האקר בעל כובע לבן
"האקר בעל כובע לבן" (באנגלית: White hat hacker) הוא כינוי, אשר הצמידה חברת IBM להאקר שמשתמש בידיעותיו במחשבים ובאבטחת מידע למטרות חיוביות ואתיות, כגון התרעה על פרצות אבטחה אשר עלולות לגרום נזק ליחידים או לרבים וסיוע לאבטחת רשתות שונות - זאת ללא ניצול של פרצות האבטחה אותן חשף. כינוי זה הוא הנפוץ בעולם להאקרים מסוג זה, אך הם מכונים גם בשם Ethical Hackers - האקרים מוסריים.
היסטוריה
אחד המקרים הראשונים בהם נודע על שימוש בפריצה אתית היה בדיקת חדירה שערך חיל האוויר של ארצות הברית במערכת ההפעלה Multics. התוצאות קבעו כי בעוד ש-mulitics הייתה טובה משמעותית ממערכות אחרות, היו לה גם פגיעויות באבטחה חומרה ואבטחת תוכנה שניתן היה לנצל באמצעות רמת מאמץ נמוכה יחסית. הבודקים ביצעו את הבדיקות שלהם בשלבים ותחת הנחה של ריאליסטיות, כך שהתוצאות ייצגו במדויק את התוצאות שהפורץ יכול היה להשיג. בשלב הראשוני הם ביצעו בדיקות שכללו תרגילים פשוטים לאיסוף מידע ומשם התקדמו עד למתקפות אשר היו יכולות לגרום לקריסת המערכת[1].
הרעיון להביא טקטיקה זו של פריצה אתית להערכת אבטחת המערכות גובש על ידי דן פארמר וויצ'ה ונמה. מתוך מטרה להעלות את רמת האבטחה הכוללת באינטרנט ובאינטראנט[2], במחקרם תיארו השניים כיצד הם הצליחו לאסוף מספיק מידע על היעדים שלהם כדי שיוכלו לסכן את אבטחת היעדים, כמו כן הם סיפקו מספר דוגמאות ספציפיות כיצד ניתן לאסוף מידע זה ולנצל אותו כדי להשיג שליטה על היעד, וכן כיצד ניתן למנוע התקפות אלו. הם אספו את כל הכלים שהשתמשו בהם במהלך עבודתם, ארזו אותם בתוכנה יחידה וקלה לשימוש והפיצו אותה להורדה חינמית. התוכנה שלהם, המכונה כלי ניהול אבטחה לניתוח רשתות, או SATAN, זכתה לתשומת לב רבה בתקשורת ברחבי העולם בשנת 1992.
טקטיקה
בעוד שבדיקות חדירות מתרכזות בבדיקת תוכנות ומערכות מחשב בפן הטכני - סריקת יציאות, בחינת ליקויים ידועים בפרוטוקולים ויישומים הפועלים במערכת וסקירת הדרך לתיקון הליקויים. פריצה אתית עשויה לכלול גם שיטות נוספות, המתמקדות פחות בצד הטכני. האקר בעל כובע לבן יכול לצורך הדוגמה לזייף את כתובת הדוא"ל של אחד ממנהלי החברה ולבקש מהעובדים פרטי ססמאות, לחטט בפחי האשפה שזרקו העובדים וחברי ההנהלה של החברה ולגלות דפים עם מידע סודי וכן להשאיר בכניסה למשרדי החברה דיסק און-קי עמוס בווירוסים וסוסים טרויאנים אשר "אבד" כביכול לעובר-אורח ולצפות שאחד מעובדי החברה יחברו לאחד ממחשבי החברה על מנת לבדוק את תכולתו. על בדיקות אלו מעודכן בדרך-כלל רק בעלי החברה אשר הזמין את הבדיקה.
היחס בחוק להאקרים מסוג זה
עיקר פעילות האקרים בעלי כובע-לבן היא בעקבות בקשה של בעלי החברה עבורה מתבצעת הפריצה האתית, עם-זאת, קיימים האקרים בעלי כובע לבן רבים הפועלים אף-בלא שנתבקשו על כך, לסריקת ליקויי אבטחה באתרי אינטרנט המכילים מידע ציבורי, מתוך מטרה לוודא כי השמירה על סודיות המידע היא מיטבית. אלא שלא ניתן לומר בבירור מהו היחס החוקי למעשים אלו. בעוד שהחוק היבש קובע כי עצם החדירה הבלתי מורשית למחשב אחר, מבלי לגרום לנזק או לבצע פשע נוסף/נלווה, מהווה עבירה פלילית[3]. הרי שבאפריל 2018 פרסם פרקליט המדינה, שי ניצן, הנחיה הממליצה שלא להעמיד לדין האקרים בעלי כובע לבן. בהנחיה שפרסם כתב ניצן: "כאשר מבוצעות פעולות לאבטחת מידע או להגנה מפני דליפת מידע ממוחשב, ואגב ביצוען מושגת גישה לחומר מחשב ללא ידיעה או ללא הסכמה של המחזיק בו, והדבר נעשה בתום לב, ללא מניעים נוספים, בלא שנעברו עברות נוספות וללא עיון של ממש בתוכנו של המידע הממוחשב - הרי שככלל תגבר הנטייה להימנע מהעמדה לדין של החשוד"[4].
קישורים חיצוניים
- רויטרס, ההאקרים הסינים מחליפים לכובע לבן, באתר ynet, 3 ביולי 2015
הערות שוליים
- ^ פול א. קרגר, רוג'ר ר. שר, הערכת אבטחה מולטיולוגית: ניתוח פגיעות
- ^ פריצה אתית, יומן מערכות ibm
- ^ סעיף 4 לחוק המחשבים
- ^ עומר כביר, פרקליט המדינה ממליץ: האקרים שחושפים פרצות אבטחה לא יועמדו לדין, באתר כלכליסט, 4 בספטמבר 2018
35839211האקר בעל כובע לבן