Этичный хакер

Одним из первых случаев применения этичного взлома стала «оценка уровня безопасности», проведённая ВВС США в 1972—1973 годах, в ходе которой для системы Multics оценивалась возможность работы как двухуровневой (секретно/совершенно секретно). Выяснилось, что хотя Multics существенно превосходила классические системы, в ней были обнаружены уязвимости аппаратного, программного и процедурного характера, выявляемые с минимальными усилиями^[10]. Тестирование проводилось в условиях, максимально приближённых к реальным возможностям потенциального злоумышленника. В нём использовались как простые техники сбора информации, так и имитация разрушительных атак на целостность системы, поскольку оба типа результатов важны для анализа безопасности. Существуют и другие ставшие впоследствии рассекреченными отчёты о деятельности этичных хакеров в вооружённых силах США.

В 1981 году The New York Times охарактеризовала деятельность белых хакеров как часть «озорной, но по-своему позитивной „хакерской“ традиции». Когда один из сотрудников National CSS сообщил об использовании программы для подбора паролей на клиентских аккаунтах, ему вынесли выговор не за разработку ПО, а за несвоевременное информирование руководства; в письме отмечалось, что компания видит пользу в выявлении уязвимостей сотрудниками и поощряет такие инициативы^[11].

20 октября 2016 года Министерство обороны США объявило о запуске инициативы «Hack The Pentagon»^[12][13].

Концепция этичного тестирования систем на безопасность для выявления уязвимостей была впоследствии подробно описана Дэном Фармером (Dan Farmer) и Витсе Венема (Wietse Venema). Для повышения общего уровня защищённости в Интернете и интрасетях они продемонстрировали методы сбора информации, позволяющие потенциально скомпрометировать систему, а также показали способы предотвращения подобных атак. Все используемые инструменты были ими объединены в приложение SATAN и выложены для свободного скачивания, вызвав широкий общественный резонанс в 1992 году^[9].

В то время как тестирование на проникновение направлено на изучение программного обеспечения и компьютерных систем — сканирование портов, анализ известных изъянов в сетевых протоколах и приложениях, установка обновлений — этичный взлом может включать и другие методы. Полномасштабный этичный аудит может предусматривать отправку сотрудникам фишинговых писем, попытки узнать пароли, обследование мусорных контейнеров руководства без ведома основной массы сотрудников; о такого рода проверках заранее знают лишь собственники, топ-менеджмент и совет директоров. Для имитации реальных атак этичные хакеры могут использовать клонированные тестовые среды или проводить мероприятия в ночное время, когда системы менее критичны^[14]. В современных условиях такие проверки могут длиться днями и даже неделями, предполагая длительное внедрение агента в компанию. В качестве примера: оставление USB-накопителей с вредоносным программным обеспечением в общественных местах, чтобы кто-то из сотрудников их подобрал и подключил к корпоративной сети.

К распространённым методам этичного взлома относятся:

• Анализ дисковых и оперативных дампов (форензика)
• Атаки отказа в обслуживании (DoS)
• Использование специализированных фреймворков, например:
  • Metasploit
• Анализ сетевой безопасности
• Обратная разработка (reverse engineering)
• Использование сканеров безопасности, включая:
  • Burp Suite
  • Nessus
  • W3af
• Приёмы социальной инженерии:
  • Фишинг (phishing)
  • Претекстинг (pretexting)
• Платформы для тренировки навыков
• Исследование уязвимостей

Методы этичных хакеров направлены на выявление известных уязвимостей и преодоление мер защиты для вхождения в защищённые сегменты. Для этого могут закладываться «чёрные ходы» (backdoor), через которые получают доступ злоумышленники — чёрные или серые хакеры.

В феврале 2023 года в Бельгии был легализован этичный взлом^[15].

В июле 2021 года правительство КНР перешло от добровольной модели сообщения об уязвимостях к обязательному требованию: все белые хакеры должны сначала информировать власти о найденных уязвимостях, а уже затем принимать меры по их устранению или разглашению^[16]. Эксперты отмечают, что теперь деятельность белых хакеров получает «двойное назначение», служа также целям разведывательных ведомств страны^[16].

Струан Робертсон, юридический директор компании Pinsent Masons LLP и редактор OUT-LAW.com, отмечает: «Грубо говоря, если доступ к системе санкционирован, взлом считается этичным и законным. Если нет — это нарушение закона Computer Misuse Act. Нарушение может сопровождаться штрафом или тюремным заключением до двух лет; если мошенник ещё и изменяет данные — до 10 лет». Даже если действие направлено на благо общества, несанкционированный взлом остаётся противозаконным^[4].

Агентство национальной безопасности США (NSA) предлагает квалификации, включая CNSS 4011, предусматривающие обучение этичным техникам взлома и командной работе. «Красные команды» (aggressor, атакующие) и «синие команды» (defenders, защитники) участвуют в аудите^[8]. При рекрутинге на DEF CON в 2020 году NSA заверяла, что даже лица с «иногда, скажем так, не совсем корректным прошлым» не будут автоматически исключены из набора сотрудников^[17].

Квалифицированный этичный хакер — ценный специалист для бизнеса: его способности позволяют обнаруживать уязвимости, тем самым снижая риски распространения атак и потери данных^[18].

Исследования показывают, что роль белых хакеров в корпоративной кибербезопасности возрастает: помимо тестирования на проникновение они активно осваивают новые направления, такие как социальная инженерия, мобильные технологии и цифровые соцсети^[19].

• Джим Браунинг — белый хакер из Северной Ирландии, популяризатор методов борьбы с мошенниками, автор расследований на YouTube и BBC (Panorama, Scam Interceptors)
• Чарли Миллер — американский белый хакер, работавший в Агентстве национальной безопасности США и компании Uber, известен демонстрацией уязвимостей автомобиля Jeep Cherokee (2014) совместно с Крисом Валасеком, включая удалённый контроль ускорением, торможением и рулевым управлением
• Дженнифер Аркури — американский предприниматель, основатель консалтинговой компании белых хакеров Hacker House (2016)