به طور خودکار فرض کنید که استخدام نخواهید شد ".^[۹]

جستارهای وابسته

برنامه باگ بانتی
هکر اخلاقی معتبر
خطر IT
MalwareMustDie
سرقت هویت بیسیم

یادداشت

↑ "What is the difference between black, white, and grey hackers". Norton.com. Norton Security. Retrieved 2 October 2018.

منابع

↑ "What is white hat? - a definition from Whatis.com". Searchsecurity.techtarget.com. Retrieved 2012-06-06.
↑ Ward, Mark (14 September 1996). "Sabotage in cyberspace". New Scientist. 151 (2047).
↑ ^۳٫۰ ^۳٫۱ ^۳٫۲ Knight, William (16 October 2009). "License to Hack". InfoSecurity. 6 (6): 38–41. doi:10.1016/s1742-6847(09)70019-9.
↑ Wilhelm, Thomas; Andress, Jason (2010). Ninja Hacking: Unconventional Penetration Testing Tactics and Techniques. Elsevier. pp. 26–7. ISBN 978-1-59749-589-9.
↑ ^۵٫۰ ^۵٫۱ "What is a White Hat?". Secpoint.com. 2012-03-20. Retrieved 2012-06-06.
↑ ^۶٫۰ ^۶٫۱ Palmer, C.C. (2001). "Ethical Hacking" (PDF). IBM Systems Journal. 40 (3): 769. doi:10.1147/sj.403.0769.
↑ (Report). June 1974. {{cite report}}: Missing or empty |title= (help)
↑ McLellan, Vin (1981-07-26). "Case of the Purloined Password". The New York Times. Retrieved 11 August 2015.
↑ "Attention DEF CON® 20 attendees". National Security Agency. 2012. Archived from the original on 2012-07-30.

[5] "What is the difference between black, white, and grey hackers". Norton.com. Norton Security. Retrieved 2 October 2018.

[1] "What is white hat? - a definition from Whatis.com". Searchsecurity.techtarget.com. Retrieved 2012-06-06.

[2] Ward, Mark (14 September 1996). "Sabotage in cyberspace". New Scientist. 151 (2047).

[Knight-3] ۳٫۰ ^۳٫۱ ^۳٫۲ Knight, William (16 October 2009). "License to Hack". InfoSecurity. 6 (6): 38–41. doi:10.1016/s1742-6847(09)70019-9.

[4] Wilhelm, Thomas; Andress, Jason (2010). Ninja Hacking: Unconventional Penetration Testing Tactics and Techniques. Elsevier. pp. 26–7. ISBN 978-1-59749-589-9.

[Secpoint-6] ۵٫۰ ^۵٫۱ "What is a White Hat?". Secpoint.com. 2012-03-20. Retrieved 2012-06-06.

[Palmer-7] ۶٫۰ ^۶٫۱ Palmer, C.C. (2001). "Ethical Hacking" (PDF). IBM Systems Journal. 40 (3): 769. doi:10.1147/sj.403.0769.

[8] (Report). June 1974. {{cite report}}: Missing or empty |title= (help)

[mclellan19810726-9] McLellan, Vin (1981-07-26). "Case of the Purloined Password". The New York Times. Retrieved 11 August 2015.

[10] "Attention DEF CON® 20 attendees". National Security Agency. 2012. Archived from the original on 2012-07-30.

[۱]

[۲]

[۳]

[۴]

[Symantec Group ۱]

[۵]

[۶]

[۷]

[۸]

[۹]