White hat (bezpieczeństwo komputerowe)

Jednym z pierwszych przypadków zastosowania etycznego hakowania była „ocena bezpieczeństwa” przeprowadzona przez Siły Powietrzne Stanów Zjednoczonych, w której systemy operacyjne Multics zostały przetestowane pod kątem „potencjalnego wykorzystania jako system dwupoziomowy (tajny/top secret)”. Ocena ta wykazała, że chociaż Multics był „znacznie lepszy niż inne konwencjonalne systemy”, posiadał również „… luki w zabezpieczeniach sprzętowych, programowych i proceduralnych”, które można było odkryć przy „stosunkowo niewielkim wysiłku”. Autorzy przeprowadzili swoje testy zgodnie z zasadą realizmu, tak aby ich wyniki dokładnie odzwierciedlały rodzaje dostępu, jakie intruz mógłby potencjalnie uzyskać. Przeprowadzili testy obejmujące proste ćwiczenia w zbieraniu informacji, jak również jawne ataki na system, które mogłyby zniszczyć jego integralność; oba wyniki były interesujące dla docelowych odbiorców. Istnieje kilka innych, obecnie jawnych raportów opisujących działania etycznego hakowania w ramach amerykańskiego wojska.

Do 1981 roku The New York Times opisał działania białych kapeluszy jako część „złośliwej, ale przewrotnie pozytywnej tradycji 'hakerów'”. Kiedy pracownik National CSS ujawnił istnienie jego łamacz haseł, który użył na kontach klientów, firma karcił go nie za pisanie oprogramowania, ale za to, że nie ujawnił go wcześniej. W liście z naganą stwierdzono: „Firma zdaje sobie sprawę z korzyści dla NCSS i w rzeczywistości zachęca pracowników do podejmowania wysiłków w celu identyfikacji słabych punktów zabezpieczeń VP, katalogu i innego wrażliwego oprogramowania w plikach”.

Pomysł wprowadzenia tej taktyki etycznego hakowania do oceny bezpieczeństwa systemów został sformułowany przez Dana Farmera i Wietse Venemę. Mając na celu podniesienie ogólnego poziomu bezpieczeństwa w Internecie i intranetach, zaczęli oni opisywać, jak byli w stanie zebrać wystarczająco dużo informacji o swoich celach, aby być w stanie naruszyć bezpieczeństwo, gdyby się na to zdecydowali. Podali kilka konkretnych przykładów, w jaki sposób te informacje mogły zostać zebrane i wykorzystane do przejęcia kontroli nad celem, a także jak można było zapobiec takiemu atakowi. Zebrali wszystkie narzędzia, z których korzystali podczas swojej pracy, spakowali je w jedną, łatwą w użyciu aplikację i udostępnili każdemu, kto zdecydował się ją pobrać. Ich program, nazwany Security Administrator Tool for Analyzing Networks, lub SATAN, spotkał się z dużym zainteresowaniem mediów na całym świecie w 1992 roku.

.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.