Սպիտակ գլխարկ (համակարգչային անվտանգություն)

«Սպիտակ գլխարկ», տերմինը համացանցային ժարգոնում նշանակում է էթիկական համակարգչային հաքեր կամ համակարգչային անվտանգության փորձագետ, ով մասնագիտացել է համակարգչային ներթափանցման փորձարկման և այլ թեստավորման մեթոդաբանություններում՝ ընկերությունների տեղեկատվական համակարգերի անվտանգությունն ապահովելու համար^[1]։ «Էթիկական հաքերությունը» IBM-ի կողմից մտածված տերմին է, որն ընդգրկում է ավելի լայն կատեգորիա քան ներթափանցման փորձարկումը^[2]։ Անունը ծագում է ամերիկյան ֆիլմերից, որտեղ հերոս և հակառակորդ կովբոյները համապատասխանաբար կրում էին սպիտակ և սև գլխարկներ^[3]։

Սպիտակ-գլխարկ հաքերները կարող են աշխատել նաև sneakers կոչվող թիմերում^[4], կարմիր կամ վագրի թիմերում^[5]։

Պատմություն[խմբագրել | խմբագրել կոդը]

ԱՄՆ Ռազմաօդային ուժերի կողմից իրականացված Multics օպերացիոն համակարգի «անվտանգության գնահատումը» եղել է էթիկական հաքերության առաջին օրինակներից մեկը։ Այն նախատեսված էր հնարավոր երկաստիճան համակարգի օգտագործման համար (գաղտնի և հույժ գաղտնի)։ Արդյունքում պարզ դարձավ, որ չնայած Multics օպերացիոն համակարգը «զգալիորեն ավելի լավն էր, քան մյուս տարածված համակարգերը», այն նաև ուներ «... խոցելի տեղեր սարքակազմի, ծրագրային և ընթացակարգային անվտանգության հարցում»։ Թեստավորումը կատարվել էր ինֆորմացիայի հավաքագրման, ինչպես նաև օպերացիոն համակարգի ուղղակիորեն անվտանգությանն ուղղված հարձակումների հիման վրա, որոնք կարող էին վնասել համակարգի ամբողջականությունը։ Հայտնի են ԱՄՆ-ի ռազմական ուժերի կողմից իրականացված էթիկական հաքերության այլ դեպքեր, որոնք գաղտնազերծված են^[5]։

Նախքան 1981 թվականը Նյու Յորք Թայմս ամերիկյան օրաթերթը նկարագրում էր սպիտակ գլխարկների գործունեությունը որպես «վնաս պատճառող, սակայն հակասականորեն դրական հաքերային ավանդույթ»։ Երբ National CSS-ի աշխատակիցներից մեկը բացահայտեց իր գաղտնաբառը կոտրողին (որը նա օգտագործել էր հաճախորդի հաշիվներում), ընկերությունը նկատողություն էր արել նրան ոչ թե ծրագրային ապահովում ստեղծելու համար, այլ դա ավելի շուտ չբացահայտելու համար։ Նկատողության նամակում ասվում էր. «Ընկերությունը գիտակցում է NCSS-ի օգուտը և, իրականում, խրախուսում է աշխատակիցների՝ վիրտուալ պրոցեսորի, դիրեկտորիայի և ֆայլերում առկա այլ զգայուն ծրագրային ապահովման անվտանգության թուլությունները բացահայտելուն ուղղված ջանքերը»^[6]։

Համակարգերի անվտանգության գնահատման համար էթիկական հաքերությունը կիրառելու մարտավարության գաղափարը պատկանում է Դան Ֆարմերին և Վիեթս Վենեմային։ Համացանցում և ներքին համակարգչային փակ ցանցերում անվտանգության ընդհանուր մակարդակի բարձրացման նպատակով վերջիններս սկսեցին նկարագրել, թե ինչպես են հավաքել բավականին ինֆորմացիա իրենց թիրախների մասին, որպեսզի անհրաժեշտության դեպքում կարողանան վնասել համակարգերի անվտանգությունը։ Նրանք ներկայացրեցին մի քանի կոնկրետ օրինակներ, թե ինչպես կարելի է թիրախը վերահսկելու նպատակով հավաքել և կիրառել այդ տեղեկատվությունը և թե ինչպես կանխել հարձակումը։ Նրանք հավաքեցին բոլոր գործիքները, որոնք օգտագործել էին իրենց աշխատանքի ընթացքում և ստեղծեցին այդ գործիքները պարունակող անվճար հավելված։ Նրանց ծրագիրը կոչվում էր «Ցանցերի վերլուծության համար անվտանգութան կառավարիչ» (անգլ.՝ Security Administrator Tool for Analyzing Networks կամ SATAN), որը մեծ ճանաչում ձեռք բերեց 1992 թվականին^[5]։

Մարտավարություններ[խմբագրել | խմբագրել կոդը]

Ի տարբերություն ներթափանցման փորձարկման, որը կենտրոնանում է ծրագրային ապահովման և համակարգչային համակարգերի հարձակումների վրա, էթիկական հաքերությունը ներառում է շատ ավելին։ Ամբողջական էթիկական վնասը կարող է ներառել աշխատակազմի անդամներին էլեկտրոնային նամակների ուղարկումը՝ գաղտնաբառի մանրամասները ստանալու նպատակով և աղբարկղների կոտրումն ու ներթափանցումը՝ որը կատարվում է առանց թիրախների իմացության։ Միայն սեփականատերերը, գործադիր տնօրենները և շահագրգիռ կողմերը կարող են իմանալ իրենց իսկ պատվիրած անվտանգության վերանայման մասին։ Որոշակի ապակառուցողական տեխնիկայի իրական հարձակումը վերարտադրելու նպատակով էթիկական հաքերները կարող են ստեղծել կլոնավորված թեստային համակարգեր կամ փորձել վնաս հասցնել գիշերվա ուշ ժամին։ The Logic Group-ի անվտանգության խորհրդատու Նեյլ Օ'Նեյլը նշում է.«Եթե վնասեք որևէ կրիտիկական ծառայություն՝ մասնավորապես գործարքային բիզնեսում, ապա դա կարող է բերել հսկայական ֆինանսական կորուսների^[2]»: Շատ դեպքերում այս հաքերությունները պահպանվում են երկար ժամանակ (օրեր, եթե ոչ շաբաթներ)։ Որոշ օրինակներում USB ֆլեշ կրիչներ են թողնում հասարակական վայրում։ Այդ կրիչները պարունակում են թաքնված և ավտոմատ կերպով միացվող ծրագրային ապահովում։

Կիրառվում են նաև այլ մեթոդներ.

DoS հաքերային հարձակումներ
Սոցիալական ճարտարագիտության մարտավարություններ
Անվտանգության սկաներներ
- w3af
- Nessus
- Nexpose
Ֆրեյմվորքներ
- Metasploit

Այսպիսի մեթոդները բացահայտում ու օգտագործում են խոցելի մասերը, իսկ պաշտպանված տարածք մուտք գործելու ժամանակ փորձում են խուսափել անվտանգությունից։ Նրանք կարողանում են անել սա թաքցնելով ծրագրային ապահովումը և համակարգը «հետևի դռներում», այլապես այն կարող է ինֆորմացիայի աղբյուր կամ մուտք հանդիսանալ ոչ էթիկական հաքերների համար, որոնք հայտնի են «սև գլխարկ» և «մոխրագույն գլխարկ» անուններով։

Կիրառում[խմբագրել | խմբագրել կոդը]

Միացյալ Նահանգների Ազգային անվտանգության գործակալությունն առաջարկում է հավաստագրեր, ինչպիսին է CNSS 4011-ը։ Նման հավաստագրերն ընդգրկում են կանոնավոր, էթիկական հաքերության տեխնիկա և թիմային կառավարում։ Ագրեսոր թիմերը կոչվում են «կարմիր», իսկ պաշտպանվողների թիմերը՝ «կապույտ»^[4]։ DEF CON գործակալությունը 2012 թվականին դիմորդներին խոստացավ, որ «եթե դուք ունեք մի քանի, այսպես ասած, «անզգուշություններ» ձեր անցյալում, մի վախեցեք։ Պետք չէ միանգամից ենթադրել, որ ձեզ չեն վերցնի աշխատանքի»^[7]։

Ծանոթագրություններ[խմբագրել | խմբագրել կոդը]

↑ «What is white hat? - a definition from Whatis.com». Searchsecurity.techtarget.com. Վերցված է 2012 թ․ հունիսի 6-ին.
↑ ^2,0 ^2,1 Knight, William (2009 թ․ հոկտեմբերի 16). «License to Hack». InfoSecurity. 6 (6): 38–41. doi:10.1016/s1742-6847(09)70019-9.
↑ Wilhelm, Thomas; Andress, Jason (2010). Ninja Hacking: Unconventional Penetration Testing Tactics and Techniques. Elsevier. էջեր 26–7.
↑ ^4,0 ^4,1 «What is a White Hat?». Secpoint.com. 2012 թ․ մարտի 20. Վերցված է 2012 թ․ հունիսի 6-ին.
↑ ^5,0 ^5,1 ^5,2 Palmer, C.C. (2001). «Ethical Hacking» (PDF). IBM Systems Journal. 40 (3): 769. doi:10.1147/sj.403.0769.
↑ McLellan, Vin (1981 թ․ հուլիսի 26). «Case of the Purloined Password». The New York Times. Վերցված է 2015 թ․ օգոստոսի 11-ին.
↑ «Attention DEF CON® 20 attendees:». National Security Agency. 2012. Արխիվացված է օրիգինալից 2012 թ․ հուլիսի 30-ին.

Արտաքին հղումներ[խմբագրել | խմբագրել կոդը]

[1] «What is white hat? - a definition from Whatis.com». Searchsecurity.techtarget.com. Վերցված է 2012 թ․ հունիսի 6-ին.

[Knight-2] 2,0 ^2,1 Knight, William (2009 թ․ հոկտեմբերի 16). «License to Hack». InfoSecurity. 6 (6): 38–41. doi:10.1016/s1742-6847(09)70019-9.

[3] Wilhelm, Thomas; Andress, Jason (2010). Ninja Hacking: Unconventional Penetration Testing Tactics and Techniques. Elsevier. էջեր 26–7.

[Secpoint-4] 4,0 ^4,1 «What is a White Hat?». Secpoint.com. 2012 թ․ մարտի 20. Վերցված է 2012 թ․ հունիսի 6-ին.

[Palmer-5] 5,0 ^5,1 ^5,2 Palmer, C.C. (2001). «Ethical Hacking» (PDF). IBM Systems Journal. 40 (3): 769. doi:10.1147/sj.403.0769.

[mclellan19810726-6] McLellan, Vin (1981 թ․ հուլիսի 26). «Case of the Purloined Password». The New York Times. Վերցված է 2015 թ․ օգոստոսի 11-ին.

[7] «Attention DEF CON® 20 attendees:». National Security Agency. 2012. Արխիվացված է օրիգինալից 2012 թ․ հուլիսի 30-ին.

[1]

[2]

[3]

[4]

[5]

[6]

[7]