Kontent qismiga oʻtish

White hat

Vikipediya, ochiq ensiklopediya

White Hat Hacker (talaffuzi: Vayt het haker) — xavfsizlik tizimlariga yordam beruvchi, yaxshi niyatda kiberxeking现场发给你,

Lllji8muuyy ,,sid14_gci550882,00.html|sarlavha=What is white hat? - a definition from Whatis.com|nashriyot=Searchsecurity.techtarget.com|kirish sanasi=2012-06-06}}</ref>. Axloqiy xakerlik — bu shunchaki kirish testidan koʻra kengroq toifani anglatish uchunو:

moʻljallangan atamadir[1][2]. Egasining roziligi bilan oq qalpoqli xakerlar joriy tizimdagi har qanday zaifliklarni aniqlashni maqsad qilgan boʻlishadi[3]. Black Hat Hacker (yovuz xaker)lardan farqli oʻlaroq, bu nom antagonistik qahramonlar (kovboy) mos ravishda oq va qora shlyapa kiyib jang qilishgan G'arb filmlaridan olingan[4]. Grey hat hacker deb nomlanuvchi uchinchi turdagi xakerlar ham mavjud. Ular yaxshi niyat bilan, lekin baʼzida ruxsatsiz buzib kirishadi[5].

White hat xakerlar, shuningdek, „krossovkalar va/yoki xakerlik klublari“[6], qizil jamoalar yoki yoʻlbars jamoalar deb ataladigan guruhlarda ham ishlashi mumkin[7].

Axloqiy xakerlik sifatida aniqlangan ilk holat AQSh havo kuchlarining „xavfsizlikni baholash“ dasturida amalga oshirilgan boʻlib, unda Multics operatsion tizimlari „ikki bosqichli (maxfiy/oʻta maxfiy) tizim sifatida potentsial foydalanish“ uchun sinovdan oʻtkazilgan. Baholash shuni koʻrsatdiki, Multics „boshqa anʼanaviy tizimlarga qaraganda sezilarli darajada yaxshiroq“ boʻlsa-da, u „nisbatan kam harakat“ bilan aniqlanishi hamda dasturiy taʼminot va protsessual xavfsizlik zaifliklariga" ega boʻlishi mumkin, deya baholangan[8]. Mualliflar oʻzlariga tegishli boʻlgan testlarini real tarzda oʻtkazadilar. Bunda ularning natijalari tajovuzkorlikka ega boʻlishi mumkin boʻlgan kirish turlarini aniq aks ettiradi. Ular oddiy maʼlumot yigʻish mashqlarini, shuningdek, tizimning yaxlitligini buzishi mumkin boʻlgan toʻgʻridan-toʻgʻri hujumlarni oʻz ichiga olgan testlarni oʻtkazadilar. Ikkala natija ham maqsadli auditoriyani qiziqtiradi. AQSh armiyasidagi axloqiy xakerlik faoliyatini tavsiflovchi yana bir qancha tasniflanmagan hisobotlar mavjud.

1981-yilga kelib, The New York Times nashri "white hat" xakerlar faoliyatini "buzgʻunchi, ammo ijobiy „hack“ anʼanalarining bir qismi", deya taʼriflanadi. National CSS xodimi oʻzining mijozlar akkauntlarida qoʻllagan parolni buzish qurilmasi mavjudligini oshkor qilganida, kompaniya uni dasturiy taʼminotni yozgani uchun emas, balki uni tezroq oshkor etmagani uchun jazolaydi. Tanbeh maktubida shunday deyilgan edi: „Kompaniya NCSS uchun foydani tan oladi. Shu bilan birga VP hamda katalog va fayllardagi boshqa maxfiy dasturiy taʼminotdagi xavfsizlik zaif tomonlarini aniqlash uchun xodimlarning harakatlarini ragʻbatlantiradi.[9].

Tizimlar xavfsizligini baholash uchun ushbu axloqiy xakerlik taktikasidan foydalanish gʻoyasi Dan Farmer va Wietse Venema tomonidan ishlab chiqilgan. Internet va intranetlarda umumiy xavfsizlik darajasini oshirish maqsadida ular oʻzlarining maqsadlari haqida (agar xohlasalar) xavfsizlikni buzishga qodir boʻlish uchun qanday qilib yetarli maʼlumot toʻplaganliklarini tasvirlashadi. Ular ushbu maʼlumotni qanday qilib toʻplash va nishon ustidan nazoratni qoʻlga kiritish uchun foydalanish va bunday hujumning oldini olish haqida bir qancha aniq misollar keltiradilar. Ular oʻz ishlarida qoʻllagan barcha vositalarni toʻplashadi. Ularni ishlatish uchun qulay boʻlgan bitta ilovaga birlashtirishadi va uni yuklab olishga qaror qilgan har bir kishiga tarqatishadi. Ularning Tarmoqlarni tahlil qilish uchun xavfsizlik ma'muri vositasi (Security Aministrator Tool for Analyzing Network) yoki SATAN deb nomlangan dasturi 1992-yilda butun dunyo boʻylab ommaviy axborot vositalarining katta eʼtiborini tortadi[10].

Penetratsiya testi boshidanoq dasturiy taʼminot va kompyuter tizimlariga hujum qilishga qaratilgan boʻlsa-da, portni skanerlash, tizimda ishlaydigan protokollar va ilovalardagi maʼlum kamchiliklarni oʻrganish va yamoqlarni oʻrganish (masalan, axloqiy xakerlik boshqa narsalar)'ni ham oʻz ichiga olishi mumkin. Toʻliq axloqiy xakerlik xodimlarga parol maʼlumotlarini soʻrab elektron pochta xabarlarini yuborish, rahbarlarning axlat qutilarini varaqlash va odatda maqsadlarni bilmasdan yoki roziligisiz buzish va kirishni oʻz ichiga olishi mumkin. Faqatgina bunday kattalikdagi xavfsizlikni tekshirishni soʻragan egalar, bosh direktorlar va boshqaruv kengashi aʼzolari (manfaatdor tomonlar) bilishadi. Haqiqiy hujumda qoʻllanishi mumkin boʻlgan baʼzi halokatli usullarni takrorlashga urinish uchun axloqiy xakerlar klonlangan test tizimlarini oʻrnatishi yoki tizimlar unchalik muhim boʻlmagan hollarda tungi xakerlik qilishlari mumkin[11]. Soʻnggi holatlarda, bu buzgʻunchiliklar uzoq muddatli firibgarlik uchun (tashkilotga insonning uzoq muddatli infiltratsiyasi uchun haftalar boʻlmasa ham, kunlar) davom ettiriladi. Baʼzi misollar orasida jamoat joylarida avtomatik ravishda ishlaydigan yashirin dasturiy taʼminotga ega USB flesh-disklar'ni saqlash kiradi. (Goʻyo kimdir kichik diskni yoʻqotib qoʻygan va beparvo xodim uni topib olib ketgandek)

Buni amalga oshirishning baʼzi boshqa usullari quyidagilardan iborat:

Ushbu usullar maʼlum xavfsizlik zaifliklarini aniqlaydi va ulardan foydalanadi. Bularga qoʻshimcha sifatida, himoyalangan tizimlarga kirish uchun xavfsizlikni chetlab oʻtishga harakat qiladi. Mutaxassislar ushbu harakat egalarini "black-hat" (yoki "grey-hat") deb ataladigan axloqiy boʻlmagan xaker buzishi mumkin boʻlgan maʼlumotlarga havola sifatida ishlatilish taxmin qilishadi. Ushbu taxmin dasturiy taʼminot va tizim "orqa eshiklarini" yashirish orqali amalga oshirilishi mumkin.

Pinsent Masons LLP yuridik direktori va OUT-LAW.com muharriri Struan Robertson shunday deydi: "Umuman olganda, agar tizimga kirish uchun ruxsat berilsa, xakerlik axloqiy va qonuniydir. Agar unday boʻlmasa, bu kompyuterdan notoʻgʻri foydalanish qonuni boʻyicha jinoyat hisoblanadi. Ruxsatsiz kirish parolni taxmin qilishdan tortib, kimningdir veb-pochta hisobiga yoki bankning xavfsizlik tizimiga kirishgacha boʻlgan barcha jihatlarni qamrab oladi. Kompyuterga ruxsatsiz kirish uchun maksimal jazo ikki yil qamoq jazosi va/yoki jarimaga tortilish bilan cheklanishi mumkin. Xaker maʼlumotlarni oʻzgartirsa, qattiqroq jazolar — 10 yilgacha qamoq jazosi mavjud „. Ruxsatsiz kirish, hatto koʻpchilik manfaati uchun boʻlsa ham, zaifliklarni ochib berish noqonuniydir“, deydi Robertson."Bizning xakerlik qonunlarimizda sizning xatti-harakatingiz katta manfaatlar uchun ekanligi haqida hech qanday himoya yoʻq. Siz ishongan narsa boʻlsa ham", deya taʼkidlab oʻtadi u[12].

Amerika Qo'shma Shtatlari Milliy xavfsizlik agentligi CNSS 4011 kabi sertifikatlarni taklif qiladi. Bunday sertifikat tartibli, axloqiy xakerlik texnikasi va jamoaviy boshqaruvni qamrab oladi. Agressor jamoalar "qizil" jamoalar deb ataladi. Himoyachi jamoalari "koʻk" jamoalar deb ham ataladi[13]. Agentlik 2012-yilda DEF CON orqali ishchilar yollaganida, yangi ishchilarga: „Agar-da sizda, aytaylik, oʻtmishda oʻylamay qilgan xatolaringiz boʻlsa, xavotir olmanglar. Siz eski ishlaringiz uchun avtomatik ravishda ishga qabul qilinmayman, deb oʻylamasligingiz kerak“[14].

White hat xakerlar — korxona uchun raqobatbardosh malakali ishchilardir. Chunki u korporativ tarmoq muhitini himoya qilish uchun xatolarni tekshirishga qarshi chora boʻlishi mumkin. Shunday asnoda, yaxshi xakerlar korporativ tizimlar, ilovalar va soʻnggi nuqtalarga xavfni kamaytirish uchun kutilmagan foyda keltirishi mumkin[15].

  1. Ward, Mark (14-sentabr 1996-yil). „Sabotage in cyberspace“. New Scientist. 151-jild, № 2047.{{cite magazine}}: CS1 maint: date format ()
  2. Knight, William (16-oktabr 2009-yil). „License to Hack“. InfoSecurity. 6-jild, № 6. 38–41-bet. doi:10.1016/s1742-6847(09)70019-9.{{cite magazine}}: CS1 maint: date format ()
  3. Filiol, Eric; Mercaldo, Francesco; Santone, Antonella (2021). „A Method for Automatic Penetration Testing and Mitigation: A Red Hat Approach“. Procedia Computer Science (inglizcha). 192-jild. 2039–2046-bet. doi:10.1016/j.procs.2021.08.210.
  4. Wilhelm, Thomas. Ninja Hacking: Unconventional Penetration Testing Tactics and Techniques. Elsevier, 2010 — 26–7-bet. ISBN 9781597495899. 
  5. „What is the difference between black, white, and grey hackers“. Norton.com. Norton Security. Qaraldi: 2018-yil 2-oktyabr.
  6. „What is a White Hat?“. Secpoint.com (2012-yil 20-mart). Qaraldi: 2012-yil 6-iyun.
  7. Palmer, C.C. (2001). „Ethical Hacking“ (PDF). IBM Systems Journal. 40-jild, № 3. 769-bet. doi:10.1147/sj.403.0769.
  8. Paul A. Karger, Roger R. Scherr (June 1974). MULTICS SECURITY EVALUATION: VULNERABILITY ANALYSIS (Report). Archived from the original on 2017-11-13. https://web.archive.org/web/20171113060242/https://csrc.nist.gov/csrc/media/publications/conference-paper/1998/10/08/proceedings-of-the-21st-nissc-1998/documents/early-cs-papers/karg74.pdf. Qaraldi: 12-Nov 2017-yil. 
  9. McLellan, Vin. „Case of the Purloined Password“. The New York Times (1981-yil 26-iyul). Qaraldi: 11-avgust 2015-yil.
  10. Palmer, C.C. (2001). „Ethical Hacking“ (PDF). IBM Systems Journal. 40-jild, № 3. 769-bet. doi:10.1147/sj.403.0769.Palmer, C.C. (2001). „Ethical Hacking“ (PDF). IBM Systems Journal. 40 (3): 769. doi:10.1147/sj.403.0769.
  11. Justin Seitz, Tim Arnold. Black Hat Python, 2nd Edition: Python Programming for Hackers and Pentesters, 14-aprel 2021-yil. ISBN 978-1718501126.  (Wayback Machine saytida 2021-08-26 sanasida arxivlangan)
  12. Knight, William (16-oktabr 2009-yil). „License to Hack“. InfoSecurity. 6-jild, № 6. 38–41-bet. doi:10.1016/s1742-6847(09)70019-9.{{cite magazine}}: CS1 maint: date format ()Knight, William (16 October 2009). „License to Hack“. InfoSecurity. 6 (6): 38-41. doi:10.1016/s1742-6847(09)70019-9.
  13. „What is a White Hat?“. Secpoint.com (2012-yil 20-mart). Qaraldi: 2012-yil 6-iyun.„What is a White Hat?“. Secpoint.com. 2012-03-20. Retrieved 2012-06-06.
  14. „Attention DEF CON® 20 attendees“. National Security Agency (2012). 2012-yil 30-iyulda asl nusxadan arxivlangan.
  15. Caldwell, Tracey (2011). „Ethical hackers: putting on the white hat“. Network Security. 2011-jild, № 7. 10–13-bet. doi:10.1016/s1353-4858(11)70075-7. ISSN 1353-4858.