White hat (počítačová bezpečnost)

Jedním z prvních případů použití etického hackingu bylo „bezpečnostní hodnocení“ provedené letectvem Spojených států, při kterém byly testovány operační systémy Multics pro „potenciální použití jako dvoustupňový (tajný/přísně tajný) systém“. Při hodnocení bylo zjištěno, že Multics je sice „výrazně lepší než jiné konvenční systémy“, ale má také „… zranitelnosti v oblasti hardwarové bezpečnosti, softwarové bezpečnosti a procedurální bezpečnosti“, které lze odhalit s „relativně malým úsilím“. Autoři prováděli své testy podle zásady realističnosti, aby jejich výsledky přesně reprezentovaly druhy přístupů, kterých by narušitel mohl potenciálně dosáhnout. Provedli testy zahrnující jednoduchá cvičení na sběr informací i otevřené útoky na systém, které by mohly poškodit jeho integritu; oba výsledky byly pro cílovou skupinu zajímavé. Existuje několik dalších, dnes již odtajněných zpráv popisujících aktivity etického hackingu v rámci americké armády.

V roce 1981 popsal list The New York Times aktivity white hat jako součást „zlomyslné, ale zvráceně pozitivní ‚hackerské‘ tradice“. Když zaměstnanec společnosti National CSS odhalil existenci svého programu na prolamování hesel, který používal na účtech zákazníků, společnost jej pokárala nikoli za to, že software napsal, ale za to, že jej neprozradil dříve. Ve vytýkacím dopise stálo: „Společnost si uvědomuje přínos pro NCSS a ve skutečnosti podporuje snahu zaměstnanců identifikovat bezpečnostní slabiny VP, adresáře a dalšího citlivého softwaru v souborech.“

Myšlenku vnést tuto taktiku etického hackingu do posuzování bezpečnosti systémů formulovali Dan Farmer a Wietse Venema. S cílem zvýšit celkovou úroveň zabezpečení internetu a intranetu přistoupili k popisu toho, jak byli schopni shromáždit dostatek informací o svých cílech, aby byli schopni ohrozit zabezpečení, pokud by se tak rozhodli. Uvedli několik konkrétních příkladů, jak by bylo možné tyto informace shromáždit a využít k získání kontroly nad cílem a jak by bylo možné takovému útoku zabránit. Shromáždili všechny nástroje, které během své práce použili, zabalili je do jediné, snadno použitelné aplikace a poskytli ji každému, kdo se rozhodl ji stáhnout. Jejich program, nazvaný Security Administrator Tool for Analyzing Networks neboli SATAN, se v roce 1992 setkal s velkým zájmem médií po celém světě.

.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.