Etické hackovanie a penetračné testovanie

Obsah

V modernom svete existuje veľa platobné systémy, sociálnych sietí a webových stránok, ktoré vyžadujú osobné údaje používateľov na registráciu, vrátane čísel platobných kariet, telefónnych čísel a E-mailu. Používa to veľa podvodníkov, hackovanie a krádež peňazí z účtov, vyhľadávanie údajov pre spam a phishing. Preto je v záujme ochrany údajov účtu potrebné pravidelne testovať bezpečnostné systémy stránky alebo služby na prítomnosť určitej úrovne na ochranu účtov.

Na tento účel bol vytvorený "biela" alebo etické hackovanie. Špecialisti na kybernetickú bezpečnosť v tejto oblasti hľadajú medzery v systémoch, ktoré zaisťujú bezpečnosť stránky, sťahujú údaje. V tomto prípade administratíva a majitelia stránok organizujú súťaže pre hackerských špecialistov, ktorí sa snažia hacknúť svoju službu za peňažnú odmenu. Preto sa etické hackovanie (CEH je populárny zdroj na jeho štúdium) stalo žiadaným.

Etické Hackovanie

Lov chýb

Etické hackovanie je forma hackovania schválená zákonom, vďaka ktorej sa vyhľadávajú zraniteľné oblasti v systémoch. Toto sa robí na nájdenie "medzera" a upriamte na ne pozornosť vývojárov. To výrazne zvyšuje úroveň ochrany. "Biela" hackeri sa zaoberajú tým, čo sa v anglických krajinách nazýva biely klobúk. Podľa druhu činnosti odolávajú hackerom, ktorí hľadajú príležitosť na kompromis a predaj údajov alebo "zlúčiť" to pre konkurentov. Slangový názov takýchto hackerov je black hat. Tento druh činnosti je zákonom zakázaný a je trestný.

Činnosť

Podľa špecifík činnosti "biela" hackeri rozlišujú medzi uzavretými a otvorenými súťažami. Líšia sa platbou, počtom a úrovňou kvalifikácie účastníkov. V prvom prípade sa zúčastňuje veľké množstvo mladých odborníkov, ktorí sú prijatí na základe štúdia získaných osvedčení. V druhom prípade si Správa štruktúry vyberie tím hackerov od profesionálov.

Neoficiálna tvár hackerskej komunity

Najbežnejším spôsobom zarábania peňazí pre špecialistov na kybernetickú bezpečnosť je technika bug bounty. Je to systém na vyhľadávanie chýb v kóde, ktoré znižujú maximálnu úroveň zabezpečenia. To umožňuje vývojárom vopred nájsť a odstrániť chyby kódu v produktoch. Zločinci, ktorí zarábajú peniaze hackovaním a distribúciou kompromitujúcich údajov o webových stránkach a službách a ich používateľoch, teda nebudú mať šancu.

To sa deje prostredníctvom oficiálneho zverejnenia údajov od vývojárov o vyhlásení súťaže o nájdenie chýb a zraniteľností v systéme. Najčastejšie je to spojené s oznámením peňažnej odmeny. V závislosti od úrovne zložitosti systému sa peňažná odmena zodpovedajúcim spôsobom zvyšuje. Potom programátori a hackeri začnú študovať štruktúru prezentovanú vo verejnej doméne pre chyby kódu a príležitosti na extrahovanie šifrovaných údajov. Keď je program otvorený, všetky údaje v systéme sa nahrajú na Internet.

programátor s kávou

Uzavretá súťaž

Existuje však aj uzavretý typ testovania. V takom prípade vývojový tím vyberie určitú skupinu súťažiacich na hacknutie štruktúry alebo systému. Nábor špecialistov na kybernetickú bezpečnosť je založený na životopise a konkurenčnom výbere. Každému z účastníkov je zaslaná pozvánka. Takéto povolanie je často spojené s hlavným povolaním. Takúto prácu často vykonávajú programátori, ktorí vyvíjajú antivírusy a iný ochranný softvér. Etické hackovanie a penetračné testovanie sú pre mnohých programátorov ďalším príjmom. Existujú veľké súťaže, ktoré vám umožňujú zarobiť až milión za hackovanie systémov na vysokej úrovni.

Hackovanie automobilov je nový trend

Platforiem

Existujú platformy na nadviazanie kontaktu medzi hackermi a vývojár . Dva najobľúbenejšie z nich sú HackerOne a Bugcrowd. V skutočnosti sú tieto systémy miestom, kde môžu vývojári a špecialisti na kybernetickú bezpečnosť kontaktovať. Sú teda miestom agregácie IT prostredia. Registrovaní a certifikovaní zamestnanci môžu nájsť požadovanú úroveň štruktúry.

Na programoch sa zúčastňuje niekoľko stotisíc odborníkov z celého sveta. Okrem súkromných spoločností zaoberajúcich sa vývojom softvéru na mieru takéto objednávky zverejňujú vládne organizácie. Americké veliteľstvo obrany Pentagonu sa teda spustilo na platforme HackerOne "Hack Pentagon" pre váš vlastný program.

Biely Klobúk

Platba

Za nájdenie zraniteľností vo svojich systémoch platia vysoké poplatky. V závislosti od zložitosti a úrovne ochrannej konštrukcie môže Platba presiahnuť niekoľko tisíc dolárov. Podľa celosvetových štatistík spoločnosti HackerOne priemerná platba za zistenú chybu alebo slabé miesto presiahla 1 800 dolárov. V posledných rokoch vývojárske spoločnosti zaplatili "biela" hackeri viac ako 20 miliónov dolárov.

História

Prvý bug bounty model bol predstavený americkou spoločnosťou Netscape Communications Corporation. To bol vzhľad na začiatku 1990 služby, ktorá zaplatila za vyhľadávanie v sieťovom kóde svojho prehliadača pre zraniteľné oblasti a kritické chyby. Spoločnosť zistila, že s pomocou špecialistov tretích strán, ktorí sú priťahovaní z celého sveta, je možné nájsť problémy v kóde oveľa rýchlejšie ako pri dlhodobom testovaní a používaní obmedzeného počtu pracovníkov kybernetickej bezpečnosti. Táto myšlienka sa rýchlo rozšírila a do roku 2000 ju začalo uplatňovať mnoho spoločností zaoberajúcich sa It sférou.

Tento model sa používa aj v Rusku a krajinách SNŠ. Veľké spoločnosti a vládne agentúry sa často obracajú o pomoc na špecialistov na kybernetickú bezpečnosť a hackerov. Bol spustený program na vyhľadávanie chýb a kritických chýb vo vládnych IT systémoch. Odhadovaný rozpočet centralizovaného programu by mal byť 800 miliónov rubľov. Podľa štatistických štúdií sa etické hackovanie stalo výnosnejším ako hackovanie.

klávesnica je čierna

Keď môže byť povolanie trestne trestné

Ak neexistuje Bug Bounty program od spoločnosti alebo služby, je nežiaduce zapojiť sa do hackovania systému. Vyskytli sa prípady, keď "biela" hacker, ktorý našiel chybu a nahlásil ju spoločnosti, dostal namiesto odmeny policajné predvolanie. V tomto prípade programátori opakovane skončili s trestom odňatia slobody. Preto je nežiaduce hľadať chyby v službách, ktoré nemajú oficiálny program chýb.

Nebezpečné môže byť aj etické hackovanie a testovanie. Ale iba v prípade zneužitia alebo prekročenia podmienok Bug Bounty programu. Pre špecialistu na etické hackovanie sa teda nájdenie niekoľkých kritických chýb v systéme Instagram, ktoré používateľom a obslužným programom umožňovali prístup k údajom, zmenilo na nepríjemné prekvapenie. Oficiálni zástupcovia spoločnosti obvinení z porušenia zásad programu vyhľadávania chýb. "Biela" hacker bol vysvetlený, že nemal právo dotknúť sa dôverné informácie a systémové údaje. V dôsledku toho bola zaplatená iba časť vykonanej práce, a ak nie za zásah médií, špecialista by bol poslaný do väzenia.

Preto skôr, ako začnete pracovať, je vhodné oboznámiť sa s podmienkami licenčnej zmluvy. V prípade nedodržania týchto môže sa začať trestné konanie.

Školenie O Etickom Hackovaní

Hackovanie bezpečnostných systémov sa v posledných rokoch stalo lukratívnym zamestnaním. Preto stále viac a viac programátorov, , správca a špecialisti na kybernetickú bezpečnosť to robia. Objavilo sa veľké množstvo kurzov, online školení a cvičných stránok. Nižšie je niekoľko stránok, kde sa môžete naučiť a precvičiť zručnosti hackera. Z veľkej časti kvôli popularite etického hackingu je možné bezpečne používať torrenty a sociálne siete.

Prevádzka webovej aplikácie

Google Gruyere

Stránka je určená pre začiatočníkov. Na ňom bolo špeciálne pridané veľké množstvo bezpečnostných dier, takže že môžete informácie o stránke:

  • Ako môžem nájsť problémy v systéme zabezpečenia stránok a aplikácií;
  • ako podvodníci používajú rôzne webové nástroje;
  • ako zabezpečiť ochranu pred zločincami, ktorí sa chcú dostať na údaje a používateľov stránok.

Hack To

Stránka bola vyvinutá špeciálne pre výcvik začiatočníkov v "biela" hacking. Školenia o zdroji budú môcť učiť dumping, tvár a ochranu pred hackermi. Existuje progresívna škála obtiažnosti. K dispozícii je tiež fórum a chat pre komunikáciu medzi špecialistami a začiatočníkmi. Vďaka tomu je služba jednou z to najlepšie pre posielanie nových metód a zoznamov adries.

Hellbound Hackers

Služba je navrhnutá tak, aby vypracovala praktický prístup. Bol vytvorený na riešenie veľkého počtu problémov s vykorisťovaním. Na tomto zdroji sa uskutočňuje školenie o ich identifikácii a odstránení. Hellbound Hackers je považovaný za najlepší tréningový web dostupný na internete. Počet registrovaných účtov presahuje 100 tisíc. Týmto spôsobom môžete zdokonaliť svoje zručnosti a získať status špecialistu na etické hackovanie.

Články na tému
Ako vypnúť monitorovaciu kameru? Programy na hackovanie cctv kamier Ako vypnúť monitorovaciu kameru? Programy na hackovanie cctv kamier
Testovanie vysokého napätia: typy, metódy a pravidlá správania Testovanie vysokého napätia: typy, metódy a pravidlá správania
Occt: ako používať, priradenie programu, inštalácia a testovanie Occt: ako používať, priradenie programu, inštalácia a testovanie
Čo je pedagogické testovanie? Čo je pedagogické testovanie?
Netpeak checker: prehľad programu, funkcie, pokyny Netpeak checker: prehľad programu, funkcie, pokyny
Dielektrické roboty: štátny štandard, testovanie a bezpečnosť Dielektrické roboty: štátny štandard, testovanie a bezpečnosť
Tv s vlastnými rukami: nápady a možnosti, krok za krokom pokyny Tv s vlastnými rukami: nápady a možnosti, krok za krokom pokyny
Čo sú javy? Najkrajšie a najstrašnejšie prírodné javy Čo sú javy? Najkrajšie a najstrašnejšie prírodné javy
Obchodná etiketa a obchodný protokol: koncept, význam, pravidlá Obchodná etiketa a obchodný protokol: koncept, význam, pravidlá