Historia etycznego hakowania

https://chacker.pl/

W tej sekcji przedstawiamy przegląd historii dziedziny etycznego hakowania, zaczynając od tematu ujawniania podatności, a następnie przechodząc do nagród za błędy. Położy to podwaliny pod dalsze tematy w tym rozdziale, takie jak zaawansowane trwałe zagrożenia (APT), Lockheed Martin Cyber Kill Chain, MITRE ATT&CK, testy penetracyjne, informacje o zagrożeniach, polowanie na zagrożenia i inżynieria bezpieczeństwa.

Definicja hakowania szarego kapelusza

https://chacker.pl/

Jak widać, termin „szary kapelusz” wywodzi się z wczesnego rozpoznania, że istnieje więcej „odcieni szarości”, że tak powiem, niż biegunowych terminów czerni i bieli. Oczywiście określenie „czarny i biały” w odniesieniu do hakerów pochodzi ze starych amerykańskich westernów telewizyjnych, gdzie dobrzy ludzie byli kowbojami w białych kapeluszach, a źli zawsze nosili czarne kapelusze. Hakerzy w szarym kapeluszu to zatem ci, którzy działają pomiędzy. Decydujemy się działać zgodnie z prawem i etycznie, korzystając z badań i wiedzy konkurencyjnej, aby ulepszać świat poprzez ulepszanie zabezpieczeń otaczających technologię. Żeby było jasne, my, autorzy tej książki, nie wypowiadamy się w imieniu wszystkich hakerów w szarym kapeluszu, ani nawet nie sądzimy, że wszystkie osoby, które uważają się za hakerów w szarym kapeluszu, zgodziłyby się z tą definicją. Jednakże, przedstawiając techniczne tematy , chcieliśmy zacząć od opisania, skąd pochodzimy, czyli od stanowiska etycznego hakowania, zgodnie z którym nasze wysiłki są wykorzystywane w dobrym celu, a nie w szkodzie. Wielu, choć nie wszyscy, hakerzy w szarych kapeluszach, wykorzystuje te techniki do zarabiania na życie w sensie zawodowym i jest bardzo dumnych ze swojego rzemiosła i honorowego ducha, w jakim go wykonujemy. Mamy nadzieję, że wy również przyjmiecie ten punkt widzenia i wykorzystacie swoje moce w dobrym celu. Jest wystarczająco dużo hakerów w czarnych kapeluszach; potrzebujemy więcej szarych kapeluszy, wkraczając w lukę, aby chronić innych. Jeśli spodobała Ci się ta książka, mamy nadzieję, że dołączysz do nas w wyjaśnianiu nieporozumień związanych z tym tematem. Odpowiadaj, gdy usłyszysz, że ktoś błędnie opisuje hakera w szarym kapeluszu. Chrońmy nasze pole, stając w obronie tego, co słuszne i dobre, i wzywajmy tych, którzy przekraczają linię.

Etyka i hakowanie

https://chacker.pl/

W tym i innych tekstach wielokrotnie pojawia się również termin „etyczny haker”. Termin ten jest czasami kwestionowany, ponieważ moralność, etyka i prawa różnią się w zależności od jednostki, grupy społecznej i rządów. W większości kontekstów termin ten ma na celu rozróżnienie pomiędzy przestępczością a zachowaniem zgodnym z prawem — aby rozróżnić osobę, która hakuje dla większego dobra, od osoby, która włamuje się w celach zawodowych, od osoby, która dąży do osobistych korzyści, czynnej przestępczości lub wyrządzenia krzywdy umiejętnością. Wytyczne dotyczące tego, co wyróżnia etycznego hakera, są czasami nawet skodyfikowane dla posiadaczy certyfikatów i członków niektórych organizacji zajmujących się bezpieczeństwem komputerowym, które używają kodeksów postępowania do ustalania oczekiwań dotyczących zachowania.

Historia hackowania

https://chacker.pl/

Etyczny hacking nie zawsze był akceptowany jako zawód prawniczy. Był czas, gdy jakakolwiek forma włamania, niezależnie od jego celu, była traktowana jako czynność czysto przestępcza. W miarę jak technologia ewoluowała i stawała się coraz bardziej wszechobecna w naszym życiu, wzrastała także wiedza na temat hakowania i praw rządzących jego wykorzystaniem. Dla wielu czytelników tej książki są to pojęcia po prostu utracone w historii. Ważne jest jednak zrozumienie tej historii i uznanie ciężkiej pracy założycieli tej dziedziny, którzy umożliwili kontynuowanie tej kariery. Podajemy te informacje nie tylko po to, aby informować, ale także chronić zdolność profesjonalistów do etycznego stosowania swoich umiejętności hakerskich, aby mogli w dalszym ciągu czynić świat lepszym miejscem. Był czas, gdy korzystanie z komputerów regulowało mniej zasad, ponieważ umiejętności i wiedza prawodawców i organów ścigania pozostawały w tyle w obliczu szybkiej ewolucji systemów sieciowych. Hakerzy, którzy mogli atakować systemy z ciekawości lub nawet psot, odkryli jednak nowy świat możliwości. Nie każdy, kto pozwolił sobie na ciekawość, zrobił to bez szkody. Jednak wynikające z tego starcia z autorytetami, które nie były w stanie zrozumieć systemów, sprawiły, że wielu życzliwych, bystrych i inteligentnych hakerów zostało uznanych za przestępców przez większość światowych dostawców oprogramowania i rządów, niezależnie od ich intencji. Widzisz, ludzie boją się tego, czego nie rozumieją, a wielu zrozumie jedynie, że haker włamał się do systemu bez pozwolenia – nie dlatego, że nie miał zamiaru wyrządzić w ten sposób żadnej krzywdy. W 1986 roku Stany Zjednoczone przyjęły ustawę Computer Fraud and Abuse Act, aby wzmocnić istniejące przepisy dotyczące oszustw komputerowych. To wyraźnie zabraniało dostępu do systemów komputerowych bez autoryzacji lub powyżej autoryzacji i miało na celu ochronę krytycznych systemów rządowych. Wkrótce potem w 1988 r. wydano ustawę Digital Millennium Copyright Act. Uznawała ona za przestępstwo ataki na kontrolę dostępu lub zarządzanie prawami cyfrowymi (DRM). W czasach, gdy hakowanie komputerów było nie tylko źle rozumiane, ale wręcz budziło strach, środowisko, w którym pracowali badacze bezpieczeństwa, mogło być bardzo wrogie. Uprawnionym badaczom należącym do społeczności hakerów pozostała teraz obawa, że znalezienie luk w zabezpieczeniach i zgłoszenie ich może skutkować podjęciem kroków prawnych lub nawet karą więzienia, zgodnie z jednym lub obydwoma tymi aktami, biorąc pod uwagę argument, że kod jest chroniony prawami autorskimi, a zatem inżynieria wsteczna jest nielegalna, lub że nieuprawniony dostęp do jakiegokolwiek systemu (nie tylko systemów rządowych) musi być karalny. W niektórych miejscach nadal się to zdarza . Zwiększona presja na hakerów, aby odróżniali się od przestępców, skłoniła wielu badaczy do zdefiniowania dla siebie zestawu zasad etycznych, który nie może budzić żadnych wątpliwości prawnych, podczas gdy inni kwestionowali odstraszający wpływ prawa i ogólną reakcję na badania nad bezpieczeństwem. Osoby z pierwszego obozu stały się znane jako „hakerzy białych kapeluszy” i decydowali się omawiać znane słabości z minimalną możliwą ilością szczegółów, aby spróbować naprawić sytuację. Hakerzy ci postanowili również wystrzegać się technik, które mogą wyrządzić szkody podczas prowadzonych przez nich badań, i wykonywać wyłącznie działania wymagające pełnego pozwolenia. To spowodowało, że resztę uznano za „hakerów w czarnych kapeluszach” dla każdego, kto mógłby kwestionować dobroć prawa. Jednak wyłoniła się trzecia grupa. Hakerzy, którzy nie chcieli wyrządzać krzywdy, ale polepszyć sytuację, byli sfrustrowani niemożnością wprowadzenia pozytywnych zmian w obliczu tych ograniczeń. Gdzie były przepisy nakładające na producentów i dostawców oprogramowania odpowiedzialność za decyzje dotyczące bezpieczeństwa, które miały negatywny wpływ na konsumentów? Odkrywanie luk nie ustało; został po prostu zepchnięty pod ziemię, podczas gdy techniki białych kapeluszy nadal były utrudnione w tym, co udało im się odkryć, ze względu na prawne ograniczenia ich metod. W przypadku pewnej podgrupy hakerów nie chodziło wyłącznie o przestrzeganie zasad, ale nie chodziło też o osobiste korzyści ani wyrządzenie szkody. Wyrażenie „hakowanie w szarym kapeluszu” zostało po raz pierwszy użyte przez Peitera „Mudge” Zatko w 1997 r. podczas pierwszego postępowania w sprawie Black Hat1, kiedy ogłosił, że rozpocznie współpracę z firmą Microsoft w celu usunięcia luk w zabezpieczeniach.2 W tym samym wydarzeniu jego kolega haker z grupy hakerskiej L0pht, Weld Pond, ujął to najlepiej: „Po pierwsze, bycie szarym nie oznacza angażowania się w jakąkolwiek działalność przestępczą ani jej tolerowania. Z pewnością nie.  Każdy człowiek jest odpowiedzialny za swoje czyny. Bycie szarym oznacza, że uznajesz, że świat nie jest czarny ani biały.”3 Później, w 1999 r., L0pht użył tego terminu w artykule4. (Nawiasem mówiąc, kiedy po raz pierwszy zdecydowaliśmy się napisać Grey Hat Hacking, zaczęliśmy od użycia wyrażenie „szary kapelusz” (pisane przez e), ale od wydawcy dowiedział się, że „szary” jest bardziej powszechną pisownią w Wielkiej Brytanii, dlatego zdecydowano się użyć zamiast niego słowa „szary”, które jest częściej używane w Wielkiej Brytanii USA.) L0pht i inni pionierzy w tej dziedzinie wykorzystali swoją wiedzę do edukowania autorytetów, w tym do składania zeznań przed Kongresem. Ta edukacja pomogła zmienić podejście do hakerów i badań nad bezpieczeństwem, dzięki czemu dzisiejsi prawowici praktycy mogą prowadzić prace poprawiające bezpieczeństwo komputerów, bez obawy przed ściganiem z powodu braku zrozumienia. Jest to jednak delikatna równowaga i walka o utrzymanie tej równowagi toczy się z każdą nową sprawą, każdą nową technologią i każdym nowym hakerem.

Omówienie hakowania szarego kapelusza

https://chacker.pl/

Określenie „haker w szarym kapeluszu” wywołało sporo kontrowersji. Dla niektórych oznacza to hakera, który czasami łamie prawo lub robi coś nieetycznego, aby osiągnąć pożądany cel. My, jako hakerzy w szarych kapeluszach, odrzucamy tę koncepcję. Za chwilę podamy naszą definicję. Przeczytaliśmy więcej niż jedną książkę, co jeszcze bardziej zagmatwało znaczenie tego wyrażenia i zdaliśmy sobie sprawę, że autorzy tych książek po prostu nie wiedzą nic lepiej i nie uważaliby się za hakerów w szarym kapeluszu, ponieważ nie rozumieją, kim jesteśmy są, więc próbują oczerniać naszą grupę.

Hakowanie Szarego Kapelusza

https://chacker.pl/

Kim jest haker w szarym kapeluszu? Dlaczego powinno Cię to obchodzić? W tym rozdziale próbujemy zdefiniować, kim jest haker w szarym kapeluszu i dlaczego jest tak ważny w dziedzinie cyberbezpieczeństwa. Krótko mówiąc, stoją w przepaści pomiędzy hakerami w białych kapeluszach a hakerami w czarnych kapeluszach i służą jako hakerzy etyczni, nigdy nie łamiąc prawa, ale zamiast tego czyniąc świat lepszym miejscem poprzez zastosowanie swoich umiejętności na dobre. Ta koncepcja jest kontrowersyjna i dobrzy ludzie mogą się nie zgodzić w tej kwestii. Dlatego w tym rozdziale staramy się wyjaśnić sytuację i wezwać do działania — abyście dołączyli do nas jako hakerzy w szarych kapeluszach i ćwiczyli etyczne hakowanie w odpowiedzialny sposób.