หมวกขาว (ความปลอดภัยทางคอมพิวเตอร์)

Q: เครื่องมือ

มี เครื่องมือประเมินความปลอดภัย หลากหลายประเภทให้เลือกใช้เพื่อช่วยในการทดสอบการเจาะระบบ รวมถึง ซอฟต์แวร์ฟรี และ ซอฟต์แวร์เชิง พาณิชย์

แฮกเกอร์ หมวกขาว (หรือ แฮกเกอร์ หมวกขาว ) คือแฮกเกอร์ด้านความปลอดภัย ที่ มีจริยธรรม^[¹^]^[²^]ภายใต้ความยินยอมของเจ้าของ แฮกเกอร์หมวกขาวจะเจาะระบบซอฟต์แวร์หรือระบบโดยเจตนาเพื่อระบุช่องโหว่หรือปัญหาด้านความปลอดภัยที่มีอยู่ เพื่อช่วยเสริมความแข็งแกร่งจากแฮกเกอร์หมวกดำ^[³^]

หมวกสีขาวถูกเปรียบเทียบกับหมวกสีดำซึ่งหมายถึงแฮกเกอร์ที่มีเจตนาร้าย การแบ่งแยกตามคำจำกัดความนี้มาจากภาพยนตร์ตะวันตกซึ่งคาวบอยผู้กล้าหาญและศัตรูมักจะสวมหมวกสีขาวและสีดำตามลำดับ^{[ 4 ]} นอกจาก นี้ยังมีแฮกเกอร์ประเภทที่สามที่เรียกว่าหมวกสีเทาซึ่งแฮกด้วยเจตนาดี แต่บางครั้งก็ทำโดยไม่ได้รับอนุญาตหรือได้รับความยินยอมอย่างถูกต้อง^{[ 5 ]}

แฮกเกอร์หมวกขาวอาจทำงานเป็นทีมที่เรียกว่า "sneakers", ชมรมแฮกเกอร์, ^{[ 6 ]}ทีมสีแดงหรือทีมเสือ^{[ 7 ]}

ประวัติของคำศัพท์

ความแตกต่างสมัยใหม่ระหว่างหมวกขาวและหมวกดำมาจากธรรมเนียมในภาพยนตร์ตะวันตกที่ตัวละครผู้กล้าหาญมักสวมหมวกขาวและตัวร้ายสวมหมวกดำ ในช่วงกลางทศวรรษ 1960 คำว่าหมวกขาวถูกนำมาใช้ในภาษาอังกฤษแบบอเมริกันโดยทั่วไปเพื่อหมายถึงบุคคลที่ถูกมองว่าเป็น "คนดี" หรืออยู่ฝ่ายที่ถูกต้อง^{[ 4 ]}

ความหมายในเชิงคอมพิวเตอร์พัฒนามาจากความแตกต่างทางศีลธรรมที่กว้างขึ้นนี้พจนานุกรมภาษาอังกฤษของอ็อกซ์ฟ อร์ด บันทึก คำว่า white hat ไว้ในศัพท์สแลงคอมพิวเตอร์ตั้งแต่ปี 1990 โดยให้คำจำกัดความว่าคือบุคคลที่ทำการแฮ็กคอมพิวเตอร์เพื่อจุดประสงค์ที่ดีหรือเพื่อประโยชน์ส่วนรวม โดยเฉพาะอย่างยิ่งเพื่อทดสอบระบบรักษาความปลอดภัยและป้องกันการกระทำที่ผิดกฎหมาย คำว่าwhite-hat hacker ที่เกี่ยวข้อง ถูกใช้ในช่วงปลายทศวรรษ 1990 และในช่วงต้นทศวรรษ 2000 ก็ถูกใช้สำหรับผู้ทดสอบความปลอดภัยที่ได้รับการว่าจ้างให้ตรวจสอบเครือข่ายและระบบเพื่อหาจุดอ่อน^{[ 8 ]}

การจ้างงาน

จากการสัมภาษณ์พนักงานในสหราชอาณาจักรเมื่อปี 2554 พบว่า แฮกเกอร์เชิงจริยธรรมที่ทำงานให้กับบริษัทต่างๆ มีทักษะด้านวิศวกรรมสังคมเทคโนโลยีมือถือ และเครือข่ายสังคมออนไลน์

ในการจ้างงานระดับมืออาชีพ งานของแฮกเกอร์หมวกขาวจะทับซ้อนกับการทดสอบการเจาะระบบและการทดสอบความปลอดภัยเชิงจริยธรรมอย่างมาก โดยแฮกเกอร์เชิงจริยธรรมจะทำหน้าที่คล้ายกับผู้ทดสอบการเจาะระบบ โดยจำลองการโจมตีที่แฮกเกอร์ที่เป็นอันตรายใช้เพื่อทำความเข้าใจว่าระบบสามารถป้องกันได้อย่างไร^{[ 9 ]}

บทบาทของไวท์แฮทอาจเป็นพนักงานภายในองค์กรหรือผู้เชี่ยวชาญภายนอกที่ได้รับการว่าจ้างให้ทดสอบความปลอดภัยขององค์กร^{[ 9 ]}ในบริบทนี้ ความแตกต่างจากการแฮ็กที่เป็นอันตรายไม่ได้อยู่ที่วิธีการทางเทคนิคเป็นหลัก แต่อยู่ที่การอนุญาต ขอบเขต และวินัยทางวิชาชีพ: ไวท์แฮทใช้เทคนิคที่คล้ายกับผู้โจมตีภายในขอบเขตทางกฎหมายและจริยธรรมที่ตกลงกันไว้^{[ 9 ]} อุตสาหกรรมการทดสอบการเจาะระบบหรือการทดสอบความปลอดภัยเชิงจริยธรรมได้มีการจัดระเบียบขึ้นโดยรอบองค์กรวิชาชีพ คุณสมบัติที่เป็นที่ยอมรับ และเส้นทางการพัฒนาที่มีโครงสร้าง ในขณะเดียวกันก็เน้นย้ำว่าผู้ปฏิบัติงานต้องไม่เกินขอบเขตที่ตกลงกับลูกค้า^{[ 9 ]}

การรับรองที่โดดเด่น ได้แก่ สำนักงานความมั่นคงแห่งชาติของสหรัฐอเมริกาที่ออกใบรับรอง เช่น CNSS 4011 การรับรองดังกล่าวครอบคลุมถึงเทคนิคการแฮ็กอย่างเป็นระเบียบและมีจริยธรรม รวมถึงการจัดการทีม^{[ 6 ]}เมื่อหน่วยงานดังกล่าวรับสมัครงานที่DEF CON ในปี 2020 พวกเขาสัญญากับผู้สมัครว่า "หากคุณมี เรื่องผิดพลาดเล็กน้อยในอดีต อย่าตกใจ คุณไม่ควรคิดไปเองว่าคุณจะไม่ได้รับการว่าจ้าง" ^{[ 10 ]}

เครื่องมือ

มี เครื่องมือประเมินความปลอดภัยหลากหลายประเภทให้เลือกใช้เพื่อช่วยในการทดสอบการเจาะระบบ รวมถึงซอฟต์แวร์ฟรีและซอฟต์แวร์เชิงพาณิชย์

กฎหมาย

เบลเยียม

เบลเยียมอนุญาตให้มีการแฮ็กแบบหมวกขาวในเดือนกุมภาพันธ์ พ.ศ. 2566 ^{[ 11 ]}

จีน

ในเดือนกรกฎาคม พ.ศ. 2564 รัฐบาลจีนได้เปลี่ยนจากระบบการรายงานโดยสมัครใจไปเป็นระบบที่กำหนดให้แฮกเกอร์หมวกขาวทุกคนต้องรายงานช่องโหว่ใดๆ ต่อรัฐบาลก่อนดำเนินการใดๆ เพื่อแก้ไขช่องโหว่หรือแจ้งให้สาธารณชนทราบ^{[ 12 ]}ผู้แสดงความคิดเห็นอธิบายว่าการเปลี่ยนแปลงนี้สร้าง "วัตถุประสงค์สองประการ" ซึ่งกิจกรรมของแฮกเกอร์หมวกขาวก็เป็นประโยชน์ต่อหน่วยงานข่าวกรองของประเทศด้วย^{[ 12 ]}

สหราชอาณาจักร

Struan Robertson ผู้อำนวยการฝ่ายกฎหมายของ Pinsent Masons LLP และบรรณาธิการของOUT-LAW.comกล่าวว่า "โดยทั่วไปแล้ว หากการเข้าถึงระบบได้รับอนุญาต การแฮ็กนั้นถือว่ามีจริยธรรมและถูกกฎหมาย หากไม่ได้รับอนุญาต จะถือเป็นความผิดตามพระราชบัญญัติการใช้คอมพิวเตอร์ในทางที่ผิดความผิดฐานเข้าถึงโดยไม่ได้รับอนุญาตครอบคลุมทุกอย่างตั้งแต่การเดารหัสผ่านไปจนถึงการเข้าถึงบัญชีเว็บเมลของผู้อื่น ไปจนถึงการเจาะระบบรักษาความปลอดภัยของธนาคาร โทษสูงสุดสำหรับการเข้าถึงคอมพิวเตอร์โดยไม่ได้รับอนุญาตคือจำคุกสองปีและปรับเงิน มีโทษที่สูงกว่านั้น – สูงถึง 10 ปีในคุก – เมื่อแฮ็กเกอร์ยังแก้ไขข้อมูลด้วย" Robertson กล่าวว่า การเข้าถึงโดยไม่ได้รับอนุญาตแม้กระทั่งเพื่อเปิดเผยช่องโหว่เพื่อประโยชน์ของคนจำนวนมากก็ไม่ถูกกฎหมาย "ไม่มีข้อแก้ตัวใด ๆ ในกฎหมายการแฮ็กของเราที่บอกว่าพฤติกรรมของคุณเป็นไปเพื่อประโยชน์ส่วนรวม แม้ว่าจะเป็นสิ่งที่คุณเชื่อก็ตาม" ^{[ 13 ]}

บุคคลสำคัญ

จิม บราวนิงนามแฝงของแฮกเกอร์หมวกขาวชาวไอร์แลนด์เหนือนักสืบจับกลโกงและนักข่าวที่มีผลงานการสืบสวนเผยแพร่บนYouTubeและใน รายการ ของ BBCเช่นPanoramaและScam Interceptors
ชาร์ลี มิลเลอร์แฮกเกอร์หมวกขาวชาวอเมริกัน อดีตพนักงานของสำนักงานความมั่นคงแห่งชาติและอูเบอร์ซึ่งได้เผยแพร่ผลงานการเจาะระบบคอมพิวเตอร์ในรถยนต์Jeep Cherokee ปี 2014 ได้สำเร็จ ร่วมกับคริส วาลาเซกโดยสามารถควบคุมการเร่งความเร็ว การเบรก และการบังคับเลี้ยวได้
เจนนิเฟอร์ อาร์คูริผู้ประกอบการด้านเทคโนโลยีชาวอเมริกัน ก่อตั้งบริษัทให้คำปรึกษาด้านความปลอดภัยทางไซเบอร์ที่ชื่อว่า Hacker House ในปี 2016

ดูเพิ่มเติม

[

[

[

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 10 ]

[ 11 ]

[ 13 ]