Tin tặc mũ trắng là gì?
An toàn thông tin - Ngày đăng : 19:31, 24/09/2018
Mặc dù hack thường có nghĩa là ai đó với mục đích xấu, cố gắng đột nhập vào các hệ thống máy tính với mục đích gây ra thiệt hại, nhưng cũng có những vụ hack có đạo đức.
Điều này đề cập đến việc tìm lỗ hổng trong phần mềm hoặc phần cứng tạo cơ hội cho tội phạm đột nhập và sau đó báo cáo các vấn đề tiềm ẩn cho nhà sản xuất và nhà phát triển để họ có thể khắc phục vấn đề trước khi nó trở thành rủi ro bảo mật.
Một trong những trường hợp điển hình của một hacker đạo đức là máy tính toàn diện của Charlie Miller. Ông đã sử dụng chuyên môn của mình để phát hiện ra một lỗi lớn trong MacBook Air của Apple có thể đã gây ra một số vấn đề khá nghiêm trọng cho công ty điện toán.
Sau khi chứng minh kỹ năng của mình bằng cách đột nhập vào MacBook, Miller đã tìm thấy một vấn đề khác trong trình duyệt Safari của Apple. Khả năng phát hiện lỗi tuyệt vời của anh sau đó tiếp tục kiếm được 10.000 đô la và 5.000 đô la từ các hội nghị hacking nơi anh được giao nhiệm vụ sửa các vấn đề về tính toán phức tạp.
Miller bây giờ được biết đến rộng rãi như một hacker đạo đức - một người được các doanh nghiệp trả tiền để tìm lỗi trong các hệ thống an ninh bằng cách cố gắng xâm nhập vào chúng. Tin tặc đạo đức còn được gọi là tin tặc mũ trắng, trong khi tin tặc hình sự được gọi là tin tặc mũ đen. Thuật ngữ này được cho là được gọi là các bộ phim phương Tây, nơi những chàng cao bồi tốt đội mũ trắng và mũ đen để phân biệt chúng với nhau.
Ý tưởng về mũ đen và mũ trắng cũng áp dụng cho các ngành công nghệ khác, bao gồm tối ưu hóa công cụ tìm kiếm (SEO).
Một trong những vũ khí mạnh nhất trong cuộc chiến chống tội phạm mạng chính là tin tặc. Các chuyên gia có hiểu biết sâu sắc về cách thâm nhập vào hệ thống bảo mật của cơ sở hạ tầng trực tuyến thường được triển khai để tìm các lỗ hổng bảo mật mà những kẻ ở bên kia chiến tuyến đang tìm cách khai thác.
Những người này được gọi là 'tin tặc đạo đức', và họ là một phần không thể thiếu của cộng đồng an ninh mạng.
Mũ đen, mũ xám và mũ trắng
Trong cộng đồng an ninh mạng, tin tặc được chia thành ba loại - tin tặc 'mũ đen', tin tặc 'mũ xám' và tin tặc 'mũ trắng'. Mũ đen tấn công các mục tiêu vì lý do tự phục vụ, chẳng hạn như tăng tài chính, trả thù hoặc đơn giản là truyền bá tàn phá.
Ngược lại, tin tặc mũ trắng thực sự nhằm mục đích cải thiện an ninh, tìm lỗ hổng bảo mật và thông báo cho nạn nhân để họ có cơ hội sửa nó trước khi một hacker ít thâm nhập khai thác nó. Mũ xám nằm ở ranh giới giữa 2 loại, thường tiến hành các hoạt động có vấn đề về mặt đạo đức hơn một chút, chẳng hạn như các nhóm tấn công mà họ chống đối về mặt tư tưởng hoặc khởi động các cuộc biểu tình chống đối. Mũ trắng và tin tặc mũ xám có thể được xác định là tin tặc 'đạo đức'.
Tin tặc đạo đức kiếm tiền như thế nào?
Những kẻ tấn công mũ đen thường kiếm tiền thông qua hành vi trộm cắp, gian lận, tống tiền và các phương tiện bất chính khác. Mặt khác, các tin tặc đạo đức thường được các công ty bảo mật mạng sử dụng hoặc trong các phòng an ninh của các tổ chức lớn hơn. Thực tế là họ biết cách thức hoạt động của các kẻ tấn công và mang lại cái nhìn sâu sắc có giá trị về cách ngăn chặn các cuộc tấn công.
Một cách khác mà tin tặc đạo đức có thể kiếm sống là thông qua việc thu thập 'tiền thưởng lỗi'. Các công ty lớn, đặc biệt là các công ty công nghệ như Facebook, Microsoft và Google, cung cấp phần thưởng cho các nhà nghiên cứu hoặc tin tặc khám phá lỗ hổng bảo mật trong mạng hoặc dịch vụ của họ. Điều này khuyến khích họ báo cáo những lỗ hổng này, cho phép chúng được sửa chữa trước khi bọn tội phạm tìm ra.
Động cơ của các tin tặc đạo đức?
Hầu hết các tin tặc được thúc đẩy bởi sự tò mò, và tin tặc đạo đức cũng không ngoại lệ. Họ thường được thúc đẩy bởi một mong muốn để xem những gì làm cho mọi thứ đánh dấu, mò mẫm (poking) xung quanh trong hệ thống an ninh chỉ cho những thách thức của việc tìm kiếm một cách xung quanh họ. Báo cáo một cách có trách nhiệm phát hiện của họ là cách tốt nhất để thưởng thức mong muốn này trong khi vẫn ở bên phải của pháp luật.
Nhiều người cũng được thúc đẩy bởi một mong muốn thực sự để làm cho thế giới riêng tư hơn và an toàn hơn. Phơi bày sai sót trong các dịch vụ và ứng dụng được sử dụng rộng rãi có nghĩa là chúng ít có khả năng được sử dụng để gây hại cho những người vô tội.
Một động cơ khác cho tin tặc đạo đức là tiền. Một nghề nghiệp như thử nghiệm đánh giá độ an toàn hoặc đội đỏ (đảm nhận công việc tấn công để tìm kiếm những lỗ hổng bảo mật và giúp tập đoàn vá lỗi) có thể cực kỳ hấp dẫn, và thường cho phép tin tặc kiếm được nhiều tiền hơn là một tội phạm mạng mà không sợ bị trả thù. Tương tự như vậy, các chương trình tiền thưởng lỗi có thể cung cấp các khoản thanh toán vô cùng hào phóng để khám phá những sai sót lớn - người giữ kỷ lục hiện tại cho tiền thưởng lỗi giá trị cao nhất là khoản thanh toán 112.500 đô la của Google cho một nhà nghiên cứu người Trung Quốc đã phát hiện ra lỗ hổng khai thác từ xa trong Android.
Làm thế nào để trở thành một hacker đạo đức?
Nếu bạn là một hacker muốn trở thành một chiếc mũ trắng, tin tốt lành là bạn đã đi 1 nửa đường. Hacking đạo đức thuộc về thái độ hơn bất cứ điều gì khác; mong muốn sử dụng tài năng tốt, trái ngược với điều ác. Nếu bạn muốn sử dụng tài năng hacking của bạn để cải thiện an ninh của thế giới hơn để dòng túi của riêng bạn, bạn đang trên con đường của bạn để trở thành một hacker đạo đức.
Về các bước thực hành thực tế, có rất nhiều khóa học phải tham gia để đảm bảo bạn có tất cả các kỹ năng cần thiết để trở thành một hacker đạo đức. Tuy nhiên, trong khi những điều này chắc chắn có thể hữu ích, hoặc là một điểm khởi đầu hoặc là một cách để tinh chỉnh kiến thức của bạn, cách tốt nhất để trở thành một hacker đạo đức là đơn giản đắm mình trong thế giới an ninh mạng.
Đọc nhiều các yếu tố kỹ thuật về phòng thủ và bảo mật mạng, cập nhật những phát triển trong lĩnh vực này và thường tìm hiểu càng nhiều càng tốt về lý thuyết và thực hành bảo mật mạng.
Bạn cũng nên học một vài ngôn ngữ lập trình, nếu bạn chưa biết. Mặc dù nó không hoàn toàn cần thiết cho tin tặc (cho dù tin tặc đạo đức hay tin tặc khác) để có kiến thức chuyên sâu về mã hóa, nó có thể cực kỳ hữu ích và mang lại tiền bạc trong suốt sự nghiệp của bạn.