Хакеры: этичные и не очень

2013-11-20

В мире компьютерных технологий «хакерами» называют людей, обладающими глубокими познаниями в области обеспечения информационной безопасности (ИБ), которые делятся на 3 категории: White Hat, Grey Hat и Black Hat. Остановимся более подробно на каждом из них.

White Hat  специалисты в области ИБ (энтузиасты, сотрудники компаний), цель которых  защитить ИТ систему от злоумышленников. В своей деятельности «белые шляпы» реализуют различные механизмы защиты, такие как системы предотвращения вторжений, мониторинг сетевой активности, контроль доступа к компонентам IT и т.д. White Hat (они же  «этичные хакеры») обладают знаниями и навыками злоумышленников (также известных как Black Hat), но используют такие знания исключительно в целях защиты ресурсов.

Black Hat  злоумышленники, обладающие глубокими знаниями в области ИБ, но использующие их с плохим умыслом, например, с целью хищения и порчи данных. Когда происходит такой инцидент, говорят, что система скомпрометирована.

Grey Hat  специалисты, обеспечивающие ИБ, однако, по ситуации, способны выполнить компрометацию системы без разрешения. Наверное, фраза «каждый White немного подблэкивает» относится именно к Grey Hat.

 

Что такое пентест? 

С определениями разобрались. Теперь стоит понять, что такое тестирование на проникновение (penetration testitng, пентест), и для чего оно нужно.

Итак, пентест  это тестирование на проникновение информационных ресурсов с разрешения владельца таких ресурсов. Такие процедуры необходимы для оценки состояния защищенности IT-структуры компании.

Говорят: «Если взлом под силу пентестеру, то под силу и блэку». Тестирование на проникновение предполагает, что атакующий (специалист, выполняющий пентест), пытается атаковать IT-ресурсы компании, используя обнаруженные уязвимости. Кстати, уязвимости могут быть не только техническими, но и связанными с человеческим фактором (это уже область социальной инженерии). Популярный пример социальной инженерии  поиск выброшенной важной информации (логинов, паролей) в урну, телефонный звонок сотрудникам атакуемой компании и получение от них такой информации путём ввода в заблуждение (например, звонок под видом специалиста тех.поддержки интернет-провайдера). Пентестер использует те же методики, что и блэк, но с благой целью: выявить и устранить уязвимые места в IT-структуре компании. После окончания  тестирования на проникновение руководству компании передаётся подробный отчёт о найденных уязвимостях.

Кстати, различают три вида тестирования на проникновение:

  • White Box:  атакующему доступна вся информация тестируемых компонентов информационных ресурсов компании;

  • Black Box: доступна только минимальная информация;

  • Grey Box: информация об инфраструктуре компании доступна частично.


Поскольку пентестеры  это этичные хакеры, любое тестирование на проникновение начинается с подписания документов, в том числе подписания соглашения о неразглашении (NDA) и разрешения от владельца ресурсов на проведение пентеста. Профессиональный пентестер  специалист не только в области ИБ с глубокими познаниями, но и отличный психолог, умеющий в случае отсутствия технической возможности взлома воспользоваться уязвимостями, связанными с человеческим фактором. Путь пентестера  это долгий путь от начинающего ИТ-специалиста до профессионального White Hat. Пентестер  это прежде всего исследователь и фанат ИБ.

Существуют множество литературы и курсов по подготовке этичных хакеров, однако любые знания должны быть закреплены практикой. Для этих целей разрабатываются специальные пентест-лаборатории, в которых можно получить бесценный опыт проведения тестирования на проникновение. Это полностью легально, а дух соперничества за призовые места добавляет дополнительный стимул в этом нелегком добром хакерском деле!

Автор: Романов Роман, сертифицированный этичный хакер, руководитель лабораторий тестирования на проникновение PentestIT и главная радость своей мамы.


Читайте также: 

Какие мы: F-Secure

Безопасность? Не, не слышал.

Кодинг в облаке: баловство или шаг вперёд?