윤리적 해커란?

모든 해커가 데이터 유출을 일으키고 랜섬웨어를 배포하는 나쁜 사람이라는 간단한 견해를 갖는 것은 쉽습니다. 그러나 이것은 사실이 아닙니다. 세상에는 나쁜 사람 해커가 많이 있습니다. 일부 해커는 자신의 기술을 윤리적이고 합법적으로 사용합니다. "윤리적 해커"는 합법적인 시스템 소유자와의 법적 계약 범위 내에서 해킹하는 해커입니다.

팁: 블랙 햇 해커 의 반대로 윤리적 해커를 화이트 햇 해커라고 합니다.

이것의 핵심은 무엇이 해킹을 불법으로 만드는지에 대한 이해입니다. 전 세계적으로 차이가 있지만 대부분의 해킹법은 "허가 없이 시스템에 액세스하는 것은 불법입니다."로 요약됩니다. 개념은 간단합니다. 실제 해킹 행위는 불법이 아닙니다. 그냥 허락 없이 하는 겁니다. 그러나 이는 불법적인 일을 하도록 허용할 수 있는 권한이 부여될 수 있음을 의미합니다.

이 권한은 길거리나 온라인에 있는 임의의 사람에게서 얻을 수 없습니다. 정부에서 나올 수도 없습니다( 정보 기관이 약간 다른 규칙에 따라 운영되지만 ). 합법적인 시스템 소유자가 권한을 부여해야 합니다.

팁: 명확하게 하기 위해 "합법적인 시스템 소유자"는 반드시 시스템을 구입한 사람을 의미하지는 않습니다. 합법적으로 말할 법적 책임이 있는 사람을 말합니다. 괜찮습니다. 일반적으로 권한을 부여하는 권한은 체인 아래로 위임될 수도 있지만 일반적으로 CISO, CEO 또는 이사회가 됩니다.

단순히 구두로 허가를 받을 수는 있지만 절대 그렇게 할 수 없습니다. 테스트를 수행하는 사람이나 회사는 그들이 해서는 안 되는 테스트에 대해 법적 책임이 있으므로 서면 계약이 필요합니다.

행동 범위

계약의 중요성은 아무리 강조해도 지나치지 않습니다. 윤리적 해커의 해킹 행위에 합법성을 부여하는 유일한 것입니다. 계약 승인은 지정된 작업과 지정된 대상에 대한 보상을 제공합니다. 이와 같이 계약의 범위를 벗어나는 것은 법적 면책 범위를 벗어나 법을 위반하는 것을 의미하므로 계약과 계약 내용을 이해하는 것이 필수적입니다.

윤리적 해커가 계약 범위를 벗어나면 법적 줄타기를 하고 있는 것입니다. 그들이 하는 모든 것은 기술적으로 불법입니다. 많은 경우에 그러한 단계는 우발적이며 신속하게 자체적으로 잡힐 것입니다. 적절하게 처리하면 반드시 문제가 되는 것은 아니지만 상황에 따라 확실히 문제가 될 수 있습니다.

제공되는 계약이 반드시 특별히 맞춤화될 필요는 없습니다. 일부 회사는 버그 바운티 제도를 제공합니다. 여기에는 공개 계약을 게시하여 누구든지 지정된 규칙을 준수하고 식별된 문제를 보고하는 한 시스템을 윤리적으로 해킹할 수 있도록 허용합니다. 이 경우 보고 문제는 일반적으로 금전적 보상을 받습니다.

윤리적 해킹 유형

윤리적 해킹의 표준 형태는 "침투 테스트" 또는 침투 테스트입니다. 이것은 하나 이상의 윤리적 해커가 시스템의 보안 방어에 침투하려고 시도하는 곳입니다. 참여가 완료되면 이 역할의 침투 테스터라고 하는 윤리적 해커가 발견한 내용을 고객에게 보고합니다. 클라이언트는 보고서의 세부 정보를 사용하여 식별된 취약점을 수정할 수 있습니다. 개인 및 계약 작업을 수행할 수 있지만 많은 침투 테스터는 회사 내부 리소스이거나 전문 침투 테스트 회사를 고용합니다.

팁: "펜 테스트"가 아니라 "펜 테스트"입니다. 침투 테스터는 펜을 테스트하지 않습니다.

어떤 경우에는 하나 이상의 애플리케이션이나 네트워크가 안전한지 테스트하는 것만으로는 충분하지 않습니다. 이 경우 보다 심층적인 테스트가 수행될 수 있습니다. 레드팀 참여에는 일반적으로 훨씬 더 광범위한 보안 조치를 테스트하는 것이 포함됩니다. 조치에는 직원에 대한 피싱 연습 수행, 건물에 침입하는 소셜 엔지니어링 시도 또는 물리적 침입 시도가 포함될 수 있습니다. 각 레드 팀 연습은 다양하지만 개념은 일반적으로 최악의 경우 "그래서 어쩌다" 테스트에 훨씬 더 가깝습니다. . "이 웹 애플리케이션은 안전하지만 누군가가 서버실에 들어가서 모든 데이터가 있는 하드 드라이브를 가져가면 어떻게 될까요?"

회사나 시스템에 피해를 줄 수 있는 거의 모든 보안 문제는 이론적으로 윤리적 해킹에 노출되어 있습니다. 그러나 이것은 시스템 소유자가 권한을 부여하고 비용을 지불할 준비가 되어 있다고 가정합니다.

나쁜 놈들에게 물건을 주나요?

윤리적 해커는 해킹 도구를 작성, 사용 및 공유하여 삶을 더 쉽게 만듭니다. 검은 모자가 이러한 도구를 사용하여 더 큰 혼란을 일으킬 수 있으므로 이것의 윤리에 의문을 제기하는 것은 공평합니다. 하지만 현실적으로 공격자가 삶을 더 쉽게 만들려고 시도하면서 이미 이러한 도구 또는 적어도 이와 유사한 도구를 가지고 있다고 가정하는 것이 완전히 합리적입니다. 도구가 없고 검은 모자를 어렵게 만드는 것은 모호함을 통한 보안에 의존하는 것입니다. 이 개념은 일반적으로 암호화 및 대부분의 보안 분야에서 눈살을 찌푸리게 합니다.

책임 있는 공개

윤리적 해커는 때때로 웹 사이트를 탐색하거나 제품을 사용할 때 취약성을 우연히 발견할 수 있습니다. 이 경우 일반적으로 적법한 시스템 소유자에게 책임감 있게 보고하려고 합니다. 그 이후에 중요한 것은 상황을 처리하는 방법입니다. 윤리적으로 해야 할 일은 문제를 해결하고 소프트웨어 패치를 배포할 수 있도록 적법한 시스템 소유자에게 비공개로 공개하는 것입니다.

물론 모든 윤리적 해커는 그러한 취약성의 영향을 받는 사용자에게 정보를 제공하여 사용자가 보안을 의식한 결정을 내릴 수 있도록 할 책임도 있습니다. 일반적으로 비공개 공개로부터 90일이라는 기간은 수정 사항을 개발하고 게시하는 데 적절한 시간으로 간주됩니다. 시간이 조금 더 필요한 경우 연장을 허용할 수 있지만 반드시 그렇게 하는 것은 아닙니다.

수정 사항을 사용할 수 없더라도 문제를 공개적으로 자세히 설명하는 것이 윤리적일 수 있습니다 . 그러나 이것은 윤리적 해커가 책임감 있게 문제를 공개하려고 시도했으며 일반적으로 일반 사용자가 자신을 보호할 수 있도록 알리려고 한다고 가정합니다. 일부 취약점은 작업 증명 익스플로잇으로 자세히 설명될 수 있지만 아직 수정 사항이 없는 경우에는 수행되지 않는 경우가 많습니다.

이것이 완전히 윤리적으로 들리지 않을 수도 있지만 궁극적으로 사용자에게 이익이 됩니다. 한 시나리오에서 회사는 적시에 수정 사항을 제공해야 하는 충분한 압력을 받고 있습니다. 사용자는 고정 버전으로 업데이트하거나 최소한 해결 방법을 구현할 수 있습니다. 대안은 회사가 심각한 보안 문제에 대한 수정 사항을 즉시 배포할 수 없다는 것입니다. 이 경우 사용자는 제품을 계속 사용하는 것에 대해 정보에 입각한 결정을 내릴 수 있습니다.

결론

윤리적 해커는 법의 제약 내에서 활동하는 해커입니다. 일반적으로 합법적인 시스템 소유자가 계약을 맺거나 시스템을 해킹할 수 있는 권한을 부여합니다. 이는 윤리적 해커가 문제를 해결할 수 있도록 합법적인 시스템 소유자에게 책임감 있게 식별된 문제를 보고한다는 조건으로 수행됩니다. 윤리적 해킹은 "도둑을 잡아 도둑을 잡다"를 기반으로 합니다. 윤리적 해커의 지식을 사용하여 블랙햇 해커가 악용할 수 있는 문제를 해결할 수 있습니다. 윤리적 해커는 화이트 햇 해커라고도 합니다. 전문가를 고용하기 위한 "침투 테스터"와 같은 특정 상황에서는 다른 용어도 사용될 수 있습니다.