화이트햇(컴퓨터 보안)

White hat (computer security)
시리즈의 일부
컴퓨터 해킹
역사
해커의 문화와 윤리
회의
컴퓨터 범죄
해킹 도구
연습 사이트
말웨어
컴퓨터 보안
무리
출판물

화이트햇(또는 화이트햇 해커, 화이트햇)은 윤리적인 보안 [1]해커입니다.윤리적 해킹은 단순한 침입 [2][3]테스트보다 더 넓은 범주를 의미하는 용어입니다.소유자의 동의 하에 화이트햇 해커들은 현재 시스템이 가지고 [4]있는 취약성을 식별하는 것을 목표로 합니다.하얀 모자는 악의적인 해커인 검은 모자와 대비된다; 이 정의적 이분법은 영웅적이고 적대적인 카우보이들[5]각각 전통적으로 흰색과 검은 모자를 썼던 서양 영화에서 유래한다.회색 모자라고 알려진 세 번째 종류의 해커는 선의로 해킹을 하지만 때로는 [6]허락도 받지 않고 해킹을 한다.

화이트햇 해커들은 또한 "스니커 및/또는 해커 클럽",[7] 빨간색 팀 또는 호랑이 [8]팀이라고 불리는 팀에서 일할 수도 있습니다.

역사

윤리적 해킹이 사용된 첫 번째 사례 중 하나는 미 공군이 실시한 "보안 평가"로, 멀티ics 운영체제는 "2단계(비밀/최고 기밀) 시스템으로서의 잠재적 사용"을 테스트했다.평가 결과 Multics는 "기존 시스템보다 현저하게 우수하지만" 하드웨어 보안, 소프트웨어 보안 및 절차 보안에 대한 취약점도 있는 것으로 확인되었습니다.이 취약점은 "상대적으로 낮은 수준의 노력"[9]으로 밝혀질 수 있습니다.저자들은 리얼리즘의 가이드라인에 따라 테스트를 수행했기 때문에 그들의 결과는 침입자가 잠재적으로 얻을 수 있는 접근의 종류를 정확하게 나타낼 수 있었다.그들은 간단한 정보 수집 연습뿐만 아니라 시스템의 무결성을 손상시킬 수 있는 노골적인 공격을 포함한 테스트를 수행했다. 두 결과 모두 대상 독자들에게 관심이 있었다.미군 내부의 윤리적인 해킹 행위를 기술하는 기밀이 아닌 보고서들이 몇 개 더 있다.

1981년까지 뉴욕타임즈는 화이트햇 활동을 "악질적이지만 비뚤어질 정도로 긍정적인 해커" 전통의 일부로 묘사했다.National CSS 직원이 고객 계정에 사용한 비밀번호 크래커의 존재를 밝히자 회사는 소프트웨어를 만든 것이 아니라 더 빨리 공개하지 않은 것에 대해 그를 꾸짖었다.문책 서한에는 "회사는 NCSS에 대한 이점을 인식하고 있으며, 실제로 직원들이 VP, 디렉토리 및 파일에 있는 기타 민감한 소프트웨어에 대한 보안 취약점을 식별하기 위한 노력을 장려하고 있습니다."[10]라고 기재되어 있습니다.

Dan Farmer와 Wietse Venema는 이러한 윤리적 해킹 전술을 도입하여 시스템의 보안을 평가하는 아이디어를 고안했습니다.인터넷인트라넷의 전반적인 보안 수준을 높이는 것을 목표로, 그들은 그들이 선택한 경우 보안을 침해할 수 있을 만큼 그들의 타겟에 대한 충분한 정보를 수집할 수 있었던 방법을 설명했다.이들은 이 정보를 수집 및 활용하여 타깃을 제어하는 방법과 그러한 공격을 방지하는 방법에 대한 몇 가지 구체적인 예를 제시했습니다.이들은 작업 중 사용한 모든 도구를 모아 사용하기 쉬운 단일 애플리케이션으로 패키징한 후 다운로드하는 모든 사용자에게 배포했습니다.네트워크 분석을 위한 보안 관리자 도구(SATAN)라고 불리는 그들의 프로그램은 1992년 [8]전 세계 언론의 많은 관심을 받았다.

전술

침입 테스트는 처음부터 소프트웨어 및 컴퓨터 시스템의 공격(포트 스캔, 시스템 상에서 실행되고 있는 프로토콜 및 애플리케이션의 알려진 결함 검사, 패치 설치 등)에 초점을 맞추고 있지만 윤리적인 해킹에는 다른 것도 포함될 수 있습니다.완전한 윤리적 해킹에는 이메일을 통해 패스워드의 상세 내용을 묻고, 경영진의 휴지통을 뒤지고, 타깃의 지식이나 동의 없이 침입하는 것이 포함될 수 있습니다.이러한 규모의 보안 검토를 요청한 소유자, CEO 및 이사진(주식 보유자)만이 알고 있습니다.실제 공격에 사용될 수 있는 파괴적인 기술 중 일부를 복제하기 위해 윤리 해커들은 클론 테스트 시스템을 준비하거나 시스템의 [11]중요도가 낮은 심야에 해킹을 계획할 수 있습니다.최근의 대부분의 경우, 이러한 해킹은 장기간의 결말(조직에 대한 장기간의 인간 침투의 며칠, 혹은 몇 주) 동안 지속됩니다.예를 들어, USB/플래시 키 드라이브에 숨겨진 자동 시작 소프트웨어를 공공 장소에 두고 마치 누군가가 소형 드라이브를 분실하여 직원이 발견하여 가져간 것처럼 방치하는 경우가 있습니다.

이를 수행하는 다른 방법에는 다음과 같은 것이 있습니다.

이러한 방법은 기존의 보안 취약성식별하여 악용하고 보안을 회피하여 보안 영역에 진입하려고 시도합니다.그들은 '블랙 햇' 또는 '그레이 햇'으로 알려진 비윤리적인 해커들이 접근하고자 하는 정보나 접근에 대한 링크로 사용될 수 있는 소프트웨어와 시스템 '백도어'를 숨김으로써 이것을 할 수 있다.

영국의 합법성

Pinsent Masons LLP의 법무 디렉터이자 OUT-LAW.com의 편집자인 Struan Robertson은 다음과 같이 말합니다. "솔직히 말해서, 시스템에 대한 액세스가 허가되면 해킹은 윤리적이고 합법적입니다.만약 그렇지 않다면, 컴퓨터 오용법에 위반이 있습니다.무단 접속 범죄는 비밀번호 추측부터 누군가의 웹 메일 계정에 접속하는 것, 은행의 보안 침해까지 모든 것을 포함한다.컴퓨터에 대한 무단 접근에 대한 최고 형벌은 2년 징역과 벌금이다.해커도 데이터를 수정할 경우 최고 10년의 징역형이 부과됩니다.다수의 이익을 위해 취약점을 노출하기 위한 무단 접근도 합법적이지 않다고 로버트슨 씨는 말합니다."당신의 행동이 대의를 위한 것이라는 우리의 해킹법에는 변명이 없습니다.설령 그것이 당신이 [3]믿는 것이더라도."

고용.

미국 국가안보국은 CNSS 4011과 같은 인증을 제공합니다.이러한 인증에는 질서정연하고 윤리적인 해킹 기법 및 팀 관리가 포함됩니다.공격 팀은 "빨간" 팀이라고 불립니다.수비수 팀은 "파란" [7]팀이라고 불립니다.2012년 DEF CON에서 채용했을 때 지원자들에게 "몇 명이라도 과거에 경솔한 행동을 했다면 놀라지 말라"고 약속했다.고용되지 않을 거라고 생각해서는 안 됩니다.[12]

우수한 "White Hat"은 기업 네트워크 환경을 보호하기 위한 버그를 찾기 위한 대책이 될 수 있기 때문에 기업에게 경쟁력 있는 숙련된 직원입니다.따라서 우수한 "White Hat"을 사용하면 [13]기업의 시스템, 애플리케이션 및 엔드포인트 전반에서 위험을 줄일 수 있습니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ "What is white hat? - a definition from Whatis.com". Searchsecurity.techtarget.com. Retrieved 2012-06-06.
  2. ^ Ward, Mark (14 September 1996). "Sabotage in cyberspace". New Scientist. 151 (2047).
  3. ^ a b Knight, William (16 October 2009). "License to Hack". InfoSecurity. 6 (6): 38–41. doi:10.1016/s1742-6847(09)70019-9.
  4. ^ Filiol, Eric; Mercaldo, Francesco; Santone, Antonella (2021). "A Method for Automatic Penetration Testing and Mitigation: A Red Hat Approach". Procedia Computer Science. 192: 2039–2046. doi:10.1016/j.procs.2021.08.210. S2CID 244321685.
  5. ^ Wilhelm, Thomas; Andress, Jason (2010). Ninja Hacking: Unconventional Penetration Testing Tactics and Techniques. Elsevier. pp. 26–7. ISBN 9781597495899.
  6. ^ "What is the difference between black, white, and grey hackers". Norton.com. Norton Security. Retrieved 2 October 2018.
  7. ^ a b "What is a White Hat?". Secpoint.com. 2012-03-20. Retrieved 2012-06-06.
  8. ^ a b Palmer, C.C. (2001). "Ethical Hacking" (PDF). IBM Systems Journal. 40 (3): 769. doi:10.1147/sj.403.0769.
  9. ^ Paul A. Karger, Roger R. Scherr (June 1974). MULTICS SECURITY EVALUATION: VULNERABILITY ANALYSIS (PDF) (Report). Retrieved 12 Nov 2017.{{cite report}}: CS1 maint: 작성자 파라미터 사용(링크)
  10. ^ McLellan, Vin (1981-07-26). "Case of the Purloined Password". The New York Times. Retrieved 11 August 2015.
  11. ^ Justin Seitz, Tim Arnold (April 14, 2021). Black Hat Python, 2nd Edition: Python Programming for Hackers and Pentesters. ISBN 978-1718501126.
  12. ^ "Attention DEF CON® 20 attendees". National Security Agency. 2012. Archived from the original on 2012-07-30.
  13. ^ Caldwell, Tracey (2011). "Ethical hackers: putting on the white hat". Network Security. 2011 (7): 10–13. doi:10.1016/s1353-4858(11)70075-7. ISSN 1353-4858.