Компютри » Етични тестове за хакерство и проникване

Етични тестове за хакерство и проникване

Компютри

В съвременния свят има много платежни системи, социални мрежи и сайтове, които изискват регистрация на лични данни на потребителите, включително номера на платежни карти, телефони и електронна поща. Това използва много измамници, чупене и кражба на пари от сметки, търсене на данни за спам и фишинг. Затова, за да защитите данните в профила си, трябва редовно да тествате системи за сигурност на сайта или услугата за определено ниво, за да защитите профилите си. За тази цел бе създаден "бял" или етичен хакерство. Специалистите по киберсигурност в тази област търсят пропуски в системите, които гарантират безопасността на сайта, изтегляне на данни. В този случай администраторите и собствениците на сайтове са домакини на състезания за хакери, които се опитват да нарушат услугата си за парична награда. Ето защо етичният хакерство (CEH - популярен ресурс за неговото проучване) стана популярно.


Лов на бъгове

Етичното хакерство е форма на хакерство, която е одобрена от закона, чрез която се търсят търсения на уязвими области на системата. Това се прави, за да се намерят "пробивите" и да се обжалват пред тях разработчиците. По този начин значително се повишава нивото на защита. Те са ангажирани с тези "бели" хакери, които в британските държави носят името бяла шапка. По вид дейност се противопоставяха на крадци, които търсят възможността да правят компромиси и да продават данни или да се „сливат” с конкурентите. Заглавието на такива хакери е жаргон - черна шапка. Тази дейност е забранена от закона и е наказуема.

Дейност

Според спецификата на дейността на "белите" хакери се разграничават затворени и открити конкурси. Те се различават по отношение на заплащане, брой и ниво на квалификация на участниците. В първия случай участват голям брой млади професионалисти, които са допуснати въз основа на получени сертификати за обучение. Във втория случай администрацията на структурата избира екип от хакери от професионалисти.


Най-често срещаният начин за печелене на средства за специалисти по киберсигурност е техниката за главна грешка. Това е система за намиране на грешки в кода, които намаляват максималното ниво на сигурност. Това позволява на разработчиците да откриват и елиминират грешките в кода на продуктите своевременно. По този начин престъпниците, които правят хакерство и разпространение на компрометиращи данни за сайтове и услуги и техните потребители няма да имат шанс. Това се дължи на официалното публикуване на данни от разработчиците относно обявяването на конкурс за откриване на грешки и уязвимости в системата. Това най-често е свързано с обявяването на парични награди. В зависимост от сложността на системата, паричната награда се увеличава съответно. Тогава структурата с отворен код започва да се изучава от програмисти и хакери за грешки в кода и възможността за получаване на криптирани данни. С отворена програма всички данни в системата се публикуват в интернет.

Затворена конкуренция

Въпреки това, има и затворен тип изпитвания. В този случай екипът за разработка избира определен набор от състезатели за хакерската структура или система. Набор от специалисти по киберсигурностсе извършва въз основа на обобщена и конкурентна селекция. На всеки участник се изпраща покана. Често такава професия е съпътстваща основна професия. Такава работа често се прави от програмисти, които разработват антивирусни и други, които да защитават. Етичните тестове за хакерство и проникване са допълнителен доход за много програмисти. Има големи състезания, които ви позволяват да спечелите до един милион за системи от високо ниво.

Платформи

Има платформи за контакт между кражбите и разработчиците на софтуер. Двете най-популярни са HackerOne и Bugcrowd. Всъщност, тези системи са място, където разработчиците и експертите по компютърна сигурност могат да се свържат. По този начин те са мястото на агрегиране на ИТ средата. Регистрираните и сертифицирани работници могат да намерят желаното ниво на структура. В програмите участват няколкостотин хиляди професионалисти от цял ​​свят. Освен частни компании, които участват в разработването на софтуер по поръчка, подобни поръчки се публикуват от държавни агенции. По този начин американският щаб за отбрана на Пентагона пусна платформата HackerOne "Hack The Pentagon" за собствена програма.

Плащане

За намиране на уязвими места в техните системи се плащат високи такси. В зависимост от сложността и нивото на защитната структура плащането може да надхвърли няколко хиляди долара. Според статистиката на глобалната компания HackerOne, средното заплащане за открит бъг или слабо място надвишава $ 1800. През последните години компанията се развиваплатени "бели" хакери повече от 20 милиона долара.

История

Първият модел на Bug Bounty беше представен от американската компания Netscape Communications Corporation. Това беше появата на услуга в началото на 90-те години, която плати за търсенето в уязвимите области и критичните грешки в мрежата на браузъра. Корпорацията установи, че използването на специалисти от трети страни от цял ​​свят може да намери проблеми в кода много по-бързо, отколкото при дългосрочно тестване и използването на ограничен брой служители от киберсигурността. Тази идея бързо се разпространи и през 2000-те години тя започна да се прилага за много корпорации, ангажирани в областта на информационните технологии. В Русия и страните от ОНД също се използва този модел. Често търсят помощ от киберсигурност и бисквити за големи компании и правителствени агенции. Стартира програма за намиране на грешки и критични грешки в публичните ИТ системи. Предвиденият бюджет на централизираната програма трябва да бъде 800 милиона рубли. Според статистическите проучвания етичният хакерство е станал по-печеливш от злото.

Когато класовете могат да бъдат криминализирани

В отсъствието на корпорация или услуга, програмата Bug Bounty несъзнателно е ангажирана с хакването на системата. Имаше случаи, когато "белият" хакер, намерил грешка и съобщил за компанията си, вместо наградата получил призоваване в полицията. В този случай програмистите често прекратяват затворите. Ето защо е нежелано да се търсят грешки в услуги, които нямат официалната програма за грешки.

Етичен хакерство и тестване също може да бъдеопасно. Но само ако програмата Bug Bounty е използвана или превишена. Така че, за експерт по етични хакерства, който намери няколко критични пукнатини в системата на Instagram, който позволява достъп на потребителите и комуналните услуги, той се превръща в неприятна изненада. Длъжностни лица на компанията са обвинени в нарушаване на принципите на програмата за откриване на бъгове. Белият хакер бе обяснен, че няма право да докосва поверителна информация и системни данни. В резултат на това само част от работата е била платена и ако не е имало намеса в медиите - специалист ще бъде изпратен в решетката. Затова е препоръчително да се запознаете с условията на лицензионното споразумение, преди да започнете работа. Неспазване на такова възможно наказателно преследване.

Преподаване на етичен хакер

Злините на системите за сигурност през последните години станаха печеливши професии. Така в него участват все повече програмисти, системни администратори и специалисти по киберсигурност. Има голям брой курсове, онлайн обучения и сайтове за практикуване. По-долу са дадени някои от сайтовете, където можете да научите и да практикувате уменията на крекинг. В много отношения, благодарение на популярността на етичните хакерства, торент и социалните мрежи могат да бъдат безопасно използвани.

Google Gruyere

Сайтът е предназначен за начинаещи. Той специално добавя голям брой дупки в сигурността, така че можете да научите за:
  • как да намерите проблеми в системата за защита на сайта и програмата;
  • как различните лица използват измамницитеуеб услуги;
  • как да се осигури защита от престъпници, които искат да стигнат до данните на сайта и потребителите.

    • Hack This

    Развитието на сайта е специално предназначено да обучава начинаещи в "бяла" кражба. Учебните курсове на ресурса ще могат да преподават дъмпинг, интерфейс и защита от хакери. Съществува прогресивна скала от сложност. Има и форум и чат за комуникация между професионалисти и начинаещи. Това прави услугата една от най-добрите за публикуване на нови методи и поща.

    Hellbound Hackers

    Услугата е предназначена да разработи практически подход. Тя е създадена, за да се справи с голям брой подвизи. На този ресурс е обучение за тяхното идентифициране и елиминиране. Hellbound Hackers се счита за най-доброто място за обучение в интернет. Броят на регистрираните сметки надхвърля 100 хиляди. По този начин можете да усъвършенствате уменията си и да получите статут на специалист по етичен хакерство.

    Свързани публикации