Szary kapelusz - Grey hat

Ten artykuł jest częścią serii poświęconej
Hakowanie komputerów
Historia
phreaking Kryptowirologia Hakowanie elektroniki użytkowej Lista hakerów
Kultura i etyka hakerów
Manifest hakerski Czarny kapelusz Szary kapelusz biały kapelusz Hackerspace Hackathon Haktywizm Kultura twórcy
Konferencje
Odprawy Czarnego Kapelusza Kongres Komunikacji Chaosu DEF CON Hakerzy na planecie Ziemia Bezpieczeństwo_Bsides ShmooCon Summercon
Przestępstwo komputerowe
Oprogramowanie kryminalne Lista przestępców komputerowych Skryptowy dzieciak
Narzędzia hakerskie
System operacyjny kryminalistyki Słaby punkt Wykorzystać Ładunek Inżynieria społeczna Kali
Witryny treningowe
HackThisSite Strefa-H
Złośliwe oprogramowanie
Rootkit Tylne drzwi Koń trojański Wirus Robak Programy szpiegujące Ransomware Bomba logiczna Botnet Rejestrowanie naciśnięć klawiszy UKRYTE Powłoka internetowa RCE
Bezpieczeństwo komputera
Bezpieczeństwo aplikacji Bezpieczeństwo sieci Bezpieczeństwo przetwarzania w chmurze
Grupy
Anonimowy Komputerowy Klub Chaosu Homebrew Computer Club (nieistniejący) Legion Zagłady (nieistniejący) Mistrzowie oszustwa (nieistniejący) LulzSec (nieistniejący) Drużyny czerwony i niebieski
Publikacje
2600: Kwartalnik hakerów Wiadomości hakerskie Orzechy i wolty Phrack
v T mi

Szary kapelusz ( greyhat lub szary kapelusz ) jest haker lub bezpieczeństwa komputerowego eksperta, który czasami może naruszać prawa lub typowe standardy etyczne , ale nie mają złych zamiarów typowe czarny kapelusz hakerów.

Termin ten wszedł do użytku pod koniec lat 90., wywodząc się z pojęć hakerów „ białych kapeluszach ” i „ czarnych kapeluszach ”. Kiedy haker w białym kapeluszu odkryje lukę , wykorzysta ją tylko za pozwoleniem i nie ujawni jej istnienia, dopóki nie zostanie naprawiona, podczas gdy czarny kapelusz wykorzysta ją nielegalnie i/lub powie innym, jak to zrobić. Szary kapelusz nie wykorzysta go nielegalnie ani nie powie innym, jak to zrobić.

Kolejna różnica między tego typu hakerami polega na ich metodach wykrywania luk w zabezpieczeniach. Biały kapelusz włamuje się do systemów i sieci na żądanie swojego pracodawcy lub za wyraźną zgodą w celu określenia, jak jest zabezpieczony przed hakerami, podczas gdy czarny kapelusz włamuje się do dowolnego systemu lub sieci w celu odkrycia poufnych informacji dla osobistych korzyści . Szary kapelusz generalnie ma umiejętności i intencje białego kapelusza, ale włamie się do dowolnego systemu lub sieci bez pozwolenia.

Według jednej z definicji hakera w szarym kapeluszu, gdy odkryje lukę, zamiast powiedzieć sprzedawcy, jak działa exploit, może zaoferować naprawę go za niewielką opłatą. Gdy ktoś uzyska nielegalny dostęp do systemu lub sieci, może zasugerować administratorowi systemu, aby wynajął jednego z jego znajomych do rozwiązania problemu; jednak praktyka ta zanika ze względu na rosnącą gotowość przedsiębiorców do ścigania. Inna definicja szarego kapelusza utrzymuje, że hakerzy szarego kapelusza prawdopodobnie naruszają prawo tylko w celu zbadania i poprawy bezpieczeństwa: legalność jest ustalana zgodnie ze szczególnymi konsekwencjami wszelkich włamań, w których biorą udział.

W społeczności zajmującej się optymalizacją wyszukiwarek (SEO) hakerzy w szarych kapeluszach to ci, którzy manipulują rankingami witryn w wyszukiwarkach za pomocą niewłaściwych lub nieetycznych środków, ale nie są uważani za spam wyszukiwarek .

Historia

Wyrażenie szary kapelusz zostało po raz pierwszy użyte publicznie w kontekście bezpieczeństwa komputerowego, kiedy DEF CON ogłosiło pierwsze zaplanowane odprawy Black Hat Briefing w 1996 roku, chociaż wcześniej mogło być używane przez mniejsze grupy. Co więcej, podczas tej konferencji odbyła się prezentacja, w której Mudge, kluczowy członek grupy hakerskiej L0pht , omówił ich zamiar jako hakerów szarych kapeluszy, polegający na zapewnieniu Microsoftowi odkryć luki w zabezpieczeniach w celu ochrony ogromnej liczby użytkowników jego systemu operacyjnego. Na koniec Mike Nash, dyrektor grupy serwerów Microsoftu, stwierdził, że hakerzy w szarych kapeluszach są bardzo podobni do technicznych pracowników niezależnej branży oprogramowania, ponieważ „są cenni w przekazywaniu nam opinii, aby ulepszać nasze produkty”.

Wyrażenie szary kapelusz zostało użyte przez grupę hakerów L0pht w wywiadzie dla The New York Times w 1999 roku w celu opisania ich działań hakerskich.

Zwrot był używany do opisania hakerów, którzy wspierają etyczne raportowanie z lukami bezpośrednio do dostawcy oprogramowania w przeciwieństwie do pełnego ujawnienia praktyk, które były powszechne w biały kapelusz społeczności, które nie mogą być ujawnione luki poza ich grupy.

Jednak w 2002 r. społeczność Anti-Sec opublikowała użycie tego terminu w odniesieniu do osób, które w dzień pracują w branży bezpieczeństwa, ale w nocy angażują się w działania black hat. Ironia polegała na tym, że w przypadku czarnych kapeluszy ta interpretacja była postrzegana jako termin obraźliwy; podczas gdy wśród białych kapeluszy był to termin, który dawał poczucie powszechnej sławy.

Po powstaniu i ostatecznym upadku pełnego ujawnienia w porównaniu z anty-sec „złotą erą” — i późniejszym rozwoju filozofii „etycznego hakowania” — termin szary kapelusz zaczął przybierać różne znaczenia. Ściganie w USA Dmitrija Sklyarowa za działania, które były legalne w jego ojczystym kraju, zmieniło nastawienie wielu badaczy bezpieczeństwa. Gdy Internet zaczął być wykorzystywany do bardziej krytycznych funkcji, a obawy dotyczące terroryzmu rosły, termin „biały kapelusz” zaczął odnosić się do korporacyjnych ekspertów ds. bezpieczeństwa, którzy nie popierali pełnego ujawnienia.

W 2008 r. EFF zdefiniowała szare kapelusze jako badaczy bezpieczeństwa etycznego, którzy nieumyślnie lub prawdopodobnie naruszają prawo w celu prowadzenia badań i poprawy bezpieczeństwa. Opowiadają się za przepisami dotyczącymi przestępstw komputerowych, które są jaśniejsze i węższe.

Przykłady

W kwietniu 2000 r. hakerzy znani jako „{}” i „Hardbeat” uzyskali nieautoryzowany dostęp do Apache.org . Postanowili ostrzec załogę Apache o problemach, zamiast próbować uszkodzić serwery Apache.org.

W czerwcu 2010 roku grupa ekspertów komputerowych znana jako Goatse Security ujawniła lukę w zabezpieczeniach AT&T, która umożliwiła ujawnienie adresów e-mail użytkowników iPadów . Grupa ujawniła mediom lukę w zabezpieczeniach wkrótce po powiadomieniu AT&T. Od tego czasu FBI wszczęło śledztwo w sprawie incydentu i dokonało nalotu na dom Weev , najwybitniejszego członka nowej grupy.

W kwietniu 2011 r. grupa ekspertów odkryła, że ​​Apple iPhone i iPady 3G „logują się, gdzie odwiedzany jest użytkownik”. Apple opublikowało oświadczenie, że iPad i iPhone logują się tylko do wież, do których telefon może uzyskać dostęp. Pojawiło się wiele artykułów na ten temat i uznano, że jest to drobny problem bezpieczeństwa. Ta instancja zostałaby sklasyfikowana jako „szara czapka”, ponieważ chociaż eksperci mogli wykorzystać ją w złych zamiarach, problem został jednak zgłoszony.

W sierpniu 2013 r. Khalil Shreateh, bezrobotny badacz bezpieczeństwa komputerowego, włamał się na Facebookową stronę Marka Zuckerberga , aby wymusić działanie mające na celu naprawienie wykrytego przez siebie błędu, który umożliwiał mu publikowanie na dowolnej stronie użytkownika bez jego zgody. Wielokrotnie próbował poinformować Facebooka o tym błędzie, ale Facebook powiedział mu, że problem nie był błędem. Po tym incydencie Facebook naprawił tę lukę, która mogła być potężną bronią w rękach profesjonalnych spamerów. Shreateh nie otrzymał rekompensaty od programu Facebook White Hat, ponieważ naruszył ich zasady, co sprawiło, że był to incydent z szarym kapeluszem.

Zobacz też

• Anonimowy (grupa)
• Przestępstwo komputerowe
• Wojna cybernetyczna
• Haktywizm
• ryzyko informatyczne
• Metasplot
• Psota
• Test penetracji

Bibliografia

Dalsza lektura

• Daniel Regalado ; Shona Harrisa ; Allen Harper ; Chris Orzeł ; Jonathan Ness ; Branko Spasojevića ; Ryan Linn i Stephen Sims (2015). Grey Hat Hacking: Podręcznik etycznego hakera (wyd. 4). Nowy Jork: Edukacja McGraw-Hill. Numer ISBN 978-0-07-183238-0.
• AE (2014). Grey Hat SEO 2014: najskuteczniejsze i najbezpieczniejsze techniki 10 twórców stron internetowych. Sekrety do osiągnięcia wysokiej rangi, w tym najszybsze odzyskiwanie kar . Research & Co. ASIN  B00H25O8RM .