सफेद टोपी (कंप्यूटर सुरक्षा)
इस लेख में अनेक समस्याएँ हैं। कृपया इसे सुधारने में मदद करें या वार्ता पृष्ठ पर इन समस्याओं पर चर्चा करें।
|
इंटरनेट की भाषा में "व्हाइट हैट" शब्द एक नैतिक कंप्यूटर हैकर या एक कंप्यूटर सुरक्षा विशेषज्ञ को संदर्भित करता है, जो पैठ परीक्षण और अन्य परीक्षण विधियों में माहिर है जो एक संगठन की सूचना प्रणालियों की सुरक्षा सुनिश्चित करता है। एथिकल हैकिंग एक शब्द है जिसका अर्थ है केवल प्रवेश परीक्षण की तुलना में एक व्यापक श्रेणी का अर्थ है। काली टोपी के साथ, एक दुर्भावनापूर्ण हैकर के साथ, नाम पश्चिमी फिल्मों से आता है, जहां वीर और प्रतिपक्षी काउबॉय पारंपरिक रूप से क्रमशः एक सफेद और एक काली टोपी पहन सकते हैं। जबकि एक सफेद हैट हैकर अनुमति के साथ अच्छे इरादों के तहत हैक करता है और एक ब्लैक हैट हैकर, जो अक्सर अनधिकृत रूप से दुर्भावनापूर्ण इरादे रखता है।
व्हाइट हैट हैकर्स "स्नीकर्स और / या हैकर क्लब" नामक टीमों में भी काम कर सकते हैं,
इतिहास
संपादित करेंएथिकल हैक का उपयोग करने वाले पहले उदाहरणों में से एक संयुक्त राज्य अमेरिका की वायु सेना द्वारा संचालित एक "सुरक्षा मूल्यांकन" था, जिसमें दो-स्तरीय (गुप्त / शीर्ष गुप्त) प्रणाली के रूप में संभावित उपयोग के लिए मल्टीिक्स ऑपरेटिंग सिस्टम का परीक्षण किया गया था। " मूल्यांकन ने निर्धारित किया कि जबकि मल्टिक्स "अन्य पारंपरिक प्रणालियों की तुलना में काफी बेहतर था," यह भी था "... हार्डवेयर सुरक्षा, सॉफ्टवेयर सुरक्षा और प्रक्रियात्मक सुरक्षा में कमजोरियां" जिसे "अपेक्षाकृत निम्न स्तर का प्रयास" कहा जा सकता है। 'लेखकों ने यथार्थवाद की एक दिशानिर्देश के तहत अपने परीक्षण किए, इसलिए उनके परिणाम एक घुसपैठिए को संभावित रूप से प्राप्त करने के प्रकार का सटीक रूप से प्रतिनिधित्व करेंगे। उन्होंने सरल जानकारी जुटाने वाले अभ्यासों के साथ-साथ सिस्टम पर सटीक हमले किए, जो इसकी अखंडता को नुकसान पहुंचा सकते हैं; दोनों परिणाम लक्षित दर्शकों के लिए रुचि के थे। अमेरिकी सेना के भीतर नैतिक हैकिंग गतिविधियों का वर्णन करने वाली कई अन्य अवर्गीकृत रिपोर्टें हैं।
1981 तक न्यूयॉर्क टाइम्स ने सफेद टोपी गतिविधियों को "शरारती लेकिन व्यापक रूप से सकारात्मक 'हैकर' परंपरा का हिस्सा बताया। जब एक राष्ट्रीय सीएसएस कर्मचारी ने अपने पासवर्ड क्रैकर के अस्तित्व का खुलासा किया, जो उसने ग्राहक खातों पर उपयोग किया था, तो कंपनी ने उसे सॉफ्टवेयर लिखने के लिए नहीं बल्कि जल्द ही खुलासा करने के लिए पीछा किया। फटकार के पत्र में कहा गया है कि "कंपनी NCSS को लाभ का एहसास कराती है और वास्तव में कर्मचारियों के प्रयासों को वीपी, निर्देशिका, और अन्य संवेदनशील सॉफ्टवेयरों में सुरक्षा कमजोरियों की पहचान करने के लिए प्रोत्साहित करती है।" सिस्टम की सुरक्षा का आकलन करने के लिए एथिकल हैकिंग की इस रणनीति को लाने का विचार डैन फार्मर और विटेज वेनेमा द्वारा तैयार किया गया था। इंटरनेट और इंट्रानेट पर सुरक्षा के समग्र स्तर को बढ़ाने के लक्ष्य के साथ, वे यह वर्णन करने के लिए आगे बढ़े कि कैसे वे अपने लक्ष्यों के बारे में पर्याप्त जानकारी इकट्ठा करने में सक्षम थे अगर वे ऐसा करने के लिए चुना था तो सुरक्षा से समझौता करने में सक्षम थे। उन्होंने कई विशिष्ट उदाहरण प्रदान किए कि कैसे इस जानकारी को इकट्ठा किया जा सकता है और लक्ष्य का नियंत्रण हासिल करने के लिए उनका शोषण किया जा सकता है, और इस तरह के हमले को कैसे रोका जा सकता है। उन्होंने अपने काम के दौरान उपयोग किए जाने वाले सभी उपकरणों को इकट्ठा किया, उन्हें एक एकल, आसान उपयोग के अनुप्रयोग में पैक किया, और इसे किसी को भी दिया जिसने इसे डाउनलोड करना चुना। उनके प्रोग्राम को सिक्योरिटी एडमिनिस्ट्रेटर टूल फॉर एनालिसिसिंग नेटवर्क या SATAN कहा जाता है, 1992 में दुनिया भर में मीडिया का एक बड़ा हिस्सा था।
रणनीति:
संपादित करेंप्रवेश परीक्षण शुरू से ही सॉफ्टवेयर और कंप्यूटर सिस्टम पर हमला करने पर ध्यान केंद्रित करता है - स्कैनिंग पोर्ट, प्रोटोकॉल में ज्ञात दोषों की जांच और सिस्टम और पैच इंस्टॉलेशन पर चल रहे एप्लिकेशन, उदाहरण के लिए - एथिकल हैकिंग में अन्य चीजें शामिल हो सकती हैं। एक पूर्ण विकसित नैतिक हैक में ईमेल डिटेल्स शामिल हो सकते हैं जो पासवर्ड विवरण के लिए पूछ सकते हैं, कार्यकारी डस्टबिन के माध्यम से अफवाह करना और आमतौर पर लक्ष्य की जानकारी और सहमति के बिना तोड़ना और प्रवेश करना। केवल मालिक, सीईओ और बोर्ड के सदस्य (हितधारक) जिन्होंने इस परिमाण की ऐसी सुरक्षा समीक्षा के लिए कहा है, जागरूक हैं। कुछ विनाशकारी तकनीकों को दोहराने की कोशिश करने के लिए एक वास्तविक हमला हो सकता है, नैतिक हैकर क्लोन परीक्षण प्रणालियों की व्यवस्था कर सकते हैं, या देर रात हैक का आयोजन कर सकते हैं, जबकि सिस्टम कम महत्वपूर्ण हैं। [1] हाल के मामलों में ये हैक लंबी अवधि के चुनाव (दिनों, यदि सप्ताह नहीं, एक संगठन में लंबे समय तक मानव घुसपैठ) के लिए स्थायी हो जाते हैं। कुछ उदाहरणों में एक सार्वजनिक क्षेत्र में छिपे हुए ऑटो-स्टार्ट सॉफ़्टवेयर के साथ यूएसबी / फ्लैश कुंजी ड्राइव को छोड़ना शामिल है जैसे कि किसी ने छोटी ड्राइव को खो दिया और एक गैर-जिम्मेदार कर्मचारी ने इसे ढूंढ लिया और इसे ले लिया।
संदर्भ:
संपादित करें- ↑ Knight, William (16 October 2009). "License to Hack". InfoSecurity. 6 (6): 38–41. डीओआइ:10.1016/s1742-6847(09)70019-9.