No Image

Этичный хакинг что это

СОДЕРЖАНИЕ
0 просмотров
22 января 2020

Бытует мнение, что «хакерство» — это что-то плохое. Изначально «хакерами» называли программистов, которые исправляли ошибки в программном обеспечении каким-либо быстрым или оригинальным способом, но в конце XX века у термина появилось новое значение — «компьютерный взломщик», злоумышленник, добывающий конфиденциальную информацию в обход систем защиты.

Существуют и этичные хакеры, которые помогают находить ошибки в системах безопасности и устранять их. Эти специалисты действуют абсолютно законно, более того, эта профессия набирает популярность, так как многие компании готовы платить за найденные уязвимости.

Сегодня хакеров делят на два основных вида: White hat (с англ. — «белая шляпа») и Black hat (с англ. — «чёрная шляпа»). «Черными шляпами» называют киберпреступников, тогда как «белыми шляпами» – специалистов по информационной безопасности или исследователей IT-систем, не нарушающих закон.

Кто такой специалист по этичному хакингу?

Этичный хакер / white hacker – это специалист в области кибербезопасности, который отлично знает принципы взлома информационных систем, умеет быстро и успешно выявлять и устранять проблемы безопасности в компьютерных сетях.

Обучение хакингу в школе CODDY проводят опытные специалисты-практики, сертифицированные этичные хакеры. Они рассказывают на занятиях об уникальных техниках и методах взлома, которые можно применять в оборонительных целях.

Преимущества обучения на курсах «Этичный хакер»

Программа курса адаптирована для детей и подростков. Занятия будут полезны и интересны даже неподготовленным слушателям, желающим познать ремесло этичного хакинга с нуля.

Этот курс позволит вашему ребенку:

  • получить представление об угрозах и опасностях, подстерегающих в интернете;
  • познакомиться с различными аспектами информационной безопасности на практике;
  • узнать, как взломать пароли учетных записей, как работают трояны, бэкдоры, вирусы и черви, как проводятся DoS атаки;
  • научиться находить лазейки, взламывать и защищать различные программы и системы;
  • узнать, как обходить системы защиты и заметать следы;
  • научиться надежно защищать свои личные данные и секретную информацию.

Овладев секретами курса, ребенок выйдет на новый, более продвинутый уровень владения компьютером и будет выделяться среди сверстников. Используя знания во благо, он сможет защитить себя, свою семью и друзей от киберопасностей. Кроме того, это— крутая, востребованная и перспективная профессия в IT-сфере

Курс «Этичный хакер» состоит из 4 модулей.

В 1-м модуле мы с детьми познакомимся с темами:

2-й модуль посвящен введению в сетевые технологии, на котором дети изучат:

— устройство сети интернет, стек TCP/IP

— принцип работы локальных, глобальных, частных и публичных сетей

— понятие анонимности в сети (VPN, Proxy)

— маршутизаторы, коммутаторы и принцип их работы

3-й модуль посвящен изучению дистрибутиву Kali Linux. Будут изучены темы:

— основы администрирования Linux

— управление утилитами metasploit, nmap

— сканирование локальных беспроводных сетей

В 4-м модуле дети научатся создавать шпионские программы на языке Python:

— программы стиллеры паролей

— программы для скрытой передачи информации по сети

Полезные ссылки

Введение в криптографию (2012)
Автор: В.А. Романьков
Скачать книгу на русском — здесь.

Статья «Безопасный интернет для ребенка» , автор – Екатерина Старостина, партнер школы программирования для детей CODDY.

Лига безопасного Интернета — крупнейшая и наиболее авторитетная в России организация, созданная для противодействия распространению опасного контента во всемирной сети. Лига безопасного интернета была учреждена в 2011 году при поддержке Минкомсвязи РФ, МВД РФ, Комитета Госдумы РФ по вопросам семьи женщин и детей. Попечительский совет Лиги возглавляет помощник Президента Российской Федерации Игорь Щеголев. Уроки безопасного интернета от Лиги безопасного Интернета.

Дети России Онлайн . Полезный ресурс для детей и их родителей.

А тут лежит информация для родителей: памятки, советы, рекомендации от компании Microsoft.

«Интернешка» — детский онлайн-конкурс по безопасному использованию Интернета. Советы детям, педагогам и родителям, полезные ссылки.

Интернет-контроль — защита детей от вредной информации в сети интернет. Для родителей и интересующейся молодежи.

SAFERUNET — Центр безопасного интернета в России.

РОЦИТ — Ваш помощник в Интернете. Для детей старшего школьного возраста и родителей. Общественная организация, объединяющая активных интернет-пользователей России. Е миссия — содействие развитию и распространению интернет-технологий в интересах граждан России.

Всероссийский конкурс — "ПОЗИТИВНЫЙ КОНТЕНТ" . Поучаствуйте в конкурсе – создайте свой позитивный контент в сети!

Отдельно расскажем, что еще можно полезного делать:

Присылай ссылки на опасные сайты в Единый Реестр запрещённых сайтов.

Отправляй сообщения об опасном контенте на горячие линии Лиги безопасного интернета.

Используй WEB-фильтр при работе в Интернет.

«Кибердружина» — межрегиональное молодежное общественное движение, созданное Лигой безопасного интернета в 2011 году. Оно объединяет более 20 тысяч добровольцев со всей России и стран СНГ, борющихся с преступлениями в виртуальной среде. «Кибердружина» имеет представительства в 32 регионах России.

Ресурсы и сервисы по фишингу:

Фишинг – это один из способов незаконного использования вашей банковской карты. Объясните ребенку, что при посещении неизвестного сайта необходимо обратить внимание на его написание в строчке браузера.

Phishtank проверяет на попадание в black list исследуемый сайт

Rescan проверяет на вирусы, взлом и недобросовестную рекламу. Ну, и старый проверенный

Norton аналогично проверяет сайты.

На мобильных устройствах, например (если в вашей семье IPhone-династия) есть функция "семья", куда можно внести всех членов, включая ваших детей. И без вашего одобрения запроса ребенок ничего из онлайн-магазина купить не сможет. На системе Аndroid и Windows есть аналогичные возможности.

Руководство при выборе курса

Как мы понимаем, что учащийся освоил программу?

Во время обучения мы оцениваем как практическую сторону вопроса (как это сделать?), так и понимание темы (почему и зачем).

Ученики демонстрируют свои знания, решая задачи своим собственным способом, объясняя алгоритмы своими словами, помогая одногруппникам исправлять ошибки и создавая презентации по своим законченным проектам.

6000 рублей в месяц за 4 занятия

Продолжительность курса: 4 месяца

по субботам или воскресеньям, 1 раз в неделю

С годами термин «хакинг» приобрел отрицательный оттенок, что неудивительно. Хакерство часто используется в злонамеренных целях, таких как способ выявления и использования уязвимостей системы для получения несанкционированного доступа или угрозы безопасности, что приведет к потере данных или финансовой потере и другому серьезному ущербу.

Однако, как утверждают эксперты из Reviewedbypro и других источников, навыки взлома могут использоваться не только для злонамеренных действий. Хакеры часто нанимаются службами безопасности, чтобы использовать свои навыки для повышения своей безопасности и не допускать злоумышленников в свои системы, серверы, сети или другое программное обеспечение.

Читайте также:  Тип фигур microsoft office visio 2007

Кроме того, этичный хакинг — это не просто хобби, это может стать работой на полный рабочий день или прибыльной деятельностью. Например, 19-летний хакер-самоучка заработал свой первый миллион за награду Bug Bounty. Итак, что вам нужно знать об «этичном хакинге».

Что такое «Этичный хакинг»?

Вы когда-нибудь слышали термин «этичный хакинг»? Этичный хакинг, также известный как «вайт хет хакинг» или «взлом белой шляпы» , представляет собой процесс вторжения в систему или сеть с целью обнаружения образцов вредоносных программ и уязвимостей, которые могут быть обнаружены вредоносными скриптами или эксплойтами, что приводит к серьезным убыткам в виде потерянных данных.

Основная цель этичного хакинга — повысить уровень безопасности. Образцы вредоносных программ и уязвимости, обнаруживаемые этичными хакерами, часто исправляются во время тестирования. Несмотря на то, что этичные хакеры часто применяют те же инструменты и методы, которые используются киберпреступниками и злоумышленниками, этичные хакеры имеют разрешение уполномоченной стороны на выполнение взлома. Кроме того, все обнаруженные уязвимости, как ожидается, будут сообщены руководству в процессе тестирования.

Кто такой этичный хакер?

Этичный хакеры, обычно называемые тестировщиками проникновения или хакерами в белой шляпе, являются опытными хакерами-профессионалами, которые выявляют и используют слабые места и уязвимости в целевых системах/сетях. В отличие от злонамеренных хакеров, вместо того, чтобы воспользоваться преимуществами обнаруженных уязвимостей, этичные хакеры работают с разрешения авторизованного руководства и должны все правила управления и законы страны.

Стоит отметить, что этичные хакеры нередко становятся белыми шляпами, будучи злонамеренными хакерами, решая использовать свои навыки и приемы для достижения позитивных целей. Тем не менее, хакеры в белых шляпах также нередко переключают свои белые шляпы на черные.

CIA или AIC Triad

Этичные хакеры часто руководствуются тремя основными принципами, включая конфиденциальность, целостность и доступность. Эти три принципа составляют Треугольник ЦРУ. Они используются для достижения гармонии трех принципов для повышения уровня безопасности организации. Первоначально Триада ЦРУ была разработана для руководства политиками информационной безопасности в организации. Эта модель также упоминается как триада AIC.

Требуются квалификация и обучение

Если вы когда-нибудь думали стать этичным хакером, важно узнать о навыках и квалификации, необходимых для этой работы. По словам основателя и исполнительного директора DrPete Technology Experts Питера Чадха, этичные хакеры должны обладать «огромным количеством технических знаний о ИТ-системах и программном обеспечении и, в частности, о том, как использовать их уязвимости». Ряд сертификатов, таких как наиболее распространенные сертификаты EC-Council Certified Ethical Hacker Certification или Communication-Electronics Security Group (CESG) также необходимы для выполнения какого-либо теста на проникновение в организацию.

Существуют также различные сертификаты тестирования начального уровня, разработанные для тех, кто желает работать в команде тестирования и управляться руководителем группы. Между тем, сертификаты и курсы старшего тестирования предназначены для более продвинутых хакеров, которые хотят работать самостоятельно или руководить своей командой.

Кроме того, вы можете самостоятельно проверить наличие сертификатов и онлайн-курсов. Например, Udemy часто предлагает сделки по курсам этичного хакерства, которые включают курсы для начинающих и более продвинутых пользователей. EcCouncil также предоставляет студентам обучение и курсы для тех, кто хочет стать сертифицированным этичным хакером. Курсы включают сертификаты Core, Advanced и Expert.

Согласно PrepAway, топ-7 сертификатов этичного взлома включают сертификат этичного хакинга (CEH), сертификат тестера проникновения GIAC (SANS GPEN), сертификат специалиста по безопасности (OSCP), CREST, Foundstone Ultimate Hacking, сертификат по взлому инженера-тестера (CTPC) и сертификат инженера по тестированию хакинга (CPTE). Сертификаты квалифицируют человека как сертифицированного этичного хакера и предоставляют различные преимущества для отдельных лиц, поскольку это помогает понять риски и уязвимости, влияющие на организации, показывают инструменты торговли, технических хакеров, различные виды средств для подбора отпечатков пальцев, контрмеры и инструменты для снятия отпечатков пальцев и многое другое.

Чадха также добавляет, что «это также помогает иметь достаточные общие знания и опыт наряду с такими сертификатами, как «Магистр информационной безопасности». Поэтому имейте в виду, что соответствующий опыт в области взлома также высоко ценится в отрасли.

Больше характеристик и информации о взломе

Несмотря на то, что этичный хакер не должен выполнять определенные действия во время взлома, существует пять основных этапов, включая разведку, сканирование, получение доступа, поддержание доступа и очистку треков.

  1. Первым этапом взлома является Разведка, также известная как следы или сбор информации. На этом этапе хакер должен собрать как можно больше информации. Собирается информация о сети, хосте и вовлеченных людях.
  2. Вторая фраза сканирования включает в себя три типа сканирования: сканирование портов, сканирование уязвимостей, сопоставление сети.
  3. Третья фаза получения доступа отражает фазу, когда хакер входит в целевую систему или сеть. После того, как хакер проник в систему, требуется разрешение администратора для установки программ и инструментов, необходимых для настройки или скрытия данных.
  4. После получения доступа следует фраза «Поддерживающий доступ». Злоумышленник, взломавший систему, может захотеть только показать, что она уязвима, или он также хочет сохранить или использьзовать несанкционированное соединение в фоновом режиме. Для этого хакеры часто используют вредоносные программы, такие как трояны, руткиты или другие вредоносные программы. Доступ должен поддерживаться до тех пор, пока задачи не будут выполнены.
  5. Последний этап — очистка дорожки. Злонамеренный хакер не хочет быть пойманным, поэтому необходимо очистить все улики и следы, которые могут привести к нему. Этот этап состоит из модификации, повреждения и/или удаления журналов, значений реестра, используемых приложений и т.д. Даже если каждый хакер выбирает свои собственные фазы взлома, это пять основных рекомендуемых и наиболее часто используемых этапов.

Наиболее распространенные виды атак

Стоит отметить, что существуют разные типы атак. Атаки включают в себя атаки операционной системы, модификации конфигурации, атаки на уровне приложений и атаки с использованием сжатых кодов. Давайте немного подробнее поговорим о каждой атаке.

Атаки операционной системы относятся к обнаружению и использованию уязвимостей и слабых мест в операционной системе. Например, непропатченная система или переполнение буфера.

Читайте также:  Чистка кэш памяти компьютера

Атаки модификации конфигурации часто являются результатом неправильной конфигурации развернутого устройства или системы. Эти атаки направлены на базы данных, серверы, программное обеспечение или сети. Атаки рычага приложений направлены на программы и приложения. Некоторые из примеров — внедрение SQL, межсайтовый скриптинг и подобные атаки. Атаки кода при сжатии кода выполняются с использованием компонентов по умолчанию или с готовых компонентов, если код или скрипт не настроены должным образом.

Это основные типы атак, которые обычно выполняются из-за слабых мест, уязвимостей, неправильной конфигурации и других ошибок в системах, сетях, программном обеспечении или кодах/скриптах.

Оценка уязвимости

Одной из самых популярных работ для этичных хакеров является оценка уязвимости.

Оценка уязвимости — это процесс выявления, количественной оценки и определения приоритетов уязвимостей в системах, сетях и каналах связи. Процесс выполняется как часть аудита и направлен на защиту целевых систем от атак. Обнаруженные уязвимости идентифицируются, классифицируются и сообщаются руководству с целью исправления ошибок и повышения безопасности организации.

Тестирование проникновения

Еще одной важной задачей в индустрии этичного хакинга является тестирование на проникновение. Тестирование на проникновение является актом оценки уровня безопасности организации. Во время тестирования на проникновение хакер использует обнаруженные уязвимости аналогично тому, как это делают потенциальные злоумышленники. Этичный хакер защищает и документирует процесс атаки.

Существует несколько типов тестирования на проникновение, в том числе черный ящик, белый ящик и серый ящик. Черный ящик — это тип тестирования на проникновение, когда тестеру не предоставляются какие-либо сведения, относящиеся к сети и/или инфраструктуре сети/организации, подлежащей тестированию. Белый ящик — это тип тестирования на проникновение, когда тестер получает полную информацию о сети и/или инфраструктуре сети/организации, подлежащей тестированию.

Серый ящик — это тип тестирования на проникновение, когда тестеру предоставляется часть ограниченной информации и сведения о сети и/или инфраструктуре сети/ организации, подлежащей тестированию. Как видите, оценка безопасности организации и использование ее уязвимостей — одна из основных задач этичного хакера.

Последние мысли

Как видите, хакинг не является негативным действием, если вы делаете это в хороших целях. Этичный взлом является важной частью уровня безопасности организации. Этичный хакинг позволяет организациям повысить уровень безопасности, выявляя и сводя к минимуму недостатки и уязвимости, а также исправляя ошибки и многое другое. Есть много курсов для обучения, доступных в интернете, если вы когда-нибудь задумывались о том, чтобы стать этичным хакером.

Этичные или "белые" хакеры (white-hat) зарабатывают тем, что взламывают компьютерные системы компаний, но не в криминальных целях, а чтобы проверить надежность киберзащиты и выявить в ней слабые места. Белые хакеры, в отличие от черных (black hat), не совершают преступлений. Многие из них официально работают на государство или на крупные корпорации в качестве специалистов по информационной безопасности (ИБ). Есть и те, кто практикуют хакерство, как хобби и развлечение.

Впрочем, далеко не все кибервзломы санкционированы руководством компаний. В свободное от работы время — вечерами и в выходные дни — ИБ-энтузиасты нередко участвуют в неофициальных, "побочных" проектах. Один из таких — недавний взлом системы управления "умным" домом Zipato, в результате которого "белые" хакеры Чарльз Дардаман (Charles Dardaman) и Джейсон Уилер ( Jason Wheeler) выявили несколько серьезных уязвимостей в программном обеспечении разработчика.

На идею взломать смарт-замок друзей натолкнула коллега по ИБ-отрасли Лесли Кархарт (Lesley Carhart). Владелец дома, где она арендовала квартиру, начал устанавливать "умные" замки, из-за чего Лесли даже пришлось сменить место жительства. Дардаман и Уилер хотели показать своим экспериментом, что опасения по поводу надежности смарт-замков не лишены оснований.

У друзей ушел день на то, чтобы "хакнуть" смарт-замок Zipato на входной двери, но не это было их главной целью. Хакеры хотели добраться до смарт-хаба ZipaMicro — системы, используемой Zipato для управления устройствами "умного" дома. Через пару дней им удалось и это.

Проникнув в систему, Дардаман и Уилер обнаружили на карте памяти устройства SSH-ключ, дающий root-привелегии, который оказался одинаков для всех смарт-хабов ZipaMicro. Узнав SSH-ключ, хакеры получили доступ к зашифрованным паролям всех контроллеров и могли управлять любым "умным" домом, где имеются устройства Zipato.

Дардаман и Уилер сразу же связались с разработчиком и уведомили его о своих открытиях. В интервью изданию The Vox хакеры признались, что в компании не очень-то обрадовались вестям, но через несколько недель исправили допущенные ошибки.

Когда уязвимости были устранены, Дардаман обнародовал информацию в интернете, а также поделился отчетом об эксперименте со смарт-замком Zipato с журналистами TechCrunch. Новость быстро разлетелась по Сети и вызвала большой резонанс.

Надо сказать, эта и другие хакерские "проделки" приносят реальную пользу с точки зрения обеспечения безопасности пользователей.

Например, в 2015 году хакеры сумели перехватить управление Jeep Cherokee через уязвимости мультимедийной системы Uconnect, после чего производитель был вынужден отзывать 1,4 миллиона автомобилей для устранения ошибок в программном обеспечении.

В 2018 году хакеры из группировки Anonymous Calgary Hivemind подключались к камерам наблюдения Nest, чтобы продемонстрировать их уязвимость. В результате разработчик камер — принадлежащая Google компания Nest — инициировала сброс паролей и предложила пользователям перейти на двухфакторную аутентификацию.

В марте 2019-го много шума наделали новости о критической уязвимости в кардиодефибрилляторах компании Medtronic, позволяющей с помощью радиосигналов получить полный контроль над устройством с расстояния до 6 метров. В настоящее время Управление по контролю за продуктами и лекарствами США (The Food and Drug Administration) совместно с Medtronic работают над устранением проблемы, внимание на которую, опять-таки, обратили хакеры.

Несмотря на приведенные примеры, слово "хакер" в сознании большинства прочно ассоциируется с чем-то противозаконным. Этичные кибервзломщики считают это несправедливым.

"Есть ведь такие понятия, как лайфхак (от англ. life hack — житейская хитрость, полезный совет) и трэвелхак (от англ.и travel hack — рекомендации для путешественников о том, как дешево или бесплатно совершать авиаперелеты, останавливаться в отелях, арендовать автомобили и т. п.), и у них нет негативной коннотации. Но как только "хакер" звучит в компьютерном контексте, тут же в воображении людей возникает пугающая темная фигура в капюшоне" , — сетует хакер, известный в киберсреде под ником wirefall (свое настоящее имя попросил не называть).

Рассуждая о предвзятости, он с обидой заметил, что слесарей не донимают вопросами, отчего они не промышляют кражами со взломом.

Читайте также:  Что лучше виндовс 10 или windows 7

Негатив со стороны компаний — тоже обычное дело. В то время как одни организации ценят труд этичных хакеров, другие воспринимают их скорее как врагов, и чуть ли не приравнивают к киберпреступникам. По мнению wirefall, причина враждебности в том, что многие фирмы просто не хотят заботиться о безопасности, поскольку им гораздо дешевле заплатить штраф, чем обеспечить киберзащиту на должном уровне.

Поскольку эффективное регулирование в данной сфере пока отсутствует, некоторые хакеры считают, что внимание СМИ и общественности — это лучший способ воздействовать на такие компании.

"Темная сторона" никогда не привлекала Чарльза Дардамана.

"Я хотел жить нормальной жизнью. И заработать на пенсию" , — признается 20-летний юноша журналистам The Vox.

Молодой человек живет в Далласе и в свободное от работы время увлекается компьютерными играми. Кстати, они-то и подтолкнули Дардамана к будущей профессии. Еще в старших классах школы он начал писать чит-коды для популярной игры Minecraft и увлекся программистскими головоломками, которые по роду своей работы решают легальные хакеры. Когда Дардаман окончил университет со степенью в области информационных технологий, он уже знал, что будет этичным хакером.

Сегодня молодой человек работает на компанию Critical Start, которая на контрактной основе привлекает этичных хакеров для проверки киберзащиты крупных корпораций и банков. Critical Start и другие подобные ей фирмы — часть развивающейся индустрии информационной безопасности, призванной остановить растущую волну кибератак.

ИБ-отрасль начала расширяться в начале двухтысячных, на фоне первых утечек данных, появления социальных сетей и развития онлайн-торговли. В те времена "белыми" хакерами нередко становились пойманные властями киберпреступники. Теперь все изменилось: молодые люди, такие как Дардаман, могут еще в школе попробовать свои силы в этичном хакинге и получить онлайн-сертификат, подтверждающий квалификацию в сфере кибербезопасности.

Большинство контрактных проектов, в которых участвует Дардаман, длятся неделю или две. Нередко компания не предупреждает свою команду киберзащиты о предстоящей проверке, позволяя хакеру присмотреться к тому, как работают компьютерные сети и найти возможность для проникновения вглубь ИТ-систем. Но такая игра в кошки-мышки продолжается только несколько дней.

"Моя цель — к концу недели громко заявить о себе , — рассказывает хакер, отмечая, что обычно он старается получить доступ к корпоративным серверам, заставляя отреагировать ИБ-команду.
Если за неделю им не удается меня поймать, это значит, что компании следует пересмотреть меры кибербезопасности".

В свободное от работы время Дардаман практикует взломы устройств интернета вещей, чтобы показать людям, что они не до конца осознают все риски, которые несет с собой установка в доме различных "умных" гаджетов с датчиками, голосовым управлением и возможностью доступа к ним через интернет. По словам хакера, подобные кибератаки для него — как игра.

"Лучший способ защитить ИТ-систему — это проверить ее эффективность с помощью противника, посмотреть, как ее попытаются взломать киберпреступники, хактивисты или разведслужбы" , — убежден Филипп Уайли ( Phillip Wylie), специалист по тестам на проникновение (pentest) в банке US Bank и профессор Ричландского колледжа по этичному хакингу.

Как и Чарльза Дардамана, Уайли привлекают в хакерстве возможность решать интеллектуальные головоломки и эмоциональный подъем от успешного проникновения в закрытую систему. До того, как устроиться в US Bank, Уайли работал консультантом и тестировал на устойчивость к взломам и кибератакам веб-приложения. Однажды он обнаружил у клиента серьезную уязвимость, позволившую проникнуть в корневую базу данных компании.

"Я мог делать все что угодно: добавлять в систему новых пользователей, копировать базу данных, удалять записи или вовсе отключить сервер" , — вспоминает специалист.

Некоторые хакеры не ищут уязвимости. Например, 23-летняя Джейн Маньчунь Вон (Jane Manchun Wong) из Гонконга с помощью реверс-инжиниринга приложений выясняет, что новенького для своих пользователей готовят разработчики.

"Эта информация в смартфонах всех пользователей. Да, она глубоко спрятана, но ничего незаконного в ее раскрытии нет. Это публичная информация" , — рассказывает Джейн Вон о своем увлечении.

В апреле 2019 года исследовательница рассказала, что разработчики Instagram хотят спрятать количество лайков под фотографиями, чтобы стимулировать блогеров создавать больше контента. Поначалу в соцсети отрицали подобные планы, но в мае Instagram перестал показывать счетчик лайков в Канаде, а в начале августа это же произошло с лентами пользователей в Австралии, Бразилии, Италии, Ирландии, Новой Зеландии и Японии.

Вместе с тем, как и этичные хакеры, Вон преследует благие цели. Например, если она обнаруживает в коде приложения пользовательские данные, то сообщает об этом компании, чтобы предотвратить возможную утечку. По словам Вон, она занимается этим для удовольствия — ей тоже нравится решать головоломки.

"С тех пор, как моими открытиями заинтересовались, и компании начали следить за моими твитами, разработчики стали повышать безопасность своих приложений. Это одно из соображений, по которым я этим занимаюсь. Компании повысят защиту приложений, и взломать их будет сложнее" , — пояснила Джейн Вон в интервью BBC.

Большинство "белых" хакеров заявляют, что они не пытаются выставлять компании в плохом свете. Обнаружив уязвимость, ИБ-специалисты оповещают организацию и дают ей время на исправление ошибки. Обычно срок составляет 90 дней в соответствии с правилами Google Project Zero.

"Если они реагируют на предупреждение и устраняют уязвимость — отлично. Но если говорят, что не станут ничего исправлять, я публикую свой отчет. Если пытаются затянуть время до полугода — я тоже обнародую данные, почему нет? Если проблема серьезная, нужно устранить ее в отведенное время" , — рассказал Чарльза Дардаман.

Многие этичные хакеры говорят, что чувствуют ответственность за информирование пользователей о слабых местах в киберзащите. Когда в компаниях сердятся на то, что хакеры раскрывают потенциальную уязвимость, это говорит о несерьезном отношении фирмы к вопросам безопасности, считает Филипп Уайли. Те, кому сообщают о найденной уязвимости, должны радоваться, что им устроили бесплатный тест на проникновение, убежден ИБ-специалист.

Комментировать
0 просмотров
Комментариев нет, будьте первым кто его оставит

Это интересно
No Image Компьютеры
0 комментариев
No Image Компьютеры
0 комментариев
No Image Компьютеры
0 комментариев
No Image Компьютеры
0 комментариев
Adblock detector