व्हाइट हैट (कंप्यूटर सुरक्षा)

व्हाइट हैट (या व्हाइट-हैट हैकर, व्हाइटहैट) एक नैतिक सुरक्षा हैकर है। एथिकल हैकिंग एक ऐसा शब्द है जिसका अर्थ केवल पैठ परीक्षण की तुलना में एक व्यापक श्रेणी है। मालिक की सहमति के तहत, व्हाइट-हैट हैकर्स का लक्ष्य मौजूदा सिस्टम में मौजूद किसी भी कमजोरियों या सुरक्षा मुद्दों की पहचान करना है। सफेद टोपी की तुलना काली टोपी (कंप्यूटर सुरक्षा) से की जाती है, जो एक दुर्भावनापूर्ण हैकर है; यह पारिभाषिक द्वंद्व पश्चिमी (शैली) से आता है, जहां फिल्म में काली और सफेद टोपी का प्रतीकवाद | वीर और विरोधी काउबॉय पारंपरिक रूप से क्रमशः सफेद और काली टोपी पहन सकते हैं। एक तीसरे प्रकार का हैकर है जिसे ग्रे टोपी के नाम से जाना जाता है जो अच्छे इरादों के साथ हैक करता है लेकिन कभी-कभी बिना अनुमति के। व्हाइट-हैट हैकर्स हैकर (कंप्यूटर सुरक्षा)|स्नीकर्स और/या हैकर क्लब नामक टीमों में भी काम कर सकते हैं। लाल दल, या बाघ दल।

इतिहास
एथिकल हैक के इस्तेमाल के पहले उदाहरणों में से एक संयुक्त राज्य वायु सेना द्वारा आयोजित एक सुरक्षा मूल्यांकन था, जिसमें मॉलटिक्स  ऑपरेटिंग सिस्टम को दो-स्तरीय (गुप्त/शीर्ष गुप्त) प्रणाली के रूप में संभावित उपयोग के लिए परीक्षण किया गया था। मूल्यांकन ने निर्धारित किया कि जबकि मल्टिक्स अन्य पारंपरिक प्रणालियों की तुलना में काफी बेहतर था, इसमें हार्डवेयर सुरक्षा, सॉफ्टवेयर सुरक्षा और प्रक्रियात्मक सुरक्षा में कमजोरियां भी थीं जिन्हें अपेक्षाकृत कम प्रयास के साथ उजागर किया जा सकता था। लेखकों ने यथार्थवाद के दिशानिर्देश के तहत अपने परीक्षण किए, इसलिए उनके परिणाम सटीक रूप से उस प्रकार की पहुंच का प्रतिनिधित्व करेंगे जो एक घुसपैठिया संभावित रूप से प्राप्त कर सकता है। उन्होंने सरल जानकारी एकत्र करने वाले अभ्यासों के साथ-साथ सिस्टम पर सीधे हमलों से जुड़े परीक्षण किए जो इसकी अखंडता को नुकसान पहुंचा सकते हैं; दोनों परिणाम लक्षित दर्शकों के लिए रुचिकर थे। संयुक्त राज्य सशस्त्र बलों के भीतर एथिकल हैकिंग गतिविधियों का वर्णन करने वाली कई अन्य अब अवर्गीकृत रिपोर्टें हैं।

1981 दी न्यू यौर्क टाइम्स व्हाइट-हैट गतिविधियों को एक शरारती लेकिन विकृत रूप से सकारात्मक 'हैकर' परंपरा का हिस्सा बताया। जब एक राष्ट्रीय सीएसएस कर्मचारी ने अपने पासवर्ड क्रैकर के अस्तित्व का खुलासा किया, जिसका उपयोग उसने ग्राहक खातों पर किया था, तो कंपनी ने उसे सॉफ़्टवेयर लिखने के लिए नहीं, बल्कि इसका जल्द खुलासा न करने के लिए दंडित किया। फटकार पत्र में कहा गया है कि कंपनी एनसीएसएस को होने वाले लाभ का एहसास करती है और फाइलों में वीपी, निर्देशिका और अन्य संवेदनशील सॉफ्टवेयर की सुरक्षा कमजोरियों की पहचान करने के लिए कर्मचारियों के प्रयासों को प्रोत्साहित करती है। सिस्टम की सुरक्षा का आकलन करने और कमजोरियों को इंगित करने के लिए एथिकल हैकिंग की इस रणनीति को लाने का विचार दान किसान और विएत्से वेनेमा द्वारा तैयार किया गया था। इंटरनेट और इंट्रानेट पर सुरक्षा के समग्र स्तर को बढ़ाने के लिए, वे यह बताने के लिए आगे बढ़े कि कैसे वे अपने लक्ष्यों के बारे में पर्याप्त जानकारी इकट्ठा करने में सक्षम थे ताकि अगर उन्होंने ऐसा करना चुना होता तो वे सुरक्षा से समझौता कर सकते थे। उन्होंने कई विशिष्ट उदाहरण दिए कि लक्ष्य पर नियंत्रण पाने के लिए इस जानकारी को कैसे इकट्ठा किया जा सकता है और इसका उपयोग कैसे किया जा सकता है, और इस तरह के हमले को कैसे रोका जा सकता है। उन्होंने अपने काम के दौरान उपयोग किए गए सभी उपकरणों को इकट्ठा किया, उन्हें एक एकल, उपयोग में आसान एप्लिकेशन में पैक किया, और इसे डाउनलोड करने वाले किसी भी व्यक्ति को दे दिया। उनके प्रोग्राम, जिसे नेटवर्क के विश्लेषण के लिए सुरक्षा प्रशासक उपकरण या SATAN कहा जाता है, को 1992 में दुनिया भर में मीडिया का भारी ध्यान मिला।

रणनीति
जबकि पैठ परीक्षण शुरू से ही सॉफ्टवेयर और कंप्यूटर सिस्टम पर हमला करने पर ध्यान केंद्रित करता है - पोर्ट को स्कैन करना, सिस्टम पर चल रहे प्रोटोकॉल और एप्लिकेशन में ज्ञात दोषों की जांच करना, और पैच इंस्टॉलेशन, उदाहरण के लिए - एथिकल हैकिंग में अन्य चीजें शामिल हो सकती हैं। पूर्ण पैमाने पर एथिकल हैक में कर्मचारियों को पासवर्ड विवरण मांगने के लिए ईमेल करना, कार्यकारी कूड़ेदानों को खंगालना, आमतौर पर लक्ष्य की जानकारी और सहमति के बिना शामिल हो सकता है। केवल मालिक, सीईओ और बोर्ड के सदस्य (हितधारक) जिन्होंने इस परिमाण की सुरक्षा समीक्षा की मांग की थी, वे ही जानते हैं। वास्तविक हमले में प्रयुक्त होने वाली कुछ विनाशकारी तकनीकों को दोहराने की कोशिश करने के लिए, एथिकल हैकर क्लोन परीक्षण प्रणालियों की व्यवस्था कर सकते हैं, या देर रात में हैक का आयोजन कर सकते हैं, जबकि सिस्टम कम महत्वपूर्ण होते हैं। अधिकांश हाल के मामलों में ये हैक दीर्घकालिक धोखाधड़ी (किसी संगठन में दीर्घकालिक मानव घुसपैठ के कुछ दिन, यदि सप्ताह नहीं तो) को कायम रखते हैं। कुछ उदाहरणों में सार्वजनिक क्षेत्र में छिपे हुए ऑटो-स्टार्ट सॉफ़्टवेयर के साथ USB/फ़्लैश कुंजी ड्राइव को छोड़ना शामिल है जैसे कि किसी ने छोटी ड्राइव खो दी हो और किसी अनजान कर्मचारी ने इसे ढूंढ लिया हो और इसे ले लिया हो।

इन्हें क्रियान्वित करने के कुछ अन्य तरीकों में शामिल हैं:


 * मेमोरी फोरेंसिक
 * सेवा हमलों का इनकार
 * रूपरेखा जैसे:
 * मेटास्प्लोइट
 * नेटवर्क सुरक्षा
 * रिवर्स इंजीनियरिंग
 * सुरक्षा स्कैनर जैसे:
 * बर्प सुइट
 * नेसस (सॉफ्टवेयर)
 * W3af
 * सोशल इंजीनियरिंग (सुरक्षा) रणनीति
 * प्रशिक्षण प्लेटफार्म
 * भेद्यता अनुसंधान

ये विधियाँ एक्सप्लॉइट (कंप्यूटर सुरक्षा) ज्ञात सुरक्षा भेद्यता (कंप्यूटिंग) की पहचान करती हैं और सुरक्षित क्षेत्रों में प्रवेश पाने के लिए सुरक्षा से बचने का प्रयास करती हैं। वे सॉफ़्टवेयर और सिस्टम 'बैक-डोर' को छिपाकर ऐसा कर सकते हैं, जिसका उपयोग जानकारी या पहुंच के लिंक के रूप में किया जा सकता है, जिस तक एक गैर-नैतिक हैकर, जिसे 'ब्लैक हैट' या 'ग्रे हैट' भी कहा जाता है, पहुंचना चाहता है।

बेल्जियम
बेल्जियम ने फरवरी 2023 में व्हाइट हैट हैकिंग को वैध कर दिया।

यूनाइटेड किंगडम
पिंसेंट मेसन्स एलएलपी के कानूनी निदेशक और OUT-LAW|OUT-LAW.com के संपादक स्ट्रुआन रॉबर्टसन कहते हैं, मोटे तौर पर कहें तो, यदि किसी सिस्टम तक पहुंच अधिकृत है, तो हैकिंग नैतिक और कानूनी है। यदि ऐसा नहीं है, तो कंप्यूटर दुरुपयोग अधिनियम के तहत एक अपराध है। अनधिकृत पहुंच अपराध में पासवर्ड का अनुमान लगाने से लेकर किसी के वेबमेल खाते तक पहुंचने, बैंक की सुरक्षा में सेंध लगाने तक सब कुछ शामिल है। कंप्यूटर तक अनधिकृत पहुंच के लिए अधिकतम जुर्माना दो साल की जेल और जुर्माना है। जब हैकर डेटा भी संशोधित करता है तो उच्च दंड - 10 साल तक की जेल - का प्रावधान है। रॉबर्टसन का कहना है कि कई लोगों के लाभ के लिए कमजोरियों को उजागर करने के लिए भी अनधिकृत पहुंच कानूनी नहीं है। हमारे हैकिंग कानूनों में कोई बचाव नहीं है कि आपका व्यवहार अधिक अच्छे के लिए है। भले ही यह वही हो जिस पर आप विश्वास करते हैं।

रोज़गार
संयुक्त राज्य अमेरिका की राष्ट्रीय सुरक्षा एजेंसी सीएनएसएस 4011 जैसे प्रमाणपत्र प्रदान करती है। इस तरह के प्रमाणीकरण में व्यवस्थित, नैतिक हैकिंग तकनीक और टीम प्रबंधन शामिल है। आक्रमणकारी टीमों को लाल टीमें कहा जाता है। डिफेंडर टीमों को ब्लू टीम कहा जाता है। जब एजेंसी ने 2020 में DEF CON में भर्ती की, तो उसने आवेदकों से वादा किया कि यदि आपके पास कुछ हैं, तो हम कहेंगे, आपके अतीत में अविवेकपूर्ण, चिंतित न हों। आपको स्वचालित रूप से यह नहीं मान लेना चाहिए कि आपको काम पर नहीं रखा जाएगा। एक अच्छी सफेद टोपी एक उद्यम के लिए एक प्रतिस्पर्धी कुशल कर्मचारी है क्योंकि वे उद्यम नेटवर्क वातावरण की सुरक्षा के लिए बग (इंजीनियरिंग) को खोजने के लिए एक प्रति उपाय हो सकते हैं। इसलिए, एक अच्छी सफेद टोपी किसी उद्यम के लिए सिस्टम, एप्लिकेशन और एंडपॉइंट पर जोखिम को कम करने में अप्रत्याशित लाभ ला सकती है।

उल्लेखनीय लोग

 * टैमर साहिन (जन्म 1981), तुर्की व्हाइट हैट हैकर

यह भी देखें

 * बग बाउंटी कार्यक्रम
 * आईटी जोखिम
 * मैलवेयर अवश्य मरना चाहिए
 * वायरलेस पहचान की चोरी