O que é um hacker ético?

É fácil ter a visão simples de que todos os hackers são bandidos para causar violações de dados e implantar ransomware. Isso não é verdade, no entanto. Há muitos hackers malvados por aí. Alguns hackers usam suas habilidades de forma ética e legal. Um “hacker ético” é um hacker que hackeia no âmbito de um acordo legal com o proprietário legítimo do sistema.

Dica: Ao contrário de um hacker de chapéu preto , um hacker ético costuma ser chamado de hacker de chapéu branco.

O núcleo disso é uma compreensão do que torna o hacking ilegal. Embora existam variações em todo o mundo, a maioria das leis de hackers se resume a “é ilegal acessar um sistema se você não tiver permissão para fazê-lo”. O conceito é simples. As ações reais de hacking não são ilegais; é apenas fazê-lo sem permissão. Mas isso significa que a permissão pode ser concedida para permitir que você faça algo que de outra forma seria ilegal.

Essa permissão não pode vir de qualquer pessoa aleatória na rua ou online. Não pode nem vir do governo ( embora as agências de inteligência operem sob regras ligeiramente diferentes ). A permissão precisa ser concedida pelo proprietário legítimo do sistema.

Dica: Para ser claro, “proprietário legítimo do sistema” não se refere necessariamente à pessoa que comprou o sistema. Refere-se a alguém que legitimamente tem a responsabilidade legal de dizer; está tudo bem para você. Normalmente, será o CISO, o CEO ou o conselho, embora a capacidade de conceder permissão também possa ser delegada mais abaixo na cadeia.

Embora a permissão possa ser simplesmente dada verbalmente, isso nunca é feito. Como a pessoa ou empresa que realiza o teste seria legalmente responsável por testar o que não deveria, é necessário um contrato por escrito.

Âmbito das Ações

A importância do contrato não pode ser exagerada. É a única coisa que garante legalidade às ações de hacking do hacker ético. A outorga do contrato dá indenização pelas ações especificadas e contra as metas especificadas. Como tal, é essencial compreender o contrato e o que ele cobre, pois sair do âmbito do contrato significa sair do âmbito da indemnização legal e infringir a lei.

Se um hacker ético se desviar do escopo do contrato, ele estará em uma corda bamba legal. Tudo o que eles fazem é tecnicamente ilegal. Em muitos casos, tal passo seria acidental e rapidamente auto-capturado. Quando tratado adequadamente, isso pode não ser necessariamente um problema, mas dependendo da situação, certamente pode ser.

O contrato oferecido não precisa necessariamente ser especificamente adaptado. Algumas empresas oferecem um esquema de recompensas por bugs. Isso envolve a publicação de um contrato aberto, permitindo que qualquer pessoa tente hackear eticamente seu sistema, desde que siga as regras especificadas e relate qualquer problema que identifique. Os problemas de relatórios, nesse caso, geralmente são recompensados ​​financeiramente.

Tipos de Hacking Ético

A forma padrão de hacking ético é o “teste de penetração” ou pentest. É aqui que um ou mais hackers éticos são contratados para tentar penetrar nas defesas de segurança de um sistema. Depois que o envolvimento é concluído, os hackers éticos, chamados de pentesters nessa função, relatam suas descobertas ao cliente. O cliente pode usar os detalhes do relatório para corrigir as vulnerabilidades identificadas. Embora o trabalho individual e por contrato possa ser feito, muitos pentesters são recursos internos da empresa ou empresas especializadas em pentesting são contratadas.

Dica: é “pentesting” e não “pentest”. Um testador de penetração não testa canetas.

Em alguns casos, testar se um ou mais aplicativos ou redes são seguros não é suficiente. Neste caso, testes mais aprofundados podem ser realizados. Um engajamento red-team normalmente envolve o teste de uma gama muito mais ampla de medidas de segurança. As ações podem incluir a execução de exercícios de phishing contra funcionários, tentando entrar em um prédio com engenharia social ou até mesmo invadir fisicamente. . Na linha de “este aplicativo da web é seguro, mas e se alguém simplesmente entrar na sala do servidor e pegar o disco rígido com todos os dados nele”.

Praticamente qualquer problema de segurança que possa ser usado para prejudicar uma empresa ou sistema está teoricamente aberto ao hacking ético. No entanto, isso pressupõe que o proprietário do sistema conceda a permissão e que esteja disposto a pagar por isso.

Dando coisas para os bandidos?

Os hackers éticos escrevem, usam e compartilham ferramentas de hacking para facilitar suas vidas. É justo questionar a ética disso, pois os chapéus negros podem cooptar essas ferramentas para causar mais estragos. Realisticamente, porém, é perfeitamente razoável supor que os invasores já tenham essas ferramentas, ou pelo menos algo parecido, enquanto tentam facilitar suas vidas. Não ter ferramentas e tentar dificultar as coisas para os chapéus pretos é confiar na segurança por meio da obscuridade. Esse conceito é profundamente desaprovado na criptografia e na maior parte do mundo da segurança em geral.

Divulgação Responsável

Às vezes, um hacker ético pode se deparar com uma vulnerabilidade ao navegar em um site ou usar um produto. Nesse caso, eles normalmente tentam denunciá-lo de forma responsável ao proprietário legítimo do sistema. O importante depois disso é como a situação é tratada. A coisa ética a fazer é divulgá-lo em particular ao proprietário legítimo do sistema para permitir que ele corrija o problema e distribua um patch de software.

Claro, qualquer hacker ético também é responsável por informar os usuários afetados por tal vulnerabilidade para que eles possam tomar suas próprias decisões conscientes da segurança. Normalmente, um prazo de 90 dias a partir da divulgação privada é considerado um período de tempo apropriado para desenvolver e publicar uma correção. Embora extensões possam ser concedidas se for necessário um pouco mais de tempo, isso não é necessariamente feito.

Mesmo que uma correção não esteja disponível, pode ser ético detalhar o problema publicamente. Isso, no entanto, pressupõe que o hacker ético tentou divulgar o problema de forma responsável e, geralmente, está tentando informar os usuários normais para que possam se proteger. Embora algumas vulnerabilidades possam ser detalhadas com explorações de prova de conceito, isso geralmente não é feito se uma correção ainda não estiver disponível.

Embora isso possa não parecer totalmente ético, em última análise, beneficia o usuário. Em um cenário, a empresa está sob pressão suficiente para fornecer uma correção oportuna. Os usuários podem atualizar para uma versão corrigida ou pelo menos implementar uma solução alternativa. A alternativa é que a empresa não pode implantar uma correção para um problema de segurança grave imediatamente. Nesse caso, o usuário pode tomar uma decisão informada sobre continuar a usar o produto.

Conclusão

Um hacker ético é um hacker que age dentro das restrições da lei. Normalmente, eles são contratados ou recebem permissão do proprietário legítimo do sistema para invadir um sistema. Isso é feito com a condição de que o hacker ético relate os problemas identificados de forma responsável ao proprietário legítimo do sistema para que possam ser corrigidos. O hacking ético baseia-se em “colocar um ladrão para pegar um ladrão”. Usando o conhecimento de hackers éticos, você pode resolver os problemas que os hackers black hat poderiam ter explorado. Os hackers éticos também são chamados de hackers de chapéu branco. Outros termos também podem ser usados ​​em determinadas circunstâncias, como “penters” para contratação de profissionais.



Leave a Comment

Como clonar um disco rígido

Como clonar um disco rígido

Na era digital moderna, onde os dados são um bem valioso, a clonagem de um disco rígido no Windows pode ser um processo crucial para muitos. Este guia completo

Como consertar o driver WUDFRd que falhou ao carregar no Windows 10?

Como consertar o driver WUDFRd que falhou ao carregar no Windows 10?

Você está enfrentando a mensagem de erro ao inicializar o computador, informando que o driver WUDFRd falhou ao carregar no seu computador?

Como corrigir o código de erro NVIDIA GeForce Experience 0x0003

Como corrigir o código de erro NVIDIA GeForce Experience 0x0003

Você está enfrentando o código de erro 0x0003 da experiência NVIDIA GeForce em sua área de trabalho? Se sim, leia o blog para descobrir como corrigir esse erro de forma rápida e fácil.

Noções básicas de impressão 3D: adesão à base da impressora

Noções básicas de impressão 3D: adesão à base da impressora

Aprendendo sobre impressão 3D? Aqui está o que você precisa saber sobre a adesão da base da impressora.

Como remover uma GPU do Windows PC em 2023

Como remover uma GPU do Windows PC em 2023

Você precisa remover a GPU do seu PC? Junte-se a mim enquanto explico como remover uma GPU do seu PC neste guia passo a passo.

Como instalar um SSD NVMe em um desktop e laptop

Como instalar um SSD NVMe em um desktop e laptop

Comprou um novo SSD NVMe M.2, mas não sabe como instalar? Continue lendo para saber como instalar um SSD NVMe em um laptop ou desktop.

O que é uma bomba lógica?

O que é uma bomba lógica?

Uma bomba lógica é um incidente de segurança em que um invasor configura uma ação atrasada. Continue lendo para saber mais.

O que é Stuxnet?

O que é Stuxnet?

O Stuxnet era um worm autopropagado. Foi o primeiro uso de uma arma cibernética e a primeira ocorrência de malware.

O que é um hacker ético?

O que é um hacker ético?

Um hacker ético é um hacker que age dentro das restrições da lei. Continue lendo para saber mais sobre o assunto.

O que é criptografia simétrica?

O que é criptografia simétrica?

Existem muitas partes diferentes da criptografia. Se você deseja criptografar alguns dados, existem dois tipos de algoritmos que você pode usar: simétrico