Սպիտակ գլխարկ (համակարգչային անվտանգություն)

Վիքիպեդիայից՝ ազատ հանրագիտարանից
Backlit keyboard.jpg

«Սպիտակ գլխարկ», տերմինը համացանցային ժարգոնում նշանակում է էթիկական համակարգչային հաքեր կամ համակարգչային անվտանգության փորձագետ, ով մասնագիտացել է համակարգչային ներթափանցման փորձարկման և այլ թեստավորման մեթոդաբանություններում՝ ընկերությունների տեղեկատվական համակարգերի անվտանգությունն ապահովելու համար[1]: «Էթիկական հաքերությունը» IBM-ի կողմից մտածված տերմին է, որն ընդգրկում է ավելի լայն կատեգորիա քան ներթափանցման փորձարկումը[2]: Անունը ծագում է ամերիկյան ֆիլմերից, որտեղ հերոս և հակառակորդ կովբոյները համապատասխանաբար կրում էին սպիտակ և սև գլխարկներ[3]:

Սպիտակ-գլխարկ հաքերները կարող են աշխատել նաև sneakers կոչվող թիմերում[4], կարմիր կամ վագրի թիմերում[5]:

Պատմություն[խմբագրել | խմբագրել կոդը]

ԱՄՆ Ռազմաօդային ուժերի կողմից իրականացված Multics օպերացիոն համակարգի «անվտանգության գնահատումը» եղել է էթիկական հաքերության առաջին օրինակներից մեկը: Այն նախատեսված էր հնարավոր երկաստիճան համակարգի օգտագործման համար (գաղտնի և հույժ գաղտնի): Արդյունքում պարզ դարձավ, որ չնայած Multics օպերացիոն համակարգը «զգալիորեն ավելի լավն էր, քան մյուս տարածված համակարգերը», այն նաև ուներ «... խոցելի տեղեր սարքակազմի, ծրագրային և ընթացակարգային անվտանգության հարցում»: Թեստավորումը կատարվել էր ինֆորմացիայի հավաքագրման, ինչպես նաև օպերացիոն համակարգի ուղղակիորեն անվտանգությանն ուղղված հարձակումների հիման վրա, որոնք կարող էին վնասել համակարգի ամբողջականությունը: Հայտնի են ԱՄՆ-ի ռազմական ուժերի կողմից իրականացված էթիկական հաքերության այլ դեպքեր, որոնք գաղտնազերծված են[5]:

Նախքան 1981 թվականը Նյու Յորք Թայմս ամերիկյան օրաթերթը նկարագրում էր սպիտակ գլխարկների գործունեությունը որպես «վնաս պատճառող, սակայն հակասականորեն դրական հաքերային ավանդույթ»: Երբ National CSS-ի աշխատակիցներից մեկը բացահայտեց իր գաղտնաբառը կոտրողին (որը նա օգտագործել էր հաճախորդի հաշիվներում), ընկերությունը նկատողություն էր արել նրան ոչ թե ծրագրային ապահովում ստեղծելու համար, այլ դա ավելի շուտ չբացահայտելու համար: Նկատողության նամակում ասվում էր. «Ընկերությունը գիտակցում է NCSS-ի օգուտը և, իրականում, խրախուսում է աշխատակիցների՝ վիրտուալ պրոցեսորի, դիրեկտորիայի և ֆայլերում առկա այլ զգայուն ծրագրային ապահովման անվտանգության թուլությունները բացահայտելուն ուղղված ջանքերը»[6]:

Համակարգերի անվտանգության գնահատման համար էթիկական հաքերությունը կիրառելու մարտավարության գաղափարը պատկանում է Դան Ֆարմերին և Վիեթս Վենեմային: Համացանցում և ներքին համակարգչային փակ ցանցերում անվտանգության ընդհանուր մակարդակի բարձրացման նպատակով վերջիններս սկսեցին նկարագրել, թե ինչպես են հավաքել բավականին ինֆորմացիա իրենց թիրախների մասին, որպեսզի անհրաժեշտության դեպքում կարողանան վնասել համակարգերի անվտանգությունը: Նրանք ներկայացրեցին մի քանի կոնկրետ օրինակներ, թե ինչպես կարելի է թիրախը վերահսկելու նպատակով հավաքել և կիրառել այդ տեղեկատվությունը և թե ինչպես կանխել հարձակումը: Նրանք հավաքեցին բոլոր գործիքները, որոնք օգտագործել էին իրենց աշխատանքի ընթացքում և ստեղծեցին այդ գործիքները պարունակող անվճար հավելված: Նրանց ծրագիրը կոչվում էր «Ցանցերի վերլուծության համար անվտանգութան կառավարիչ» (անգլ.՝ Security Administrator Tool for Analyzing Networks կամ SATAN), որը մեծ ճանաչում ձեռք բերեց 1992 թվականին[5]:

Մարտավարություններ[խմբագրել | խմբագրել կոդը]

Ի տարբերություն ներթափանցման փորձարկման, որը կենտրոնանում է ծրագրային ապահովման և համակարգչային համակարգերի հարձակումների վրա, էթիկական հաքերությունը ներառում է շատ ավելին: Ամբողջական էթիկական վնասը կարող է ներառել աշխատակազմի անդամներին էլեկտրոնային նամակների ուղարկումը՝ գաղտնաբառի մանրամասները ստանալու նպատակով և աղբարկղների կոտրումն ու ներթափանցումը՝ որը կատարվում է առանց թիրախների իմացության: Միայն սեփականատերերը, գործադիր տնօրենները և շահագրգիռ կողմերը կարող են իմանալ իրենց իսկ պատվիրած անվտանգության վերանայման մասին: Որոշակի ապակառուցողական տեխնիկայի իրական հարձակումը վերարտադրելու նպատակով էթիկական հաքերները կարող են ստեղծել կլոնավորված թեստային համակարգեր կամ փորձել վնաս հասցնել գիշերվա ուշ ժամին: The Logic Group-ի անվտանգության խորհրդատու Նեյլ Օ'Նեյլը նշում է.«Եթե վնասեք որևէ կրիտիկական ծառայություն՝ մասնավորապես գործարքային բիզնեսում, ապա դա կարող է բերել հսկայական ֆինանսական կորուսների[2]»: Շատ դեպքերում այս հաքերությունները պահպանվում են երկար ժամանակ (օրեր, եթե ոչ շաբաթներ): Որոշ օրինակներում USB ֆլեշ կրիչներ են թողնում հասարակական վայրում: Այդ կրիչները պարունակում են թաքնված և ավտոմատ կերպով միացվող ծրագրային ապահովում:

Կիրառվում են նաև այլ մեթոդներ.

Այսպիսի մեթոդները բացահայտում ու օգտագործում են խոցելի մասերը, իսկ պաշտպանված տարածք մուտք գործելու ժամանակ փորձում են խուսափել անվտանգությունից: Նրանք կարողանում են անել սա թաքցնելով ծրագրային ապահովումը և համակարգը «հետևի դռներում», այլապես այն կարող է ինֆորմացիայի աղբյուր կամ մուտք հանդիսանալ ոչ էթիկական հաքերների համար, որոնք հայտնի են «սև գլխարկ» և «մոխրագույն գլխարկ» անուններով:

Կիրառում[խմբագրել | խմբագրել կոդը]

Միացյալ Նահանգների Ազգային անվտանգության գործակալությունն առաջարկում է հավաստագրեր, ինչպիսին է CNSS 4011-ը: Նման հավաստագրերն ընդգրկում են կանոնավոր, էթիկական հաքերության տեխնիկա և թիմային կառավարում: Ագրեսոր թիմերը կոչվում են «կարմիր», իսկ պաշտպանվողների թիմերը՝ «կապույտ»[4]: DEF CON գործակալությունը 2012 թվականին դիմորդներին խոստացավ, որ «եթե դուք ունեք մի քանի, այսպես ասած, «անզգուշություններ» ձեր անցյալում, մի վախեցեք: Պետք չէ միանգամից ենթադրել, որ ձեզ չեն վերցնի աշխատանքի»[7]:

Ծանոթագրություններ[խմբագրել | խմբագրել կոդը]

  1. «What is white hat? - a definition from Whatis.com»։ Searchsecurity.techtarget.com։ Վերցված է 2012-06-06 
  2. 2,0 2,1 Knight William (16 October 2009)։ «License to Hack»։ InfoSecurity 6 (6): 38–41։ doi:10.1016/s1742-6847(09)70019-9 
  3. Wilhelm, Thomas; Andress, Jason (2010). Ninja Hacking: Unconventional Penetration Testing Tactics and Techniques. Elsevier. էջեր 26–7. https://books.google.am/books?id=aVnA8pQmS54C&pg=PA26. 
  4. 4,0 4,1 «What is a White Hat?»։ Secpoint.com։ 2012-03-20։ Վերցված է 2012-06-06 
  5. 5,0 5,1 5,2 Palmer C.C. (2001)։ «Ethical Hacking»։ IBM Systems Journal 40 (3): 769։ doi:10.1147/sj.403.0769 
  6. McLellan, Vin (1981-07-26)։ «Case of the Purloined Password»։ The New York Times։ Վերցված է 11 August 2015 
  7. «Attention DEF CON® 20 attendees:»։ National Security Agency։ 2012։ Արխիվացված օրիգինալից-ից 2012-07-30-ին 

Արտաքին հղումներ[խմբագրել | խմբագրել կոդը]