Этичный хакер
Эти́чный ха́кер, также на сетевом сленге «бе́лая шля́па», «белошляпник» (от англ. «white hat») — специалист действия которого вокруг (критических) инфраструктур нацелены на их исследование, личное самообразование и не ведут к нанесению прямого ущерба их владельцам или собственникам, а также выгоде или прибыли для хакера без ведома владельцев атакуемых инфраструктур. Такие специалисты часто (но необязательно) работают экспертами в сфере информационной безопасности. Когда этичный хакер действует на основании договора с владельцем инфраструктуры, можно говорить о профессии, и в этом случае таких специалистов принято называть пентестерами (от англ. «penetration test», дословно — испытание на проникновение)[1][2].
Ответственность[править]
Деятельность этичного хакера является пограничной, а законодательство не различает хакеров «по шляпам», поэтому действия этичного хакера подпадают под статьи 272 (Неправомерный доступ к компьютерной информации)[3], 273 (Создание, использование и распространение вредоносных программ для ЭВМ)[4] и 274 (Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети)[5] УК РФ.
3 февраля 2012 года Правительство РФ утвердило постановление №79 «О лицензировании деятельности по технической защите конфиденциальной информации», согласно которому любая деятельность по тестированию возможностей проникновения в критические инфраструктуры может осуществляться только организациями имеющими лицензию ФСТЭК на ТЗКИ (техническая защита конфиденциальной информации)[6][7].
История[править]
Одним из первых примеров этического взлома была «проверка безопасности» OC Multics, проведенная в ВВС США. Их оценка показала, что «безопасность Multics была значительно выше, чем у других систем в то время». Они провели тесты, направленные на сбор информации, а также непосредственные атаки на безопасность ОС, направленные на вывод её из строя. Также известно о других этических взломах в вооруженных силах США, официальных отчетов о которых не опубликовано.
Идея использования методик «этического взлома» с целью повышения безопасности в Интернете и локальных сетях была предложена Dan Farmer и Wietse Venema. Они вручную проанализировали множество систем с целью получения данных и контроля над жертвой. После чего они собрали все инструменты, которые они использовали для взлома в одной программе. Их программа получила название SATAN или «инструмент администратора безопасности для анализа сетей» (англ. Security Administrator Tool for Analyzing Networks).
Известные этичные хакеры[править]
- Eric Corley[en]
- Przemysław Frasunek[en]
- Raphael Gray[en]
- Barnaby Jack[en]
- Митник, Кевин (Kevin Mitnick)
- Agha S (Агха С)
- Моррис, Роберт Тэппэн (Robert Tappan Morris)
- Поулсен, Кевин (Kevin Poulsen)
Ссылки[править]
- Испытание на проникновение
- Пентестер: суть профессии, востребованность, зарплата и другие нюансы // Хабр (12 февраля 2022)
- Этичное хакерство как инструмент управления рисками // Альфастрахование, Институт Риска (31 марта 2022)
Примечания[править]
- ↑ Музалевский Федор Александрович Что такое пентест (pentest) и кто такой пентестер?. RTM Group.
- ↑ Кто такой этичный хакер?. Хабр (2022-08-15).
- ↑ УК РФ Статья 272. Неправомерный доступ к компьютерной информации. КонсультантПлюс.
- ↑ УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ. КонсультантПлюс.
- ↑ УК РФ Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей. КонсультантПлюс.
- ↑ ФСТЭК опредилилась с тем, что такое ТКЗИ. SecurityLab (2012-02-08).
- ↑ Постановление №79 от 3 февраля 2012 года. ФСТЭК (2012-02-03).
 | Одним из источников, использованных при создании данной статьи, является статья из википроекта «Руниверсалис» («Руни», руни.рф) под названием «Этичный хакер», расположенная по адресу:
Материал указанной статьи полностью или частично использован в Циклопедии по лицензии CC BY-SA. Всем участникам Руниверсалиса предлагается прочитать «Обращение к участникам Руниверсалиса» основателя Циклопедии и «Почему Циклопедия?». |
|---|