व्हाइट हैट (कंप्यूटर सुरक्षा)
एक श्रृंखला का हिस्सा |
कंप्यूटर हैकिंग |
---|
व्हाइट हैट (या व्हाइट-हैट हैकर, व्हाइटहैट) एक नैतिक सुरक्षा हैकर है।[1][2] एथिकल हैकिंग एक ऐसा शब्द है जिसका अर्थ केवल पैठ परीक्षण की तुलना में एक व्यापक श्रेणी है।[3][4] मालिक की सहमति के तहत, व्हाइट-हैट हैकर्स का लक्ष्य मौजूदा सिस्टम में मौजूद किसी भी कमजोरियों या सुरक्षा मुद्दों की पहचान करना है।[5] सफेद टोपी की तुलना काली टोपी (कंप्यूटर सुरक्षा) से की जाती है, जो एक दुर्भावनापूर्ण हैकर है; यह पारिभाषिक द्वंद्व पश्चिमी (शैली) से आता है, जहां फिल्म में काली और सफेद टोपी का प्रतीकवाद | वीर और विरोधी काउबॉय पारंपरिक रूप से क्रमशः सफेद और काली टोपी पहन सकते हैं।[6] एक तीसरे प्रकार का हैकर है जिसे ग्रे टोपी के नाम से जाना जाता है जो अच्छे इरादों के साथ हैक करता है लेकिन कभी-कभी बिना अनुमति के।[7] व्हाइट-हैट हैकर्स हैकर (कंप्यूटर सुरक्षा)|स्नीकर्स और/या हैकर क्लब नामक टीमों में भी काम कर सकते हैं।[8] लाल दल, या बाघ दल।[9]
इतिहास
एथिकल हैक के इस्तेमाल के पहले उदाहरणों में से एक संयुक्त राज्य वायु सेना द्वारा आयोजित एक सुरक्षा मूल्यांकन था, जिसमें मॉलटिक्स ऑपरेटिंग सिस्टम को दो-स्तरीय (गुप्त/शीर्ष गुप्त) प्रणाली के रूप में संभावित उपयोग के लिए परीक्षण किया गया था। मूल्यांकन ने निर्धारित किया कि जबकि मल्टिक्स अन्य पारंपरिक प्रणालियों की तुलना में काफी बेहतर था, इसमें हार्डवेयर सुरक्षा, सॉफ्टवेयर सुरक्षा और प्रक्रियात्मक सुरक्षा में कमजोरियां भी थीं जिन्हें अपेक्षाकृत कम प्रयास के साथ उजागर किया जा सकता था।[10] लेखकों ने यथार्थवाद के दिशानिर्देश के तहत अपने परीक्षण किए, इसलिए उनके परिणाम सटीक रूप से उस प्रकार की पहुंच का प्रतिनिधित्व करेंगे जो एक घुसपैठिया संभावित रूप से प्राप्त कर सकता है। उन्होंने सरल जानकारी एकत्र करने वाले अभ्यासों के साथ-साथ सिस्टम पर सीधे हमलों से जुड़े परीक्षण किए जो इसकी अखंडता को नुकसान पहुंचा सकते हैं; दोनों परिणाम लक्षित दर्शकों के लिए रुचिकर थे। संयुक्त राज्य सशस्त्र बलों के भीतर एथिकल हैकिंग गतिविधियों का वर्णन करने वाली कई अन्य अब अवर्गीकृत रिपोर्टें हैं।
1981 दी न्यू यौर्क टाइम्स व्हाइट-हैट गतिविधियों को एक शरारती लेकिन विकृत रूप से सकारात्मक 'हैकर' परंपरा का हिस्सा बताया। जब एक राष्ट्रीय सीएसएस कर्मचारी ने अपने पासवर्ड क्रैकर के अस्तित्व का खुलासा किया, जिसका उपयोग उसने ग्राहक खातों पर किया था, तो कंपनी ने उसे सॉफ़्टवेयर लिखने के लिए नहीं, बल्कि इसका जल्द खुलासा न करने के लिए दंडित किया। फटकार पत्र में कहा गया है कि कंपनी एनसीएसएस को होने वाले लाभ का एहसास करती है और फाइलों में वीपी, निर्देशिका और अन्य संवेदनशील सॉफ्टवेयर की सुरक्षा कमजोरियों की पहचान करने के लिए कर्मचारियों के प्रयासों को प्रोत्साहित करती है।[11] सिस्टम की सुरक्षा का आकलन करने और कमजोरियों को इंगित करने के लिए एथिकल हैकिंग की इस रणनीति को लाने का विचार दान किसान और विएत्से वेनेमा द्वारा तैयार किया गया था। इंटरनेट और इंट्रानेट पर सुरक्षा के समग्र स्तर को बढ़ाने के लिए, वे यह बताने के लिए आगे बढ़े कि कैसे वे अपने लक्ष्यों के बारे में पर्याप्त जानकारी इकट्ठा करने में सक्षम थे ताकि अगर उन्होंने ऐसा करना चुना होता तो वे सुरक्षा से समझौता कर सकते थे। उन्होंने कई विशिष्ट उदाहरण दिए कि लक्ष्य पर नियंत्रण पाने के लिए इस जानकारी को कैसे इकट्ठा किया जा सकता है और इसका उपयोग कैसे किया जा सकता है, और इस तरह के हमले को कैसे रोका जा सकता है। उन्होंने अपने काम के दौरान उपयोग किए गए सभी उपकरणों को इकट्ठा किया, उन्हें एक एकल, उपयोग में आसान एप्लिकेशन में पैक किया, और इसे डाउनलोड करने वाले किसी भी व्यक्ति को दे दिया। उनके प्रोग्राम, जिसे नेटवर्क के विश्लेषण के लिए सुरक्षा प्रशासक उपकरण या SATAN कहा जाता है, को 1992 में दुनिया भर में मीडिया का भारी ध्यान मिला।[9]
रणनीति
जबकि पैठ परीक्षण शुरू से ही सॉफ्टवेयर और कंप्यूटर सिस्टम पर हमला करने पर ध्यान केंद्रित करता है - पोर्ट को स्कैन करना, सिस्टम पर चल रहे प्रोटोकॉल और एप्लिकेशन में ज्ञात दोषों की जांच करना, और पैच इंस्टॉलेशन, उदाहरण के लिए - एथिकल हैकिंग में अन्य चीजें शामिल हो सकती हैं। पूर्ण पैमाने पर एथिकल हैक में कर्मचारियों को पासवर्ड विवरण मांगने के लिए ईमेल करना, कार्यकारी कूड़ेदानों को खंगालना, आमतौर पर लक्ष्य की जानकारी और सहमति के बिना शामिल हो सकता है। केवल मालिक, सीईओ और बोर्ड के सदस्य (हितधारक) जिन्होंने इस परिमाण की सुरक्षा समीक्षा की मांग की थी, वे ही जानते हैं। वास्तविक हमले में प्रयुक्त होने वाली कुछ विनाशकारी तकनीकों को दोहराने की कोशिश करने के लिए, एथिकल हैकर क्लोन परीक्षण प्रणालियों की व्यवस्था कर सकते हैं, या देर रात में हैक का आयोजन कर सकते हैं, जबकि सिस्टम कम महत्वपूर्ण होते हैं।[12] अधिकांश हाल के मामलों में ये हैक दीर्घकालिक धोखाधड़ी (किसी संगठन में दीर्घकालिक मानव घुसपैठ के कुछ दिन, यदि सप्ताह नहीं तो) को कायम रखते हैं। कुछ उदाहरणों में सार्वजनिक क्षेत्र में छिपे हुए ऑटो-स्टार्ट सॉफ़्टवेयर के साथ USB/फ़्लैश कुंजी ड्राइव को छोड़ना शामिल है जैसे कि किसी ने छोटी ड्राइव खो दी हो और किसी अनजान कर्मचारी ने इसे ढूंढ लिया हो और इसे ले लिया हो।
इन्हें क्रियान्वित करने के कुछ अन्य तरीकों में शामिल हैं:
- मेमोरी फोरेंसिक
- सेवा हमलों का इनकार
- रूपरेखा जैसे:
- नेटवर्क सुरक्षा
- रिवर्स इंजीनियरिंग
- सुरक्षा स्कैनर जैसे:
- सोशल इंजीनियरिंग (सुरक्षा) रणनीति
- प्रशिक्षण प्लेटफार्म
- भेद्यता अनुसंधान
ये विधियाँ एक्सप्लॉइट (कंप्यूटर सुरक्षा) ज्ञात सुरक्षा भेद्यता (कंप्यूटिंग) की पहचान करती हैं और सुरक्षित क्षेत्रों में प्रवेश पाने के लिए सुरक्षा से बचने का प्रयास करती हैं। वे सॉफ़्टवेयर और सिस्टम 'बैक-डोर' को छिपाकर ऐसा कर सकते हैं, जिसका उपयोग जानकारी या पहुंच के लिंक के रूप में किया जा सकता है, जिस तक एक गैर-नैतिक हैकर, जिसे 'ब्लैक हैट' या 'ग्रे हैट' भी कहा जाता है, पहुंचना चाहता है।
वैधता
बेल्जियम
बेल्जियम ने फरवरी 2023 में व्हाइट हैट हैकिंग को वैध कर दिया।[13]
यूनाइटेड किंगडम
पिंसेंट मेसन्स एलएलपी के कानूनी निदेशक और OUT-LAW|OUT-LAW.com के संपादक स्ट्रुआन रॉबर्टसन कहते हैं, मोटे तौर पर कहें तो, यदि किसी सिस्टम तक पहुंच अधिकृत है, तो हैकिंग नैतिक और कानूनी है। यदि ऐसा नहीं है, तो कंप्यूटर दुरुपयोग अधिनियम के तहत एक अपराध है। अनधिकृत पहुंच अपराध में पासवर्ड का अनुमान लगाने से लेकर किसी के वेबमेल खाते तक पहुंचने, बैंक की सुरक्षा में सेंध लगाने तक सब कुछ शामिल है। कंप्यूटर तक अनधिकृत पहुंच के लिए अधिकतम जुर्माना दो साल की जेल और जुर्माना है। जब हैकर डेटा भी संशोधित करता है तो उच्च दंड - 10 साल तक की जेल - का प्रावधान है। रॉबर्टसन का कहना है कि कई लोगों के लाभ के लिए कमजोरियों को उजागर करने के लिए भी अनधिकृत पहुंच कानूनी नहीं है। हमारे हैकिंग कानूनों में कोई बचाव नहीं है कि आपका व्यवहार अधिक अच्छे के लिए है। भले ही यह वही हो जिस पर आप विश्वास करते हैं।[4]
रोज़गार
The examples and perspective in this article deal primarily with the United States and do not represent a worldwide view of the subject. (June 2011) (Learn how and when to remove this template message) |
संयुक्त राज्य अमेरिका की राष्ट्रीय सुरक्षा एजेंसी सीएनएसएस 4011 जैसे प्रमाणपत्र प्रदान करती है। इस तरह के प्रमाणीकरण में व्यवस्थित, नैतिक हैकिंग तकनीक और टीम प्रबंधन शामिल है। आक्रमणकारी टीमों को लाल टीमें कहा जाता है। डिफेंडर टीमों को ब्लू टीम कहा जाता है।[8]जब एजेंसी ने 2020 में DEF CON में भर्ती की, तो उसने आवेदकों से वादा किया कि यदि आपके पास कुछ हैं, तो हम कहेंगे, आपके अतीत में अविवेकपूर्ण, चिंतित न हों। आपको स्वचालित रूप से यह नहीं मान लेना चाहिए कि आपको काम पर नहीं रखा जाएगा।[14] एक अच्छी सफेद टोपी एक उद्यम के लिए एक प्रतिस्पर्धी कुशल कर्मचारी है क्योंकि वे उद्यम नेटवर्क वातावरण की सुरक्षा के लिए बग (इंजीनियरिंग) को खोजने के लिए एक प्रति उपाय हो सकते हैं। इसलिए, एक अच्छी सफेद टोपी किसी उद्यम के लिए सिस्टम, एप्लिकेशन और एंडपॉइंट पर जोखिम को कम करने में अप्रत्याशित लाभ ला सकती है।[15]
उल्लेखनीय लोग
- टैमर साहिन (जन्म 1981), तुर्की व्हाइट हैट हैकर
यह भी देखें
संदर्भ
- ↑ "What is white hat? - a definition from Whatis.com". Searchsecurity.techtarget.com. Retrieved 2012-06-06.
- ↑ Okpa, John Thompson; Ugwuoke, Christopher Uchechukwu; Ajah, Benjamin Okorie; Eshioste, Emmanuel; Igbe, Joseph Egidi; Ajor, Ogar James; Okoi, Ofem, Nnana; Eteng, Mary Juachi; Nnamani, Rebecca Ginikanwa (2022-09-05). "क्रॉस-रिवर स्टेट, नाइजीरिया में साइबरस्पेस, ब्लैक-हैट हैकिंग और कॉर्पोरेट संगठनों की आर्थिक स्थिरता". SAGE Open (in English). 12 (3): 215824402211227. doi:10.1177/21582440221122739. ISSN 2158-2440. S2CID 252096635.
{{cite journal}}
: CS1 maint: multiple names: authors list (link) - ↑ Ward, Mark (14 September 1996). "साइबरस्पेस में तोड़फोड़". New Scientist. 151 (2047).
- ↑ 4.0 4.1 Knight, William (16 October 2009). "हैक करने का लाइसेंस". InfoSecurity. 6 (6): 38–41. doi:10.1016/s1742-6847(09)70019-9.
- ↑ Filiol, Eric; Mercaldo, Francesco; Santone, Antonella (2021). "A Method for Automatic Penetration Testing and Mitigation: A Red Hat Approach". Procedia Computer Science (in English). 192: 2039–2046. doi:10.1016/j.procs.2021.08.210. S2CID 244321685.
- ↑ Wilhelm, Thomas; Andress, Jason (2010). Ninja Hacking: Unconventional Penetration Testing Tactics and Techniques. Elsevier. pp. 26–7. ISBN 9781597495899.
- ↑ "ब्लैक, व्हाइट और ग्रे हैकर्स में क्या अंतर है?". Norton.com. Norton Security. Retrieved 2 October 2018.
- ↑ 8.0 8.1 "What is a White Hat?". Secpoint.com. 2012-03-20. Retrieved 2012-06-06.
- ↑ 9.0 9.1 Palmer, C.C. (2001). "नैतिक हैकिंग" (PDF). IBM Systems Journal. 40 (3): 769. doi:10.1147/sj.403.0769.
- ↑ Paul A. Karger, Roger R. Scherr (June 1974). MULTICS SECURITY EVALUATION: VULNERABILITY ANALYSIS (PDF) (Report). Retrieved 12 Nov 2017.
{{cite report}}
: CS1 maint: uses authors parameter (link) - ↑ McLellan, Vin (1981-07-26). "चुराए गए पासवर्ड का मामला". The New York Times. Retrieved 11 August 2015.
- ↑ Justin Seitz, Tim Arnold (April 14, 2021). Black Hat Python, 2nd Edition: Python Programming for Hackers and Pentesters. ISBN 978-1718501126.
- ↑ Drechsler, Charlotte Somers, Koen Vranckaert, Laura (3 May 2023). "Belgium legalises ethical hacking: a threat or an opportunity for cybersecurity?". CITIP blog. Retrieved 7 May 2023.
{{cite web}}
: CS1 maint: multiple names: authors list (link) - ↑ "Attention DEF CON® 20 attendees". National Security Agency. 2012. Archived from the original on 2012-07-30.
- ↑ Caldwell, Tracey (2011). "Ethical hackers: putting on the white hat". Network Security. 2011 (7): 10–13. doi:10.1016/s1353-4858(11)70075-7. ISSN 1353-4858.