Beyaz şapkalı (veya beyaz şapkalı bilgisayar korsanı, beyaz şapkalı ) bir etik güvenlik korsanıdır. Etik bilgisayar korsanlığı, yalnızca sızma testinden daha geniş bir kategoriyi ifade eden bir terimdir.
Çalıştığı kişinin izniyle, beyaz şapkalı bilgisayar korsanları, mevcut sistemin sahip olduğu güvenlik açıklarını belirlemeyi amaçlarlar. Beyaz şapka, kötü niyetli bir bilgisayar korsanı olan siyah şapka ile tezat oluşturur ; Bu tanımsal ikilik , kahraman ve düşman kovboyların geleneksel olarak sırasıyla beyaz ve siyah bir şapka takabilecekleri Batı filmlerinden gelmektedir.
Üçüncü bir tür bilgisayar korsanı daha vardır. İyi niyetle ama bazen izinsiz olarak hackleyen gri şapkalı bilgisayar korsanları.
Beyaz şapkalı hackerlar ayrıca ” spor ayakkabı ve/veya hacker kulüpleri “, kırmızı takımlar veya kaplan takımları olarak adlandırılan takımlarda da çalışabilirler.
Etik bir hack’in kullanıldığı ilk örneklerden biri , Multics işletim sistemlerinin “iki seviyeli (gizli/çok gizli) bir sistem olarak potansiyel kullanım için” test edildiği Amerika Birleşik Devletleri Hava Kuvvetleri tarafından yürütülen bir “güvenlik değerlendirmesi”idi. ” Değerlendirme, Multics’in “diğer geleneksel sistemlerden önemli ölçüde daha iyi” olmasına rağmen, ” nispeten düşük düzeyde bir çabayla” ortaya çıkarılabilecek ” donanım güvenliği, yazılım güvenliği ve prosedür güvenliğindeki güvenlik açıklarına ” sahip olduğunu belirledi.
Yazarlar testlerini bir gerçekçilik kılavuzu altında gerçekleştirdiler, böylece sonuçları bir davetsiz misafirin potansiyel olarak ulaşabileceği erişim türlerini doğru bir şekilde temsil edecekti. Basit bilgi toplama alıştırmalarını içeren testler ve sistemin bütünlüğüne zarar verebilecek doğrudan saldırılar gerçekleştirdiler; her iki sonuç da hedef kitlenin ilgisini çekti. ABD ordusundaki etik korsanlık faaliyetlerini açıklayan, şu anda sınıflandırılmamış birkaç rapor daha mevcuttur.
1981’e gelindiğinde New York Times , beyaz şapka faaliyetlerini “yaramaz ama ters bir şekilde olumlu bir ‘hacker’ geleneğinin” bir parçası olarak tanımladı. Bir National CSS çalışanı, müşteri hesaplarında kullandığı şifre kırıcısının varlığını ortaya çıkardığında, şirket onu yazılımı yazdığı için değil, daha önce açıklamadığı için azarladı. Kınama mektubunda, “Şirket, NCSS’nin faydasını anlıyor ve aslında çalışanların VP’ye, dizine ve dosyalardaki diğer hassas yazılımlara yönelik güvenlik zayıflıklarını tespit etme çabalarını teşvik ediyor” ifadeleri kullanıldı.
Sistemlerin güvenliğini değerlendirmek için bu etik hackleme taktiğini getirme fikri Dan Farmer ve Wietse Venema tarafından formüle edildi.
İnternette ve intranetlerde genel güvenlik düzeyini yükseltmek amacıyla seçtikleri takdirde güvenlikten taviz verebilmek için hedefleri hakkında yeterli bilgiyi nasıl toplayabildiklerini açıklamaya başladılar. Hedefin kontrolünü ele geçirmek için bu bilgilerin nasıl toplanabileceğine ve istismar edilebileceğine ve böyle bir saldırının nasıl önlenebileceğine dair birkaç özel örnek verdiler. Çalışmaları sırasında kullandıkları tüm araçları bir araya topladılar, bunları kullanımı kolay tek bir uygulamada paketlediler ve indirmeyi seçen herkese dağıttılar. Onların programı denilen, Ağları Analiz Etmek için Güvenlik Yöneticisi Aracı veya SATAN, 1992’de dünya çapında büyük miktarda medyanın ilgisiyle karşılandı.
Sızma Testi; başlangıçtan itibaren yazılımlara ve bilgisayar sistemlerine saldırmaya odaklanırken, portları taramak, sistem ve yama kurulumlarında çalışan protokollerdeki ve uygulamalardaki bilinen kusurları incelemektir.
Tam gelişmiş bir etik hack, şifre ayrıntılarını sormak için personele e-posta göndermeyi, yöneticilerin çöp kutularını karıştırmayı ve genellikle hedeflerin bilgisi ve rızası olmadan kırma ve girmeyi içerebilir. Sadece bu büyüklükte bir güvenlik incelemesi talep eden şirket sahipleri, CEO’lar ve Yönetim Kurulu Üyeleri (hissedarlar) haberdardır. Gerçek bir saldırının kullanabileceği bazı yıkıcı teknikleri denemek ve çoğaltmak için, etik bilgisayar korsanları klonlanmış test sistemleri ayarlayabilir veya sistemler daha az kritikken gece geç saatlerde bir saldırı düzenleyebilir.
En son vakalarda, bu saldırılar uzun vadeli (bir kuruluşa uzun vadeli insan sızmasının haftalar olmasa da günlerce) devam etmektedir.
Bazı örnekler, gizli otomatik başlatma yazılımına sahip USB /flash anahtar sürücülerini, sanki biri küçük sürücüyü kaybetmiş gibi ve hiçbir şeyden şüphelenmeyen bir çalışan onu bulup almış gibi halka açık bir alanda bırakmayı içerir.
Bunları gerçekleştirmenin diğer bazı yöntemleri şunlardır:
Disk ve bellek adli tıp
DoS saldırıları
Aşağıdaki gibi çerçeveler:
Metasploit
Ağ güvenliği
Tersine mühendislik
Güvenlik tarayıcıları, Örneğin:
Burp Süiti
Nessus
W3af
Sosyal mühendislik taktikleri
Eğitim Platformları
Güvenlik açığı araştırması
Bu yöntemler, bilinen güvenlik açıklarını tanımlar ve kullanır ve güvenli alanlara girmek için güvenlikten kaçmaya çalışır. Bunu, ‘kara şapka’ veya ‘gri şapka’ olarak da bilinen etik olmayan bir bilgisayar korsanının bilgi veya erişim bağlantısı olarak kullanılabilecek yazılım ve sistem ‘arka kapılarını’ gizleyerek yapabilirler.
Amerika Birleşik Devletleri Ulusal Güvenlik Ajansı , CNSS 4011 gibi sertifikalar sunar. Bu tür bir sertifika, düzenli, etik korsanlık teknikleri ve ekip yönetimini kapsar. Saldırgan takımlara “kırmızı” takımlar denir. Savunma takımlarına “mavi” takımlar denir.
İyi bir “Beyaz Şapka”, kurumsal ağ ortamını korumak için hataları bulmak için bir önlem olabileceğinden, bir kuruluş için rekabetçi, yetenekli bir çalışandır. Bu nedenle, iyi bir “Beyaz Şapka”, bir kuruluş için sistemler, uygulamalar ve uç noktalar arasındaki riski azaltmada beklenmeyen faydalar sağlayabilir.
Beyaz şapkalı hacker veya etik hacker; donanım, yazılım veya ağlardaki güvenlik açıklarını belirlemek için bilgisayar korsanlığı becerilerini kullanan bir kişidir. Bununla birlikte, siyah şapkalı bilgisayar korsanlarından veya kötü niyetli bilgisayar korsanlarından farklı olarak, beyaz şapkalı bilgisayar korsanları, bilgisayar korsanlığı için geçerli olduğu için hukukun üstünlüğüne saygı duyar. Birçok beyaz şapkalı bilgisayar korsanı, eski siyah şapkalı bilgisayar korsanlarıdır.
Beyaz şapka korsanları, yalnızca yasal olarak izin verildiğinde güvenlik açıklarını veya açıkları ararlar. Beyaz şapka korsanları, açık kaynaklı yazılımların yanı sıra, hata ödül programlarını çalıştıran ürünler ve hizmetler de dahil olmak üzere, sahip oldukları veya araştırma yetkisine sahip oldukları yazılım veya sistemler üzerinde araştırma yapabilirler . Bu tür programlar, güvenlik açıklarını ifşa ettikleri için bireyleri parayla ödüllendirir.
Siyah veya gri şapkalı bilgisayar korsanlarından farklı olarak, beyaz şapkalı bilgisayar korsanları, buldukları tüm güvenlik açıklarını kusurları düzeltmekten sorumlu olan şirkete veya ürün sahibine tam olarak ifşa eder, böylece sorunlar kötü niyetli bilgisayar korsanları tarafından istismar edilmeden önce çözülebilir.
BEYAZ, SİYAH VE GRİ ŞAPKALI HACKERLAR ARASINDAKI FARK NEDIR?
Beyaz şapkanın yanı sıra iki tür hacker daha vardır: Siyah Şapka ve Gri Şapka.
Beyaz şapka korsanları, buldukları tüm güvenlik açıklarını sistemden sorumlu tarafa genellikle, etkilenen ürünü yapan şirket veya satıcıya ifşa eder, siyah şapkalı bir bilgisayar korsanı, güvenlik açıklarını ve istismarları en yüksek teklifi verene satmaktan çekinmez.
Gri şapka korsanları, ahlaki yelpazede beyaz ve siyah şapkalar arasında yer alır. Gri şapkalılar genellikle kendilerini, faaliyet gösterdikleri kurallar konusunda daha esnek olan iyi adamlar olarak görürler. Örneğin, gri şapkalı bir bilgisayar korsanının, sahiplerinden izin veya yetki almadan sistemlere erişme olasılığı beyaz şapkalı bir bilgisayar korsanından daha yüksek olabilir ancak bu sistemlere zarar verme olasılığı siyah şapkalı bir bilgisayar korsanından daha az olacaktır.
2018’in sonlarında, kripto para birimi ana akım ivme kazanmaya başladığında, Rusya’daki bir gri şapka korsanı, İnternet üzerinden MikroTik tarafından üretilen yönlendiricilere girme sürecini otomatikleştirdi. Yetkisiz erişim gerçekleşirken, gri şapka 100.000’den fazla savunmasız cihaza girip yama yaptığında görünüşte iyi niyetliydi.
BEYAZ, GRİ VE SİYAH ŞAPKA KORSANLARININ ETİĞİ
Hacker sözlüğünde farklı şapka renkleri ne anlama gelir?
Beyaz şapka korsanlığı araçları ve teknikleri
Beyaz şapkalı bilgisayar korsanları, özellikle harici sızma testleri (kalem testleri) yaparlar, siyah şapkalı bilgisayar korsanlarıyla aynı bilgisayar korsanlığı tekniklerini ve araçlarını kullanırlar. Ancak beyaz şapka korsanlar, bir kuruluşun güvenlik duruşunu iyileştirmesine yardımcı olmak amacıyla bunu yaparlar. Yaygın örnekler aşağıdakileri içerir:
Kalem testi. Etik bilgisayar korsanları, potansiyel giriş noktalarını ve sistem güvenlik açıklarını belirlemeye yardımcı olmak için becerilerini kullanır ve ardından kuruluşun ağına veya açıkta kalan sistemine sızmaya çalışır.
E-posta kimlik avı. Beyaz şapka korsanları , bir saldırı gerçekleşmeden önce bir kuruluşun ağındaki olası sorunları bulmak ve düzeltmek için meşru kimlik avı önleme kampanyaları yürütür. E-posta kimlik avı, e-postanın alıcısını hassas bilgiler vermesi veya kötü amaçlı bir dosya veya bağlantıya tıklaması için kandırırlar.
Hizmet reddi ( DoS ) saldırısı. Bu tür bir saldırı, bir makinenin veya ağ kaynağının performansını geçici olarak kesintiye uğratır veya düşürür, bu da onu kullanıcılar tarafından kullanılamaz hale getirir. Beyaz şapkalı bir bilgisayar korsanı, bir kuruluşun DoS müdahale planını geliştirmesine yardımcı olmak için bu tür bir saldırıyı simüle edebilir.
Sosyal mühendislik. Beyaz şapka korsanları, bir saldırıyı önleyebilmek için bir şirketin sistemlerinin güvenlik seviyesini test etmek için davranışsal teknikler kullanır. Sosyal mühendislik saldırıları, çalışanları güvenlik protokollerini kırmaya veya hassas bilgileri vermeye kandırmak için insan doğasından ve güvenden yararlanır.
Güvenlik taraması. Etik bilgisayar korsanları, bilinen güvenlik açıklarını bulma sürecini otomatikleştirmek için çeşitli araçlar kullanır. Bunlar, Acunetix veya Netsparker gibi web uygulaması güvenlik açıklarını tespit etmeye yönelik araçlardan Metasploit Framework veya Nikto dahil olmak üzere açık kaynaklı kalem test araçlarına kadar uzanır.
Nasıl beyaz şapkalı bir hacker olabilirim?
Bilgisayar bilimi, bilgi güvenliği veya matematik alanlarındaki lisans ve yüksek lisans dereceleri, beyaz şapkalı bilgisayar korsanları için iyi bir geçmişe sahiptir ancak güvenlik konusunda gerçek bir ilgi ve tutku en büyük varlıktır.
Beyaz şapkalı hacker olmak isteyenler aşağıdaki sertifikaları da faydalı bulabilir:
ABD Savunma Bakanlığı tarafından tanınan, satıcıdan bağımsız bir kimlik bilgisi olan EC-Council’den Sertifikalı Etik Hacker.
Küresel Bilgi Güvencesi Sertifikasyonu Güvenlik Temelleri Sertifikası, GIAC Penetrasyon Test Cihazı ve GIAC Açıklardan Yararlanma Araştırmacısı ve Gelişmiş Penetrasyon Test Cihazı.
Adli bilişimde bir arka plan veya sertifika, etik bilgisayar korsanları için de faydalı olabilir.
ÜNLÜ BEYAZ ŞAPKALI HACKERLAR
Sektörde birçok tanınmış beyaz şapkalı hacker vardır:
Marc Maiffret. Code Red solucanı gibi Microsoft ürünlerindeki güvenlik açıklarını açığa çıkarmasıyla tanınan Maiffret, bir yazılım güvenlik şirketinin kurucu ortağı oldu ve sonunda güvenlik şirketi Bomgar’ın baş teknoloji sorumlusu oldu.
Kevin Mitnick. Eskiden Amerika’nın en çok aranan siber suçlusu olarak bilinen Mitnick, 1995 yılında tutuklandı ve bilgisayar korsanlığı suçundan beş yıl hapis yattı. Kanunla çıktıktan sonra beyaz şapkalı bir hacker oldu ve şimdi bir güvenlik danışmanlığı firması işletiyor.
Robert “RSnake” Hansen. Bu iyi bilinen beyaz şapka korsanı, tıklama terimini birlikte kullandı. Kurumsal keşif ve iş zekasına odaklanan bir şirket olan OutsideIntel’in başkanı ve kurucusudur.
Beyaz şapka korsanlığındaki diğer büyük isimler arasında Black Hat ve DEFCON güvenlik konferanslarını kuran Jeff Moss; Beş yıl boyunca Ulusal Güvenlik Ajansı’nı hackleyen Dr. Charlie Miller; ve Apple’ın kurucu ortağı Steve Wozniak bulunmaktadır.
Beyaz şapka korsanlığı ile ilgili hangi yasal sorunlar var?
Beyaz şapkalı bir bilgisayar korsanı ile siyah şapkalı bir bilgisayar korsanı arasındaki farklar, izin ve niyetle ilgilidir. Beyaz şapka korsanları, savunmalarını test etmek için şirketin yazılı izni olmadan sistemleri hacklemez ve güvenlik açıklarını sorumlu bir şekilde ifşa ederler. Ancak beyaz şapkalı hacker ve siyah şapkalı hacker benzer araç ve teknikleri kullanır. Bu, etik bilgisayar korsanları için karmaşık yasal durumlara yol açabilir.
Örneğin, bir şirketin güvenliğini kapsamlı bir şekilde test etmek için etik bir bilgisayar korsanı, şirketin sistemlerine yalnızca doğrudan değil, aynı zamanda iş ortakları aracılığıyla da erişmeye çalışmalıdır. Kalem testi talep eden şirket iş ortaklarından da onay almazsa, beyaz şapkalı bilgisayar korsanı iş ortağının sistemlerine yasa dışı bir şekilde sızabilir.
Ek olarak, eğer etik hackerlar hassas verilere erişebiliyorlarsa, görevleri bunu bu verilerden sorumlu şirkete bildirmektir. Ancak bu, müşterinin bilgilerinin ifşa edildiği konusunda bilgilendirileceği anlamına gelmez. Ayrıca, etik hacker’ın verileri kişisel olarak görüntülediği anlamına gelir.