ICO wiki - User contributions [en]

Eetiline häkkimine, selle võimalused ja ohud

2022-05-05T18:14:05Z

Samoss:

==Sissejuhatus==

Eetiline häkkimine on turvapraktika, kus palgatud häkker proovib IT süsteemi sisse murda, simuleerides pahaloomulist küberrünnakut <ref name="üks">‘Ethical hacking’, WhiteHat Security Glossary. https://www.whitehatsec.com/glossary/content/ethical-hacking</ref>. Fraas “eetiline häkkimine” oli esimesena kasutatud 1995 aastal IBM asepresidendi John Patricku poolt, aga selle sõna kontseptsioon on olnud olemas palju kauem. Eetilised häkkerid on tuntud ka “valge mütsi” häkkeritena ning on tavaliselt palgalised turvaspetsialistid, kes proovivad turvaauke avastada häkkimise teel. <ref name="kaks">‘History Of Ethical Hacking 1960’s To Today | RedTeam Blogs’, Jul. 17, 2021. https://redteamacademy.com/blogs/history-of-ethical-hacking/</ref>

==Ajalugu==

Häkkimise mõiste tekkis 1970ndatel, aga hakkas rohkem levima järgmisel kümnendil. Paar artiklit ja filmi hiljem, kus tutvustati häkkimist arvutisüsteemidesse, tekkis suuremale avalikkusele kuvand häkkimisest ja selle potentsiaalsest ohust.<ref name="kolm">‘What Is Hacking? Types of Hacking & More’, Fortinet. https://www.fortinet.com/resources/cyberglossary/what-is-hacking</ref>
1983 aastal häkiti sisse mitmesse asutusse, nende seas nt. Sloan-Kettering vähiravikeskus <ref name="neli">‘The 414 Gang Strikes Again - TIME’. https://web.archive.org/web/20071202043840/http://www.time.com/time/magazine/article/0,9171,949797,00.html</ref>.

Need tegevused viisid USA kongressi mitme poliisi koostamisele seoses arvutikuritegudega, aga need ei aidanud kõrge-profiili rünnakuid suurte korporatsioonide ja valitsuse süsteemide pihta vähendada. <ref name="kolm" />

Joe Grandi on öelnud oma intervjuus, et häkkeri mõiste käib kellegi kohta, kes suudab lahendada tehnilisi probleeme unikaalsel viisil. <ref name="viis">‘Joe “Kingpin” Grand on Hacker History’, PCMAG. https://www.pcmag.com/news/joe-kingpin-grand-on-hacker-history </ref>. Seda mõtet järgides saab häkkimiseks pidada peaaegu iga leiutist, isegi enne digitaalajastut. Häkkerid on aidanud kujundada tänapäeva tehnoloogiat nagu teler, raadio ja telefon, alates nende loomisest. Ilma häkkeriteta näeksid kõik need seadmed välja täpselt samasugused nagu päeval, mil nad valmistati või neid ei oleks üldse olemas, sest ei oleks olnud vajadust neid laiali levitada ja edasi arendada. Televisiooni ei oleks võib-olla kunagi leiutatud, kuna liikuva pildi jäädvustamise tehnoloogiat ei oleks kunagi keegi edasi arendanud. Liikuvate piltide kontseptsioon on aluseks väga paljudele edasistele tehnoloogiatele. <ref name="kuus">‘The Early History of Motion Pictures | American Experience | PBS’. https://www.pbs.org/wgbh/americanexperience/features/pickford-early-history-motion-pictures%20/</ref>

===Häkkimine tänapäeval===

Kui rääkida tänapäeva häkkimisest meile kõige tuttavamast küljest, siis on tegu protsessiga, mille käigus tungitakse omavoliliselt isikliku arvuti või organisatsiooni võrku. Häkkeriks võib nimetada isikut, kes kasutab oma programmi konstrueerimiseks häkkimistegevuseks mõeldud vahendeid ja mõistab nende taga olevat kontseptsiooni. <ref name="kolm" />

Privaatsus, turvalisus ja tuvastamine on muutunud kõige murettekitavamaks teemaks internetis, mis kaasneb interneti tõhususega. Madala tehnilise teadmisega teismeline võib sisse murda ohvri arvutisse ja paljastada ohvri privaatsust. Asjatundlik häkker võib ohustada ettevõtte arvutit ja põhjustada salajaste äriandmete lekkimist konkurentidele, et saada rahalist kasu. Selleks, et vältida või leevendada seda tüüpi kahju, mängib olulist rolli eetiline häkkimine, mis aitab kaasa kaitsepüüdlustele.

===Valge mütsi häkker===

Valge mütsi häkkerit nimetatakse ka eetiliseks häkkeriks, kes kasutab oma oskusi ja teadmisi selleks, et kaitsta üksikisikute, ettevõtete või valitsuste süsteeme või võrke rünnakute eest. Nad võivad olla kas ettevõtte palgalised töötajad või töövõtjad. Eetilised häkkerid mitte ainult ei tuvasta haavatavusi, mida võidakse kasutada rünnakutes, vaid aitavad ka parandada sihtsüsteemi üleüldist turvalisuse taset. Lisaks õpetavad nad inimestele, kuidas end internetis turvata. <ref name="seitse">‘Black hat, White hat, and Gray hat hackers – Definition and Explanation’, www.kaspersky.com, Feb. 09, 2022. https://www.kaspersky.com/resource-center/definitions/hacker-hat-types</ref>

===Musta mütsi häkker===

Musta mütsi häkkerid on kurjategijad, kes proovivad siseneda arvutivõrkudesse pahatahtlikul eesmärgil. Nad võivad ka paigaldada arvutitesse pahavara, mis hävitab faile, hoiab arvuteid lukus, varastab salasõnu, krediitkaardi numbreid ja muud personaalset infot. Musta mütsi häkkereid motiveerib isiklik kasu: finantsiline, kättemaks, niisama segaduse tekitamine. Vahel on nende motivatsioon ideoloogiline.

Edukamad musta mütsi häkkerid on enamasti osavad häkkerid, kes töötavad suurtes kuritegelikes organisatsioonides. Tööotsi saadakse tihti tumedas veebis. Lepingud on tihtipeale sarnased nagu tavalises äris.

Häkkimisest on saanud lahutamatu osa riiklikus luureandmete kogumises, aga on tüüpilisem, et musta mütsi häkker töötab üksi või kuritegelikus organisatsioonis lihtsa rahateenimise eesmärgil. <ref name="seitse" />

===Halli mütsi häkker===

Halli mütsi häkkerid teevad segu valgest ja mustast mütsist. Neile meeldib ennast proovile panna ja murda turvaaukudest sisse. Nad võivad häkkida süsteemi ilma loata ja öelda omanikule, milliseid haavatavusi nad leidsid (valge mütsi käitumine) või nad võivad ka lihtsalt neid haavatavusi avalikustada (musta mütsi käitumine). Näiteks võib valge mütsi häkker teha päevasel ajal võrgu kaitsmistööd ja sellega seonduvalt häkib ka teisi süsteeme.
halli mütsi häkkerid on üldiselt kahjutud ja moodustavad enamuse häkkeri kommuunist.
<ref name="seitse" /><ref name="kaheksa">‘Different Types Of Hackers – And What They Mean For Your Business | Bridewell Consulting’, https://www.bridewellconsulting.com. https://www.bridewellconsulting.com/different-types-of-hackers-and-what-they-mean-for-your-business</ref>

==Eetilised häkkerid==

Eetilised häkkerid on info- ja küberturbe spetsialistid, kes tunnevad hästi IT süsteemide testimist, läbitungimistestimist ja paljusid muid turvalisust tagavaid võrguanalüüsi lähenemisviise ning tagavad ettevõtte infosüsteemide turvalisuse ja terviklikkuse. Nad võivad kasutada mitmesuguseid lähenemisviise, et rakendada erinevaid läbitungimise või süsteemi terviklikkuse teste, mis võivad hõlmata häkkimise tööriistu, sotsiaalse manipuleerimise taktikaid ja katseid vältida standardseid turvameetmeid, et saada juurdepääs väidetavalt kaitstud alade nõrkade kohtade leidmiseks antud kaitseskeemis. Valge mütsi annet süsteemidesse tungimisel ja turvaprotokollide järgimisel kasutatakse enamasti just nende programmide ja andmebaaside paremaks kasutamiseks, nii et neist saavad tavaliselt küber- või IT-turbetööstuse seaduslikud spetsialistid või konsultandid hea palgaga – näiteks, Glassdoor andmetel, üle 100 000 USD aastas <ref name="üheksa">‘Salary: Ethical Hacker (April, 2022)’, Glassdoor. https://www.glassdoor.com/Salaries/ethical-hacker-salary-SRCH_KO0,14.htm</ref>.

===Eetilise häkkeri vajalikud oskused ja teadmised<ref name="kümme">‘Этичный хакинг: как взламывать системы и при этом зарабатывать легально’, Хабр. https://habr.com/ru/company/skillfactory/blog/525672/</ref>===

Eetiline häkker on samal ajal universaalne ja kitsa spetsialisatsiooniga: tal peavad olema laiad teadmised erinevates IT alades ja sügavad oskused ühes või mitmes valdkonnas. Üldjuhul peab noorem pentetration tester teadma ja tundma järgnevat:

* oskama administeerida Windowsi ja Linuxi süsteeme;
* tundma programmeerimise keeli nagu Python, php, Perl, Ruby, JavaScript, Bash, jne;
* tundma HTMLi;
* teadma võrguprotokolle (TCP/IP, ICMP) ja võrguteenuseid (Proxy, VPN, Samba, AD);
* tundma erinevaid protokolle nagu HTTP, FTP, DNS, SSH;
* oskama töötada andmebaasidega nagu Azure SQL Database, MySQL, Microsoft SQL Server, PostgreSQL, Oracle Database.

===Eetilise häkkeri instrumendid ja meetmed===

Valge mütsi häkker kasutab samu tehnikaid, mis tavaline häkker. Erinevus seisneb õiguslikes aspektides – valge mütsi häkkerid ründavad süsteeme ja rakendusi viimaste omanike loal ja heaks, et aidata tuvastada nõrkusi ja kitsaskohti.

====Läbitungimistest====

Läbitungimistest (ingl ''Penetration testing, Pentesting'') on simuleeritud häkkeri rünnak, mille käigus katsetatakse erinevaid viise süsteemi sisse murdmiseks ja proovitakse tõestada, et seda saab teha. Peale testi lõpetamist ja turvaaukude leidmist koostab häkker aruande probleemide kirjeldusest, ning teeb ettepanekud nende parandamiseks. Läbitungimistest on väga levinud, ning selle 3 erinevat alamtüüpi on:

* Must kast ( ingl ''Black box''): simulatsioon rünnakust, kus häkkeril ei ole ligipääsu ettevõtte võrku ja ta ei tunne ettevõtte IT infrastruktuuri.
* Hall kast (ingl ''Gray box''): siin ründaja on kas endise töötaja või kliendi rollis, kes on juba natukene tuttav ettevõtte võrguga.
* Valge kast (ingl ''White box''): häkker omab täielikku ligipääsu ettevõtte süsteemidele administraatori õigustega.

Nendest kolmest meetodist on Must kast kõige populaarsem, kuna on kõige rohkem reaalsusele lähedane. <ref name="üksteist">‘Этичный хакинг: что это, значение для информационной безопасности’. https://itglobal.com/ru-ru/company/blog/kak-etichnyj-haking-pomozhet-vovremya-najti-uyazvimosti-v-korporativnoj-seti/</ref>

====Andmepüük====

Andmepüük (ingl ''Phishing'') meelitab ohvrit andma tundlikku teavet või klõpsama pahatahtlikul failil või lingil. Eetiliste andmepüügi kampaaniate puhul proovitakse leida ja lahendada võimalikke probleeme organisatsiooni võrgus enne rünnaku toimumist. Kampaania raames koostatakse emaile ja saadetakse ettevõttes laiali pikema perioodi jooksul, et simuleerida reaalset rünnakut ja koguda tagasisidet. <ref name="kaksteist">‘Why Ethical Phishing Campaigns Are Ineffective’, Techopedia.com. https://www.techopedia.com/why-ethical-phishing-campaigns-are-ineffective/2/34464 </ref>

[[File:Picture_1.jpg|thumb|Joonis 1. Õngitsemiskirja näide]]

====DDOS-rünnak====

DDOS-rünnak (ingl ''Distributed Denial-of-Service attack'') on sihtmärgi päringutega üle koormamine nii, et see muutub kättesaamatuks või jookseb kokku <ref name="kolmteist">‘Mis on DDoS rünnak ja kuidas end selle eest kaitsta? | AM.ee’, Arvutimaailm. https://www.am.ee/Mis-on-DDoS</ref>. Valge mütsi häkker simuleerib DDoS rünnakut selleks, et aidata ettevõttel välja töötada reageerimiskava.

====Sotsiaalne manipuleerimine====

Sotsiaalne manipuleerimine (ingl Social engineering) on manipuleerimise võte, mis kasutab ära inimlikke vigu privaatse teabe, juurdepääsu või väärisesemete hankimiseks. Küberkuritegevuse puhul kipuvad need "inimhäkkimise" pettused meelitama pahaaimamatuid kasutajaid andmeid paljastama, pahavaranakkusi levitama või piiratud süsteemidele juurdepääsu võimaldama <ref name="neliteist">‘What is Social Engineering?’, www.kaspersky.com, Mar. 09, 2022. https://www.kaspersky.com/resource-center/definitions/what-is-social-engineering</ref>. Eetilised häkkerid kasutavad sotsiaalse manipuleerimise võtteid, et testida ettevõtte süsteemide turvataset, selle parandamise eesmärgil.

====Turvalisuse skaneerimine====

Turvalisuse skaneerimine (ingl ''Security scanning'') – valged mütsid kasutavad erilisi instrumente süsteemide nõrkuste automaatseks tuvastamiseks. Tööriistadeks on alates veebirakenduste haavatavuste tuvastamisest (nt Acunetix või Netsparker) kuni avatud lähtekoodiga pentestimiseni. <ref name="viisteist">‘20 parimat eetilise häkkimise tööriista & Tarkvara häkkeritele (2021)’. https://et.csstricks.net/8225889-20-best-ethical-hacking-tools-and-software-for-hackers-2021</ref>

==Eetilise häkkeri kasu ettevõtetele ja ühiskonnale==

Eetiline häkkimine toob üsna palju kasu ühiskonnale. Nende tegevuse ettevõtete jaoks võib klassifitseerida järgmiselt <ref name="kuusteist">‘Everything You Need to Know About a White Hat Hacker | HackerNoon’. https://hackernoon.com/everything-you-need-to-know-about-a-white-hat-hacker</ref>:

* Haavatavuste identifitseerimine - valged häkkerid aitavad leida süsteemide ja võrkude kaitsmatust. Lisaks ta on suutule andma hinnangut kaitse tasemele.
* Turvasüsteemi taseme tõstmine – tagab turvasüsteemi kõrge taseme ja annab hinnangu olemasolevale tasemele.
* Seisuaja (ingl ''down-time'') madaldamine – valged häkkerid saavad testida, et rünnaku ajal oleks süsteem stabiilsem ja kiirem.
* Ettevõtte tugiüksuste kontrollimine – aitavad kontrollida praeguse IT toetusmeeskonna (ingl ''support team'') taset. Kontrollivad probleemile reageerimise kiirust <ref name="seitseteist">‘Facts about White Hat Hackers for Cyber Security Portland’, Bytagig. https://www.bytagig.com/articles/facts-about-white-hat-hackers-for-cyber-security-portland/</ref>.
* Tundliku info kaitsmine – aitavad kontrollida andmete turvalisust. Eriti puudutab see punkt tundlikke valdkondi nagu pangandus, tervishoid jne.

Valged häkkerid aitavad ettevõtetel hoida turvasüsteemidega seotud kulusid madalamal. Esineb reaalne oht kaotada miljoneid sellele, et süsteeme rünnatakse või leitakse süsteemne viga. Umbes 2/4 kaotatud andmete kuludest on seotud vargustega (vaata joonis 1) ja viimane 1/4 osa on seotud inimliku eksitusega. Valged häkkerid aitavad otseselt võidelda
pahatahtlike rünnakute ning süsteemsete vigade vastu, aga nad kaudselt saavad madaldada ka inimfaktoritega seotud vigu, kuna nad oskavad anda hinnangut süsteemile, et see oleks võimalikult kaitstud.

[[File:Picture_2.png|thumb|none|250px|link=https://www.economist.com/business/2014/02/22/white-hats-to-the-rescue|Joonis 1. Andmete kaotuse maksumus iga varguseliigi kohta $]]

Ühiskonna ja tavakasutajate jaoks on eetiline häkkimine samuti väga kasulik, kuna interneti kasutajate arv kasvab iga aasta ja suure tõenäosusega aastaks 2030 kasutab 90% inimestest alates kuuendast eluaastast internetti <ref name="üheksateist">‘White Hat Hacker - Roles and Responsibilities’, Simplilearn.com, Sep. 16, 2019. https://www.simplilearn.com/white-hat-hacker-article</ref>. Valged häkkerid aitavad:
* Kasutajakogemust tõsta – interneti portaalid, kus teostatakse kontrolle, on kiiremad ja turvalisemad võrreldes nendega, mida ei kontrollita.
* Kasutajate andmed kaitsta - Valged häkkerid aitavad tõsta portaalide turvalisust. Juhul kui valge häkker häkib süsteemi ja saab enda valdusse kasutajate isiklikke andmeid, siis ta ei kasuta neid enda kasuks, vaid suhtleb nendesse nagu teiste inimeste varasse (erinevalt musta mütsi häkkeritega)
* Aitavad saavutada balanssi ühiskonna oskustes interneti kasutamisel – valged häkkerid on üsna paljude oskustega, samuti nagu mustad häkkerid. Kuna tavakasutajate kogemus ei ole tavaliselt nii kõrgel tasemel, siis valgete häkkerite abil ei ole nii suurt mustade häkkerite ülekaalu.

==Eetilised probleemid seoses häkkimisega==

Valgete häkkerite ees on tihti piirangud, mida nad ei tohi ületada, kuna nad võivad kogemata põhjustada süsteemi kokku kukkumise või andmete kaotuse <ref name="kakskümmend">‘White Hat Hacker - an overview | ScienceDirect Topics’. https://www.sciencedirect.com/topics/computer-science/white-hat-hacker</ref>. Tihti esineb valik, kas valged häkkerid peaksid testima reaalses keskkonnas, kus on suur oht tuua kahju, või simuleeritud keskkonnas, kus oht pole nii suur, aga ka tulemus pole garanteeritud.
Näide, kus piiri ületamine tekitas üsna suurt resonantsi ühiskonnas, oli tuntud arvutimängude tarkvaraarendaja Chris Robertsi juhtum, kes väidetavasti proovis teha läbitungimise testi Boeing 737 meelelahutussüsteemi vastu <ref name="kakskümmend üks">O. K. and D. A. of C. Lifars, ‘At what point do white hat hackers cross the ethical line?’, CSO Online, Aug. 17, 2015. https://www.csoonline.com/article/2971833/at-what-point-do-white-hat-hackers-cross-the-ethical-line.html</ref>. FBI andmetel oleks tema poolt tehtud testimine keset lendu võinud põhjustada palju probleeme lennu ohutusele. Vaatamata sellele, et lennunduse eksperdid kahtlevad, et esines mingi oht, on probleem ikka õhus - mis on see piir, mida valged häkkerid ei tohi oma tegevuses kunagi ületada?
Ühelt poolt võib lähtuda kahju tekitamise printsiibist - kas valge häkker kavatses oma tegevusega kahju tekitada? Hea kavatsus ei tähenda alati head tegevust, kui tegevus on illegaalne. Põhimõtteliselt tuleks eristada juhtumeid, millal häkkerite tegevus on rangelt piiratud ja millal mitte. Elukriitilised süsteemid nagu haigla, lennundus, pangasüsteem jne, nõuvad rangeid piiranguid ja professionaalsust läbitungimise testimisel.
Ettevõtted nagu Google, Facebook, Microsoft tihti lubavad ja toetavad avalikku testimist ning on nõus isegi häkkeritele maksma, kui nad leiavad vigu nende süsteemis. Haavatavuse avalikustamise eeskirjad (ingl vulnerability disclosure policy) tähendab, et ettevõtte ja vabakutselise agendi vahel on leping, mis kirjeldab meetodid ja instrumendid, mida võib kasutada haavatavuste leidmiseks ja kirjeldamiseks <ref name="kakskümmend kaks">‘What is ethical hacking? White hat hackers explained’, CyberNews, Oct. 14, 2019. https://cybernews.com/security/ethical-hacking/</ref>.
Eetilise häkkeri tegevusel peavad olema täidetud kriteeriumid <ref name="kakskümmend kaks" />:
* Tegevusluba – tegevus peab olema seaduslik ja häkker peab olema kindel, et ta võib tegutseda ilma, et keegi saaks kannatada.
* Piirangud – eetiline häkker ei tohiks ligipääsu saamisel seda ära kasutada, rohkem kui vajalik. Selle asemel piiravad eetilised häkkerid oma tegevust sellega, mis on väärtusliku turvaalase ülevaate saamiseks hädavajalik.
* Ei jäta lahtisi otsi – eetilise häkkeri tegevus ei tohi süsteemi jätta vähem kaitstuks. Nende tegevus ei tohi jätta jälgi, mida teised võivad kasutada süsteemi rikkumiseks.
* Aus raporteering – eetiline häkker peab raporteerima oma tegevust. Ettevõttele on oluline, et nad teaksid oma nõrkustest ja teaksid kuidas neid parandada. Raporteerimine on ka oluline eetilise häkkeri vaatepunktist, et nad vajadusel saaksid hiljem tõestada oma tegevuse eesmärki.
Nende printsiipide järgimisel on häkkerite tegevus rohkem kaitstud, esineb vähem võimalus et nad midagi rikkuvad ja on vähem tõenäoline, et nad teevad midagi ebaseaduslikku, mille eest nad ise peavad hiljem vastutama. Tänu sellele on eetiline pool ettevõtetele ja ühiskonnale tagatud.

=Eetiliseks häkkeriks saamise põhjused=

====Uudishimu====
Üheks põhjuseks miks inimene IT valdkonnas võiks saada häkkeriks on uudishimu. Huvi avastada, mida süsteem võimaldab teha, mitte seda, mida ta oli mõeldud tegema. Kuid mis motiveeriks inimest oma häkkeri oskusi mitte kuritarvitada enda huvides, vaid kasutada neid teiste heaks?

====Raha====
Mõne jaoks on selleks motivaatoriks raha. Valge mütsi häkkerid on ühed paremini tasustatavad töötajad IT valdkonnas. Näiteks USA-s sertifitseeritud eetilise häkkeri keskmine aasta palk on 82,966 USD ning võib ulatuda kuni 142,000 USD <ref name="kakskümmend kolm">‘Certified Ethical Hacker (CEH) Salary | PayScale’. https://www.payscale.com/research/US/Job=Certified_Ethical_Hacker_(CEH)/Salary</ref>. Lisaks sellele on mitmeid puugipreemiajahte (ingl Bug bounty program), mis pakkuvad head rahalist kompensatsiooni süsteemides turvalisust ohustavate vigade leidmise ja raporteerimise eest. Keskmine kompensatsioon kriitilise vea raporteerimise eest, mida HackerOne programmis välja makstakse, on ligi 3 000 USD <ref name="kakskümmend neli">‘Top 5 Takeaways from the 2021 Hacker-Powered Security Report: Industry Insights’, HackerOne. https://www.hackerone.com/hacker-powered-security-report/top-5-takeaways-2021-hacker-powered-security-report-industry </ref>. On ka ekstreemsemaid juhtumeid nagu näiteks Jay "saurik" Freeman, kes 2022 aasta veebruaris sai krüptovaluuta Ethereumi saatmise platvormi Optimism turvalisusega seotud vea raporteerimise eest 2 000 042 USD <ref name="kakskümmend viis">‘Attacking an Ethereum L2 with Unbridled Optimism’. https://www.saurik.com/optimism.html </ref>. Kuigi musta mütsi häkkeritel on samuti mitmeid võimalusi raha saamiseks, tekivad neil lisaraskused selle kasutamisel, kuna esialgu on vaja raha muuta näiliselt legaalseks.

====Kuulsus====
Kuulsus ja tunnustus on ka põhjuseks, miks mõni häkker otsustab kanda valget mütsi. Kasuks tulevad puugipreemia programmid, kus suurimate väljamaksete saajad satuvad rahvusvahelistesse uudistesse või "Hack The Air Force" programmi võitja saavutab tunnustuse IT maailmas <ref name="kakskümmend kuus">‘Interview with Hack the Air Force Winner, @CableJ’, HackerOne. https://www.hackerone.com/ethical-hacker/interview-hack-air-force-winner-cablej </ref>. Muidugi kõige kuulsamad häkkerid on musta mütsi häkkerid, kuid enamasti nad saavutavad kuulsust siis kui neid kinni peetakse või mitte väga pikka aega enne seda. Eetiline häkkimine võimaldab saavutada kuulsust ilma vanglasse sattumiseta.

====Legaalsus====
Siit tuleb ka järgmine põhjus miks mõned eelistavad olla valge mütsi häkkerid musta mütsi asemel. Seaduse rikkumine ja risk olla kinni peetud ei ole iga inimese jaoks. On neid kellele meeldib häkkida, kuid nad tegelevad sellega ametlikult lepingute raames, et seadusi mitte rikkuda. Selle kohta on hästi kommenteerinud oma intervjuus tööstuse analüütikaga tegeleva ettevõtte Uptake küberturbe osakonna juhataja Matt Jakubowski "On piir, millest ma ei tahtnud üle astuda, sest mulle ei meeldi vangla. Ma pole kunagi seal olnud, aga eeldan, et mulle ei meeldi seal." <ref name="kakskümmend seitse">‘White Hat Hackers & Ethical Hacking In 2022 | Built In’. https://builtin.com/cybersecurity/ethical-hacking </ref>.

====Soov teha head====
On ka neid, kellel pole muud põhjust vaja kui soov teha head. Nad on häkkerid, kelle jaoks on mõeldamatu teistele inimestele või organisatsioonidele kahju tekitamine. David Holmes küsitles valge mütsi häkkereid ning 74% küsitletutest vastasid, et nemad poleks mitte mingi summa eest, mida oleks karistamata võimalik saada, läinud üle musta mütsi häkkeriteks <ref name="kakskümmend kaheksa">D. H. World Security Expert, F5 Networks, Special to Network, ‘What keeps white hat hackers from turning to the dark side?’, Network World, Feb. 19, 2016. https://www.networkworld.com/article/3035594/what-keeps-white-hat-hackers-from-turning-to-the-dark-side.html </ref>. Sellest võiks järeldada, et enamuse häkkerite jaoks on poole valik pigem eetiline küsimus. Muidugi peaks mainima ka, et sama küsitluse käigus selgus, et üle poole valge mütsi häkkeritest on aeg-ajalt häkkinud sõbra või kolleegi arvutisse nalja pärast.

====Muud põhjused====
Esineb ka häkkereid, kes alustasid musta mütsi häkkeritena, kuid hiljem läksid üle valge mütsi peale. Nende puhul on raske välja tuua mingeid tüüpilisi põhjuseid selliseks otsuseks. Kuid kuulsamad juhtumid on seotud üleminekuga valge mütsi häkkeriks pärast kinnipidamist musta mütsi häkkerina. Kõige tuntum näide on Kevin Mitnick, kes 80ndate lõpus ja 90ndate alguses oli häkkinud mitmeid suuri ettevõtteid, oli 1995 aastal kinni peetud ning pärast viie aastast vanglakaristust ta asutas ettevõtte Mitnick Security. Temast sai väga edukas valge mütsi häkker ja küberturvalisuse konsultant <ref name="kakskümmend üheksa">M. S. Consulting, ‘About Kevin Mitnick | Mitnick Security’. https://www.mitnicksecurity.com/about-kevin-mitnick-mitnick-security</ref>.

=Kokkuvõte=

Eetiline häkkimine on tänapäeval väga levinud ja leidub võimalusi saada ka sertifitseeritud eetiliseks häkkeriks. Eetilist häkkerit nimetatakse ka “valge mütsi” häkkeriks, kes kasutab samu võtteid, mida pahatahtlik “musta mütsi” häkker, et tuvastada IT-süsteemides turvaauke. Eetiliseks häkkimiseks teeb selle tegevuse asjaolu, et eetiline häkker annab ülevaate kompromiteeritud kohtadest süsteemi parandamise eesmärgil. <ref name="kaks" />
Häkkimise puhul on eetilisteks probleemideks ennekõike ohutus ja isiklikele andmetele ligipääs. Eetilisel häkkimisel pannakse turvasüsteemide testimise piirid väga konkreetselt paika, et vähendada potentsiaalseid riske.

=Kasutatud kirjandus=

<references />

Eetiline häkkimine, selle võimalused ja ohud

2022-05-05T18:13:33Z

Samoss:

==Sissejuhatus==

Eetiline häkkimine on turvapraktika, kus palgatud häkker proovib IT süsteemi sisse murda, simuleerides pahaloomulist küberrünnakut <ref name="üks">‘Ethical hacking’, WhiteHat Security Glossary. https://www.whitehatsec.com/glossary/content/ethical-hacking</ref>. Fraas “eetiline häkkimine” oli esimesena kasutatud 1995 aastal IBM asepresidendi John Patricku poolt, aga selle sõna kontseptsioon on olnud olemas palju kauem. Eetilised häkkerid on tuntud ka “valge mütsi” häkkeritena ning on tavaliselt palgalised turvaspetsialistid, kes proovivad turvaauke avastada häkkimise teel. <ref name="kaks">‘History Of Ethical Hacking 1960’s To Today | RedTeam Blogs’, Jul. 17, 2021. https://redteamacademy.com/blogs/history-of-ethical-hacking/</ref>

==Ajalugu==

Häkkimise mõiste tekkis 1970ndatel, aga hakkas rohkem levima järgmisel kümnendil. Paar artiklit ja filmi hiljem, kus tutvustati häkkimist arvutisüsteemidesse, tekkis suuremale avalikkusele kuvand häkkimisest ja selle potentsiaalsest ohust.<ref name="kolm">‘What Is Hacking? Types of Hacking & More’, Fortinet. https://www.fortinet.com/resources/cyberglossary/what-is-hacking</ref>
1983 aastal häkiti sisse mitmesse asutusse, nende seas nt. Sloan-Kettering vähiravikeskus <ref name="neli">‘The 414 Gang Strikes Again - TIME’. https://web.archive.org/web/20071202043840/http://www.time.com/time/magazine/article/0,9171,949797,00.html</ref>.

Need tegevused viisid USA kongressi mitme poliisi koostamisele seoses arvutikuritegudega, aga need ei aidanud kõrge-profiili rünnakuid suurte korporatsioonide ja valitsuse süsteemide pihta vähendada. <ref name="kolm" />

Joe Grandi on öelnud oma intervjuus, et häkkeri mõiste käib kellegi kohta, kes suudab lahendada tehnilisi probleeme unikaalsel viisil. <ref name="viis">‘Joe “Kingpin” Grand on Hacker History’, PCMAG. https://www.pcmag.com/news/joe-kingpin-grand-on-hacker-history </ref>. Seda mõtet järgides saab häkkimiseks pidada peaaegu iga leiutist, isegi enne digitaalajastut. Häkkerid on aidanud kujundada tänapäeva tehnoloogiat nagu teler, raadio ja telefon, alates nende loomisest. Ilma häkkeriteta näeksid kõik need seadmed välja täpselt samasugused nagu päeval, mil nad valmistati või neid ei oleks üldse olemas, sest ei oleks olnud vajadust neid laiali levitada ja edasi arendada. Televisiooni ei oleks võib-olla kunagi leiutatud, kuna liikuva pildi jäädvustamise tehnoloogiat ei oleks kunagi keegi edasi arendanud. Liikuvate piltide kontseptsioon on aluseks väga paljudele edasistele tehnoloogiatele. <ref name="kuus">‘The Early History of Motion Pictures | American Experience | PBS’. https://www.pbs.org/wgbh/americanexperience/features/pickford-early-history-motion-pictures%20/</ref>

===Häkkimine tänapäeval===

Kui rääkida tänapäeva häkkimisest meile kõige tuttavamast küljest, siis on tegu protsessiga, mille käigus tungitakse omavoliliselt isikliku arvuti või organisatsiooni võrku. Häkkeriks võib nimetada isikut, kes kasutab oma programmi konstrueerimiseks häkkimistegevuseks mõeldud vahendeid ja mõistab nende taga olevat kontseptsiooni. <ref name="kolm" />

Privaatsus, turvalisus ja tuvastamine on muutunud kõige murettekitavamaks teemaks internetis, mis kaasneb interneti tõhususega. Madala tehnilise teadmisega teismeline võib sisse murda ohvri arvutisse ja paljastada ohvri privaatsust. Asjatundlik häkker võib ohustada ettevõtte arvutit ja põhjustada salajaste äriandmete lekkimist konkurentidele, et saada rahalist kasu. Selleks, et vältida või leevendada seda tüüpi kahju, mängib olulist rolli eetiline häkkimine, mis aitab kaasa kaitsepüüdlustele.

===Valge mütsi häkker===

Valge mütsi häkkerit nimetatakse ka eetiliseks häkkeriks, kes kasutab oma oskusi ja teadmisi selleks, et kaitsta üksikisikute, ettevõtete või valitsuste süsteeme või võrke rünnakute eest. Nad võivad olla kas ettevõtte palgalised töötajad või töövõtjad. Eetilised häkkerid mitte ainult ei tuvasta haavatavusi, mida võidakse kasutada rünnakutes, vaid aitavad ka parandada sihtsüsteemi üleüldist turvalisuse taset. Lisaks õpetavad nad inimestele, kuidas end internetis turvata. <ref name="seitse">‘Black hat, White hat, and Gray hat hackers – Definition and Explanation’, www.kaspersky.com, Feb. 09, 2022. https://www.kaspersky.com/resource-center/definitions/hacker-hat-types</ref>

===Musta mütsi häkker===

Musta mütsi häkkerid on kurjategijad, kes proovivad siseneda arvutivõrkudesse pahatahtlikul eesmärgil. Nad võivad ka paigaldada arvutitesse pahavara, mis hävitab faile, hoiab arvuteid lukus, varastab salasõnu, krediitkaardi numbreid ja muud personaalset infot. Musta mütsi häkkereid motiveerib isiklik kasu: finantsiline, kättemaks, niisama segaduse tekitamine. Vahel on nende motivatsioon ideoloogiline.

Edukamad musta mütsi häkkerid on enamasti osavad häkkerid, kes töötavad suurtes kuritegelikes organisatsioonides. Tööotsi saadakse tihti tumedas veebis. Lepingud on tihtipeale sarnased nagu tavalises äris.

Häkkimisest on saanud lahutamatu osa riiklikus luureandmete kogumises, aga on tüüpilisem, et musta mütsi häkker töötab üksi või kuritegelikus organisatsioonis lihtsa rahateenimise eesmärgil. <ref name="seitse" />

===Halli mütsi häkker===

Halli mütsi häkkerid teevad segu valgest ja mustast mütsist. Neile meeldib ennast proovile panna ja murda turvaaukudest sisse. Nad võivad häkkida süsteemi ilma loata ja öelda omanikule, milliseid haavatavusi nad leidsid (valge mütsi käitumine) või nad võivad ka lihtsalt neid haavatavusi avalikustada (musta mütsi käitumine). Näiteks võib valge mütsi häkker teha päevasel ajal võrgu kaitsmistööd ja sellega seonduvalt häkib ka teisi süsteeme.
halli mütsi häkkerid on üldiselt kahjutud ja moodustavad enamuse häkkeri kommuunist.
<ref name="seitse" /><ref name="kaheksa">‘Different Types Of Hackers – And What They Mean For Your Business | Bridewell Consulting’, https://www.bridewellconsulting.com. https://www.bridewellconsulting.com/different-types-of-hackers-and-what-they-mean-for-your-business</ref>

==Eetilised häkkerid==

Eetilised häkkerid on info- ja küberturbe spetsialistid, kes tunnevad hästi IT süsteemide testimist, läbitungimistestimist ja paljusid muid turvalisust tagavaid võrguanalüüsi lähenemisviise ning tagavad ettevõtte infosüsteemide turvalisuse ja terviklikkuse. Nad võivad kasutada mitmesuguseid lähenemisviise, et rakendada erinevaid läbitungimise või süsteemi terviklikkuse teste, mis võivad hõlmata häkkimise tööriistu, sotsiaalse manipuleerimise taktikaid ja katseid vältida standardseid turvameetmeid, et saada juurdepääs väidetavalt kaitstud alade nõrkade kohtade leidmiseks antud kaitseskeemis. Valge mütsi annet süsteemidesse tungimisel ja turvaprotokollide järgimisel kasutatakse enamasti just nende programmide ja andmebaaside paremaks kasutamiseks, nii et neist saavad tavaliselt küber- või IT-turbetööstuse seaduslikud spetsialistid või konsultandid hea palgaga – näiteks, Glassdoor andmetel, üle 100 000 USD aastas <ref name="üheksa">‘Salary: Ethical Hacker (April, 2022)’, Glassdoor. https://www.glassdoor.com/Salaries/ethical-hacker-salary-SRCH_KO0,14.htm</ref>.

===Eetilise häkkeri vajalikud oskused ja teadmised<ref name="kümme">‘Этичный хакинг: как взламывать системы и при этом зарабатывать легально’, Хабр. https://habr.com/ru/company/skillfactory/blog/525672/</ref>===

Eetiline häkker on samal ajal universaalne ja kitsa spetsialisatsiooniga: tal peavad olema laiad teadmised erinevates IT alades ja sügavad oskused ühes või mitmes valdkonnas. Üldjuhul peab noorem pentetration tester teadma ja tundma järgnevat:

* oskama administeerida Windowsi ja Linuxi süsteeme;
* tundma programmeerimise keeli nagu Python, php, Perl, Ruby, JavaScript, Bash, jne;
* tundma HTMLi;
* teadma võrguprotokolle (TCP/IP, ICMP) ja võrguteenuseid (Proxy, VPN, Samba, AD);
* tundma erinevaid protokolle nagu HTTP, FTP, DNS, SSH;
* oskama töötada andmebaasidega nagu Azure SQL Database, MySQL, Microsoft SQL Server, PostgreSQL, Oracle Database.

===Eetilise häkkeri instrumendid ja meetmed===

Valge mütsi häkker kasutab samu tehnikaid, mis tavaline häkker. Erinevus seisneb õiguslikes aspektides – valge mütsi häkkerid ründavad süsteeme ja rakendusi viimaste omanike loal ja heaks, et aidata tuvastada nõrkusi ja kitsaskohti.

====Läbitungimistest====

Läbitungimistest (ingl ''Penetration testing, Pentesting'') on simuleeritud häkkeri rünnak, mille käigus katsetatakse erinevaid viise süsteemi sisse murdmiseks ja proovitakse tõestada, et seda saab teha. Peale testi lõpetamist ja turvaaukude leidmist koostab häkker aruande probleemide kirjeldusest, ning teeb ettepanekud nende parandamiseks. Läbitungimistest on väga levinud, ning selle 3 erinevat alamtüüpi on:

* Must kast ( ingl ''Black box''): simulatsioon rünnakust, kus häkkeril ei ole ligipääsu ettevõtte võrku ja ta ei tunne ettevõtte IT infrastruktuuri.
* Hall kast (ingl ''Gray box''): siin ründaja on kas endise töötaja või kliendi rollis, kes on juba natukene tuttav ettevõtte võrguga.
* Valge kast (ingl ''White box''): häkker omab täielikku ligipääsu ettevõtte süsteemidele administraatori õigustega.

Nendest kolmest meetodist on Must kast kõige populaarsem, kuna on kõige rohkem reaalsusele lähedane. <ref name="üksteist">‘Этичный хакинг: что это, значение для информационной безопасности’. https://itglobal.com/ru-ru/company/blog/kak-etichnyj-haking-pomozhet-vovremya-najti-uyazvimosti-v-korporativnoj-seti/</ref>

====Andmepüük====

Andmepüük (ingl ''Phishing'') meelitab ohvrit andma tundlikku teavet või klõpsama pahatahtlikul failil või lingil. Eetiliste andmepüügi kampaaniate puhul proovitakse leida ja lahendada võimalikke probleeme organisatsiooni võrgus enne rünnaku toimumist. Kampaania raames koostatakse emaile ja saadetakse ettevõttes laiali pikema perioodi jooksul, et simuleerida reaalset rünnakut ja koguda tagasisidet. <ref name="kaksteist">‘Why Ethical Phishing Campaigns Are Ineffective’, Techopedia.com. https://www.techopedia.com/why-ethical-phishing-campaigns-are-ineffective/2/34464 </ref>

[[File:Picture_1.jpg|thumb|Joonis 1. Õngitsemiskirja näide]]

====DDOS-rünnak====

DDOS-rünnak (ingl ''Distributed Denial-of-Service attack'') on sihtmärgi päringutega üle koormamine nii, et see muutub kättesaamatuks või jookseb kokku <ref name="kolmteist">‘Mis on DDoS rünnak ja kuidas end selle eest kaitsta? | AM.ee’, Arvutimaailm. https://www.am.ee/Mis-on-DDoS</ref>. Valge mütsi häkker simuleerib DDoS rünnakut selleks, et aidata ettevõttel välja töötada reageerimiskava.

====Sotsiaalne manipuleerimine====

Sotsiaalne manipuleerimine (ingl Social engineering) on manipuleerimise võte, mis kasutab ära inimlikke vigu privaatse teabe, juurdepääsu või väärisesemete hankimiseks. Küberkuritegevuse puhul kipuvad need "inimhäkkimise" pettused meelitama pahaaimamatuid kasutajaid andmeid paljastama, pahavaranakkusi levitama või piiratud süsteemidele juurdepääsu võimaldama <ref name="neliteist">‘What is Social Engineering?’, www.kaspersky.com, Mar. 09, 2022. https://www.kaspersky.com/resource-center/definitions/what-is-social-engineering</ref>. Eetilised häkkerid kasutavad sotsiaalse manipuleerimise võtteid, et testida ettevõtte süsteemide turvataset, selle parandamise eesmärgil.

====Turvalisuse skaneerimine====

Turvalisuse skaneerimine (ingl ''Security scanning'') – valged mütsid kasutavad erilisi instrumente süsteemide nõrkuste automaatseks tuvastamiseks. Tööriistadeks on alates veebirakenduste haavatavuste tuvastamisest (nt Acunetix või Netsparker) kuni avatud lähtekoodiga pentestimiseni. <ref name="viisteist">‘20 parimat eetilise häkkimise tööriista & Tarkvara häkkeritele (2021)’. https://et.csstricks.net/8225889-20-best-ethical-hacking-tools-and-software-for-hackers-2021</ref>

==Eetilise häkkeri kasu ettevõtetele ja ühiskonnale==

Eetiline häkkimine toob üsna palju kasu ühiskonnale. Nende tegevuse ettevõtete jaoks võib klassifitseerida järgmiselt <ref name="kuusteist">‘Everything You Need to Know About a White Hat Hacker | HackerNoon’. https://hackernoon.com/everything-you-need-to-know-about-a-white-hat-hacker</ref>:

* Haavatavuste identifitseerimine - valged häkkerid aitavad leida süsteemide ja võrkude kaitsmatust. Lisaks ta on suutule andma hinnangut kaitse tasemele.
* Turvasüsteemi taseme tõstmine – tagab turvasüsteemi kõrge taseme ja annab hinnangu olemasolevale tasemele.
* Seisuaja (ingl ''down-time'') madaldamine – valged häkkerid saavad testida, et rünnaku ajal oleks süsteem stabiilsem ja kiirem.
* Ettevõtte tugiüksuste kontrollimine – aitavad kontrollida praeguse IT toetusmeeskonna (ingl support team) taset. Kontrollivad probleemile reageerimise kiirust <ref name="seitseteist">‘Facts about White Hat Hackers for Cyber Security Portland’, Bytagig. https://www.bytagig.com/articles/facts-about-white-hat-hackers-for-cyber-security-portland/</ref>.
* Tundliku info kaitsmine – aitavad kontrollida andmete turvalisust. Eriti puudutab see punkt tundlikke valdkondi nagu pangandus, tervishoid jne.

Valged häkkerid aitavad ettevõtetel hoida turvasüsteemidega seotud kulusid madalamal. Esineb reaalne oht kaotada miljoneid sellele, et süsteeme rünnatakse või leitakse süsteemne viga. Umbes 2/4 kaotatud andmete kuludest on seotud vargustega (vaata joonis 1) ja viimane 1/4 osa on seotud inimliku eksitusega. Valged häkkerid aitavad otseselt võidelda
pahatahtlike rünnakute ning süsteemsete vigade vastu, aga nad kaudselt saavad madaldada ka inimfaktoritega seotud vigu, kuna nad oskavad anda hinnangut süsteemile, et see oleks võimalikult kaitstud.

[[File:Picture_2.png|thumb|none|250px|link=https://www.economist.com/business/2014/02/22/white-hats-to-the-rescue|Joonis 1. Andmete kaotuse maksumus iga varguseliigi kohta $]]

Ühiskonna ja tavakasutajate jaoks on eetiline häkkimine samuti väga kasulik, kuna interneti kasutajate arv kasvab iga aasta ja suure tõenäosusega aastaks 2030 kasutab 90% inimestest alates kuuendast eluaastast internetti <ref name="üheksateist">‘White Hat Hacker - Roles and Responsibilities’, Simplilearn.com, Sep. 16, 2019. https://www.simplilearn.com/white-hat-hacker-article</ref>. Valged häkkerid aitavad:
* Kasutajakogemust tõsta – interneti portaalid, kus teostatakse kontrolle, on kiiremad ja turvalisemad võrreldes nendega, mida ei kontrollita.
* Kasutajate andmed kaitsta - Valged häkkerid aitavad tõsta portaalide turvalisust. Juhul kui valge häkker häkib süsteemi ja saab enda valdusse kasutajate isiklikke andmeid, siis ta ei kasuta neid enda kasuks, vaid suhtleb nendesse nagu teiste inimeste varasse (erinevalt musta mütsi häkkeritega)
* Aitavad saavutada balanssi ühiskonna oskustes interneti kasutamisel – valged häkkerid on üsna paljude oskustega, samuti nagu mustad häkkerid. Kuna tavakasutajate kogemus ei ole tavaliselt nii kõrgel tasemel, siis valgete häkkerite abil ei ole nii suurt mustade häkkerite ülekaalu.

==Eetilised probleemid seoses häkkimisega==

Valgete häkkerite ees on tihti piirangud, mida nad ei tohi ületada, kuna nad võivad kogemata põhjustada süsteemi kokku kukkumise või andmete kaotuse <ref name="kakskümmend">‘White Hat Hacker - an overview | ScienceDirect Topics’. https://www.sciencedirect.com/topics/computer-science/white-hat-hacker</ref>. Tihti esineb valik, kas valged häkkerid peaksid testima reaalses keskkonnas, kus on suur oht tuua kahju, või simuleeritud keskkonnas, kus oht pole nii suur, aga ka tulemus pole garanteeritud.
Näide, kus piiri ületamine tekitas üsna suurt resonantsi ühiskonnas, oli tuntud arvutimängude tarkvaraarendaja Chris Robertsi juhtum, kes väidetavasti proovis teha läbitungimise testi Boeing 737 meelelahutussüsteemi vastu <ref name="kakskümmend üks">O. K. and D. A. of C. Lifars, ‘At what point do white hat hackers cross the ethical line?’, CSO Online, Aug. 17, 2015. https://www.csoonline.com/article/2971833/at-what-point-do-white-hat-hackers-cross-the-ethical-line.html</ref>. FBI andmetel oleks tema poolt tehtud testimine keset lendu võinud põhjustada palju probleeme lennu ohutusele. Vaatamata sellele, et lennunduse eksperdid kahtlevad, et esines mingi oht, on probleem ikka õhus - mis on see piir, mida valged häkkerid ei tohi oma tegevuses kunagi ületada?
Ühelt poolt võib lähtuda kahju tekitamise printsiibist - kas valge häkker kavatses oma tegevusega kahju tekitada? Hea kavatsus ei tähenda alati head tegevust, kui tegevus on illegaalne. Põhimõtteliselt tuleks eristada juhtumeid, millal häkkerite tegevus on rangelt piiratud ja millal mitte. Elukriitilised süsteemid nagu haigla, lennundus, pangasüsteem jne, nõuvad rangeid piiranguid ja professionaalsust läbitungimise testimisel.
Ettevõtted nagu Google, Facebook, Microsoft tihti lubavad ja toetavad avalikku testimist ning on nõus isegi häkkeritele maksma, kui nad leiavad vigu nende süsteemis. Haavatavuse avalikustamise eeskirjad (ingl vulnerability disclosure policy) tähendab, et ettevõtte ja vabakutselise agendi vahel on leping, mis kirjeldab meetodid ja instrumendid, mida võib kasutada haavatavuste leidmiseks ja kirjeldamiseks <ref name="kakskümmend kaks">‘What is ethical hacking? White hat hackers explained’, CyberNews, Oct. 14, 2019. https://cybernews.com/security/ethical-hacking/</ref>.
Eetilise häkkeri tegevusel peavad olema täidetud kriteeriumid <ref name="kakskümmend kaks" />:
* Tegevusluba – tegevus peab olema seaduslik ja häkker peab olema kindel, et ta võib tegutseda ilma, et keegi saaks kannatada.
* Piirangud – eetiline häkker ei tohiks ligipääsu saamisel seda ära kasutada, rohkem kui vajalik. Selle asemel piiravad eetilised häkkerid oma tegevust sellega, mis on väärtusliku turvaalase ülevaate saamiseks hädavajalik.
* Ei jäta lahtisi otsi – eetilise häkkeri tegevus ei tohi süsteemi jätta vähem kaitstuks. Nende tegevus ei tohi jätta jälgi, mida teised võivad kasutada süsteemi rikkumiseks.
* Aus raporteering – eetiline häkker peab raporteerima oma tegevust. Ettevõttele on oluline, et nad teaksid oma nõrkustest ja teaksid kuidas neid parandada. Raporteerimine on ka oluline eetilise häkkeri vaatepunktist, et nad vajadusel saaksid hiljem tõestada oma tegevuse eesmärki.
Nende printsiipide järgimisel on häkkerite tegevus rohkem kaitstud, esineb vähem võimalus et nad midagi rikkuvad ja on vähem tõenäoline, et nad teevad midagi ebaseaduslikku, mille eest nad ise peavad hiljem vastutama. Tänu sellele on eetiline pool ettevõtetele ja ühiskonnale tagatud.

=Eetiliseks häkkeriks saamise põhjused=

====Uudishimu====
Üheks põhjuseks miks inimene IT valdkonnas võiks saada häkkeriks on uudishimu. Huvi avastada, mida süsteem võimaldab teha, mitte seda, mida ta oli mõeldud tegema. Kuid mis motiveeriks inimest oma häkkeri oskusi mitte kuritarvitada enda huvides, vaid kasutada neid teiste heaks?

====Raha====
Mõne jaoks on selleks motivaatoriks raha. Valge mütsi häkkerid on ühed paremini tasustatavad töötajad IT valdkonnas. Näiteks USA-s sertifitseeritud eetilise häkkeri keskmine aasta palk on 82,966 USD ning võib ulatuda kuni 142,000 USD <ref name="kakskümmend kolm">‘Certified Ethical Hacker (CEH) Salary | PayScale’. https://www.payscale.com/research/US/Job=Certified_Ethical_Hacker_(CEH)/Salary</ref>. Lisaks sellele on mitmeid puugipreemiajahte (ingl Bug bounty program), mis pakkuvad head rahalist kompensatsiooni süsteemides turvalisust ohustavate vigade leidmise ja raporteerimise eest. Keskmine kompensatsioon kriitilise vea raporteerimise eest, mida HackerOne programmis välja makstakse, on ligi 3 000 USD <ref name="kakskümmend neli">‘Top 5 Takeaways from the 2021 Hacker-Powered Security Report: Industry Insights’, HackerOne. https://www.hackerone.com/hacker-powered-security-report/top-5-takeaways-2021-hacker-powered-security-report-industry </ref>. On ka ekstreemsemaid juhtumeid nagu näiteks Jay "saurik" Freeman, kes 2022 aasta veebruaris sai krüptovaluuta Ethereumi saatmise platvormi Optimism turvalisusega seotud vea raporteerimise eest 2 000 042 USD <ref name="kakskümmend viis">‘Attacking an Ethereum L2 with Unbridled Optimism’. https://www.saurik.com/optimism.html </ref>. Kuigi musta mütsi häkkeritel on samuti mitmeid võimalusi raha saamiseks, tekivad neil lisaraskused selle kasutamisel, kuna esialgu on vaja raha muuta näiliselt legaalseks.

====Kuulsus====
Kuulsus ja tunnustus on ka põhjuseks, miks mõni häkker otsustab kanda valget mütsi. Kasuks tulevad puugipreemia programmid, kus suurimate väljamaksete saajad satuvad rahvusvahelistesse uudistesse või "Hack The Air Force" programmi võitja saavutab tunnustuse IT maailmas <ref name="kakskümmend kuus">‘Interview with Hack the Air Force Winner, @CableJ’, HackerOne. https://www.hackerone.com/ethical-hacker/interview-hack-air-force-winner-cablej </ref>. Muidugi kõige kuulsamad häkkerid on musta mütsi häkkerid, kuid enamasti nad saavutavad kuulsust siis kui neid kinni peetakse või mitte väga pikka aega enne seda. Eetiline häkkimine võimaldab saavutada kuulsust ilma vanglasse sattumiseta.

====Legaalsus====
Siit tuleb ka järgmine põhjus miks mõned eelistavad olla valge mütsi häkkerid musta mütsi asemel. Seaduse rikkumine ja risk olla kinni peetud ei ole iga inimese jaoks. On neid kellele meeldib häkkida, kuid nad tegelevad sellega ametlikult lepingute raames, et seadusi mitte rikkuda. Selle kohta on hästi kommenteerinud oma intervjuus tööstuse analüütikaga tegeleva ettevõtte Uptake küberturbe osakonna juhataja Matt Jakubowski "On piir, millest ma ei tahtnud üle astuda, sest mulle ei meeldi vangla. Ma pole kunagi seal olnud, aga eeldan, et mulle ei meeldi seal." <ref name="kakskümmend seitse">‘White Hat Hackers & Ethical Hacking In 2022 | Built In’. https://builtin.com/cybersecurity/ethical-hacking </ref>.

====Soov teha head====
On ka neid, kellel pole muud põhjust vaja kui soov teha head. Nad on häkkerid, kelle jaoks on mõeldamatu teistele inimestele või organisatsioonidele kahju tekitamine. David Holmes küsitles valge mütsi häkkereid ning 74% küsitletutest vastasid, et nemad poleks mitte mingi summa eest, mida oleks karistamata võimalik saada, läinud üle musta mütsi häkkeriteks <ref name="kakskümmend kaheksa">D. H. World Security Expert, F5 Networks, Special to Network, ‘What keeps white hat hackers from turning to the dark side?’, Network World, Feb. 19, 2016. https://www.networkworld.com/article/3035594/what-keeps-white-hat-hackers-from-turning-to-the-dark-side.html </ref>. Sellest võiks järeldada, et enamuse häkkerite jaoks on poole valik pigem eetiline küsimus. Muidugi peaks mainima ka, et sama küsitluse käigus selgus, et üle poole valge mütsi häkkeritest on aeg-ajalt häkkinud sõbra või kolleegi arvutisse nalja pärast.

====Muud põhjused====
Esineb ka häkkereid, kes alustasid musta mütsi häkkeritena, kuid hiljem läksid üle valge mütsi peale. Nende puhul on raske välja tuua mingeid tüüpilisi põhjuseid selliseks otsuseks. Kuid kuulsamad juhtumid on seotud üleminekuga valge mütsi häkkeriks pärast kinnipidamist musta mütsi häkkerina. Kõige tuntum näide on Kevin Mitnick, kes 80ndate lõpus ja 90ndate alguses oli häkkinud mitmeid suuri ettevõtteid, oli 1995 aastal kinni peetud ning pärast viie aastast vanglakaristust ta asutas ettevõtte Mitnick Security. Temast sai väga edukas valge mütsi häkker ja küberturvalisuse konsultant <ref name="kakskümmend üheksa">M. S. Consulting, ‘About Kevin Mitnick | Mitnick Security’. https://www.mitnicksecurity.com/about-kevin-mitnick-mitnick-security</ref>.

=Kokkuvõte=

Eetiline häkkimine on tänapäeval väga levinud ja leidub võimalusi saada ka sertifitseeritud eetiliseks häkkeriks. Eetilist häkkerit nimetatakse ka “valge mütsi” häkkeriks, kes kasutab samu võtteid, mida pahatahtlik “musta mütsi” häkker, et tuvastada IT-süsteemides turvaauke. Eetiliseks häkkimiseks teeb selle tegevuse asjaolu, et eetiline häkker annab ülevaate kompromiteeritud kohtadest süsteemi parandamise eesmärgil. <ref name="kaks" />
Häkkimise puhul on eetilisteks probleemideks ennekõike ohutus ja isiklikele andmetele ligipääs. Eetilisel häkkimisel pannakse turvasüsteemide testimise piirid väga konkreetselt paika, et vähendada potentsiaalseid riske.

=Kasutatud kirjandus=

<references />

Eetiline häkkimine, selle võimalused ja ohud

2022-05-05T18:10:48Z

Samoss:

==Sissejuhatus==

Eetiline häkkimine on turvapraktika, kus palgatud häkker proovib IT süsteemi sisse murda, simuleerides pahaloomulist küberrünnakut <ref name="üks">‘Ethical hacking’, WhiteHat Security Glossary. https://www.whitehatsec.com/glossary/content/ethical-hacking</ref>. Fraas “eetiline häkkimine” oli esimesena kasutatud 1995 aastal IBM asepresidendi John Patricku poolt, aga selle sõna kontseptsioon on olnud olemas palju kauem. Eetilised häkkerid on tuntud ka “valge mütsi” häkkeritena ning on tavaliselt palgalised turvaspetsialistid, kes proovivad turvaauke avastada häkkimise teel. <ref name="kaks">‘History Of Ethical Hacking 1960’s To Today | RedTeam Blogs’, Jul. 17, 2021. https://redteamacademy.com/blogs/history-of-ethical-hacking/</ref>

==Ajalugu==

Häkkimise mõiste tekkis 1970ndatel, aga hakkas rohkem levima järgmisel kümnendil. Paar artiklit ja filmi hiljem, kus tutvustati häkkimist arvutisüsteemidesse, tekkis suuremale avalikkusele kuvand häkkimisest ja selle potentsiaalsest ohust.<ref name="kolm">‘What Is Hacking? Types of Hacking & More’, Fortinet. https://www.fortinet.com/resources/cyberglossary/what-is-hacking</ref>
1983 aastal häkiti sisse mitmesse asutusse, nende seas nt. Sloan-Kettering vähiravikeskus <ref name="neli">‘The 414 Gang Strikes Again - TIME’. https://web.archive.org/web/20071202043840/http://www.time.com/time/magazine/article/0,9171,949797,00.html</ref>.

Need tegevused viisid USA kongressi mitme poliisi koostamisele seoses arvutikuritegudega, aga need ei aidanud kõrge-profiili rünnakuid suurte korporatsioonide ja valitsuse süsteemide pihta vähendada. <ref name="kolm" />

Joe Grandi on öelnud oma intervjuus, et häkkeri mõiste käib kellegi kohta, kes suudab lahendada tehnilisi probleeme unikaalsel viisil. <ref name="viis">‘Joe “Kingpin” Grand on Hacker History’, PCMAG. https://www.pcmag.com/news/joe-kingpin-grand-on-hacker-history </ref>. Seda mõtet järgides saab häkkimiseks pidada peaaegu iga leiutist, isegi enne digitaalajastut. Häkkerid on aidanud kujundada tänapäeva tehnoloogiat nagu teler, raadio ja telefon, alates nende loomisest. Ilma häkkeriteta näeksid kõik need seadmed välja täpselt samasugused nagu päeval, mil nad valmistati või neid ei oleks üldse olemas, sest ei oleks olnud vajadust neid laiali levitada ja edasi arendada. Televisiooni ei oleks võib-olla kunagi leiutatud, kuna liikuva pildi jäädvustamise tehnoloogiat ei oleks kunagi keegi edasi arendanud. Liikuvate piltide kontseptsioon on aluseks väga paljudele edasistele tehnoloogiatele. <ref name="kuus">‘The Early History of Motion Pictures | American Experience | PBS’. https://www.pbs.org/wgbh/americanexperience/features/pickford-early-history-motion-pictures%20/</ref>

===Häkkimine tänapäeval===

Kui rääkida tänapäeva häkkimisest meile kõige tuttavamast küljest, siis on tegu protsessiga, mille käigus tungitakse omavoliliselt isikliku arvuti või organisatsiooni võrku. Häkkeriks võib nimetada isikut, kes kasutab oma programmi konstrueerimiseks häkkimistegevuseks mõeldud vahendeid ja mõistab nende taga olevat kontseptsiooni. <ref name="kolm" />

Privaatsus, turvalisus ja tuvastamine on muutunud kõige murettekitavamaks teemaks internetis, mis kaasneb interneti tõhususega. Madala tehnilise teadmisega teismeline võib sisse murda ohvri arvutisse ja paljastada ohvri privaatsust. Asjatundlik häkker võib ohustada ettevõtte arvutit ja põhjustada salajaste äriandmete lekkimist konkurentidele, et saada rahalist kasu. Selleks, et vältida või leevendada seda tüüpi kahju, mängib olulist rolli eetiline häkkimine, mis aitab kaasa kaitsepüüdlustele.

===Valge mütsi häkker===

Valge mütsi häkkerit nimetatakse ka eetiliseks häkkeriks, kes kasutab oma oskusi ja teadmisi selleks, et kaitsta üksikisikute, ettevõtete või valitsuste süsteeme või võrke rünnakute eest. Nad võivad olla kas ettevõtte palgalised töötajad või töövõtjad. Eetilised häkkerid mitte ainult ei tuvasta haavatavusi, mida võidakse kasutada rünnakutes, vaid aitavad ka parandada sihtsüsteemi üleüldist turvalisuse taset. Lisaks õpetavad nad inimestele, kuidas end internetis turvata. <ref name="seitse">‘Black hat, White hat, and Gray hat hackers – Definition and Explanation’, www.kaspersky.com, Feb. 09, 2022. https://www.kaspersky.com/resource-center/definitions/hacker-hat-types</ref>

===Musta mütsi häkker===

Musta mütsi häkkerid on kurjategijad, kes proovivad siseneda arvutivõrkudesse pahatahtlikul eesmärgil. Nad võivad ka paigaldada arvutitesse pahavara, mis hävitab faile, hoiab arvuteid lukus, varastab salasõnu, krediitkaardi numbreid ja muud personaalset infot. Musta mütsi häkkereid motiveerib isiklik kasu: finantsiline, kättemaks, niisama segaduse tekitamine. Vahel on nende motivatsioon ideoloogiline.

Edukamad musta mütsi häkkerid on enamasti osavad häkkerid, kes töötavad suurtes kuritegelikes organisatsioonides. Tööotsi saadakse tihti tumedas veebis. Lepingud on tihtipeale sarnased nagu tavalises äris.

Häkkimisest on saanud lahutamatu osa riiklikus luureandmete kogumises, aga on tüüpilisem, et musta mütsi häkker töötab üksi või kuritegelikus organisatsioonis lihtsa rahateenimise eesmärgil. <ref name="seitse" />

===Halli mütsi häkker===

Halli mütsi häkkerid teevad segu valgest ja mustast mütsist. Neile meeldib ennast proovile panna ja murda turvaaukudest sisse. Nad võivad häkkida süsteemi ilma loata ja öelda omanikule, milliseid haavatavusi nad leidsid (valge mütsi käitumine) või nad võivad ka lihtsalt neid haavatavusi avalikustada (musta mütsi käitumine). Näiteks võib valge mütsi häkker teha päevasel ajal võrgu kaitsmistööd ja sellega seonduvalt häkib ka teisi süsteeme.
halli mütsi häkkerid on üldiselt kahjutud ja moodustavad enamuse häkkeri kommuunist.
<ref name="seitse" /><ref name="kaheksa">‘Different Types Of Hackers – And What They Mean For Your Business | Bridewell Consulting’, https://www.bridewellconsulting.com. https://www.bridewellconsulting.com/different-types-of-hackers-and-what-they-mean-for-your-business</ref>

==Eetilised häkkerid==

Eetilised häkkerid on info- ja küberturbe spetsialistid, kes tunnevad hästi IT süsteemide testimist, läbitungimistestimist ja paljusid muid turvalisust tagavaid võrguanalüüsi lähenemisviise ning tagavad ettevõtte infosüsteemide turvalisuse ja terviklikkuse. Nad võivad kasutada mitmesuguseid lähenemisviise, et rakendada erinevaid läbitungimise või süsteemi terviklikkuse teste, mis võivad hõlmata häkkimise tööriistu, sotsiaalse manipuleerimise taktikaid ja katseid vältida standardseid turvameetmeid, et saada juurdepääs väidetavalt kaitstud alade nõrkade kohtade leidmiseks antud kaitseskeemis. Valge mütsi annet süsteemidesse tungimisel ja turvaprotokollide järgimisel kasutatakse enamasti just nende programmide ja andmebaaside paremaks kasutamiseks, nii et neist saavad tavaliselt küber- või IT-turbetööstuse seaduslikud spetsialistid või konsultandid hea palgaga – näiteks, Glassdoor andmetel, üle 100 000 USD aastas <ref name="üheksa">‘Salary: Ethical Hacker (April, 2022)’, Glassdoor. https://www.glassdoor.com/Salaries/ethical-hacker-salary-SRCH_KO0,14.htm</ref>.

===Eetilise häkkeri vajalikud oskused ja teadmised<ref name="kümme">‘Этичный хакинг: как взламывать системы и при этом зарабатывать легально’, Хабр. https://habr.com/ru/company/skillfactory/blog/525672/</ref>===

Eetiline häkker on samal ajal universaalne ja kitsa spetsialisatsiooniga: tal peavad olema laiad teadmised erinevates IT alades ja sügavad oskused ühes või mitmes valdkonnas. Üldjuhul peab noorem pentetration tester teadma ja tundma järgnevat:

* oskama administeerida Windowsi ja Linuxi süsteeme;
* tundma programmeerimise keeli nagu Python, php, Perl, Ruby, JavaScript, Bash, jne;
* tundma HTMLi;
* teadma võrguprotokolle (TCP/IP, ICMP) ja võrguteenuseid (Proxy, VPN, Samba, AD);
* tundma erinevaid protokolle nagu HTTP, FTP, DNS, SSH;
* oskama töötada andmebaasidega nagu Azure SQL Database, MySQL, Microsoft SQL Server, PostgreSQL, Oracle Database.

===Eetilise häkkeri instrumendid ja meetmed===

Valge mütsi häkker kasutab samu tehnikaid, mis tavaline häkker. Erinevus seisneb õiguslikes aspektides – valge mütsi häkkerid ründavad süsteeme ja rakendusi viimaste omanike loal ja heaks, et aidata tuvastada nõrkusi ja kitsaskohti.

====Läbitungimistest====

Läbitungimistest (ingl Penetration testing, Pentesting) on simuleeritud häkkeri rünnak, mille käigus katsetatakse erinevaid viise süsteemi sisse murdmiseks ja proovitakse tõestada, et seda saab teha. Peale testi lõpetamist ja turvaaukude leidmist koostab häkker aruande probleemide kirjeldusest, ning teeb ettepanekud nende parandamiseks. Läbitungimistest on väga levinud, ning selle 3 erinevat alamtüüpi on:

* Must kast ( ingl Black box): simulatsioon rünnakust, kus häkkeril ei ole ligipääsu ettevõtte võrku ja ta ei tunne ettevõtte IT infrastruktuuri.
* Hall kast (ingl Gray box): siin ründaja on kas endise töötaja või kliendi rollis, kes on juba natukene tuttav ettevõtte võrguga.
* Valge kast (ingl White box): häkker omab täielikku ligipääsu ettevõtte süsteemidele administraatori õigustega.

Nendest kolmest meetodist on Must kast kõige populaarsem, kuna on kõige rohkem reaalsusele lähedane. <ref name="üksteist">‘Этичный хакинг: что это, значение для информационной безопасности’. https://itglobal.com/ru-ru/company/blog/kak-etichnyj-haking-pomozhet-vovremya-najti-uyazvimosti-v-korporativnoj-seti/</ref>

====Andmepüük====

Andmepüük (ingl Phishing) meelitab ohvrit andma tundlikku teavet või klõpsama pahatahtlikul failil või lingil. Eetiliste andmepüügi kampaaniate puhul proovitakse leida ja lahendada võimalikke probleeme organisatsiooni võrgus enne rünnaku toimumist. Kampaania raames koostatakse emaile ja saadetakse ettevõttes laiali pikema perioodi jooksul, et simuleerida reaalset rünnakut ja koguda tagasisidet. <ref name="kaksteist">‘Why Ethical Phishing Campaigns Are Ineffective’, Techopedia.com. https://www.techopedia.com/why-ethical-phishing-campaigns-are-ineffective/2/34464 </ref>

[[File:Picture_1.jpg|thumb|Joonis 1. Õngitsemiskirja näide]]

====DDOS-rünnak====

DDOS-rünnak (ingl Distributed Denial-of-Service attack) on sihtmärgi päringutega üle koormamine nii, et see muutub kättesaamatuks või jookseb kokku <ref name="kolmteist">‘Mis on DDoS rünnak ja kuidas end selle eest kaitsta? | AM.ee’, Arvutimaailm. https://www.am.ee/Mis-on-DDoS</ref>. Valge mütsi häkker simuleerib DDoS rünnakut selleks, et aidata ettevõttel välja töötada reageerimiskava.

====Sotsiaalne manipuleerimine====

Sotsiaalne manipuleerimine (ingl Social engineering) on manipuleerimise võte, mis kasutab ära inimlikke vigu privaatse teabe, juurdepääsu või väärisesemete hankimiseks. Küberkuritegevuse puhul kipuvad need "inimhäkkimise" pettused meelitama pahaaimamatuid kasutajaid andmeid paljastama, pahavaranakkusi levitama või piiratud süsteemidele juurdepääsu võimaldama <ref name="neliteist">‘What is Social Engineering?’, www.kaspersky.com, Mar. 09, 2022. https://www.kaspersky.com/resource-center/definitions/what-is-social-engineering</ref>. Eetilised häkkerid kasutavad sotsiaalse manipuleerimise võtteid, et testida ettevõtte süsteemide turvataset, selle parandamise eesmärgil.

====Turvalisuse skaneerimine====

Turvalisuse skaneerimine (ingl Security scanning) – valged mütsid kasutavad erilisi instrumente süsteemide nõrkuste automaatseks tuvastamiseks. Tööriistadeks on alates veebirakenduste haavatavuste tuvastamisest (nt Acunetix või Netsparker) kuni avatud lähtekoodiga pentestimiseni. <ref name="viisteist">‘20 parimat eetilise häkkimise tööriista & Tarkvara häkkeritele (2021)’. https://et.csstricks.net/8225889-20-best-ethical-hacking-tools-and-software-for-hackers-2021</ref>

==Eetilise häkkeri kasu ettevõtetele ja ühiskonnale==

Eetiline häkkimine toob üsna palju kasu ühiskonnale. Nende tegevuse ettevõtete jaoks võib klassifitseerida järgmiselt <ref name="kuusteist">‘Everything You Need to Know About a White Hat Hacker | HackerNoon’. https://hackernoon.com/everything-you-need-to-know-about-a-white-hat-hacker</ref>:

* Haavatavuste identifitseerimine - valged häkkerid aitavad leida süsteemide ja võrkude kaitsmatust. Lisaks ta on suutule andma hinnangut kaitse tasemele.
* Turvasüsteemi taseme tõstmine – tagab turvasüsteemi kõrge taseme ja annab hinnangu olemasolevale tasemele.
* Seisuaja (ingl down-time) madaldamine – valged häkkerid saavad testida, et rünnaku ajal oleks süsteem stabiilsem ja kiirem.
* Ettevõtte tugiüksuste kontrollimine – aitavad kontrollida praeguse IT toetusmeeskonna (ingl support team) taset. Kontrollivad probleemile reageerimise kiirust <ref name="seitseteist">‘Facts about White Hat Hackers for Cyber Security Portland’, Bytagig. https://www.bytagig.com/articles/facts-about-white-hat-hackers-for-cyber-security-portland/</ref>.
* Tundliku info kaitsmine – aitavad kontrollida andmete turvalisust. Eriti puudutab see punkt tundlikke valdkondi nagu pangandus, tervishoid jne.

Valged häkkerid aitavad ettevõtetel hoida turvasüsteemidega seotud kulusid madalamal. Esineb reaalne oht kaotada miljoneid sellele, et süsteeme rünnatakse või leitakse süsteemne viga. Umbes 2/4 kaotatud andmete kuludest on seotud vargustega (vaata joonis 1) ja viimane 1/4 osa on seotud inimliku eksitusega. Valged häkkerid aitavad otseselt võidelda
pahatahtlike rünnakute ning süsteemsete vigade vastu, aga nad kaudselt saavad madaldada ka inimfaktoritega seotud vigu, kuna nad oskavad anda hinnangut süsteemile, et see oleks võimalikult kaitstud.

[[File:Picture_2.png|thumb|none|250px|link=https://www.economist.com/business/2014/02/22/white-hats-to-the-rescue|Joonis 1. Andmete kaotuse maksumus iga varguseliigi kohta $]]

Ühiskonna ja tavakasutajate jaoks on valge häkkemine samuti väga kasulik, kuna interneti kasutajate arv kasvab iga aasta ja suure tõenäosusega aastaks 2030 kasutab 90% inimestest alates kuuendast eluaastast internetti <ref name="üheksateist">‘White Hat Hacker - Roles and Responsibilities’, Simplilearn.com, Sep. 16, 2019. https://www.simplilearn.com/white-hat-hacker-article</ref>. Valged häkkerid aitavad:
* Kasutajakogemust tõsta – interneti portaalid, kus teostatakse kontrolle, on kiiremad ja turvalisemad võrreldes nendega, mida ei kontrollita.
* Kasutajate andmed kaitsta - Valged häkkerid aitavad tõsta portaalide turvalisust.Juhul kui valge häkker häkib süsteemi ja saab enda valdusse kasutajate isiklikke andmeid, siis ta ei kasuta neid enda kasuks, vaid suhtleb nendesse nagu teiste inimeste varasse (erinevalt musta mütsi häkkeritega)
* Aitavad saavutada balanssi ühiskonna oskustes interneti kasutamisel – valged häkkerid on üsna paljude oskustega, samuti nagu mustad häkkerid. Kuna tavakasutajate kogemus ei ole tavaliselt nii kõrgel tasemel, siis valgete häkkerite abil ei ole nii suurt mustade häkkerite ülekaalu.

==Eetilised probleemid seoses häkkimisega==

Valgete häkkerite ees on tihti piirangud, mida nad ei tohi ületada, kuna nad võivad kogemata põhjustada süsteemi kokku kukkumise või andmete kaotuse <ref name="kakskümmend">‘White Hat Hacker - an overview | ScienceDirect Topics’. https://www.sciencedirect.com/topics/computer-science/white-hat-hacker</ref>. Tihti esineb valik, kas valged häkkerid peaksid testima reaalses keskkonnas, kus on suur oht tuua kahju, või simuleeritud keskkonnas, kus oht pole nii suur, aga ka tulemus pole garanteeritud.
Näide, kus piiri ületamine tekitas üsna suurt resonantsi ühiskonnas, oli tuntud arvutimängude tarkvaraarendaja Chris Robertsi juhtum, kes väidetavasti proovis teha läbitungimise testi Boeing 737 meelelahutussüsteemi vastu <ref name="kakskümmend üks">O. K. and D. A. of C. Lifars, ‘At what point do white hat hackers cross the ethical line?’, CSO Online, Aug. 17, 2015. https://www.csoonline.com/article/2971833/at-what-point-do-white-hat-hackers-cross-the-ethical-line.html</ref>. FBI andmetel oleks tema poolt tehtud testimine keset lendu võinud põhjustada palju probleeme lennu ohutusele. Vaatamata sellele, et lennunduse eksperdid kahtlevad, et esines mingi oht, on probleem ikka õhus - mis on see piir, mida valged häkkerid ei tohi oma tegevuses kunagi ületada?
Ühelt poolt võib lähtuda kahju tekitamise printsiibist - kas valge häkker kavatses oma tegevusega kahju tekitada? Hea kavatsus ei tähenda alati head tegevust, kui tegevus on illegaalne. Põhimõtteliselt tuleks eristada juhtumeid, millal häkkerite tegevus on rangelt piiratud ja millal mitte. Elukriitilised süsteemid nagu haigla, lennundus, pangasüsteem jne, nõuvad rangeid piiranguid ja professionaalsust läbitungimise testimisel.
Ettevõtted nagu Google, Facebook, Microsoft tihti lubavad ja toetavad avalikku testimist ning on nõus isegi häkkeritele maksma, kui nad leiavad vigu nende süsteemis. Haavatavuse avalikustamise eeskirjad (ingl vulnerability disclosure policy) tähendab, et ettevõtte ja vabakutselise agendi vahel on leping, mis kirjeldab meetodid ja instrumendid, mida võib kasutada haavatavuste leidmiseks ja kirjeldamiseks <ref name="kakskümmend kaks">‘What is ethical hacking? White hat hackers explained’, CyberNews, Oct. 14, 2019. https://cybernews.com/security/ethical-hacking/</ref>.
Eetilise häkkeri tegevusel peavad olema täidetud kriteeriumid <ref name="kakskümmend kaks" />:
* Tegevusluba – tegevus peab olema seaduslik ja häkker peab olema kindel, et ta võib tegutseda ilma, et keegi saaks kannatada.
* Piirangud – eetiline häkker ei tohiks ligipääsu saamisel seda ära kasutada, rohkem kui vajalik. Selle asemel piiravad eetilised häkkerid oma tegevust sellega, mis on väärtusliku turvaalase ülevaate saamiseks hädavajalik.
* Ei jäta lahtisi otsi – eetilise häkkeri tegevus ei tohi süsteemi jätta vähem kaitstuks. Nende tegevus ei tohi jätta jälgi, mida teised võivad kasutada süsteemi rikkumiseks.
* Aus raporteering – eetiline häkker peab raporteerima oma tegevust. Ettevõttele on oluline, et nad teaksid oma nõrkustest ja teaksid kuidas neid parandada. Raporteerimine on ka oluline eetilise häkkeri vaatepunktist, et nad vajadusel saaksid hiljem tõestada oma tegevuse eesmärki.
Nende printsiipide järgimisel on häkkerite tegevus rohkem kaitstud, esineb vähem võimalus et nad midagi rikkuvad ja on vähem tõenäoline, et nad teevad midagi ebaseaduslikku, mille eest nad ise peavad hiljem vastutama. Tänu sellele on eetiline pool ettevõtetele ja ühiskonnale tagatud.

=Eetiliseks häkkeriks saamise põhjused=

====Uudishimu====
Üheks põhjuseks miks inimene IT valdkonnas võiks saada häkkeriks on uudishimu. Huvi avastada, mida süsteem võimaldab teha, mitte seda, mida ta oli mõeldud tegema. Kuid mis motiveeriks inimest oma häkkeri oskusi mitte kuritarvitada enda huvides, vaid kasutada neid teiste heaks?

====Raha====
Mõne jaoks on selleks motivaatoriks raha. Valge mütsi häkkerid on ühed paremini tasustatavad töötajad IT valdkonnas. Näiteks USA-s sertifitseeritud eetilise häkkeri keskmine aasta palk on 82,966 USD ning võib ulatuda kuni 142,000 USD <ref name="kakskümmend kolm">‘Certified Ethical Hacker (CEH) Salary | PayScale’. https://www.payscale.com/research/US/Job=Certified_Ethical_Hacker_(CEH)/Salary</ref>. Lisaks sellele on mitmeid puugipreemiajahte (ingl Bug bounty program), mis pakkuvad head rahalist kompensatsiooni süsteemides turvalisust ohustavate vigade leidmise ja raporteerimise eest. Keskmine kompensatsioon kriitilise vea raporteerimise eest, mida HackerOne programmis välja makstakse, on ligi 3 000 USD <ref name="kakskümmend neli">‘Top 5 Takeaways from the 2021 Hacker-Powered Security Report: Industry Insights’, HackerOne. https://www.hackerone.com/hacker-powered-security-report/top-5-takeaways-2021-hacker-powered-security-report-industry </ref>. On ka ekstreemsemaid juhtumeid nagu näiteks Jay "saurik" Freeman, kes 2022 aasta veebruaris sai krüptovaluuta Ethereumi saatmise platvormi Optimism turvalisusega seotud vea raporteerimise eest 2 000 042 USD <ref name="kakskümmend viis">‘Attacking an Ethereum L2 with Unbridled Optimism’. https://www.saurik.com/optimism.html </ref>. Kuigi musta mütsi häkkeritel on samuti mitmeid võimalusi raha saamiseks, tekivad neil lisaraskused selle kasutamisel, kuna esialgu on vaja raha muuta näiliselt legaalseks.

====Kuulsus====
Kuulsus ja tunnustus on ka põhjuseks, miks mõni häkker otsustab kanda valget mütsi. Kasuks tulevad puugipreemia programmid, kus suurimate väljamaksete saajad satuvad rahvusvahelistesse uudistesse või "Hack The Air Force" programmi võitja saavutab tunnustuse IT maailmas <ref name="kakskümmend kuus">‘Interview with Hack the Air Force Winner, @CableJ’, HackerOne. https://www.hackerone.com/ethical-hacker/interview-hack-air-force-winner-cablej </ref>. Muidugi kõige kuulsamad häkkerid on musta mütsi häkkerid, kuid enamasti nad saavutavad kuulsust siis kui neid kinni peetakse või mitte väga pikka aega enne seda. Eetiline häkkimine võimaldab saavutada kuulsust ilma vanglasse sattumiseta.

====Legaalsus====
Siit tuleb ka järgmine põhjus miks mõned eelistavad olla valge mütsi häkkerid musta mütsi asemel. Seaduse rikkumine ja risk olla kinni peetud ei ole iga inimese jaoks. On neid kellele meeldib häkkida, kuid nad tegelevad sellega ametlikult lepingute raames, et seadusi mitte rikkuda. Selle kohta on hästi kommenteerinud oma intervjuus tööstuse analüütikaga tegeleva ettevõtte Uptake küberturbe osakonna juhataja Matt Jakubowski "On piir, millest ma ei tahtnud üle astuda, sest mulle ei meeldi vangla. Ma pole kunagi seal olnud, aga eeldan, et mulle ei meeldi seal." <ref name="kakskümmend seitse">‘White Hat Hackers & Ethical Hacking In 2022 | Built In’. https://builtin.com/cybersecurity/ethical-hacking </ref>.

====Soov teha head====
On ka neid, kellel pole muud põhjust vaja kui soov teha head. Nad on häkkerid, kelle jaoks on mõeldamatu teistele inimestele või organisatsioonidele kahju tekitamine. David Holmes küsitles valge mütsi häkkereid ning 74% küsitletutest vastasid, et nemad poleks mitte mingi summa eest, mida oleks karistamata võimalik saada, läinud üle musta mütsi häkkeriteks <ref name="kakskümmend kaheksa">D. H. World Security Expert, F5 Networks, Special to Network, ‘What keeps white hat hackers from turning to the dark side?’, Network World, Feb. 19, 2016. https://www.networkworld.com/article/3035594/what-keeps-white-hat-hackers-from-turning-to-the-dark-side.html </ref>. Sellest võiks järeldada, et enamuse häkkerite jaoks on poole valik pigem eetiline küsimus. Muidugi peaks mainima ka, et sama küsitluse käigus selgus, et üle poole valge mütsi häkkeritest on aeg-ajalt häkkinud sõbra või kolleegi arvutisse nalja pärast.

====Muud põhjused====
Esineb ka häkkereid, kes alustasid musta mütsi häkkeritena, kuid hiljem läksid üle valge mütsi peale. Nende puhul on raske välja tuua mingeid tüüpilisi põhjuseid selliseks otsuseks. Kuid kuulsamad juhtumid on seotud üleminekuga valge mütsi häkkeriks pärast kinnipidamist musta mütsi häkkerina. Kõige tuntum näide on Kevin Mitnick, kes 80ndate lõpus ja 90ndate alguses oli häkkinud mitmeid suuri ettevõtteid, oli 1995 aastal kinni peetud ning pärast viie aastast vanglakaristust ta asutas ettevõtte Mitnick Security. Temast sai väga edukas valge mütsi häkker ja küberturvalisuse konsultant <ref name="kakskümmend üheksa">M. S. Consulting, ‘About Kevin Mitnick | Mitnick Security’. https://www.mitnicksecurity.com/about-kevin-mitnick-mitnick-security</ref>.

=Kokkuvõte=

Eetiline häkkimine on tänapäeval väga levinud ja leidub võimalusi saada ka sertifitseeritud eetiliseks häkkeriks. Eetilist häkkerit nimetatakse ka “valge mütsi” häkkeriks, kes kasutab samu võtteid, mida pahatahtlik “musta mütsi” häkker, et tuvastada IT-süsteemides turvaauke. Eetiliseks häkkimiseks teeb selle tegevuse asjaolu, et eetiline häkker annab ülevaate kompromiteeritud kohtadest süsteemi parandamise eesmärgil. <ref name="kaks" />
Häkkimise puhul on eetilisteks probleemideks ennekõike ohutus ja isiklikele andmetele ligipääs. Eetilisel häkkimisel pannakse turvasüsteemide testimise piirid väga konkreetselt paika, et vähendada potentsiaalseid riske.

=Kasutatud kirjandus=

<references />

Eetiline häkkimine, selle võimalused ja ohud

2022-05-05T18:08:53Z

Samoss:

==Sissejuhatus==

Eetiline häkkimine on turvapraktika, kus palgatud häkker proovib IT süsteemi sisse murda, simuleerides pahaloomulist küberrünnakut <ref name="üks">‘Ethical hacking’, WhiteHat Security Glossary. https://www.whitehatsec.com/glossary/content/ethical-hacking</ref>. Fraas “eetiline häkkimine” oli esimesena kasutatud 1995 aastal IBM asepresidendi John Patricku poolt, aga selle sõna kontseptsioon on olnud olemas palju kauem. Eetilised häkkerid on tuntud ka “valge mütsi” häkkeritena ning on tavaliselt palgalised turvaspetsialistid, kes proovivad turvaauke avastada häkkimise teel. <ref name="kaks">‘History Of Ethical Hacking 1960’s To Today | RedTeam Blogs’, Jul. 17, 2021. https://redteamacademy.com/blogs/history-of-ethical-hacking/</ref>

==Ajalugu==

Häkkimise mõiste tekkis 1970ndatel, aga hakkas rohkem levima järgmisel kümnendil. Paar artiklit ja filmi hiljem, kus tutvustati häkkimist arvutisüsteemidesse, tekkis suuremale avalikkusele kuvand häkkimisest ja selle potentsiaalsest ohust.<ref name="kolm">‘What Is Hacking? Types of Hacking & More’, Fortinet. https://www.fortinet.com/resources/cyberglossary/what-is-hacking</ref>
1983 aastal häkiti sisse mitmesse asutusse, nende seas nt. Sloan-Kettering vähiravikeskus <ref name="neli">‘The 414 Gang Strikes Again - TIME’. https://web.archive.org/web/20071202043840/http://www.time.com/time/magazine/article/0,9171,949797,00.html</ref>.

Need tegevused viisid USA kongressi mitme poliisi koostamisele seoses arvutikuritegudega, aga need ei aidanud kõrge-profiili rünnakuid suurte korporatsioonide ja valitsuse süsteemide pihta vähendada. <ref name="kolm" />

Joe Grandi on öelnud oma intervjuus, et häkkeri mõiste käib kellegi kohta, kes suudab lahendada tehnilisi probleeme unikaalsel viisil. <ref name="viis">‘Joe “Kingpin” Grand on Hacker History’, PCMAG. https://www.pcmag.com/news/joe-kingpin-grand-on-hacker-history </ref>. Seda mõtet järgides saab häkkimiseks pidada peaaegu iga leiutist, isegi enne digitaalajastut. Häkkerid on aidanud kujundada tänapäeva tehnoloogiat nagu teler, raadio ja telefon, alates nende loomisest. Ilma häkkeriteta näeksid kõik need seadmed välja täpselt samasugused nagu päeval, mil nad valmistati või neid ei oleks üldse olemas, sest ei oleks olnud vajadust neid laiali levitada ja edasi arendada. Televisiooni ei oleks võib-olla kunagi leiutatud, kuna liikuva pildi jäädvustamise tehnoloogiat ei oleks kunagi keegi edasi arendanud. Liikuvate piltide kontseptsioon on aluseks väga paljudele edasistele tehnoloogiatele. <ref name="kuus">‘The Early History of Motion Pictures | American Experience | PBS’. https://www.pbs.org/wgbh/americanexperience/features/pickford-early-history-motion-pictures%20/</ref>

===Häkkimine tänapäeval===

Kui rääkida tänapäeva häkkimisest meile kõige tuttavamast küljest, siis on tegu protsessiga, mille käigus tungitakse omavoliliselt isikliku arvuti või organisatsiooni võrku. Häkkeriks võib nimetada isikut, kes kasutab oma programmi konstrueerimiseks häkkimistegevuseks mõeldud vahendeid ja mõistab nende taga olevat kontseptsiooni. <ref name="kolm" />

Privaatsus, turvalisus ja tuvastamine on muutunud kõige murettekitavamaks teemaks internetis, mis kaasneb interneti tõhususega. Madala tehnilise teadmisega teismeline võib sisse murda ohvri arvutisse ja paljastada ohvri privaatsust. Asjatundlik häkker võib ohustada ettevõtte arvutit ja põhjustada salajaste äriandmete lekkimist konkurentidele, et saada rahalist kasu. Selleks, et vältida või leevendada seda tüüpi kahju, mängib olulist rolli eetiline häkkimine, mis aitab kaasa kaitsepüüdlustele.

===Valge mütsi häkker===

Valge mütsi häkkerit nimetatakse ka eetiliseks häkkeriks, kes kasutab oma oskusi ja teadmisi selleks, et kaitsta üksikisikute, ettevõtete või valitsuste süsteeme või võrke rünnakute eest. Nad võivad olla kas ettevõtte palgalised töötajad või töövõtjad. Eetilised häkkerid mitte ainult ei tuvasta haavatavusi, mida võidakse kasutada rünnakutes, vaid aitavad ka parandada sihtsüsteemi üleüldist turvalisuse taset. Lisaks õpetavad nad inimestele, kuidas end internetis turvata. <ref name="seitse">‘Black hat, White hat, and Gray hat hackers – Definition and Explanation’, www.kaspersky.com, Feb. 09, 2022. https://www.kaspersky.com/resource-center/definitions/hacker-hat-types</ref>

===Musta mütsi häkker===

Musta mütsi häkkerid on kurjategijad, kes proovivad siseneda arvutivõrkudesse pahatahtlikul eesmärgil. Nad võivad ka paigaldada arvutitesse pahavara, mis hävitab faile, hoiab arvuteid lukus, varastab salasõnu, krediitkaardi numbreid ja muud personaalset infot. Musta mütsi häkkereid motiveerib isiklik kasu: finantsiline, kättemaks, niisama segaduse tekitamine. Vahel on nende motivatsioon ideoloogiline.

Edukamad musta mütsi häkkerid on enamasti osavad häkkerid, kes töötavad suurtes kuritegelikes organisatsioonides. Tööotsi saadakse tihti tumedas veebis. Lepingud on tihtipeale sarnased nagu tavalises äris.

Häkkimisest on saanud lahutamatu osa riiklikus luureandmete kogumises, aga on tüüpilisem, et musta mütsi häkker töötab üksi või kuritegelikus organisatsioonis lihtsa rahateenimise eesmärgil. <ref name="seitse" />

===Halli mütsi häkker===

Halli mütsi häkkerid teevad segu valgest ja mustast mütsist. Neile meeldib ennast proovile panna ja murda turvaaukudest sisse. Nad võivad häkkida süsteemi ilma loata ja öelda omanikule, milliseid haavatavusi nad leidsid (valge mütsi käitumine) või nad võivad ka lihtsalt neid haavatavusi avalikustada (musta mütsi käitumine). Näiteks võib valge mütsi häkker teha päevasel ajal võrgu kaitsmistööd ja sellega seonduvalt häkib ka teisi süsteeme.
halli mütsi häkkerid on üldiselt kahjutud ja moodustavad enamuse häkkeri kommuunist.
<ref name="seitse" /><ref name="kaheksa">‘Different Types Of Hackers – And What They Mean For Your Business | Bridewell Consulting’, https://www.bridewellconsulting.com. https://www.bridewellconsulting.com/different-types-of-hackers-and-what-they-mean-for-your-business</ref>

==Eetilised häkkerid==

Eetilised häkkerid on info- ja küberturbe spetsialistid, kes tunnevad hästi IT süsteemide testimist, läbitungimistestimist ja paljusid muid turvalisust tagavaid võrguanalüüsi lähenemisviise ning tagavad ettevõtte infosüsteemide turvalisuse ja terviklikkuse. Nad võivad kasutada mitmesuguseid lähenemisviise, et rakendada erinevaid läbitungimise või süsteemi terviklikkuse teste, mis võivad hõlmata häkkimise tööriistu, sotsiaalse manipuleerimise taktikaid ja katseid vältida standardseid turvameetmeid, et saada juurdepääs väidetavalt kaitstud alade nõrkade kohtade leidmiseks antud kaitseskeemis. Valge mütsi annet süsteemidesse tungimisel ja turvaprotokollide järgimisel kasutatakse enamasti just nende programmide ja andmebaaside paremaks kasutamiseks, nii et neist saavad tavaliselt küber- või IT-turbetööstuse seaduslikud spetsialistid või konsultandid hea palgaga – näiteks, Glassdoor andmetel, üle 100 000 USD aastas <ref name="üheksa">‘Salary: Ethical Hacker (April, 2022)’, Glassdoor. https://www.glassdoor.com/Salaries/ethical-hacker-salary-SRCH_KO0,14.htm</ref>.

===Eetilise häkkeri vajalikud oskused ja teadmised<ref name="kümme">‘Этичный хакинг: как взламывать системы и при этом зарабатывать легально’, Хабр. https://habr.com/ru/company/skillfactory/blog/525672/</ref>===

Eetiline häkker on samal ajal universaalne ja kitsa spetsialisatsiooniga: tal peavad olema laiad teadmised erinevates IT alades ja sügavad oskused ühes või mitmes valdkonnas. Üldjuhul peab noorem pentetration tester teadma ja tundma järgnevat:

* oskama administeerida Windowsi ja Linuxi süsteeme;
* tundma programmeerimise keeli nagu Python, php, Perl, Ruby, JavaScript, Bash, jne;
* tundma HTMLi;
* teadma võrguprotokolle (TCP/IP, ICMP) ja võrguteenuseid (Proxy, VPN, Samba, AD);
* tundma erinevaid protokolle nagu HTTP, FTP, DNS, SSH;
* oskama töötada andmebaasidega nagu Azure SQL Database, MySQL, Microsoft SQL Server, PostgreSQL, Oracle Database.

===Eetilise häkkeri instrumendid ja meetmed===

Valge mütsi häkker kasutab samu tehnikaid, mis tavaline häkker. Erinevus seisneb õiguslikes aspektides – valge mütsi häkkerid ründavad süsteeme ja rakendusi viimaste omanike loal ja heaks, et aidata tuvastada nõrkusi ja kitsaskohti.

====Läbitungimistest====

Läbitungimistest (ingl Penetration testing, Pentesting) on simuleeritud häkkeri rünnak, mille käigus katsetatakse erinevaid viise süsteemi sisse murdmiseks ja proovitakse tõestada, et seda saab teha. Peale testi lõpetamist ja turvaaukude leidmist koostab häkker aruande probleemide kirjeldusest, ning teeb ettepanekud nende parandamiseks. Läbitungimistest on väga levinud, ning selle 3 erinevat alamtüüpi on:

* Must kast ( ingl Black box): simulatsioon rünnakust, kus häkkeril ei ole ligipääsu ettevõtte võrku ja ta ei tunne ettevõtte IT infrastruktuuri.
* Hall kast (ingl Gray box): siin ründaja on kas endise töötaja või kliendi rollis, kes on juba natukene tuttav ettevõtte võrguga.
* Valge kast (ingl White box): häkker omab täielikku ligipääsu ettevõtte süsteemidele administraatori õigustega.

Nendest kolmest meetodist on Must kast kõige populaarsem, kuna on kõige rohkem reaalsusele lähedane. <ref name="üksteist">‘Этичный хакинг: что это, значение для информационной безопасности’. https://itglobal.com/ru-ru/company/blog/kak-etichnyj-haking-pomozhet-vovremya-najti-uyazvimosti-v-korporativnoj-seti/</ref>

====Andmepüük====

Andmepüük (ingl Phishing) meelitab ohvrit andma tundlikku teavet või klõpsama pahatahtlikul failil või lingil. Eetiliste andmepüügi kampaaniate puhul proovitakse leida ja lahendada võimalikke probleeme organisatsiooni võrgus enne rünnaku toimumist. Kampaania raames koostatakse emaile ja saadetakse ettevõttes laiali pikema perioodi jooksul, et simuleerida reaalset rünnakut ja koguda tagasisidet. <ref name="kaksteist">‘Why Ethical Phishing Campaigns Are Ineffective’, Techopedia.com. https://www.techopedia.com/why-ethical-phishing-campaigns-are-ineffective/2/34464 </ref>

[[File:Picture_1.jpg|thumb|Joonis 1. Õngitsemiskirja näide]]

====DDOS-rünnak====

DDOS-rünnak (ingl Distributed Denial-of-Service attack) on sihtmärgi päringutega üle koormamine nii, et see muutub kättesaamatuks või jookseb kokku <ref name="kolmteist">‘Mis on DDoS rünnak ja kuidas end selle eest kaitsta? | AM.ee’, Arvutimaailm. https://www.am.ee/Mis-on-DDoS</ref>. Valge mütsi häkker simuleerib DDoS rünnakut selleks, et aidata ettevõttel välja töötada reageerimiskava.

====Sotsiaalne manipuleerimine====

Sotsiaalne manipuleerimine (ingl Social engineering) on manipuleerimise võte, mis kasutab ära inimlikke vigu privaatse teabe, juurdepääsu või väärisesemete hankimiseks. Küberkuritegevuse puhul kipuvad need "inimhäkkimise" pettused meelitama pahaaimamatuid kasutajaid andmeid paljastama, pahavaranakkusi levitama või piiratud süsteemidele juurdepääsu võimaldama <ref name="neliteist">‘What is Social Engineering?’, www.kaspersky.com, Mar. 09, 2022. https://www.kaspersky.com/resource-center/definitions/what-is-social-engineering</ref>. Eetilised häkkerid kasutavad sotsiaalse manipuleerimise võtteid, et testida ettevõtte süsteemide turvataset, selle parandamise eesmärgil.

====Turvalisuse skaneerimine====

Turvalisuse skaneerimine (ingl Security scanning) – valged mütsid kasutavad erilisi instrumente süsteemide nõrkuste automaatseks tuvastamiseks. Tööriistadeks on alates veebirakenduste haavatavuste tuvastamisest (nt Acunetix või Netsparker) kuni avatud lähtekoodiga pentestimiseni. <ref name="viisteist">‘20 parimat eetilise häkkimise tööriista & Tarkvara häkkeritele (2021)’. https://et.csstricks.net/8225889-20-best-ethical-hacking-tools-and-software-for-hackers-2021</ref>

==Eetilise häkkeri kasu ettevõtetele ja ühiskonnale==

Eetiline häkkimine toob üsna palju kasu ühiskonnale. Nende tegevuse ettevõtete jaoks võib klassifitseerida järgmiselt <ref name="kuusteist">‘Everything You Need to Know About a White Hat Hacker | HackerNoon’. https://hackernoon.com/everything-you-need-to-know-about-a-white-hat-hacker</ref>:

* Haavatavuste identifitseerimine - valged häkkerid aitavad leida süsteemide ja võrkude kaitsmatust. Lisaks ta on suutule andma hinnangut kaitse tasemele.
* Turvasüsteemi taseme tõstmine – tagab turvasüsteemi kõrge taseme ja annab hinnangu olemasolevale tasemele.
* Seisuaja (ingl down-time) madaldamine – valged häkkerid saavad testida, et rünnaku ajal oleks süsteem stabiilsem ja kiirem.
* Ettevõtte tugiüksuste kontrollimine – aitavad kontrollida praeguse IT toetusmeeskonna (ingl support team) taset. Kontrollivad probleemile reageerimise kiirust <ref name="seitseteist">‘Facts about White Hat Hackers for Cyber Security Portland’, Bytagig. https://www.bytagig.com/articles/facts-about-white-hat-hackers-for-cyber-security-portland/</ref>.
* Tundliku info kaitsmine – aitavad kontrollida andmete turvalisust. Eriti puudutab see punkt tundlikke valdkondi nagu pangandus, tervishoid jne.

Valged häkkerid aitavad ettevõtetel hoida turvasüsteemidega seotud kulusid madalamal. Esineb reaalne oht kaotada miljoneid sellele, et süsteeme rünnatakse või leitakse süsteemne viga. Umbes 2/4 kaotatud andmete kuludest on seotud vargustega (vaata joonis 1) ja viimane 1/4 osa on seotud inimliku eksitusega. Valged häkkerid aitavad otseselt võidelda
pahatahtlike rünnakute ning süsteemsete vigade vastu, aga nad kaudselt saavad madaldada ka inimfaktoritega seotud vigu, kuna nad oskavad anda hinnangut süsteemile, et see oleks võimalikult kaitstud.

[[File:Picture_2.png|thumb|none|250px|link=https://www.economist.com/business/2014/02/22/white-hats-to-the-rescue|Joonis 1. Andmete kaotuse maksumus iga varguseliigi kohta $]]

Ühiskonna ja tavakasutajate jaoks on valge häkkemine samuti väga kasulik, kuna interneti kasutajate arv kasvab iga aasta ja suure tõenäosusega aastaks 2030 kasutab 90% inimestest alates kuuendast eluaastast internetti <ref name="üheksateist">‘White Hat Hacker - Roles and Responsibilities’, Simplilearn.com, Sep. 16, 2019. https://www.simplilearn.com/white-hat-hacker-article</ref>. Valged häkkerid aitavad:
* Kasutajakogemust tõsta – interneti portaalid, kus teostatakse kontrolle, on kiiremad ja turvalisemad võrreldes nendega, mida ei kontrollita.
* Kasutajate andmed kaitsta - Valged häkkerid aitavad tõsta portaalide turvalisust.Juhul kui valge häkker häkib süsteemi ja saab enda valdusse kasutajate isiklikke andmeid, siis ta ei kasuta neid enda kasuks, vaid suhtleb nendesse nagu teiste inimeste varasse (erinevalt musta mütsi häkkeritega)
* Aitavad saavutada balanssi ühiskonna oskustes interneti kasutamisel – valged häkkerid on üsna paljude oskustega, samuti nagu mustad häkkerid. Kuna tavakasutajate kogemus ei ole tavaliselt nii kõrgel tasemel, siis valgete häkkerite abil ei ole nii suurt mustade häkkerite ülekaalu.

==Eetilised probleemid seoses häkkimisega==

Valgete häkkerite ees on tihti piirangud, mida nad ei tohi ületada, kuna nad võivad kogemata põhjustada süsteemi kokkukukkumise või andmete kaotuse <ref name="kakskümmend">‘White Hat Hacker - an overview | ScienceDirect Topics’. https://www.sciencedirect.com/topics/computer-science/white-hat-hacker</ref>. Tihti esineb valik, kas valged häkkerid peaksid testima reaalses keskkonnas, kus on suur oht tuua kahju, või simuleeritud keskkonnas, kus oht pole nii suur, aga ka tulemus pole garanteeritud.
Näide, kus piiri ületamine tekitas üsna suurt resonantsi ühiskonnas, oli tuntud arvutimängude tarkvaraarendaja Chris Robertsi juhtum, kes väidetavasti proovis teha läbitungimise testi Boeing 737 meelelahutussüsteemi vastu <ref name="kakskümmend üks">O. K. and D. A. of C. Lifars, ‘At what point do white hat hackers cross the ethical line?’, CSO Online, Aug. 17, 2015. https://www.csoonline.com/article/2971833/at-what-point-do-white-hat-hackers-cross-the-ethical-line.html</ref>. FBI andmetel oleks tema poolt tehtud testimine keset lendu võinud põhjustada palju probleeme lennu ohutusele. Vaatamata sellele, et lennunduse eksperdid kahtlevad, et esines mingi oht, on probleem ikka õhus - mis on see piir, mida valged häkkerid ei tohi oma tegevuses kunagi ületada?
Ühelt poolt võib lähtuda kahju tekitamise printsiibist - kas valge häkker kavatses oma tegevusega kahju tekitada? Hea kavatsus ei tähenda alati head tegevust, kui tegevus on illegaalne. Põhimõtteliselt tuleks eristada juhtumeid, millal häkkerite tegevus on rangelt piiratud ja millal mitte. Elukriitilised süsteemid nagu haigla, lennundus, pangasüsteem jne, nõuvad rangeid piiranguid ja professionaalsust läbitungimise testimisel.
Ettevõtted nagu Google, Facebook, Microsoft tihti lubavad ja toetavad avalikku testimist ning on nõus isegi häkkeritele maksma, kui nad leiavad vigu nende süsteemis. Haavatavuse avalikustamise eeskirjad (ingl vulnerability disclosure policy) tähendab, et ettevõtte ja vabakutselise agendi vahel on leping, mis kirjeldab meetodid ja instrumendid, mida võib kasutada haavatavuste leidmiseks ja kirjeldamiseks <ref name="kakskümmend kaks">‘What is ethical hacking? White hat hackers explained’, CyberNews, Oct. 14, 2019. https://cybernews.com/security/ethical-hacking/</ref>.
Eetilise häkkeri tegevusel peavad olema täidetud kriteeriumid <ref name="kakskümmend kaks" />:
* Tegevusluba – tegevus peab olema seaduslik ja häkker peab olema kindel, et ta võib tegutseda ilma, et keegi saaks kannatada.
* Piirangud – eetiline häkker ei tohiks ligipääsu saamisel seda ära kasutada, rohkem kui vajalik. Selle asemel piiravad eetilised häkkerid oma tegevust sellega, mis on väärtusliku turvaalase ülevaate saamiseks hädavajalik.
* Ei jäta lahtisi otsi – eetilise häkkeri tegevus ei tohi süsteemi jätta vähem kaitstuks. Nende tegevus ei tohi jätta jälgi, mida teised võivad kasutada süsteemi rikkumiseks.
* Aus raporteering – eetiline häkker peab raporteerima oma tegevust. Ettevõttele on oluline, et nad teaksid oma nõrkustest ja teaksid kuidas neid parandada. Raporteerimine on ka oluline eetilise häkkeri vaatepunktist, et nad vajadusel saaksid hiljem tõestada oma tegevuse eesmärki.
Nende printsiipide järgimisel on häkkerite tegevus rohkem kaitstud, esineb vähem võimalus et nad midagi rikkuvad ja on vähem tõenäoline, et nad teevad midagi ebaseaduslikku, mille eest nad ise peavad hiljem vastutama. Tänu sellele on eetiline pool ettevõtetele ja ühiskonnale tagatud.

=Eetiliseks häkkeriks saamise põhjused=

====Uudishimu====
Üheks põhjuseks miks inimene IT valdkonnas võiks saada häkkeriks on uudishimu. Huvi avastada, mida süsteem võimaldab teha, mitte seda, mida ta oli mõeldud tegema. Kuid mis motiveeriks inimest oma häkkeri oskusi mitte kuritarvitada enda huvides, vaid kasutada neid teiste heaks?

====Raha====
Mõne jaoks on selleks motivaatoriks raha. Valge mütsi häkkerid on ühed paremini tasustatavad töötajad IT valdkonnas. Näiteks USA-s sertifitseeritud eetilise häkkeri keskmine aasta palk on 82,966 USD ning võib ulatuda kuni 142,000 USD <ref name="kakskümmend kolm">‘Certified Ethical Hacker (CEH) Salary | PayScale’. https://www.payscale.com/research/US/Job=Certified_Ethical_Hacker_(CEH)/Salary</ref>. Lisaks sellele on mitmeid puugipreemiajahte (ingl Bug bounty program), mis pakkuvad head rahalist kompensatsiooni süsteemides turvalisust ohustavate vigade leidmise ja raporteerimise eest. Keskmine kompensatsioon kriitilise vea raporteerimise eest, mida HackerOne programmis välja makstakse, on ligi 3 000 USD <ref name="kakskümmend neli">‘Top 5 Takeaways from the 2021 Hacker-Powered Security Report: Industry Insights’, HackerOne. https://www.hackerone.com/hacker-powered-security-report/top-5-takeaways-2021-hacker-powered-security-report-industry </ref>. On ka ekstreemsemaid juhtumeid nagu näiteks Jay "saurik" Freeman, kes 2022 aasta veebruaris sai krüptovaluuta Ethereumi saatmise platvormi Optimism turvalisusega seotud vea raporteerimise eest 2 000 042 USD <ref name="kakskümmend viis">‘Attacking an Ethereum L2 with Unbridled Optimism’. https://www.saurik.com/optimism.html </ref>. Kuigi musta mütsi häkkeritel on samuti mitmeid võimalusi raha saamiseks, tekivad neil lisaraskused selle kasutamisel, kuna esialgu on vaja raha muuta näiliselt legaalseks.

====Kuulsus====
Kuulsus ja tunnustus on ka põhjuseks, miks mõni häkker otsustab kanda valget mütsi. Kasuks tulevad puugipreemia programmid, kus suurimate väljamaksete saajad satuvad rahvusvahelistesse uudistesse või "Hack The Air Force" programmi võitja saavutab tunnustuse IT maailmas <ref name="kakskümmend kuus">‘Interview with Hack the Air Force Winner, @CableJ’, HackerOne. https://www.hackerone.com/ethical-hacker/interview-hack-air-force-winner-cablej </ref>. Muidugi kõige kuulsamad häkkerid on musta mütsi häkkerid, kuid enamasti nad saavutavad kuulsust siis kui neid kinni peetakse või mitte väga pikka aega enne seda. Eetiline häkkimine võimaldab saavutada kuulsust ilma vanglasse sattumiseta.

====Legaalsus====
Siit tuleb ka järgmine põhjus miks mõned eelistavad olla valge mütsi häkkerid musta mütsi asemel. Seaduse rikkumine ja risk olla kinni peetud ei ole iga inimese jaoks. On neid kellele meeldib häkkida, kuid nad tegelevad sellega ametlikult lepingute raames, et seadusi mitte rikkuda. Selle kohta on hästi kommenteerinud oma intervjuus tööstuse analüütikaga tegeleva ettevõtte Uptake küberturbe osakonna juhataja Matt Jakubowski "On piir, millest ma ei tahtnud üle astuda, sest mulle ei meeldi vangla. Ma pole kunagi seal olnud, aga eeldan, et mulle ei meeldi seal." <ref name="kakskümmend seitse">‘White Hat Hackers & Ethical Hacking In 2022 | Built In’. https://builtin.com/cybersecurity/ethical-hacking </ref>.

====Soov teha head====
On ka neid, kellel pole muud põhjust vaja kui soov teha head. Nad on häkkerid, kelle jaoks on mõeldamatu teistele inimestele või organisatsioonidele kahju tekitamine. David Holmes küsitles valge mütsi häkkereid ning 74% küsitletutest vastasid, et nemad poleks mitte mingi summa eest, mida oleks karistamata võimalik saada, läinud üle musta mütsi häkkeriteks <ref name="kakskümmend kaheksa">D. H. World Security Expert, F5 Networks, Special to Network, ‘What keeps white hat hackers from turning to the dark side?’, Network World, Feb. 19, 2016. https://www.networkworld.com/article/3035594/what-keeps-white-hat-hackers-from-turning-to-the-dark-side.html </ref>. Sellest võiks järeldada, et enamuse häkkerite jaoks on poole valik pigem eetiline küsimus. Muidugi peaks mainima ka, et sama küsitluse käigus selgus, et üle poole valge mütsi häkkeritest on aeg-ajalt häkkinud sõbra või kolleegi arvutisse nalja pärast.

====Muud põhjused====
Esineb ka häkkereid, kes alustasid musta mütsi häkkeritena, kuid hiljem läksid üle valge mütsi peale. Nende puhul on raske välja tuua mingeid tüüpilisi põhjuseid selliseks otsuseks. Kuid kuulsamad juhtumid on seotud üleminekuga valge mütsi häkkeriks pärast kinnipidamist musta mütsi häkkerina. Kõige tuntum näide on Kevin Mitnick, kes 80ndate lõpus ja 90ndate alguses oli häkkinud mitmeid suuri ettevõtteid, oli 1995 aastal kinni peetud ning pärast viie aastast vanglakaristust ta asutas ettevõtte Mitnick Security. Temast sai väga edukas valge mütsi häkker ja küberturvalisuse konsultant <ref name="kakskümmend üheksa">M. S. Consulting, ‘About Kevin Mitnick | Mitnick Security’. https://www.mitnicksecurity.com/about-kevin-mitnick-mitnick-security</ref>.

=Kokkuvõte=

Eetiline häkkimine on tänapäeval väga levinud ja leidub võimalusi saada ka sertifitseeritud eetiliseks häkkeriks. Eetilist häkkerit nimetatakse ka “valge mütsi” häkkeriks, kes kasutab samu võtteid, mida pahatahtlik “musta mütsi” häkker, et tuvastada IT-süsteemides turvaauke. Eetiliseks häkkimiseks teeb selle tegevuse asjaolu, et eetiline häkker annab ülevaate kompromiteeritud kohtadest süsteemi parandamise eesmärgil. <ref name="kaks" />
Häkkimise puhul on eetilisteks probleemideks ennekõike ohutus ja isiklikele andmetele ligipääs. Eetilisel häkkimisel pannakse turvasüsteemide testimise piirid väga konkreetselt paika, et vähendada potentsiaalseid riske.

=Kasutatud kirjandus=

<references />

Eetiline häkkimine, selle võimalused ja ohud

2022-05-05T18:08:17Z

Samoss:

==Sissejuhatus==

Eetiline häkkimine on turvapraktika, kus palgatud häkker proovib IT süsteemi sisse murda, simuleerides pahaloomulist küberrünnakut <ref name="üks">‘Ethical hacking’, WhiteHat Security Glossary. https://www.whitehatsec.com/glossary/content/ethical-hacking</ref>. Fraas “eetiline häkkimine” oli esimesena kasutatud 1995 aastal IBM asepresidendi John Patricku poolt, aga selle sõna kontseptsioon on olnud olemas palju kauem. Eetilised häkkerid on tuntud ka “valge mütsi” häkkeritena ning on tavaliselt palgalised turvaspetsialistid, kes proovivad turvaauke avastada häkkimise teel. <ref name="kaks">‘History Of Ethical Hacking 1960’s To Today | RedTeam Blogs’, Jul. 17, 2021. https://redteamacademy.com/blogs/history-of-ethical-hacking/</ref>

==Ajalugu==

Häkkimise mõiste tekkis 1970ndatel, aga hakkas rohkem levima järgmisel kümnendil. Paar artiklit ja filmi hiljem, kus tutvustati häkkimist arvutisüsteemidesse, tekkis suuremale avalikkusele kuvand häkkimisest ja selle potentsiaalsest ohust.<ref name="kolm">‘What Is Hacking? Types of Hacking & More’, Fortinet. https://www.fortinet.com/resources/cyberglossary/what-is-hacking</ref>
1983 aastal häkiti sisse mitmesse asutusse, nende seas nt. Sloan-Kettering vähiravikeskus <ref name="neli">‘The 414 Gang Strikes Again - TIME’. https://web.archive.org/web/20071202043840/http://www.time.com/time/magazine/article/0,9171,949797,00.html</ref>.

Need tegevused viisid USA kongressi mitme poliisi koostamisele seoses arvutikuritegudega, aga need ei aidanud kõrge-profiili rünnakuid suurte korporatsioonide ja valitsuse süsteemide pihta vähendada. <ref name="kolm" />

Joe Grandi on öelnud oma intervjuus, et häkkeri mõiste käib kellegi kohta, kes suudab lahendada tehnilisi probleeme unikaalsel viisil. <ref name="viis">‘Joe “Kingpin” Grand on Hacker History’, PCMAG. https://www.pcmag.com/news/joe-kingpin-grand-on-hacker-history </ref>. Seda mõtet järgides saab häkkimiseks pidada peaaegu iga leiutist, isegi enne digitaalajastut. Häkkerid on aidanud kujundada tänapäeva tehnoloogiat nagu teler, raadio ja telefon, alates nende loomisest. Ilma häkkeriteta näeksid kõik need seadmed välja täpselt samasugused nagu päeval, mil nad valmistati või neid ei oleks üldse olemas, sest ei oleks olnud vajadust neid laiali levitada ja edasi arendada. Televisiooni ei oleks võib-olla kunagi leiutatud, kuna liikuva pildi jäädvustamise tehnoloogiat ei oleks kunagi keegi edasi arendanud. Liikuvate piltide kontseptsioon on aluseks väga paljudele edasistele tehnoloogiatele. <ref name="kuus">‘The Early History of Motion Pictures | American Experience | PBS’. https://www.pbs.org/wgbh/americanexperience/features/pickford-early-history-motion-pictures%20/</ref>

===Häkkimine tänapäeval===

Kui rääkida tänapäeva häkkimisest meile kõige tuttavamast küljest, siis on tegu protsessiga, mille käigus tungitakse omavoliliselt isikliku arvuti või organisatsiooni võrku. Häkkeriks võib nimetada isikut, kes kasutab oma programmi konstrueerimiseks häkkimistegevuseks mõeldud vahendeid ja mõistab nende taga olevat kontseptsiooni. <ref name="kolm" />

Privaatsus, turvalisus ja tuvastamine on muutunud kõige murettekitavamaks teemaks internetis, mis kaasneb interneti tõhususega. Madala tehnilise teadmisega teismeline võib sisse murda ohvri arvutisse ja paljastada ohvri privaatsust. Asjatundlik häkker võib ohustada ettevõtte arvutit ja põhjustada salajaste äriandmete lekkimist konkurentidele, et saada rahalist kasu. Selleks, et vältida või leevendada seda tüüpi kahju, mängib olulist rolli eetiline häkkimine, mis aitab kaasa kaitsepüüdlustele.

===Valge mütsi häkker===

Valge mütsi häkkerit nimetatakse ka eetiliseks häkkeriks, kes kasutab oma oskusi ja teadmisi selleks, et kaitsta üksikisikute, ettevõtete või valitsuste süsteeme või võrke rünnakute eest. Nad võivad olla kas ettevõtte palgalised töötajad või töövõtjad. Eetilised häkkerid mitte ainult ei tuvasta haavatavusi, mida võidakse kasutada rünnakutes, vaid aitavad ka parandada sihtsüsteemi üleüldist turvalisuse taset. Lisaks õpetavad nad inimestele, kuidas end internetis turvata. <ref name="seitse">‘Black hat, White hat, and Gray hat hackers – Definition and Explanation’, www.kaspersky.com, Feb. 09, 2022. https://www.kaspersky.com/resource-center/definitions/hacker-hat-types</ref>

===Musta mütsi häkker===

Musta mütsi häkkerid on kurjategijad, kes proovivad siseneda arvutivõrkudesse pahatahtlikul eesmärgil. Nad võivad ka paigaldada arvutitesse pahavara, mis hävitab faile, hoiab arvuteid lukus, varastab salasõnu, krediitkaardi numbreid ja muud personaalset infot. Musta mütsi häkkereid motiveerib isiklik kasu: finantsiline, kättemaks, niisama segaduse tekitamine. Vahel on nende motivatsioon ideoloogiline.

Edukamad musta mütsi häkkerid on enamasti osavad häkkerid, kes töötavad suurtes kuritegelikes organisatsioonides. Tööotsi saadakse tihti tumedas veebis. Lepingud on tihtipeale sarnased nagu tavalises äris.

Häkkimisest on saanud lahutamatu osa riiklikus luureandmete kogumises, aga on tüüpilisem, et musta mütsi häkker töötab üksi või kuritegelikus organisatsioonis lihtsa rahateenimise eesmärgil. <ref name="seitse" />

===Halli mütsi häkker===

Halli mütsi häkkerid teevad segu valgest ja mustast mütsist. Neile meeldib ennast proovile panna ja murda turvaaukudest sisse. Nad võivad häkkida süsteemi ilma loata ja öelda omanikule, milliseid haavatavusi nad leidsid (valge mütsi käitumine) või nad võivad ka lihtsalt neid haavatavusi avalikustada (musta mütsi käitumine). Näiteks võib valge mütsi häkker teha päevasel ajal võrgu kaitsmistööd ja sellega seonduvalt häkib ka teisi süsteeme.
halli mütsi häkkerid on üldiselt kahjutud ja moodustavad enamuse häkkeri kommuunist.
<ref name="seitse" /><ref name="kaheksa">‘Different Types Of Hackers – And What They Mean For Your Business | Bridewell Consulting’, https://www.bridewellconsulting.com. https://www.bridewellconsulting.com/different-types-of-hackers-and-what-they-mean-for-your-business</ref>

==Eetilised häkkerid==

Eetilised häkkerid on info- ja küberturbe spetsialistid, kes tunnevad hästi IT süsteemide testimist, läbitungimistestimist ja paljusid muid turvalisust tagavaid võrguanalüüsi lähenemisviise ning tagavad ettevõtte infosüsteemide turvalisuse ja terviklikkuse. Nad võivad kasutada mitmesuguseid lähenemisviise, et rakendada erinevaid läbitungimise või süsteemi terviklikkuse teste, mis võivad hõlmata häkkimise tööriistu, sotsiaalse manipuleerimise taktikaid ja katseid vältida standardseid turvameetmeid, et saada juurdepääs väidetavalt kaitstud alade nõrkade kohtade leidmiseks antud kaitseskeemis. Valge mütsi annet süsteemidesse tungimisel ja turvaprotokollide järgimisel kasutatakse enamasti just nende programmide ja andmebaaside paremaks kasutamiseks, nii et neist saavad tavaliselt küber- või IT-turbetööstuse seaduslikud spetsialistid või konsultandid hea palgaga – näiteks, Glassdoor andmetel, üle 100 000 USD aastas <ref name="üheksa">‘Salary: Ethical Hacker (April, 2022)’, Glassdoor. https://www.glassdoor.com/Salaries/ethical-hacker-salary-SRCH_KO0,14.htm</ref>.

===Eetilise häkkeri vajalikud oskused ja teadmised<ref name="kümme">‘Этичный хакинг: как взламывать системы и при этом зарабатывать легально’, Хабр. https://habr.com/ru/company/skillfactory/blog/525672/</ref>===

Eetiline häkker on samal ajal universaalne ja kitsa spetsialisatsiooniga: tal peavad olema laiad teadmised erinevates IT alades ja sügavad oskused ühes või mitmes valdkonnas. Üldjuhul peab noorem pentetration tester teadma ja tundma järgnevat:

* oskama administeerida Windowsi ja Linuxi süsteeme;
* tundma programmeerimise keeli nagu Python, php, Perl, Ruby, JavaScript, Bash, jne;
* tundma HTMLi;
* teadma võrguprotokolle (TCP/IP, ICMP) ja võrguteenuseid (Proxy, VPN, Samba, AD);
* tundma erinevaid protokolle nagu HTTP, FTP, DNS, SSH;
* oskama töötada andmebaasidega nagu Azure SQL Database, MySQL, Microsoft SQL Server, PostgreSQL, Oracle Database.

===Eetilise häkkeri instrumendid ja meetmed===

Valge mütsi häkker kasutab samu tehnikaid, mis tavaline häkker. Erinevus seisneb õiguslikes aspektides – valge mütsi häkkerid ründavad süsteeme ja rakendusi viimaste omanike loal ja heaks, et aidata tuvastada nõrkusi ja kitsaskohti.

====Läbitungimistest====

Läbitungimistest (ingl Penetration testing, Pentesting) on simuleeritud häkkeri rünnak, mille käigus katsetatakse erinevaid viise süsteemi sisse murdmiseks ja proovitakse tõestada, et seda saab teha. Peale testi lõpetamist ja turvaaukude leidmist koostab häkker aruande probleemide kirjeldusest, ning teeb ettepanekud nende parandamiseks. Läbitungimistest on väga levinud, ning selle 3 erinevat alamtüüpi on:

* Must kast ( ingl Black box): simulatsioon rünnakust, kus häkkeril ei ole ligipääsu ettevõtte võrku ja ta ei tunne ettevõtte IT infrastruktuuri.
* Hall kast (ingl Gray box): siin ründaja on kas endise töötaja või kliendi rollis, kes on juba natukene tuttav ettevõtte võrguga.
* Valge kast (ingl White box): häkker omab täielikku ligipääsu ettevõtte süsteemidele administraatori õigustega.

Nendest kolmest meetodist on Must kast kõige populaarsem, kuna on kõige rohkem reaalsusele lähedane. <ref name="üksteist">‘Этичный хакинг: что это, значение для информационной безопасности’. https://itglobal.com/ru-ru/company/blog/kak-etichnyj-haking-pomozhet-vovremya-najti-uyazvimosti-v-korporativnoj-seti/</ref>

====Andmepüük====

Andmepüük (ingl Phishing) meelitab ohvrit andma tundlikku teavet või klõpsama pahatahtlikul failil või lingil. Eetiliste andmepüügi kampaaniate puhul proovitakse leida ja lahendada võimalikke probleeme organisatsiooni võrgus enne rünnaku toimumist. Kampaania raames koostatakse emaile ja saadetakse ettevõttes laiali pikema perioodi jooksul, et simuleerida reaalset rünnakut ja koguda tagasisidet. <ref name="kaksteist">‘Why Ethical Phishing Campaigns Are Ineffective’, Techopedia.com. https://www.techopedia.com/why-ethical-phishing-campaigns-are-ineffective/2/34464 </ref>

[[File:Picture_1.jpg|thumb|Joonis 1. Õngitsemiskirja näide]]

====DDOS-rünnak====

DDOS-rünnak (ingl Distributed Denial-of-Service attack) on sihtmärgi päringutega üle koormamine nii, et see muutub kättesaamatuks või jookseb kokku <ref name="kolmteist">‘Mis on DDoS rünnak ja kuidas end selle eest kaitsta? | AM.ee’, Arvutimaailm. https://www.am.ee/Mis-on-DDoS</ref>. Valge mütsi häkker simuleerib DDoS rünnakut selleks, et aidata ettevõttel välja töötada reageerimiskava.

====Sotsiaalne manipuleerimine====

Sotsiaalne manipuleerimine (ingl Social engineering) on manipuleerimise võte, mis kasutab ära inimlikke vigu privaatse teabe, juurdepääsu või väärisesemete hankimiseks. Küberkuritegevuse puhul kipuvad need "inimhäkkimise" pettused meelitama pahaaimamatuid kasutajaid andmeid paljastama, pahavaranakkusi levitama või piiratud süsteemidele juurdepääsu võimaldama <ref name="neliteist">‘What is Social Engineering?’, www.kaspersky.com, Mar. 09, 2022. https://www.kaspersky.com/resource-center/definitions/what-is-social-engineering</ref>. Eetilised häkkerid kasutavad sotsiaalse manipuleerimise võtteid, et testida ettevõtte süsteemide turvataset, selle parandamise eesmärgil.

====Turvalisuse skaneerimine====

Turvalisuse skaneerimine (ingl Security scanning) – valged mütsid kasutavad erilisi instrumente süsteemide nõrkuste automaatseks tuvastamiseks. Tööriistadeks on alates veebirakenduste haavatavuste tuvastamisest (nt Acunetix või Netsparker) kuni avatud lähtekoodiga pentestimiseni. <ref name="viisteist">‘20 parimat eetilise häkkimise tööriista & Tarkvara häkkeritele (2021)’. https://et.csstricks.net/8225889-20-best-ethical-hacking-tools-and-software-for-hackers-2021</ref>

==Eetilise häkkeri kasu ettevõtetele ja ühiskonnale==

Eetiline häkkimine toob üsna palju kasu ühiskonnale. Nende tegevuse ettevõtete jaoks võib klassifitseerida järgmiselt <ref name="kuusteist">‘Everything You Need to Know About a White Hat Hacker | HackerNoon’. https://hackernoon.com/everything-you-need-to-know-about-a-white-hat-hacker</ref>:

* Haavatavuste identifitseerimine - valged häkkerid aitavad leida süsteemide ja võrkude kaitsmatust. Lisaks ta on suutule andma hinnangut kaitse tasemele.
* Turvasüsteemi taseme tõstmine – tagab turvasüsteemi kõrge taseme ja annab hinnangu olemasolevale tasemele.
* Seisuaja (ingl down-time) madaldamine – valged häkkerid saavad testida, et rünnaku ajal oleks süsteem stabiilsem ja kiirem.
* Ettevõtte tugiüksuste kontrollimine – aitavad kontrollida praeguse IT toetusmeeskonna (ingl support team) taset. Kontrollivad probleemile reageerimise kiirust <ref name="seitseteist">‘Facts about White Hat Hackers for Cyber Security Portland’, Bytagig. https://www.bytagig.com/articles/facts-about-white-hat-hackers-for-cyber-security-portland/</ref>.
* Tundliku info kaitsmine – aitavad kontrollida andmete turvalisust. Eriti puudutab see punkt tundlikke valdkondi nagu pangandus, tervishoid jne.

Valged häkkerid aitavad ettevõtetel hoida turvasüsteemidega seotud kulusid madalamal. Esineb reaalne oht kaotada miljoneid sellele, et süsteeme rünnatakse või leitakse süsteemne viga. Umbes 2/4 kaotatud andmete kuludest on seotud vargustega (vaata joonis 1) ja viimane 1/4 osa on seotud inimliku eksitusega. Valged häkkerid aitavad otseselt võidelda
pahatahtlike rünnakute ning süsteemsete vigade vastu, aga nad kaudselt saavad madaldada ka inimfaktoritega seotud vigu, kuna nad oskavad anda hinnangut süsteemile, et see oleks võimalikult kaitstud.

[[File:Picture_2.png|thumb|none|250px|link=https://www.economist.com/business/2014/02/22/white-hats-to-the-rescue|Joonis 1. Andmete kaotuse maksumus iga varguseliigi kohta $]]

Ühiskonna ja tavakasutajate jaoks on valge häkkemine samuti väga kasulik, kuna interneti kasutajate arv kasvab iga aasta ja suure tõenäosusega aastaks 2030 kasutab 90% inimestest alates kuuendast eluaastast internetti <ref name="üheksateist">‘White Hat Hacker - Roles and Responsibilities’, Simplilearn.com, Sep. 16, 2019. https://www.simplilearn.com/white-hat-hacker-article</ref>. Valged häkkerid aitavad:
* Kasutajakogemust tõsta – interneti portaalid, kus teostatakse kontrolle, on kiiremad ja turvalisemad võrreldes nendega, mida ei kontrollita.
* Kasutajate andmed kaitsta - Valged häkkerid aitavad tõsta portaalide turvalisust.Juhul kui valge häkker häkib süsteemi ja saab enda valdusse kasutajate isiklikke andmeid, siis ta ei kasuta neid enda kasuks, vaid suhtleb nendesse nagu teiste inimeste varasse (erinevalt musta mütsi häkkeritega)
* Aitavad saavutada balanssi ühiskonna oskustes interneti kasutamisel – valged häkkerid on üsna paljude oskustega, samuti nagu mustad häkkerid. Kuna tavakasutajate kogemus ei ole tavaliselt nii kõrgel tasemel, siis valgete häkkerite abil ei ole nii suurt mustade häkkerite ülekaalu.

==Eetilised probleemid seoses häkkimisega==

Valgete häkkerite ees on tihti piirangud, mida nad ei tohi ületada, kuna nad võivad kogemata põhjustada süsteemi kokkukukkumise või andmete kaotuse <ref name="kakskümmend">‘White Hat Hacker - an overview | ScienceDirect Topics’. https://www.sciencedirect.com/topics/computer-science/white-hat-hacker</ref>. Tihti esineb valik, kas valged häkkerid peaksid testima reaalses keskkonnas, kus on suur oht tuua kahju, või simuleeritud keskkonnas, kus oht pole nii suur, aga ka tulemus pole garanteeritud.
Näide, kus piiri ületamine tekitas üsna suurt resonantsi ühiskonnas, oli tuntud arvutimängude tarkvaraarendaja Chris Robertsi juhtum, kes väidetavasti proovis teha läbitungimise testi Boeing 737 meelelahutussüsteemi vastu <ref name="kakskümmend üks">O. K. and D. A. of C. Lifars, ‘At what point do white hat hackers cross the ethical line?’, CSO Online, Aug. 17, 2015. https://www.csoonline.com/article/2971833/at-what-point-do-white-hat-hackers-cross-the-ethical-line.html</ref>. FBI andmetel oleks tema poolt tehtud testimine keset lendu võinud põhjustada palju probleeme lennu ohutusele. Vaatamata sellele, et lennunduse eksperdid kahtlevad, et esines mingi oht, on probleem ikka õhus - mis on see piir, mida valged häkkerid ei tohi oma tegevuses kunagi ületada?
Ühelt poolt võib lähtuda kahju tekitamise printsiibist - kas valge häkker kavatses oma tegevusega kahju tekitada? Hea kavatsus ei tähenda alati head tegevust, kui tegevus on illegaalne. Põhimõtteliselt tuleks eristada juhtumeid, millal häkkerite tegevus on rangelt piiratud ja millal mitte. Elukriitilised süsteemid nagu haigla, lennundus, pangasüsteem jne, nõuvad rangeid piiranguid ja professionaalsust läbitungimise testimisel.
Ettevõtted nagu Google, Facebook, Microsoft tihti lubavad ja toetavad avalikku testimist ning on nõus isegi häkkeritele maksma, kui nad leiavad vigu nende süsteemis. Haavatavuse avalikustamise eeskirjad (ingl vulnerability disclosure policy) tähendab, et ettevõtte ja vabakutselise agendi vahel on leping, mis kirjeldab meetodid ja instrumendid, mida võib kasutada haavatavuste leidmiseks ja kirjeldamiseks <ref name="kakskümmend kaks">‘What is ethical hacking? White hat hackers explained’, CyberNews, Oct. 14, 2019. https://cybernews.com/security/ethical-hacking/</ref>.
Eetilise häkkeri tegevusel peavad olema täidetud kriteeriumid <ref name="kakskümmend kaks" />:
* Tegevusluba – tegevus peab olema seaduslik ja häkker peab olema kindel, et ta võib tegutseda ilma, et keegi saaks kannatada.
* Piirangud – eetiline häkker ei tohiks ligipääsu saamisel seda ära kasutada, rohkem kui vajalik. Selle asemel piiravad eetilised häkkerid oma tegevust sellega, mis on väärtusliku turvaalase ülevaate saamiseks hädavajalik.
* Ei jäta lahtisi otsi – eetilise häkkeri tegevus ei tohi süsteemi jätta vähem kaitstuks. Nende tegevus ei tohi jätta jälgi, mida teised võivad kasutada süsteemi rikkumiseks.
* Aus raporteering – eetiline häkker peab raporteerima oma tegevust. Ettevõttele on oluline, et nad teaksid oma nõrkustest ja teaksid kuidas neid parandada. Raporteerimine on ka oluline eetilise häkkeri vaatepunktist, et nad vajadusel saaksid hiljem tõestada oma tegevuse eesmärki.
Nende printsiibide järgimisel on häkkerite tegevus rohkem kaitstud, esineb vähem võimalus et nad midagi rikkuvad ja on vähem tõenäoline, et nad teevad midagi ebaseaduslikku, mille eest nad ise peavad hiljem vastutama. Tänu sellele on eetiline pool ettevõtetele ja ühiskonnale tagatud.

=Eetiliseks häkkeriks saamise põhjused=

====Uudishimu====
Üheks põhjuseks miks inimene IT valdkonnas võiks saada häkkeriks on uudishimu. Huvi avastada, mida süsteem võimaldab teha, mitte seda, mida ta oli mõeldud tegema. Kuid mis motiveeriks inimest oma häkkeri oskusi mitte kuritarvitada enda huvides, vaid kasutada neid teiste heaks?

====Raha====
Mõne jaoks on selleks motivaatoriks raha. Valge mütsi häkkerid on ühed paremini tasustatavad töötajad IT valdkonnas. Näiteks USA-s sertifitseeritud eetilise häkkeri keskmine aasta palk on 82,966 USD ning võib ulatuda kuni 142,000 USD <ref name="kakskümmend kolm">‘Certified Ethical Hacker (CEH) Salary | PayScale’. https://www.payscale.com/research/US/Job=Certified_Ethical_Hacker_(CEH)/Salary</ref>. Lisaks sellele on mitmeid puugipreemiajahte (ingl Bug bounty program), mis pakkuvad head rahalist kompensatsiooni süsteemides turvalisust ohustavate vigade leidmise ja raporteerimise eest. Keskmine kompensatsioon kriitilise vea raporteerimise eest, mida HackerOne programmis välja makstakse, on ligi 3 000 USD <ref name="kakskümmend neli">‘Top 5 Takeaways from the 2021 Hacker-Powered Security Report: Industry Insights’, HackerOne. https://www.hackerone.com/hacker-powered-security-report/top-5-takeaways-2021-hacker-powered-security-report-industry </ref>. On ka ekstreemsemaid juhtumeid nagu näiteks Jay "saurik" Freeman, kes 2022 aasta veebruaris sai krüptovaluuta Ethereumi saatmise platvormi Optimism turvalisusega seotud vea raporteerimise eest 2 000 042 USD <ref name="kakskümmend viis">‘Attacking an Ethereum L2 with Unbridled Optimism’. https://www.saurik.com/optimism.html </ref>. Kuigi musta mütsi häkkeritel on samuti mitmeid võimalusi raha saamiseks, tekivad neil lisaraskused selle kasutamisel, kuna esialgu on vaja raha muuta näiliselt legaalseks.

====Kuulsus====
Kuulsus ja tunnustus on ka põhjuseks, miks mõni häkker otsustab kanda valget mütsi. Kasuks tulevad puugipreemia programmid, kus suurimate väljamaksete saajad satuvad rahvusvahelistesse uudistesse või "Hack The Air Force" programmi võitja saavutab tunnustuse IT maailmas <ref name="kakskümmend kuus">‘Interview with Hack the Air Force Winner, @CableJ’, HackerOne. https://www.hackerone.com/ethical-hacker/interview-hack-air-force-winner-cablej </ref>. Muidugi kõige kuulsamad häkkerid on musta mütsi häkkerid, kuid enamasti nad saavutavad kuulsust siis kui neid kinni peetakse või mitte väga pikka aega enne seda. Eetiline häkkimine võimaldab saavutada kuulsust ilma vanglasse sattumiseta.

====Legaalsus====
Siit tuleb ka järgmine põhjus miks mõned eelistavad olla valge mütsi häkkerid musta mütsi asemel. Seaduse rikkumine ja risk olla kinni peetud ei ole iga inimese jaoks. On neid kellele meeldib häkkida, kuid nad tegelevad sellega ametlikult lepingute raames, et seadusi mitte rikkuda. Selle kohta on hästi kommenteerinud oma intervjuus tööstuse analüütikaga tegeleva ettevõtte Uptake küberturbe osakonna juhataja Matt Jakubowski "On piir, millest ma ei tahtnud üle astuda, sest mulle ei meeldi vangla. Ma pole kunagi seal olnud, aga eeldan, et mulle ei meeldi seal." <ref name="kakskümmend seitse">‘White Hat Hackers & Ethical Hacking In 2022 | Built In’. https://builtin.com/cybersecurity/ethical-hacking </ref>.

====Soov teha head====
On ka neid, kellel pole muud põhjust vaja kui soov teha head. Nad on häkkerid, kelle jaoks on mõeldamatu teistele inimestele või organisatsioonidele kahju tekitamine. David Holmes küsitles valge mütsi häkkereid ning 74% küsitletutest vastasid, et nemad poleks mitte mingi summa eest, mida oleks karistamata võimalik saada, läinud üle musta mütsi häkkeriteks <ref name="kakskümmend kaheksa">D. H. World Security Expert, F5 Networks, Special to Network, ‘What keeps white hat hackers from turning to the dark side?’, Network World, Feb. 19, 2016. https://www.networkworld.com/article/3035594/what-keeps-white-hat-hackers-from-turning-to-the-dark-side.html </ref>. Sellest võiks järeldada, et enamuse häkkerite jaoks on poole valik pigem eetiline küsimus. Muidugi peaks mainima ka, et sama küsitluse käigus selgus, et üle poole valge mütsi häkkeritest on aeg-ajalt häkkinud sõbra või kolleegi arvutisse nalja pärast.

====Muud põhjused====
Esineb ka häkkereid, kes alustasid musta mütsi häkkeritena, kuid hiljem läksid üle valge mütsi peale. Nende puhul on raske välja tuua mingeid tüüpilisi põhjuseid selliseks otsuseks. Kuid kuulsamad juhtumid on seotud üleminekuga valge mütsi häkkeriks pärast kinnipidamist musta mütsi häkkerina. Kõige tuntum näide on Kevin Mitnick, kes 80ndate lõpus ja 90ndate alguses oli häkkinud mitmeid suuri ettevõtteid, oli 1995 aastal kinni peetud ning pärast viie aastast vanglakaristust ta asutas ettevõtte Mitnick Security. Temast sai väga edukas valge mütsi häkker ja küberturvalisuse konsultant <ref name="kakskümmend üheksa">M. S. Consulting, ‘About Kevin Mitnick | Mitnick Security’. https://www.mitnicksecurity.com/about-kevin-mitnick-mitnick-security</ref>.

=Kokkuvõte=

Eetiline häkkimine on tänapäeval väga levinud ja leidub võimalusi saada ka sertifitseeritud eetiliseks häkkeriks. Eetilist häkkerit nimetatakse ka “valge mütsi” häkkeriks, kes kasutab samu võtteid, mida pahatahtlik “musta mütsi” häkker, et tuvastada IT-süsteemides turvaauke. Eetiliseks häkkimiseks teeb selle tegevuse asjaolu, et eetiline häkker annab ülevaate kompromiteeritud kohtadest süsteemi parandamise eesmärgil. <ref name="kaks" />
Häkkimise puhul on eetilisteks probleemideks ennekõike ohutus ja isiklikele andmetele ligipääs. Eetilisel häkkimisel pannakse turvasüsteemide testimise piirid väga konkreetselt paika, et vähendada potentsiaalseid riske.

=Kasutatud kirjandus=

<references />

Eetiline häkkimine, selle võimalused ja ohud

2022-05-05T18:06:45Z

Samoss:

==Sissejuhatus==

Eetiline häkkimine on turvapraktika, kus palgatud häkker proovib IT süsteemi sisse murda, simuleerides pahaloomulist küberrünnakut <ref name="üks">‘Ethical hacking’, WhiteHat Security Glossary. https://www.whitehatsec.com/glossary/content/ethical-hacking</ref>. Fraas “eetiline häkkimine” oli esimesena kasutatud 1995 aastal IBM asepresidendi John Patricku poolt, aga selle sõna kontseptsioon on olnud olemas palju kauem. Eetilised häkkerid on tuntud ka “valge mütsi” häkkeritena ning on tavaliselt palgalised turvaspetsialistid, kes proovivad turvaauke avastada häkkimise teel. <ref name="kaks">‘History Of Ethical Hacking 1960’s To Today | RedTeam Blogs’, Jul. 17, 2021. https://redteamacademy.com/blogs/history-of-ethical-hacking/</ref>

==Ajalugu==

Häkkimise mõiste tekkis 1970ndatel, aga hakkas rohkem levima järgmisel kümnendil. Paar artiklit ja filmi hiljem, kus tutvustati häkkimist arvutisüsteemidesse, tekkis suuremale avalikkusele kuvand häkkimisest ja selle potentsiaalsest ohust.<ref name="kolm">‘What Is Hacking? Types of Hacking & More’, Fortinet. https://www.fortinet.com/resources/cyberglossary/what-is-hacking</ref>
1983 aastal häkiti sisse mitmesse asutusse, nende seas nt. Sloan-Kettering vähiravikeskus <ref name="neli">‘The 414 Gang Strikes Again - TIME’. https://web.archive.org/web/20071202043840/http://www.time.com/time/magazine/article/0,9171,949797,00.html</ref>.

Need tegevused viisid USA kongressi mitme poliisi koostamisele seoses arvutikuritegudega, aga need ei aidanud kõrge-profiili rünnakuid suurte korporatsioonide ja valitsuse süsteemide pihta vähendada. <ref name="kolm" />

Joe Grandi on öelnud oma intervjuus, et häkkeri mõiste käib kellegi kohta, kes suudab lahendada tehnilisi probleeme unikaalsel viisil. <ref name="viis">‘Joe “Kingpin” Grand on Hacker History’, PCMAG. https://www.pcmag.com/news/joe-kingpin-grand-on-hacker-history </ref>. Seda mõtet järgides saab häkkimiseks pidada peaaegu iga leiutist, isegi enne digitaalajastut. Häkkerid on aidanud kujundada tänapäeva tehnoloogiat nagu teler, raadio ja telefon, alates nende loomisest. Ilma häkkeriteta näeksid kõik need seadmed välja täpselt samasugused nagu päeval, mil nad valmistati või neid ei oleks üldse olemas, sest ei oleks olnud vajadust neid laiali levitada ja edasi arendada. Televisiooni ei oleks võib-olla kunagi leiutatud, kuna liikuva pildi jäädvustamise tehnoloogiat ei oleks kunagi keegi edasi arendanud. Liikuvate piltide kontseptsioon on aluseks väga paljudele edasistele tehnoloogiatele. <ref name="kuus">‘The Early History of Motion Pictures | American Experience | PBS’. https://www.pbs.org/wgbh/americanexperience/features/pickford-early-history-motion-pictures%20/</ref>

===Häkkimine tänapäeval===

Kui rääkida tänapäeva häkkimisest meile kõige tuttavamast küljest, siis on tegu protsessiga, mille käigus tungitakse omavoliliselt isikliku arvuti või organisatsiooni võrku. Häkkeriks võib nimetada isikut, kes kasutab oma programmi konstrueerimiseks häkkimistegevuseks mõeldud vahendeid ja mõistab nende taga olevat kontseptsiooni. <ref name="kolm" />

Privaatsus, turvalisus ja tuvastamine on muutunud kõige murettekitavamaks teemaks internetis, mis kaasneb interneti tõhususega. Madala tehnilise teadmisega teismeline võib sisse murda ohvri arvutisse ja paljastada ohvri privaatsust. Asjatundlik häkker võib ohustada ettevõtte arvutit ja põhjustada salajaste äriandmete lekkimist konkurentidele, et saada rahalist kasu. Selleks, et vältida või leevendada seda tüüpi kahju, mängib olulist rolli eetiline häkkimine, mis aitab kaasa kaitsepüüdlustele.

===Valge mütsi häkker===

Valge mütsi häkkerit nimetatakse ka eetiliseks häkkeriks, kes kasutab oma oskusi ja teadmisi selleks, et kaitsta üksikisikute, ettevõtete või valitsuste süsteeme või võrke rünnakute eest. Nad võivad olla kas ettevõtte palgalised töötajad või töövõtjad. Eetilised häkkerid mitte ainult ei tuvasta haavatavusi, mida võidakse kasutada rünnakutes, vaid aitavad ka parandada sihtsüsteemi üleüldist turvalisuse taset. Lisaks õpetavad nad inimestele, kuidas end internetis turvata. <ref name="seitse">‘Black hat, White hat, and Gray hat hackers – Definition and Explanation’, www.kaspersky.com, Feb. 09, 2022. https://www.kaspersky.com/resource-center/definitions/hacker-hat-types</ref>

===Musta mütsi häkker===

Musta mütsi häkkerid on kurjategijad, kes proovivad siseneda arvutivõrkudesse pahatahtlikul eesmärgil. Nad võivad ka paigaldada arvutitesse pahavara, mis hävitab faile, hoiab arvuteid lukus, varastab salasõnu, krediitkaardi numbreid ja muud personaalset infot. Musta mütsi häkkereid motiveerib isiklik kasu: finantsiline, kättemaks, niisama segaduse tekitamine. Vahel on nende motivatsioon ideoloogiline.

Edukamad musta mütsi häkkerid on enamasti osavad häkkerid, kes töötavad suurtes kuritegelikes organisatsioonides. Tööotsi saadakse tihti tumedas veebis. Lepingud on tihtipeale sarnased nagu tavalises äris.

Häkkimisest on saanud lahutamatu osa riiklikus luureandmete kogumises, aga on tüüpilisem, et musta mütsi häkker töötab üksi või kuritegelikus organisatsioonis lihtsa rahateenimise eesmärgil. <ref name="seitse" />

===Halli mütsi häkker===

Halli mütsi häkkerid teevad segu valgest ja mustast mütsist. Neile meeldib ennast proovile panna ja murda turvaaukudest sisse. Nad võivad häkkida süsteemi ilma loata ja öelda omanikule, milliseid haavatavusi nad leidsid (valge mütsi käitumine) või nad võivad ka lihtsalt neid haavatavusi avalikustada (musta mütsi käitumine). Näiteks võib valge mütsi häkker teha päevasel ajal võrgu kaitsmistööd ja sellega seonduvalt häkib ka teisi süsteeme.
halli mütsi häkkerid on üldiselt kahjutud ja moodustavad enamuse häkkeri kommuunist.
<ref name="seitse" /><ref name="kaheksa">‘Different Types Of Hackers – And What They Mean For Your Business | Bridewell Consulting’, https://www.bridewellconsulting.com. https://www.bridewellconsulting.com/different-types-of-hackers-and-what-they-mean-for-your-business</ref>

==Eetilised häkkerid==

Eetilised häkkerid on info- ja küberturbe spetsialistid, kes tunnevad hästi IT süsteemide testimist, läbitungimistestimist ja paljusid muid turvalisust tagavaid võrguanalüüsi lähenemisviise ning tagavad ettevõtte infosüsteemide turvalisuse ja terviklikkuse. Nad võivad kasutada mitmesuguseid lähenemisviise, et rakendada erinevaid läbitungimise või süsteemi terviklikkuse teste, mis võivad hõlmata häkkimise tööriistu, sotsiaalse manipuleerimise taktikaid ja katseid vältida standardseid turvameetmeid, et saada juurdepääs väidetavalt kaitstud alade nõrkade kohtade leidmiseks antud kaitseskeemis. Valge mütsi annet süsteemidesse tungimisel ja turvaprotokollide järgimisel kasutatakse enamasti just nende programmide ja andmebaaside paremaks kasutamiseks, nii et neist saavad tavaliselt küber- või IT-turbetööstuse seaduslikud spetsialistid või konsultandid hea palgaga – näiteks, Glassdoor andmetel, üle 100 000 USD aastas <ref name="üheksa">‘Salary: Ethical Hacker (April, 2022)’, Glassdoor. https://www.glassdoor.com/Salaries/ethical-hacker-salary-SRCH_KO0,14.htm</ref>.

===Eetilise häkkeri vajalikud oskused ja teadmised<ref name="kümme">‘Этичный хакинг: как взламывать системы и при этом зарабатывать легально’, Хабр. https://habr.com/ru/company/skillfactory/blog/525672/</ref>===

Eetiline häkker on samal ajal universaalne ja kitsa spetsialisatsiooniga: tal peavad olema laiad teadmised erinevates IT alades ja sügavad oskused ühes või mitmes valdkonnas. Üldjuhul peab noorem pentetration tester teadma ja tundma järgnevat:

* oskama administeerida Windowsi ja Linuxi süsteeme;
* tundma programmeerimise keeli nagu Python, php, Perl, Ruby, JavaScript, Bash, jne;
* tundma HTMLi;
* teadma võrguprotokolle (TCP/IP, ICMP) ja võrguteenuseid (Proxy, VPN, Samba, AD);
* tundma erinevaid protokolle nagu HTTP, FTP, DNS, SSH;
* oskama töötada andmebaasidega nagu Azure SQL Database, MySQL, Microsoft SQL Server, PostgreSQL, Oracle Database.

===Eetilise häkkeri instrumendid ja meetmed===

Valge mütsi häkker kasutab samu tehnikaid, mis tavaline häkker. Erinevus seisneb õiguslikes aspektides – valge mütsi häkkerid ründavad süsteeme ja rakendusi viimaste omanike loal ja heaks, et aidata tuvastada nõrkusi ja kitsaskohti.

====Läbitungimistest====

Läbitungimistest (ingl Penetration testing, Pentesting) on simuleeritud häkkeri rünnak, mille käigus katsetatakse erinevaid viise süsteemi sisse murdmiseks ja proovitakse tõestada, et seda saab teha. Peale testi lõpetamist ja turvaaukude leidmist koostab häkker aruande probleemide kirjeldusest, ning teeb ettepanekud nende parandamiseks. Läbitungimistest on väga levinud, ning selle 3 erinevat alamtüüpi on:

* Must kast ( ingl Black box): simulatsioon rünnakust, kus häkkeril ei ole ligipääsu ettevõtte võrku ja ta ei tunne ettevõtte IT infrastruktuuri.
* Hall kast (ingl Gray box): siin ründaja on kas endise töötaja või kliendi rollis, kes on juba natukene tuttav ettevõtte võrguga.
* Valge kast (ingl White box): häkker omab täielikku ligipääsu ettevõtte süsteemidele administraatori õigustega.

Nendest kolmest meetodist on Must kast kõige populaarsem, kuna on kõige rohkem reaalsusele lähedane. <ref name="üksteist">‘Этичный хакинг: что это, значение для информационной безопасности’. https://itglobal.com/ru-ru/company/blog/kak-etichnyj-haking-pomozhet-vovremya-najti-uyazvimosti-v-korporativnoj-seti/</ref>

====Andmepüük====

Andmepüük (ingl Phishing) meelitab ohvrit andma tundlikku teavet või klõpsama pahatahtlikul failil või lingil. Eetiliste andmepüügi kampaaniate puhul proovitakse leida ja lahendada võimalikke probleeme organisatsiooni võrgus enne rünnaku toimumist. Kampaania raames koostatakse emaile ja saadetakse ettevõttes laiali pikema perioodi jooksul, et simuleerida reaalset rünnakut ja koguda tagasisidet. <ref name="kaksteist">‘Why Ethical Phishing Campaigns Are Ineffective’, Techopedia.com. https://www.techopedia.com/why-ethical-phishing-campaigns-are-ineffective/2/34464 </ref>

[[File:Picture_1.jpg|thumb|Joonis 1. Õngitsemiskirja näide]]

====DDOS-rünnak====

DDOS-rünnak (ingl Distributed Denial-of-Service attack) on sihtmärgi päringutega üle koormamine nii, et see muutub kättesaamatuks või jookseb kokku <ref name="kolmteist">‘Mis on DDoS rünnak ja kuidas end selle eest kaitsta? | AM.ee’, Arvutimaailm. https://www.am.ee/Mis-on-DDoS</ref>. Valge mütsi häkker simuleerib DDoS rünnakut selleks, et aidata ettevõttel välja töötada reageerimiskava.

====Sotsiaalne manipuleerimine====

Sotsiaalne manipuleerimine (ingl Social engineering) on manipuleerimise võte, mis kasutab ära inimlikke vigu privaatse teabe, juurdepääsu või väärisesemete hankimiseks. Küberkuritegevuse puhul kipuvad need "inimhäkkimise" pettused meelitama pahaaimamatuid kasutajaid andmeid paljastama, pahavaranakkusi levitama või piiratud süsteemidele juurdepääsu võimaldama <ref name="neliteist">‘What is Social Engineering?’, www.kaspersky.com, Mar. 09, 2022. https://www.kaspersky.com/resource-center/definitions/what-is-social-engineering</ref>. Eetilised häkkerid kasutavad sotsiaalse manipuleerimise võtteid, et testida ettevõtte süsteemide turvataset, selle parandamise eesmärgil.

====Turvalisuse skaneerimine====

Turvalisuse skaneerimine (ingl Security scanning) – valged mütsid kasutavad erilisi instrumente süsteemide nõrkuste automaatseks tuvastamiseks. Tööriistadeks on alates veebirakenduste haavatavuste tuvastamisest (nt Acunetix või Netsparker) kuni avatud lähtekoodiga pentestimiseni. <ref name="viisteist">‘20 parimat eetilise häkkimise tööriista & Tarkvara häkkeritele (2021)’. https://et.csstricks.net/8225889-20-best-ethical-hacking-tools-and-software-for-hackers-2021</ref>

==Eetilise häkkeri kasu ettevõtetele ja ühiskonnale==

Eetiline häkkimine toob üsna palju kasu ühiskonnale. Nende tegevuse ettevõtete jaoks võib klassifitseerida järgmiselt <ref name="kuusteist">‘Everything You Need to Know About a White Hat Hacker | HackerNoon’. https://hackernoon.com/everything-you-need-to-know-about-a-white-hat-hacker</ref>:

* Haavatavuste identifitseerimine - valged häkkerid aitavad leida süsteemide ja võrkude kaitsmatust. Lisaks ta on suutule andma hinnangut kaitse tasemele.
* Turvasüsteemi taseme tõstmine – tagab turvasüsteemi kõrge taseme ja annab hinnangu olemasolevale tasemele.
* Seisuaja (ingl down-time) madaldamine – valged häkkerid saavad testida, et rünnaku ajal oleks süsteem stabiilsem ja kiirem.
* Ettevõtte tugiüksuste kontrollimine – aitavad kontrollida praeguse IT toetusmeeskonna (ingl support team) taset. Kontrollivad probleemile reageerimise kiirust <ref name="seitseteist">‘Facts about White Hat Hackers for Cyber Security Portland’, Bytagig. https://www.bytagig.com/articles/facts-about-white-hat-hackers-for-cyber-security-portland/</ref>.
* Tundliku info kaitsmine – aitavad kontrollida andmete turvalisust. Eriti puudutab see punkt tundlikke valdkondi nagu pangandus, tervishoid jne.

Valged häkkerid aitavad ettevõtetel hoida turvasüsteemidega seotud kulusid madalamal. Esineb reaalne oht kaotada miljoneid sellele, et süsteeme rünnatakse või leitakse süsteemne viga. Umbes 2/4 kaotatud andmete kuludest on seotud vargustega (vaata joonis 1) ja viimane 1/4 osa on seotud inimliku eksitusega. Valged häkkerid aitavad otseselt võidelda
pahatahtlike rünnakute ning süsteemsete vigade vastu, aga nad kaudselt saavad madaldada ka inimfaktoritega seotud vigu, kuna nad oskavad anda hinnangut süsteemile, et see oleks võimalikult kaitstud.

[[File:Picture_2.png|thumb|none|250px|link=https://www.economist.com/business/2014/02/22/white-hats-to-the-rescue|Joonis 1. Andmete kaotuse maksumus iga varguseliigi kohta $]]

Ühiskonna ja tavakasutajate jaoks on valge häkkemine samuti väga kasulik, kuna interneti kasutajate arv kasvab iga aasta ja suure tõenäosusega aastaks 2030 kasutab 90% inimestest alates kuuendast eluaastast internetti <ref name="üheksateist">‘White Hat Hacker - Roles and Responsibilities’, Simplilearn.com, Sep. 16, 2019. https://www.simplilearn.com/white-hat-hacker-article</ref>. Valged häkkerid aitavad:
* Kasutajakogemust tõsta – interneti portaalid, kus teostatakse kontrolle, on kiiremad ja turvalisemad võrreldes nendega, mida ei kontrollita.
* Kasutajate andmed kaitsta - Valged häkkerid aitavad tõsta portaalide turvalisust.Juhul kui valge häkker häkib süsteemi ja saab enda valdusse kasutajate isiklikke andmeid, siis ta ei kasuta neid enda kasuks, vaid suhtleb nendesse nagu teiste inimeste varasse (erinevalt musta mütsi häkkeritega)
* Aitavad saavutada balanssi ühiskonna oskustes interneti kasutamisel – valged häkkerid on üsna paljude oskustega, samuti nagu mustad häkkerid. Kuna tavakasutajate kogemus ei ole tavaliselt nii kõrgel tasemel, siis valgete häkkerite abil ei ole nii suurt mustade häkkerite ülekaalu.

==Eetilised probleemid seoses häkkimisega==

Valgete häkkerite ees on tihti piirangud, mida nad ei tohi ületada, kuna nad võivad kogemata põhjustada süsteemi kokkukukkumise või andmete kaotuse <ref name="kakskümmend">‘White Hat Hacker - an overview | ScienceDirect Topics’. https://www.sciencedirect.com/topics/computer-science/white-hat-hacker</ref>. Tihti esineb valik, kas valged häkkerid peaksid testima reaalses keskkonnas, kus on suur oht tuua kahju, või simuleeritud keskkonnas, kus oht pole nii suur, aga ka tulemus pole garanteeritud.
Näide, kus piiri ületamine tekitas üsna suurt resonantsi ühiskonnas, oli tuntud arvutimängude tarkvaraarendaja Chris Robertsi juhtum, kes väidetavasti proovis teha läbitungimise testi Boeing 737 meelelahutussüsteemi vastu <ref name="kakskümmend üks">O. K. and D. A. of C. Lifars, ‘At what point do white hat hackers cross the ethical line?’, CSO Online, Aug. 17, 2015. https://www.csoonline.com/article/2971833/at-what-point-do-white-hat-hackers-cross-the-ethical-line.html</ref>. FBI andmetel oleks tema poolt tehtud testimine keset lendu võinud põhjustada palju probleeme lennu ohutusele. Vaatamata sellele, et lennunduse eksperdid kahtlevad, et esines mingi oht, on probleem ikka õhus - mis on see piir, mida valged häkkerid ei tohi oma tegevuses kunagi ületada?
Ühelt poolt võib lähtuda kahju tekitamise printsiibist - kas valge häkker kavatses oma tegevusega kahju tekitada? Hea kavatsus ei tähenda alati head tegevust, kui tegevus on illegaalne. Põhimõtteliselt tuleks eristada juhtumeid, millal häkkerite tegevus on rangelt piiratud ja millal mitte. Elukriitilised süsteemid nagu haigla, lennundus, pangasüsteem jne, nõuvad rangeid piiranguid ja professionaalsust läbitungimise testimisel.
Ettevõtted nagu Google, Facebook, Microsoft tihti lubavad ja toetavad avalikku testimist ning on nõus isegi häkkeritele maksma, kui nad leiavad vigu nende süsteemis. Haavatavuse avalikustamise eeskirjad (ingl vulnerability disclosure policy) tähendab, et ettevõtte ja vabakutselise agendi vahel on leping, mis kirjeldab meetodid ja instrumendid, mida võib kasutada haavatavuste leidmiseks ja kirjeldamiseks <ref name="kakskümmend kaks">‘What is ethical hacking? White hat hackers explained’, CyberNews, Oct. 14, 2019. https://cybernews.com/security/ethical-hacking/</ref>.
Eetilise häkkeri tegevusel peavad olema täidetud kriteeriumid <ref name="kakskümmend kaks" />:
* Tegevusluba – tegevus peab olema seaduslik ja häkker peab olema kindel, et ta võib tegutseda ilma, et keegi saaks kannatada.
* Piirangud – eetiline häkker ei tohiks ligipääsu saamisel seda ära kasutada, rohkem kui vajalik. Selle asemel piiravad eetilised häkkerid oma tegevust sellega, mis on väärtusliku turvaalase ülevaate saamiseks hädavajalik.
* Ei jäta lahtisi otsi – eetilise häkkeri tegevus ei tohi süsteemi jätta vähem kaitstuks. Nende tegevus ei tohi jätta jälgi, mida teised võivad kasutada süsteemi rikkumiseks.
* Aus raporteering – eetiline häkker peab raporteerima oma tegevust. Ettevõttele on oluline, et nad teaksid oma nõrkustest ja teaksid kuidas neid parandada. Raporteerimine on ka oluline eetilise häkkeri vaatepunktist, et nad vajadusel saaksid hiljem tõestada oma tegevuse eesmärki.
Nende printsiibide järgimisel on häkkerite tegevus rohkem kaitstud, esineb vähem võimalus et nad midagi rikkuvad ja on vähem tõenäoline, et nad teevad midagi ebaseaduslikku, mille eest nad ise peavad hiljem vastutama. Tänu sellele on eetiline pool ettevõtetele ja ühiskonnale tagatud.

=Eetiliseks häkkeriks saamise põhjused=

====Uudishimu====
Üheks põhjuseks miks inimene IT valdkonnas võiks saada häkkeriks on uudishimu. Huvi avastada, mida süsteem võimaldab teha, mitte seda, mida ta oli mõeldud tegema. Kuid mis motiveeriks inimest oma häkkeri oskusi mitte kuritarvitada enda huvides, vaid kasutada neid teiste heaks?

====Raha====
Mõne jaoks on selleks motivaatoriks raha. Valge mütsi häkkerid on ühed paremini tasustatavad töötajad IT valdkonnas. Näiteks USA-s sertifitseeritud eetilise häkkeri keskmine aasta palk on 82,966 USD ning võib ulatuda kuni 142,000 USD <ref name="kakskümmend kolm">‘Certified Ethical Hacker (CEH) Salary | PayScale’. https://www.payscale.com/research/US/Job=Certified_Ethical_Hacker_(CEH)/Salary</ref>. Lisaks sellele on mitmeid puugipreemiajahte (ingl Bug bounty program), mis pakkuvad head rahalist kompensatsiooni süsteemides turvalisust ohustavate vigade leidmise ja raporteerimise eest. Keskmine kompensatsioon kriitilise vea raporteerimise eest, mida HackerOne programmis välja makstakse, on ligi 3 000 USD <ref name="kakskümmend neli">‘Top 5 Takeaways from the 2021 Hacker-Powered Security Report: Industry Insights’, HackerOne. https://www.hackerone.com/hacker-powered-security-report/top-5-takeaways-2021-hacker-powered-security-report-industry </ref>. On ka ekstreemsemaid juhtumeid nagu näiteks Jay "saurik" Freeman, kes 2022 aasta veebruaris sai krüptovaluuta Ethereumi saatmise platvormi Optimism turvalisusega seotud vea raporteerimise eest 2 000 042 USD <ref name="kakskümmend viis">‘Attacking an Ethereum L2 with Unbridled Optimism’. https://www.saurik.com/optimism.html </ref>. Kuigi musta mütsi häkkeritel on samuti mitmeid võimalusi raha saamiseks, tekivad neil lisaraskused selle kasutamisel, kuna esialgu on vaja raha muuta näiliselt legaalseks.

====Kuulsus====
Kuulsus ja tunnustus on ka põhjuseks, miks mõni häkker otsustab kanda valget mütsi. Kasuks tulevad puugipreemia programmid, kus suurimate väljamaksete saajad satuvad rahvusvahelistesse uudistesse või "Hack The Air Force" programmi võitja saavutab tunnustuse IT maailmas <ref name="kakskümmend kuus">‘Interview with Hack the Air Force Winner, @CableJ’, HackerOne. https://www.hackerone.com/ethical-hacker/interview-hack-air-force-winner-cablej </ref>. Muidugi kõige kuulsamad häkkerid on musta mütsi häkkerid, kuid enamasti nad saavutavad kuulsust siis kui neid kinni peetakse või mitte väga pikka aega enne seda. Eetiline häkkimine võimaldab saavutada kuulsust ilma vanglasse sattumiseta.

====Legaalsus====
Siit tuleb ka järgmine põhjus miks mõned eelistavad olla valge mütsi häkkerid musta mütsi asemel. Seaduse rikkumine ja risk olla kinni peetud ei ole iga inimese jaoks. On neid kellele meeldib häkkida, kuid nad tegelevad sellega ametlikult lepingute raames, et seadusi mitte rikkuda. Selle kohta on hästi kommenteerinud oma intervjuus tööstuse analüütikaga tegeleva ettevõtte Uptake küberturbe osakonna juhataja Matt Jakubowski "On piir, millest ma ei tahtnud üle astuda, sest mulle ei meeldi vangla. Ma pole kunagi seal olnud, aga eeldan, et mulle ei meeldi seal." <ref name="kakskümmend seitse">‘White Hat Hackers & Ethical Hacking In 2022 | Built In’. https://builtin.com/cybersecurity/ethical-hacking </ref>.

====Soov teha head====
On ka neid, kellel pole muud põhjust vaja kui soov teha head. Nad on häkkerid, kelle jaoks on mõeldamatu teistele inimestele või organisatsioonidele kahju tekitamine. David Holmes küsitles valge mütsi häkkereid ning 74% küsitletutest vastasid, et nemad poleks mitte mingi summa eest, mida oleks karistamata võimalik saada, läinud üle musta mütsi häkkeriteks <ref name="kakskümmend kaheksa">D. H. World Security Expert, F5 Networks, Special to Network, ‘What keeps white hat hackers from turning to the dark side?’, Network World, Feb. 19, 2016. https://www.networkworld.com/article/3035594/what-keeps-white-hat-hackers-from-turning-to-the-dark-side.html </ref>. Sellest võiks järeldada, et enamuse häkkerite jaoks on poole valik pigem eetiline küsimus. Muidugi peaks mainima ka, et sama küsitluse käigus selgus, et üle poole valge mütsi häkkeritest on aeg-ajalt häkkinud sõbra või kolleegi arvutisse nalja pärast.

====Muud põhjused====
Esineb ka häkkereid, kes alustasid musta mütsi häkkeritena, kuid hiljem läksid üle valge mütsi peale. Nende puhul on raske välja tuua mingeid tüüpilisi põhjuseid selliseks otsuseks. Kuid kuulsamad juhtumid on seotud üleminekuga valge mütsi häkkeriks pärast kinnipidamist musta mütsi häkkerina. Kõige tuntum näide on Kevin Mitnick, kes 80ndate lõpus ja 90ndate alguses oli häkkinud mitmeid suuri ettevõtteid, oli 1995 aastal kinni peetud ning pärast viie aastast vanglakaristust ta asutas ettevõtte Mitnick Security. Temast sai väga edukas valge mütsi häkker ja küberturvalisuse konsultant <ref name="kakskümmend üheksa">M. S. Consulting, ‘About Kevin Mitnick | Mitnick Security’. https://www.mitnicksecurity.com/about-kevin-mitnick-mitnick-security</ref>.

=Kokkuvõte=

Eetiline häkkimine on tänapäeval väga levinud ja leidub võimalusi saada ka sertifitseeritud eetiliseks häkkeriks. Eetilist häkkerit nimetatakse ka “valge mütsi” häkkeriks, kes kasutab samu võtteid, mida pahatahtlik “musta mütsi” häkker, et tuvastada IT-süsteemides turvaauke. Eetiliseks häkkimiseks teeb selle tegevuse asjaolu, et eetiline häkker annab ülevaate kompromiteeritud kohtadest süsteemi parandamise eesmärgil. <ref name="kaks" />
Häkkimise puhul on eetilisteks probleemideks ennekõike ohutus ja isiklikele andmetele ligipääs. Eetilisel häkkimisel pannakse turvasüsteemide testimise piirid väga konkreetselt paika, et vähendada potentsiaalseid riske.

=Kasutatud kirjandus=

<references />

Eetiline häkkimine, selle võimalused ja ohud

2022-05-05T18:02:30Z

Samoss:

==Sissejuhatus==

Eetiline häkkimine on turvapraktika, kus palgatud häkker proovib IT süsteemi sisse murda, simuleerides pahaloomulist küberrünnakut <ref name="üks">‘Ethical hacking’, WhiteHat Security Glossary. https://www.whitehatsec.com/glossary/content/ethical-hacking</ref>. Fraas “eetiline häkkimine” oli esimesena kasutatud 1995 aastal IBM asepresidendi John Patricku poolt, aga selle sõna kontseptsioon on olnud olemas palju kauem. Eetilised häkkerid on tuntud ka “valge mütsi” häkkeritena ning on tavaliselt palgalised turvaspetsialistid, kes proovivad turvaauke avastada häkkimise teel. <ref name="kaks">‘History Of Ethical Hacking 1960’s To Today | RedTeam Blogs’, Jul. 17, 2021. https://redteamacademy.com/blogs/history-of-ethical-hacking/</ref>

==Ajalugu==

Häkkimise mõiste tekkis 1970ndatel, aga hakkas rohkem levima järgmisel kümnendil. Paar artiklit ja filmi hiljem, kus tutvustati häkkimist arvutisüsteemidesse, tekkis suuremale avalikkusele kuvand häkkimisest ja selle potentsiaalsest ohust.<ref name="kolm">‘What Is Hacking? Types of Hacking & More’, Fortinet. https://www.fortinet.com/resources/cyberglossary/what-is-hacking</ref>
1983 aastal häkiti sisse mitmesse asutusse, nende seas nt. Sloan-Kettering vähiravikeskus <ref name="neli">‘The 414 Gang Strikes Again - TIME’. https://web.archive.org/web/20071202043840/http://www.time.com/time/magazine/article/0,9171,949797,00.html</ref>.

Need tegevused viisid USA kongressi mitme poliisi koostamisele seoses arvutikuritegudega, aga need ei aidanud kõrge-profiili rünnakuid suurte korporatsioonide ja valitsuse süsteemide pihta vähendada. <ref name="kolm" />

Joe Grandi on öelnud oma intervjuus, et häkkeri mõiste käib kellegi kohta, kes suudab lahendada tehnilisi probleeme unikaalsel viisil. <ref name="viis">‘Joe “Kingpin” Grand on Hacker History’, PCMAG. https://www.pcmag.com/news/joe-kingpin-grand-on-hacker-history </ref>. Seda mõtet järgides saab häkkimiseks pidada peaaegu iga leiutist, isegi enne digitaalajastut. Häkkerid on aidanud kujundada tänapäeva tehnoloogiat nagu teler, raadio ja telefon, alates nende loomisest. Ilma häkkeriteta näeksid kõik need seadmed välja täpselt samasugused nagu päeval, mil nad valmistati või neid ei oleks üldse olemas, sest ei oleks olnud vajadust neid laiali levitada ja edasi arendada. Televisiooni ei oleks võib-olla kunagi leiutatud, kuna liikuva pildi jäädvustamise tehnoloogiat ei oleks kunagi keegi edasi arendanud. Liikuvate piltide kontseptsioon on aluseks väga paljudele edasistele tehnoloogiatele. <ref name="kuus">‘The Early History of Motion Pictures | American Experience | PBS’. https://www.pbs.org/wgbh/americanexperience/features/pickford-early-history-motion-pictures%20/</ref>

===Häkkimine tänapäeval===

Kui rääkida tänapäeva häkkimisest meile kõige tuttavamast küljest, siis on tegu protsessiga, mille käigus tungitakse omavoliliselt isikliku arvuti või organisatsiooni võrku. Häkkeriks võib nimetada isikut, kes kasutab oma programmi konstrueerimiseks häkkimistegevuseks mõeldud vahendeid ja mõistab nende taga olevat kontseptsiooni. <ref name="kolm" />

Privaatsus, turvalisus ja tuvastamine on muutunud kõige murettekitavamaks teemaks internetis, mis kaasneb interneti tõhususega. Madala tehnilise teadmisega teismeline võib sisse murda ohvri arvutisse ja paljastada ohvri privaatsust. Asjatundlik häkker võib ohustada ettevõtte arvutit ja põhjustada salajaste äriandmete lekkimist konkurentidele, et saada rahalist kasu. Selleks, et vältida või leevendada seda tüüpi kahju, mängib olulist rolli eetiline häkkimine, mis aitab kaasa kaitsepüüdlustele.

===Valge mütsi häkker===

Valge mütsi häkkerit nimetatakse ka eetiliseks häkkeriks, kes kasutab oma oskusi ja teadmisi selleks, et kaitsta üksikisikute, ettevõtete või valitsuste süsteeme või võrke rünnakute eest. Nad võivad olla kas ettevõtte palgalised töötajad või töövõtjad. Eetilised häkkerid mitte ainult ei tuvasta haavatavusi, mida võidakse kasutada rünnakutes, vaid aitavad ka parandada sihtsüsteemi üleüldist turvalisuse taset. Lisaks õpetavad nad inimestele, kuidas end internetis turvata. <ref name="seitse">‘Black hat, White hat, and Gray hat hackers – Definition and Explanation’, www.kaspersky.com, Feb. 09, 2022. https://www.kaspersky.com/resource-center/definitions/hacker-hat-types</ref>

===Musta mütsi häkker===

Musta mütsi häkkerid on kurjategijad, kes proovivad siseneda arvutivõrkudesse pahatahtlikul eesmärgil. Nad võivad ka paigaldada arvutitesse pahavara, mis hävitab faile, hoiab arvuteid lukus, varastab salasõnu, krediitkaardi numbreid ja muud personaalset infot. Musta mütsi häkkereid motiveerib isiklik kasu: finantsiline, kättemaks, niisama segaduse tekitamine. Vahel on nende motivatsioon ideoloogiline.

Edukamad musta mütsi häkkerid on enamasti osavad häkkerid, kes töötavad suurtes kuritegelikes organisatsioonides. Tööotsi saadakse tihti tumedas veebis. Lepingud on tihtipeale sarnased nagu tavalises äris.

Häkkimisest on saanud lahutamatu osa riiklikus luureandmete kogumises, aga on tüüpilisem, et musta mütsi häkker töötab üksi või kuritegelikus organisatsioonis lihtsa rahateenimise eesmärgil. <ref name="seitse" />

===Halli mütsi häkker===

Halli mütsi häkkerid teevad segu valgest ja mustast mütsist. Neile meeldib ennast proovile panna ja murda turvaaukudest sisse. Nad võivad häkkida süsteemi ilma loata ja öelda omanikule, milliseid haavatavusi nad leidsid (valge mütsi käitumine) või nad võivad ka lihtsalt neid haavatavusi avalikustada (musta mütsi käitumine). Näiteks võib valge mütsi häkker teha päevasel ajal võrgu kaitsmistööd ja sellega seonduvalt häkib ka teisi süsteeme.
halli mütsi häkkerid on üldiselt kahjutud ja moodustavad enamuse häkkeri kommuunist.
<ref name="seitse" /><ref name="kaheksa">‘Different Types Of Hackers – And What They Mean For Your Business | Bridewell Consulting’, https://www.bridewellconsulting.com. https://www.bridewellconsulting.com/different-types-of-hackers-and-what-they-mean-for-your-business</ref>

==Eetilised häkkerid==

Eetilised häkkerid on info- ja küberturbe spetsialistid, kes tunnevad hästi IT süsteemide testimist, läbitungimistestimist ja paljusid muid turvalisust tagavaid võrguanalüüsi lähenemisviise ning tagavad ettevõtte infosüsteemide turvalisuse ja terviklikkuse. Nad võivad kasutada mitmesuguseid lähenemisviise, et rakendada erinevaid läbitungimise või süsteemi terviklikkuse teste, mis võivad hõlmata häkkimise tööriistu, sotsiaalse manipuleerimise taktikaid ja katseid vältida standardseid turvameetmeid, et saada juurdepääs väidetavalt kaitstud alade nõrkade kohtade leidmiseks antud kaitseskeemis. Valge mütsi annet süsteemidesse tungimisel ja turvaprotokollide järgimisel kasutatakse enamasti just nende programmide ja andmebaaside paremaks kasutamiseks, nii et neist saavad tavaliselt küber- või IT-turbetööstuse seaduslikud spetsialistid või konsultandid hea palgaga – näiteks, Glassdoor andmetel, üle 100 000 USD aastas <ref name="üheksa">‘Salary: Ethical Hacker (April, 2022)’, Glassdoor. https://www.glassdoor.com/Salaries/ethical-hacker-salary-SRCH_KO0,14.htm</ref>.

===Eetilise häkkeri vajalikud oskused ja teadmised<ref name="kümme">‘Этичный хакинг: как взламывать системы и при этом зарабатывать легально’, Хабр. https://habr.com/ru/company/skillfactory/blog/525672/</ref>===

Eetiline häkker on samal ajal universaalne ja kitsa spetsialisatsiooniga: tal peavad olema laiad teadmised erinevates IT alades ja sügavad oskused ühes või mitmes valdkonnas. Üldjuhul peab noorem pentetration tester teadma ja tundma järgnevat:

* oskama administeerida Windowsi ja Linuxi süsteeme;
* tundma programmeerimise keeli nagu Python, php, Perl, Ruby, JavaScript, Bash, jne;
* tundma HTMLi;
* teadma võrguprotokolle (TCP/IP, ICMP) ja võrguteenuseid (Proxy, VPN, Samba, AD);
* tundma erinevaid protokolle nagu HTTP, FTP, DNS, SSH;
* oskama töötada andmebaasidega nagu Azure SQL Database, MySQL, Microsoft SQL Server, PostgreSQL, Oracle Database.

===Eetilise häkkeri instrumendid ja meetmed===

Valge mütsi häkker kasutab samu tehnikaid, mis tavaline häkker. Erinevus seisneb õiguslikes aspektides – valge mütsi häkkerid ründavad süsteeme ja rakendusi viimaste omanike loal ja heaks, et aidata tuvastada nõrkusi ja kitsaskohti.

====Läbitungimistest====

Läbitungimistest (ingl Penetration testing, Pentesting) on simuleeritud häkkeri rünnak, mille käigus katsetatakse erinevaid viise süsteemi sisse murdmiseks ja proovitakse tõestada, et seda saab teha. Peale testi lõpetamist ja turvaaukude leidmist koostab häkker aruande probleemide kirjeldusest, ning teeb ettepanekud nende parandamiseks. Läbitungimistest on väga levinud, ning selle 3 erinevat alamtüüpi on:

* Must kast ( ingl Black box): simulatsioon rünnakust, kus häkkeril ei ole ligipääsu ettevõtte võrku ja ta ei tunne ettevõtte IT infrastruktuuri.
* Hall kast (ingl Gray box): siin ründaja on kas endise töötaja või kliendi rollis, kes on juba natukene tuttav ettevõtte võrguga.
* Valge kast (ingl White box): häkker omab täielikku ligipääsu ettevõtte süsteemidele administraatori õigustega.

Nendest kolmest meetodist on Must kast kõige populaarsem, kuna on kõige rohkem reaalsusele lähedane. <ref name="üksteist">‘Этичный хакинг: что это, значение для информационной безопасности’. https://itglobal.com/ru-ru/company/blog/kak-etichnyj-haking-pomozhet-vovremya-najti-uyazvimosti-v-korporativnoj-seti/</ref>

====Andmepüük====

Andmepüük (ingl Phishing) meelitab ohvrit andma tundlikku teavet või klõpsama pahatahtlikul failil või lingil. Eetiliste andmepüügi kampaaniate puhul proovitakse leida ja lahendada võimalikke probleeme organisatsiooni võrgus enne rünnaku toimumist. Kampaania raames koostatakse emaile ja saadetakse ettevõttes laiali pikema perioodi jooksul, et simuleerida reaalset rünnakut ja koguda tagasisidet. <ref name="kaksteist">‘Why Ethical Phishing Campaigns Are Ineffective’, Techopedia.com. https://www.techopedia.com/why-ethical-phishing-campaigns-are-ineffective/2/34464 </ref>

[[File:Picture_1.jpg|thumb|Joonis 1. Õngitsemiskirja näide]]

====DDOS-rünnak====

DDOS-rünnak (ingl Distributed Denial-of-Service attack) on sihtmärgi päringutega üle koormamine nii, et see muutub kättesaamatuks või jookseb kokku <ref name="kolmteist">‘Mis on DDoS rünnak ja kuidas end selle eest kaitsta? | AM.ee’, Arvutimaailm. https://www.am.ee/Mis-on-DDoS</ref>. Valge mütsi häkker simuleerib DDoS rünnakut selleks, et aidata ettevõttel välja töötada reageerimiskava.

====Sotsiaalne manipuleerimine====

Sotsiaalne manipuleerimine (ingl Social engineering) on manipuleerimise võte, mis kasutab ära inimlikke vigu privaatse teabe, juurdepääsu või väärisesemete hankimiseks. Küberkuritegevuse puhul kipuvad need "inimhäkkimise" pettused meelitama pahaaimamatuid kasutajaid andmeid paljastama, pahavaranakkusi levitama või piiratud süsteemidele juurdepääsu võimaldama <ref name="neliteist">‘What is Social Engineering?’, www.kaspersky.com, Mar. 09, 2022. https://www.kaspersky.com/resource-center/definitions/what-is-social-engineering</ref>. Eetilised häkkerid kasutavad sotsiaalse manipuleerimise võtteid, et testida ettevõtte süsteemide turvataset, selle parandamise eesmärgil.

====Turvalisuse skaneerimine====

Turvalisuse skaneerimine (ingl Security scanning) – valged mütsid kasutavad erilisi instrumente süsteemide nõrkuste automaatseks tuvastamiseks. Tööriistadeks on alates veebirakenduste haavatavuste tuvastamisest (nt Acunetix või Netsparker) kuni avatud lähtekoodiga pentestimiseni. <ref name="viisteist">‘20 parimat eetilise häkkimise tööriista & Tarkvara häkkeritele (2021)’. https://et.csstricks.net/8225889-20-best-ethical-hacking-tools-and-software-for-hackers-2021</ref>

==Eetilise häkkeri kasu ettevõtetele ja ühiskonnale==

Eetiline häkkimine toob üsna palju kasu ühiskonnale. Nende tegevuse ettevõtete jaoks võib klassifitseerida järgmiselt <ref name="kuusteist">‘Everything You Need to Know About a White Hat Hacker | HackerNoon’. https://hackernoon.com/everything-you-need-to-know-about-a-white-hat-hacker</ref>:

* haavatavuste identifitseerimine - valged häkkerid aitavad leida süsteemide ja võrkude kaitsmatust. Lisaks ta on suutule andma hinnangut kaitse tasemele.
* Turvasüsteemi taseme tõstmine – tagab turvasüsteemi kõrge taseme ja annab hinnangu olemasolevale tasemele.
* Seisuaja (ingl down-time) madaldamine – valged häkkerid saavad testida, et rünnaku ajal oleks süsteem stabiilsem ja kiirem.
* Ettevõtte tugiüksuste kontrollimine – aitavad kontrollida praeguse IT toetusmeeskonna (ingl support team) taset. Kontrollivad probleemile reageerimise kiirust <ref name="seitseteist">‘Facts about White Hat Hackers for Cyber Security Portland’, Bytagig. https://www.bytagig.com/articles/facts-about-white-hat-hackers-for-cyber-security-portland/</ref>.
* Tundliku info kaitsmine – aitavad kontrollida andmete turvalisust. Eriti puudutab see punkt tundlikke valdkondi nagu pangandus, tervishoid jne.

Valged häkkerid aitavad ettevõtetel hoida turvasüsteemidega seotud kulusid madalamal. Esineb reaalne oht kaotada miljoneid sellele, et süsteeme rünnatakse või leitakse süsteemne viga. Umbes 2/4 kaotatud andmete kuludest on seotud vargustega (vaata joonis 1) ja viimane 1/4 osa on seotud inimliku eksitusega. Valged häkkerid aitavad otseselt võidelda
pahatahtlike rünnakute ning süsteemsete vigade vastu, aga nad kaudselt saavad madaldada ka inimfaktoritega seotud vigu, kuna nad oskavad anda hinnangut süsteemile, et see oleks võimalikult kaitstud.

[[File:Picture_2.png|thumb|none|250px|link=https://www.economist.com/business/2014/02/22/white-hats-to-the-rescue|Joonis 1. Andmete kaotuse maksumus iga varguseliigi kohta $]]

Ühiskonna ja tavakasutajate jaoks on valge häkkemine samuti väga kasulik, kuna interneti kasutajate arv kasvab iga aasta ja suure tõenäosusega aastaks 2030 kasutab 90% inimestest alates kuuendast eluaastast internetti <ref name="üheksateist">‘White Hat Hacker - Roles and Responsibilities’, Simplilearn.com, Sep. 16, 2019. https://www.simplilearn.com/white-hat-hacker-article</ref>. Valged häkkerid aitavad:
* Kasutajakogemust tõsta – interneti portaalid, kus teostatakse kontrolle, on kiiremad ja turvalisemad võrreldes nendega, mida ei kontrollita.
* Kasutajate andmed kaitsta - Valged häkkerid aitavad tõsta portaalide turvalisust.Juhul kui valge häkker häkib süsteemi ja saab enda valdusse kasutajate isiklikke andmeid, siis ta ei kasuta neid enda kasuks, vaid suhtleb nendesse nagu teiste inimeste varasse (erinevalt musta mütsi häkkeritega)
* Aitavad saavutada balanssi ühiskonna oskustes interneti kasutamisel – valged häkkerid on üsna paljude oskustega, samuti nagu mustad häkkerid. Kuna tavakasutajate kogemus ei ole tavaliselt nii kõrgel tasemel, siis valgete häkkerite abil ei ole nii suurt mustade häkkerite ülekaalu.

==Eetilised probleemid seoses häkkimisega==

Valgete häkkerite ees on tihti piirangud, mida nad ei tohi ületada, kuna nad võivad kogemata põhjustada süsteemi kokkukukkumise või andmete kaotuse <ref name="kakskümmend">‘White Hat Hacker - an overview | ScienceDirect Topics’. https://www.sciencedirect.com/topics/computer-science/white-hat-hacker</ref>. Tihti esineb valik, kas valged häkkerid peaksid testima reaalses keskkonnas, kus on suur oht tuua kahju, või simuleeritud keskkonnas, kus oht pole nii suur, aga ka tulemus pole garanteeritud.
Näide, kus piiri ületamine tekitas üsna suurt resonantsi ühiskonnas, oli tuntud arvutimängude tarkvaraarendaja Chris Robertsi juhtum, kes väidetavasti proovis teha läbitungimise testi Boeing 737 meelelahutussüsteemi vastu <ref name="kakskümmend üks">O. K. and D. A. of C. Lifars, ‘At what point do white hat hackers cross the ethical line?’, CSO Online, Aug. 17, 2015. https://www.csoonline.com/article/2971833/at-what-point-do-white-hat-hackers-cross-the-ethical-line.html</ref>. FBI andmetel oleks tema poolt tehtud testimine keset lendu võinud põhjustada palju probleeme lennu ohutusega. Vaatamata sellele, et lennu eksperdid kahtlevad, et esines mingi oht, on probleem ikka õhus - mis on see piir, mida valged häkkerid ei tohi oma tegevuses kunagi ületada?
Ühelt poolt võib lähtuda kahju tekitamise printsiibist - kas valge häkker kavatses oma tegevusega kahju tekitada? Probleemiks on, et hea kavatsus ei tähenda alati head tegevust, kus tegevus võib olla illegaalne. Põhimõtteliselt tuleks eristada juhtumeid, millal häkkerite tegevus on rangelt piiratud ja millal mitte. Elukriitilised süsteemid nagu haigla, lennundus, pangasüsteem jne, nõuvad rangeid piiranguid ja professionaalsust läbitungimise testimisel.
Ettevõtted nagu Google, Facebook, Microsoft tihti lubavad ja toetavad avalikku testimist ning on nõus isegi häkkeritele maksma, kui nad leiavad vigu nende süsteemis. Haavatavuse avalikustamise eeskirjad (ingl vulnerability disclosure policy) tähendab, et ettevõtte ja vabakutselise agendi vahel on leping, mis kirjeldab meetodid ja instrumendid, mida võib kasutada haavatavuste leidmiseks ja kirjeldamiseks <ref name="kakskümmend kaks">‘What is ethical hacking? White hat hackers explained’, CyberNews, Oct. 14, 2019. https://cybernews.com/security/ethical-hacking/</ref>.
Eetilise häkkeri tegevusel peavad olema täidetud kriteeriumid <ref name="kakskümmend kaks" />:
* Tegevusluba – tegevus peab olema seaduslik ja häkker peab olema kindel, et ta võib tegutseda ilma, et keegi saaks kannatada.
* Piirangud – eetiline häkker ei tohiks ligipääsu saamisel seda ära kasutada, rohkem kui vajalik. Selle asemel piiravad eetilised häkkerid oma tegevust sellega, mis on väärtusliku turvaalase ülevaate saamiseks hädavajalik.
* Ei jäta lahtisi otsi – eetilise häkkeri tegevus ei tohi süsteemi jätta vähem kaitstuks. Nende tegevus ei tohi jätta jälgi, mida teised võivad kasutada süsteemi rikkumiseks.
* Aus raporteering – eetiline häkker peab raporteerima oma tegevust. Ettevõttele on oluline, et nad teaksid oma nõrkustest ja teaksid kuidas neid parandada. Raporteerimine on ka oluline eetilise häkkeri vaatepunktist, et nad vajadusel saaksid hiljem tõestada oma tegevuse eesmärki.
Nende printsiibide järgimisel on häkkerite tegevus rohkem kaitstud, esineb vähem võimalus et nad midagi rikkuvad ja on vähem tõenäoline, et nad teevad midagi ebaseaduslikku, mille eest nad ise peavad hiljem vastutama. Tänu sellele on eetiline pool ettevõtetele ja ühiskonnale tagatud.

=Eetiliseks häkkeriks saamise põhjused=

====Uudishimu====
Üheks põhjuseks miks inimene IT valdkonnas võiks saada häkkeriks on uudishimu. Huvi avastada, mida süsteem võimaldab teha, mitte seda, mida ta oli mõeldud tegema. Kuid mis motiveeriks inimest oma häkkeri oskusi mitte kuritarvitada enda huvides, vaid kasutada neid teiste heaks?

====Raha====
Mõne jaoks on selleks motivaatoriks raha. Valge mütsi häkkerid on ühed paremini tasustatavad töötajad IT valdkonnas. Näiteks USA-s sertifitseeritud eetilise häkkeri keskmine aasta palk on 82,966 USD ning võib ulatuda kuni 142,000 USD <ref name="kakskümmend kolm">‘Certified Ethical Hacker (CEH) Salary | PayScale’. https://www.payscale.com/research/US/Job=Certified_Ethical_Hacker_(CEH)/Salary</ref>. Lisaks sellele on mitmeid puugipreemiajahte (ingl Bug bounty program), mis pakkuvad head rahalist kompensatsiooni süsteemides turvalisust ohustavate vigade leidmise ja raporteerimise eest. Keskmine kompensatsioon kriitilise vea raporteerimise eest, mida HackerOne programmis välja makstakse, on ligi 3 000 USD <ref name="kakskümmend neli">‘Top 5 Takeaways from the 2021 Hacker-Powered Security Report: Industry Insights’, HackerOne. https://www.hackerone.com/hacker-powered-security-report/top-5-takeaways-2021-hacker-powered-security-report-industry </ref>. On ka ekstreemsemaid juhtumeid nagu näiteks Jay "saurik" Freeman, kes 2022 aasta veebruaris sai krüptovaluuta Ethereumi saatmise platvormi Optimism turvalisusega seotud vea raporteerimise eest 2 000 042 USD <ref name="kakskümmend viis">‘Attacking an Ethereum L2 with Unbridled Optimism’. https://www.saurik.com/optimism.html </ref>. Kuigi musta mütsi häkkeritel on samuti mitmeid võimalusi raha saamiseks, tekivad neil lisaraskused selle kasutamisel, kuna esialgu on vaja raha muuta näiliselt legaalseks.

====Kuulsus====
Kuulsus ja tunnustus on ka põhjuseks, miks mõni häkker otsustab kanda valget mütsi. Kasuks tulevad puugipreemia programmid, kus suurimate väljamaksete saajad satuvad rahvusvahelistesse uudistesse või "Hack The Air Force" programmi võitja saavutab tunnustuse IT maailmas <ref name="kakskümmend kuus">‘Interview with Hack the Air Force Winner, @CableJ’, HackerOne. https://www.hackerone.com/ethical-hacker/interview-hack-air-force-winner-cablej </ref>. Muidugi kõige kuulsamad häkkerid on musta mütsi häkkerid, kuid enamasti nad saavutavad kuulsust siis kui neid kinni peetakse või mitte väga pikka aega enne seda. Eetiline häkkimine võimaldab saavutada kuulsust ilma vanglasse sattumiseta.

====Legaalsus====
Siit tuleb ka järgmine põhjus miks mõned eelistavad olla valge mütsi häkkerid musta mütsi asemel. Seaduse rikkumine ja risk olla kinni peetud ei ole iga inimese jaoks. On neid kellele meeldib häkkida, kuid nad tegelevad sellega ametlikult lepingute raames, et seadusi mitte rikkuda. Selle kohta on hästi kommenteerinud oma intervjuus tööstuse analüütikaga tegeleva ettevõtte Uptake küberturbe osakonna juhataja Matt Jakubowski "On piir, millest ma ei tahtnud üle astuda, sest mulle ei meeldi vangla. Ma pole kunagi seal olnud, aga eeldan, et mulle ei meeldi seal." <ref name="kakskümmend seitse">‘White Hat Hackers & Ethical Hacking In 2022 | Built In’. https://builtin.com/cybersecurity/ethical-hacking </ref>.

====Soov teha head====
On ka neid, kellel pole muud põhjust vaja kui soov teha head. Nad on häkkerid, kelle jaoks on mõeldamatu teistele inimestele või organisatsioonidele kahju tekitamine. David Holmes küsitles valge mütsi häkkereid ning 74% küsitletutest vastasid, et nemad poleks mitte mingi summa eest, mida oleks karistamata võimalik saada, läinud üle musta mütsi häkkeriteks <ref name="kakskümmend kaheksa">D. H. World Security Expert, F5 Networks, Special to Network, ‘What keeps white hat hackers from turning to the dark side?’, Network World, Feb. 19, 2016. https://www.networkworld.com/article/3035594/what-keeps-white-hat-hackers-from-turning-to-the-dark-side.html </ref>. Sellest võiks järeldada, et enamuse häkkerite jaoks on poole valik pigem eetiline küsimus. Muidugi peaks mainima ka, et sama küsitluse käigus selgus, et üle poole valge mütsi häkkeritest on aeg-ajalt häkkinud sõbra või kolleegi arvutisse nalja pärast.

====Muud põhjused====
Esineb ka häkkereid, kes alustasid musta mütsi häkkeritena, kuid hiljem läksid üle valge mütsi peale. Nende puhul on raske välja tuua mingeid tüüpilisi põhjuseid selliseks otsuseks. Kuid kuulsamad juhtumid on seotud üleminekuga valge mütsi häkkeriks pärast kinnipidamist musta mütsi häkkerina. Kõige tuntum näide on Kevin Mitnick, kes 80ndate lõpus ja 90ndate alguses oli häkkinud mitmeid suuri ettevõtteid, oli 1995 aastal kinni peetud ning pärast viie aastast vanglakaristust ta asutas ettevõtte Mitnick Security. Temast sai väga edukas valge mütsi häkker ja küberturvalisuse konsultant <ref name="kakskümmend üheksa">M. S. Consulting, ‘About Kevin Mitnick | Mitnick Security’. https://www.mitnicksecurity.com/about-kevin-mitnick-mitnick-security</ref>.

=Kokkuvõte=

Eetiline häkkimine on tänapäeval väga levinud ja leidub võimalusi saada ka sertifitseeritud eetiliseks häkkeriks. Eetilist häkkerit nimetatakse ka “valge mütsi” häkkeriks, kes kasutab samu võtteid, mida pahatahtlik “musta mütsi” häkker, et tuvastada IT-süsteemides turvaauke. Eetiliseks häkkimiseks teeb selle tegevuse asjaolu, et eetiline häkker annab ülevaate kompromiteeritud kohtadest süsteemi parandamise eesmärgil. <ref name="kaks" />
Häkkimise puhul on eetilisteks probleemideks ennekõike ohutus ja isiklikele andmetele ligipääs. Eetilisel häkkimisel pannakse turvasüsteemide testimise piirid väga konkreetselt paika, et vähendada potentsiaalseid riske.

=Kasutatud kirjandus=

<references />

Eetiline häkkimine, selle võimalused ja ohud

2022-05-05T17:58:23Z

Samoss:

==Sissejuhatus==

Eetiline häkkimine on turvapraktika, kus palgatud häkker proovib IT süsteemi sisse murda, simuleerides pahaloomulist küberrünnakut <ref name="üks">‘Ethical hacking’, WhiteHat Security Glossary. https://www.whitehatsec.com/glossary/content/ethical-hacking</ref>. Fraas “eetiline häkkimine” oli esimesena kasutatud 1995 aastal IBM asepresidendi John Patricku poolt, aga selle sõna kontseptsioon on olnud olemas palju kauem. Eetilised häkkerid on tuntud ka “valge mütsi” häkkeritena ning on tavaliselt palgalised turvaspetsialistid, kes proovivad turvaauke avastada häkkimise teel. <ref name="kaks">‘History Of Ethical Hacking 1960’s To Today | RedTeam Blogs’, Jul. 17, 2021. https://redteamacademy.com/blogs/history-of-ethical-hacking/</ref>

==Ajalugu==

Häkkimise mõiste tekkis 1970ndatel, aga hakkas rohkem levima järgmisel kümnendil. Paar artiklit ja filmi hiljem, kus tutvustati häkkimist arvutisüsteemidesse, tekkis suuremale avalikkusele kuvand häkkimisest ja selle potentsiaalsest ohust.<ref name="kolm">‘What Is Hacking? Types of Hacking & More’, Fortinet. https://www.fortinet.com/resources/cyberglossary/what-is-hacking</ref>
1983 aastal häkiti sisse mitmesse asutusse, nende seas nt. Sloan-Kettering vähiravikeskus <ref name="neli">‘The 414 Gang Strikes Again - TIME’. https://web.archive.org/web/20071202043840/http://www.time.com/time/magazine/article/0,9171,949797,00.html</ref>.

Need tegevused viisid USA kongressi mitme poliisi koostamisele seoses arvutikuritegudega, aga need ei aidanud kõrge-profiili rünnakuid suurte korporatsioonide ja valitsuse süsteemide pihta vähendada. <ref name="kolm" />

Joe Grandi on öelnud oma intervjuus, et häkkeri mõiste käib kellegi kohta, kes suudab lahendada tehnilisi probleeme unikaalsel viisil. <ref name="viis">‘Joe “Kingpin” Grand on Hacker History’, PCMAG. https://www.pcmag.com/news/joe-kingpin-grand-on-hacker-history </ref>. Seda mõtet järgides saab häkkimiseks pidada peaaegu iga leiutist, isegi enne digitaalajastut. Häkkerid on aidanud kujundada tänapäeva tehnoloogiat nagu teler, raadio ja telefon, alates nende loomisest. Ilma häkkeriteta näeksid kõik need seadmed välja täpselt samasugused nagu päeval, mil nad valmistati või neid ei oleks üldse olemas, sest ei oleks olnud vajadust neid laiali levitada ja edasi arendada. Televisiooni ei oleks võib-olla kunagi leiutatud, kuna liikuva pildi jäädvustamise tehnoloogiat ei oleks kunagi keegi edasi arendanud. Liikuvate piltide kontseptsioon on aluseks väga paljudele edasistele tehnoloogiatele. <ref name="kuus">‘The Early History of Motion Pictures | American Experience | PBS’. https://www.pbs.org/wgbh/americanexperience/features/pickford-early-history-motion-pictures%20/</ref>

===Häkkimine tänapäeval===

Kui rääkida tänapäeva häkkimisest meile kõige tuttavamast küljest, siis on tegu protsessiga, mille käigus tungitakse omavoliliselt isikliku arvuti või organisatsiooni võrku. Häkkeriks võib nimetada isikut, kes kasutab oma programmi konstrueerimiseks häkkimistegevuseks mõeldud vahendeid ja mõistab nende taga olevat kontseptsiooni. <ref name="kolm" />

Privaatsus, turvalisus ja tuvastamine on muutunud kõige murettekitavamaks teemaks internetis, mis kaasneb interneti tõhususega. Madala tehnilise teadmisega teismeline võib sisse murda ohvri arvutisse ja paljastada ohvri privaatsust. Asjatundlik häkker võib ohustada ettevõtte arvutit ja põhjustada salajaste äriandmete lekkimist konkurentidele, et saada rahalist kasu. Selleks, et vältida või leevendada seda tüüpi kahju, mängib olulist rolli eetiline häkkimine, mis aitab kaasa kaitsepüüdlustele.

===Valge mütsi häkker===
Valge mütsi häkkerit nimetatakse ka eetiliseks häkkeriks, kes kasutab oma oskusi ja teadmisi selleks, et kaitsta üksikisikute, ettevõtete või valitsuste süsteeme või võrke rünnakute eest. Nad võivad olla kas ettevõtte palgalised töötajad või töövõtjad. Eetilised häkkerid mitte ainult ei tuvasta haavatavusi, mida võidakse kasutada rünnakutes, vaid aitavad ka parandada sihtsüsteemi üleüldist turvalisuse taset. Lisaks õpetavad nad inimestele, kuidas end internetis turvata. <ref name="seitse">‘Black hat, White hat, and Gray hat hackers – Definition and Explanation’, www.kaspersky.com, Feb. 09, 2022. https://www.kaspersky.com/resource-center/definitions/hacker-hat-types</ref>

===Musta mütsi häkker===

Musta mütsi häkkerid on kurjategijad, kes proovivad siseneda arvutivõrkudesse pahatahtlikul eesmärgil. Nad võivad ka paigaldada arvutitesse pahavara, mis hävitab faile, hoiab arvuteid lukus, varastab salasõnu, krediitkaardi numbreid ja muud personaalset infot. Musta mütsi häkkereid motiveerib isiklik kasu: finantsiline, kättemaks, niisama segaduse tekitamine. Vahel on nende motivatsioon ideoloogiline.

Edukamad musta mütsi häkkerid on enamasti osavad häkkerid, kes töötavad suurtes kuritegelikes organisatsioonides. Tööotsi saadakse tihti tumedas veebis. Lepingud on tihtipeale sarnased nagu tavalises äris.

Häkkimisest on saanud lahutamatu osa riiklikus luureandmete kogumises, aga on tüüpilisem, et musta mütsi häkker töötab üksi või kuritegelikus organisatsioonis lihtsa rahateenimise eesmärgil. <ref name="seitse" />

===Halli mütsi häkker===

Halli mütsi häkkerid teevad segu valgest ja mustast mütsist. Neile meeldib ennast proovile panna ja murda turvaaukudest sisse. Nad võivad häkkida süsteemi ilma loata ja öelda omanikule, milliseid haavatavusi nad leidsid (valge mütsi käitumine) või nad võivad ka lihtsalt neid haavatavusi avalikustada (musta mütsi käitumine). Näiteks võib valge mütsi häkker teha päevasel ajal võrgu kaitsmistööd ja sellega seonduvalt häkib ka teisi süsteeme.
halli mütsi häkkerid on üldiselt kahjutud ja moodustavad enamuse häkkeri kommuunist.
<ref name="seitse" /><ref name="kaheksa">‘Different Types Of Hackers – And What They Mean For Your Business | Bridewell Consulting’, https://www.bridewellconsulting.com. https://www.bridewellconsulting.com/different-types-of-hackers-and-what-they-mean-for-your-business</ref>

==Eetilised häkkerid==

Eetilised häkkerid on info- ja küberturbe spetsialistid, kes tunnevad hästi IT süsteemide testimist, läbitungimistestimist ja paljusid muid turvalisust tagavaid võrguanalüüsi lähenemisviise ning tagavad ettevõtte infosüsteemide turvalisuse ja terviklikkuse. Nad võivad kasutada mitmesuguseid lähenemisviise, et rakendada erinevaid läbitungimise või süsteemi terviklikkuse teste, mis võivad hõlmata häkkimise tööriistu, sotsiaalse manipuleerimise taktikaid ja katseid vältida standardseid turvameetmeid, et saada juurdepääs väidetavalt kaitstud alade nõrkade kohtade leidmiseks antud kaitseskeemis. Valge mütsi annet süsteemidesse tungimisel ja turvaprotokollide järgimisel kasutatakse enamasti just nende programmide ja andmebaaside paremaks kasutamiseks, nii et neist saavad tavaliselt küber- või IT-turbetööstuse seaduslikud spetsialistid või konsultandid hea palgaga – näiteks, Glassdoor andmetel, üle 100 000 USD aastas <ref name="üheksa">‘Salary: Ethical Hacker (April, 2022)’, Glassdoor. https://www.glassdoor.com/Salaries/ethical-hacker-salary-SRCH_KO0,14.htm</ref>.

===Eetilise häkkeri vajalikud oskused ja teadmised<ref name="kümme">‘Этичный хакинг: как взламывать системы и при этом зарабатывать легально’, Хабр. https://habr.com/ru/company/skillfactory/blog/525672/</ref>
===

Eetiline häkker on samal ajal universaalne ja kitsa spetsialisatsiooniga: tal peavad olema laiad teadmised erinevates IT alades ja sügavad oskused ühes või mitmes valdkonnas. Üldjuhul noorem pentester (parandada tõlge) peab:
* oskama administeerida Windowsi ja Linuxi süsteeme;
* tundma programmeerimise keeli nagu Python, php, Perl, Ruby, JavaScript, Bash, jne;
* tundma HTMLi;
* teadma võrguprotokolle (TCP/IP, ICMP) ja võrguteenuseid (Proxy, VPN, Samba, AD);
* tundma erinevaid protokolle nagu HTTP, FTP, DNS, SSH;
* oskama töötada andmebaasidega nagu Azure SQL Database, MySQL, Microsoft SQL Server, PostgreSQL, Oracle Database.

===Eetilise häkkeri instrumendid ja meetmed===

Valge mütsi häkker kasutab samu tehnikaid, mis tavaline häkker. Erinevus seisneb õiguslikes aspektides – valge mütsi häkkerid ründavad süsteeme ja rakendusi viimaste omanike loal ja heaks, et aidata tuvastada nõrkusi ja kitsaskohti.

====Läbitungimistest====

Läbitungimistest (ingl Penetration testing, Pentesting) on simuleeritud häkkeri rünnak, mille käigus katsetatakse erinevaid viise süsteemi sisse murdmiseks ja proovitakse tõestada, et seda saab teha. Peale testi lõpetamist ja turvaaukude leidmist koostab häkker aruande probleemide kirjeldusest, ning teeb ettepanekud nende parandamiseks. Läbitungimistest on väga levinud, ning selle 3 erinevat alamtüüpi on:

* Must kast ( ingl Black box): simulatsioon rünnakust, kus häkkeril ei ole ligipääsu ettevõtte võrku ja ta ei tunne ettevõtte IT infrastruktuuri.
* Hall kast (ingl Gray box): siin ründaja on kas endise töötaja või kliendi rollis, kes on juba natukene tuttav ettevõtte võrguga.
* Valge kast (ingl White box): häkker omab täielikku ligipääsu ettevõtte süsteemidele administraatori õigustega.

Nendest kolmest meetodist on Must kast kõige populaarsem, kuna on kõige rohkem reaalsusele lähedane. <ref name="üksteist">‘Этичный хакинг: что это, значение для информационной безопасности’. https://itglobal.com/ru-ru/company/blog/kak-etichnyj-haking-pomozhet-vovremya-najti-uyazvimosti-v-korporativnoj-seti/</ref>

====Andmepüük====

Andmepüük (ingl Phishing) meelitab ohvrit andma tundlikku teavet või klõpsama pahatahtlikul failil või lingil. Eetiliste andmepüügi kampaaniate puhul proovitakse leida ja lahendada võimalikke probleeme organisatsiooni võrgus enne rünnaku toimumist. Kampaania raames koostatakse emaile ja saadetakse ettevõttes laiali pikema perioodi jooksul, et simuleerida reaalset rünnakut ja koguda tagasisidet. <ref name="kaksteist">‘Why Ethical Phishing Campaigns Are Ineffective’, Techopedia.com. https://www.techopedia.com/why-ethical-phishing-campaigns-are-ineffective/2/34464 </ref>

[[File:Picture_1.jpg|thumb|Joonis 1. Õngitsemiskirja näide]]

====DDOS-rünnak====

DDOS-rünnak (ingl Distributed Denial-of-Service attack) on sihtmärgi päringutega üle koormamine nii, et see muutub kättesaamatuks või jookseb kokku <ref name="kolmteist">‘Mis on DDoS rünnak ja kuidas end selle eest kaitsta? | AM.ee’, Arvutimaailm. https://www.am.ee/Mis-on-DDoS</ref>. Valge mütsi häkker simuleerib DDoS rünnakut selleks, et aidata ettevõttel välja töötada reageerimiskava.

====Sotsiaalne manipuleerimine====

Sotsiaalne manipuleerimine (ingl Social engineering) on manipuleerimise võte, mis kasutab ära inimlikke vigu privaatse teabe, juurdepääsu või väärisesemete hankimiseks. Küberkuritegevuse puhul kipuvad need "inimhäkkimise" pettused meelitama pahaaimamatuid kasutajaid andmeid paljastama, pahavaranakkusi levitama või piiratud süsteemidele juurdepääsu võimaldama <ref name="neliteist">‘What is Social Engineering?’, www.kaspersky.com, Mar. 09, 2022. https://www.kaspersky.com/resource-center/definitions/what-is-social-engineering</ref>. Eetilised häkkerid kasutavad sotsiaalse manipuleerimise võtteid, et testida ettevõtte süsteemide turvataset, selle parandamise eesmärgil.

====Turvalisuse skaneerimine====

Turvalisuse skaneerimine (ingl Security scanning) – valged mütsid kasutavad erilisi instrumente süsteemide nõrkuste automaatseks tuvastamiseks. Tööriistadeks on alates veebirakenduste haavatavuste tuvastamisest (nt Acunetix või Netsparker) kuni avatud lähtekoodiga pentestimiseni. <ref name="viisteist">‘20 parimat eetilise häkkimise tööriista & Tarkvara häkkeritele (2021)’. https://et.csstricks.net/8225889-20-best-ethical-hacking-tools-and-software-for-hackers-2021</ref>

==Eetilise häkkeri kasu ettevõtetele ja ühiskonnale==

Eetiline häkkimine toob üsna palju kasu ühiskonnale. Nende tegevuse ettevõtete jaoks võib klassifitseerida järgmiselt <ref name="kuusteist">‘Everything You Need to Know About a White Hat Hacker | HackerNoon’. https://hackernoon.com/everything-you-need-to-know-about-a-white-hat-hacker</ref>:

* haavatavuste identifitseerimine - valged häkkerid aitavad leida süsteemide ja võrkude kaitsmatust. Lisaks ta on suutule andma hinnangut kaitse tasemele.
* Turvasüsteemi taseme tõstmine – tagab turvasüsteemi kõrge taseme ja annab hinnangu olemasolevale tasemele.
* Seisuaja (ingl down-time) madaldamine – valged häkkerid saavad testida, et rünnaku ajal oleks süsteem stabiilsem ja kiirem.
* Ettevõtte tugiüksuste kontrollimine – aitavad kontrollida praeguse IT toetusmeeskonna (ingl support team) taset. Kontrollivad probleemile reageerimise kiirust <ref name="seitseteist">‘Facts about White Hat Hackers for Cyber Security Portland’, Bytagig. https://www.bytagig.com/articles/facts-about-white-hat-hackers-for-cyber-security-portland/</ref>.
* Tundliku info kaitsmine – aitavad kontrollida andmete turvalisust. Eriti puudutab see punkt tundlikke valdkondi nagu pangandus, tervishoid jne.

Valged häkkerid aitavad ettevõtetel hoida turvasüsteemidega seotud kulusid madalamal. Esineb reaalne oht kaotada miljoneid sellele, et süsteeme rünnatakse või leitakse süsteemne viga. Umbes 2/4 kaotatud andmete kuludest on seotud vargustega (vaata joonis 1) ja viimane 1/4 osa on seotud inimliku eksitusega. Valged häkkerid aitavad otseselt võidelda
pahatahtlike rünnakute ning süsteemsete vigade vastu, aga nad kaudselt saavad madaldada ka inimfaktoritega seotud vigu, kuna nad oskavad anda hinnangut süsteemile, et see oleks võimalikult kaitstud.

[[File:Picture_2.png|thumb|none|250px|link=https://www.economist.com/business/2014/02/22/white-hats-to-the-rescue|Joonis 1. Andmete kaotuse maksumus iga varguseliigi kohta $]]

Ühiskonna ja tavakasutajate jaoks on valge häkkemine samuti väga kasulik, kuna interneti kasutajate arv kasvab iga aasta ja suure tõenäosusega aastaks 2030 kasutab 90% inimestest alates kuuendast eluaastast internetti <ref name="üheksateist">‘White Hat Hacker - Roles and Responsibilities’, Simplilearn.com, Sep. 16, 2019. https://www.simplilearn.com/white-hat-hacker-article</ref>. Valged häkkerid aitavad:
* Kasutajakogemust tõsta – interneti portaalid, kus teostatakse kontrolle, on kiiremad ja turvalisemad võrreldes nendega, mida ei kontrollita.
* Kasutajate andmed kaitsta - Valged häkkerid aitavad tõsta portaalide turvalisust.Juhul kui valge häkker häkib süsteemi ja saab enda valdusse kasutajate isiklikke andmeid, siis ta ei kasuta neid enda kasuks, vaid suhtleb nendesse nagu teiste inimeste varasse (erinevalt musta mütsi häkkeritega)
* Aitavad saavutada balanssi ühiskonna oskustes interneti kasutamisel – valged häkkerid on üsna paljude oskustega, samuti nagu mustad häkkerid. Kuna tavakasutajate kogemus ei ole tavaliselt nii kõrgel tasemel, siis valgete häkkerite abil ei ole nii suurt mustade häkkerite ülekaalu.

==Eetilised probleemid seoses häkkimisega==

Valgete häkkerite ees on tihti piirangud, mida nad ei tohi ületada, kuna nad võivad kogemata põhjustada süsteemi kokkukukkumise või andmete kaotuse <ref name="kakskümmend">‘White Hat Hacker - an overview | ScienceDirect Topics’. https://www.sciencedirect.com/topics/computer-science/white-hat-hacker</ref>. Tihti esineb valik, kas valged häkkerid peaksid testima reaalses keskkonnas, kus on suur oht tuua kahju, või simuleeritud keskkonnas, kus oht pole nii suur, aga ka tulemus pole garanteeritud.
Näide, kus piiri ületamine tekitas üsna suurt resonantsi ühiskonnas, oli tuntud arvutimängude tarkvaraarendaja Chris Robertsi juhtum, kes väidetavasti proovis teha läbitungimise testi Boeing 737 meelelahutussüsteemi vastu <ref name="kakskümmend üks">O. K. and D. A. of C. Lifars, ‘At what point do white hat hackers cross the ethical line?’, CSO Online, Aug. 17, 2015. https://www.csoonline.com/article/2971833/at-what-point-do-white-hat-hackers-cross-the-ethical-line.html</ref>. FBI andmetel oleks tema poolt tehtud testimine keset lendu võinud põhjustada palju probleeme lennu ohutusega. Vaatamata sellele, et lennu eksperdid kahtlevad, et esines mingi oht, on probleem ikka õhus - mis on see piir, mida valged häkkerid ei tohi oma tegevuses kunagi ületada?
Ühelt poolt võib lähtuda kahju tekitamise printsiibist - kas valge häkker kavatses oma tegevusega kahju tekitada? Probleemiks on, et hea kavatsus ei tähenda alati head tegevust, kus tegevus võib olla illegaalne. Põhimõtteliselt tuleks eristada juhtumeid, millal häkkerite tegevus on rangelt piiratud ja millal mitte. Elukriitilised süsteemid nagu haigla, lennundus, pangasüsteem jne, nõuvad rangeid piiranguid ja professionaalsust läbitungimise testimisel.
Ettevõtted nagu Google, Facebook, Microsoft tihti lubavad ja toetavad avalikku testimist ning on nõus isegi häkkeritele maksma, kui nad leiavad vigu nende süsteemis. Haavatavuse avalikustamise eeskirjad (ingl vulnerability disclosure policy) tähendab, et ettevõtte ja vabakutselise agendi vahel on leping, mis kirjeldab meetodid ja instrumendid, mida võib kasutada haavatavuste leidmiseks ja kirjeldamiseks <ref name="kakskümmend kaks">‘What is ethical hacking? White hat hackers explained’, CyberNews, Oct. 14, 2019. https://cybernews.com/security/ethical-hacking/</ref>.
Eetilise häkkeri tegevusel peavad olema täidetud kriteeriumid <ref name="kakskümmend kaks" />:
* Tegevusluba – tegevus peab olema seaduslik ja häkker peab olema kindel, et ta võib tegutseda ilma, et keegi saaks kannatada.
* Piirangud – eetiline häkker ei tohiks ligipääsu saamisel seda ära kasutada, rohkem kui vajalik. Selle asemel piiravad eetilised häkkerid oma tegevust sellega, mis on väärtusliku turvaalase ülevaate saamiseks hädavajalik.
* Ei jäta lahtisi otsi – eetilise häkkeri tegevus ei tohi süsteemi jätta vähem kaitstuks. Nende tegevus ei tohi jätta jälgi, mida teised võivad kasutada süsteemi rikkumiseks.
* Aus raporteering – eetiline häkker peab raporteerima oma tegevust. Ettevõttele on oluline, et nad teaksid oma nõrkustest ja teaksid kuidas neid parandada. Raporteerimine on ka oluline eetilise häkkeri vaatepunktist, et nad vajadusel saaksid hiljem tõestada oma tegevuse eesmärki.
Nende printsiibide järgimisel on häkkerite tegevus rohkem kaitstud, esineb vähem võimalus et nad midagi rikkuvad ja on vähem tõenäoline, et nad teevad midagi ebaseaduslikku, mille eest nad ise peavad hiljem vastutama. Tänu sellele on eetiline pool ettevõtetele ja ühiskonnale tagatud.

=Eetiliseks häkkeriks saamise põhjused=

====Uudishimu====
Üheks põhjuseks miks inimene IT valdkonnas võiks saada häkkeriks on uudishimu. Huvi avastada, mida süsteem võimaldab teha, mitte seda, mida ta oli mõeldud tegema. Kuid mis motiveeriks inimest oma häkkeri oskusi mitte kuritarvitada enda huvides, vaid kasutada neid teiste heaks?

====Raha====
Mõne jaoks on selleks motivaatoriks raha. Valge mütsi häkkerid on ühed paremini tasustatavad töötajad IT valdkonnas. Näiteks USA-s sertifitseeritud eetilise häkkeri keskmine aasta palk on 82,966 USD ning võib ulatuda kuni 142,000 USD <ref name="kakskümmend kolm">‘Certified Ethical Hacker (CEH) Salary | PayScale’. https://www.payscale.com/research/US/Job=Certified_Ethical_Hacker_(CEH)/Salary</ref>. Lisaks sellele on mitmeid puugipreemiajahte (ingl Bug bounty program), mis pakkuvad head rahalist kompensatsiooni süsteemides turvalisust ohustavate vigade leidmise ja raporteerimise eest. Keskmine kompensatsioon kriitilise vea raporteerimise eest, mida HackerOne programmis välja makstakse, on ligi 3 000 USD <ref name="kakskümmend neli">‘Top 5 Takeaways from the 2021 Hacker-Powered Security Report: Industry Insights’, HackerOne. https://www.hackerone.com/hacker-powered-security-report/top-5-takeaways-2021-hacker-powered-security-report-industry </ref>. On ka ekstreemsemaid juhtumeid nagu näiteks Jay "saurik" Freeman, kes 2022 aasta veebruaris sai krüptovaluuta Ethereumi saatmise platvormi Optimism turvalisusega seotud vea raporteerimise eest 2 000 042 USD <ref name="kakskümmend viis">‘Attacking an Ethereum L2 with Unbridled Optimism’. https://www.saurik.com/optimism.html </ref>. Kuigi musta mütsi häkkeritel on samuti mitmeid võimalusi raha saamiseks, tekivad neil lisaraskused selle kasutamisel, kuna esialgu on vaja raha muuta näiliselt legaalseks.

====Kuulsus====
Kuulsus ja tunnustus on ka põhjuseks, miks mõni häkker otsustab kanda valget mütsi. Kasuks tulevad puugipreemia programmid, kus suurimate väljamaksete saajad satuvad rahvusvahelistesse uudistesse või "Hack The Air Force" programmi võitja saavutab tunnustuse IT maailmas <ref name="kakskümmend kuus">‘Interview with Hack the Air Force Winner, @CableJ’, HackerOne. https://www.hackerone.com/ethical-hacker/interview-hack-air-force-winner-cablej </ref>. Muidugi kõige kuulsamad häkkerid on musta mütsi häkkerid, kuid enamasti nad saavutavad kuulsust siis kui neid kinni peetakse või mitte väga pikka aega enne seda. Eetiline häkkimine võimaldab saavutada kuulsust ilma vanglasse sattumiseta.

====Legaalsus====
Siit tuleb ka järgmine põhjus miks mõned eelistavad olla valge mütsi häkkerid musta mütsi asemel. Seaduse rikkumine ja risk olla kinni peetud ei ole iga inimese jaoks. On neid kellele meeldib häkkida, kuid nad tegelevad sellega ametlikult lepingute raames, et seadusi mitte rikkuda. Selle kohta on hästi kommenteerinud oma intervjuus tööstuse analüütikaga tegeleva ettevõtte Uptake küberturbe osakonna juhataja Matt Jakubowski "On piir, millest ma ei tahtnud üle astuda, sest mulle ei meeldi vangla. Ma pole kunagi seal olnud, aga eeldan, et mulle ei meeldi seal." <ref name="kakskümmend seitse">‘White Hat Hackers & Ethical Hacking In 2022 | Built In’. https://builtin.com/cybersecurity/ethical-hacking </ref>.

====Soov teha head====
On ka neid, kellel pole muud põhjust vaja kui soov teha head. Nad on häkkerid, kelle jaoks on mõeldamatu teistele inimestele või organisatsioonidele kahju tekitamine. David Holmes küsitles valge mütsi häkkereid ning 74% küsitletutest vastasid, et nemad poleks mitte mingi summa eest, mida oleks karistamata võimalik saada, läinud üle musta mütsi häkkeriteks <ref name="kakskümmend kaheksa">D. H. World Security Expert, F5 Networks, Special to Network, ‘What keeps white hat hackers from turning to the dark side?’, Network World, Feb. 19, 2016. https://www.networkworld.com/article/3035594/what-keeps-white-hat-hackers-from-turning-to-the-dark-side.html </ref>. Sellest võiks järeldada, et enamuse häkkerite jaoks on poole valik pigem eetiline küsimus. Muidugi peaks mainima ka, et sama küsitluse käigus selgus, et üle poole valge mütsi häkkeritest on aeg-ajalt häkkinud sõbra või kolleegi arvutisse nalja pärast.

====Muud põhjused====
Esineb ka häkkereid, kes alustasid musta mütsi häkkeritena, kuid hiljem läksid üle valge mütsi peale. Nende puhul on raske välja tuua mingeid tüüpilisi põhjuseid selliseks otsuseks. Kuid kuulsamad juhtumid on seotud üleminekuga valge mütsi häkkeriks pärast kinnipidamist musta mütsi häkkerina. Kõige tuntum näide on Kevin Mitnick, kes 80ndate lõpus ja 90ndate alguses oli häkkinud mitmeid suuri ettevõtteid, oli 1995 aastal kinni peetud ning pärast viie aastast vanglakaristust ta asutas ettevõtte Mitnick Security. Temast sai väga edukas valge mütsi häkker ja küberturvalisuse konsultant <ref name="kakskümmend üheksa">M. S. Consulting, ‘About Kevin Mitnick | Mitnick Security’. https://www.mitnicksecurity.com/about-kevin-mitnick-mitnick-security</ref>.

=Kokkuvõte=

Eetiline häkkimine on tänapäeval väga levinud ja leidub võimalusi saada ka sertifitseeritud eetiliseks häkkeriks. Eetilist häkkerit nimetatakse ka “valge mütsi” häkkeriks, kes kasutab samu võtteid, mida pahatahtlik “musta mütsi” häkker, et tuvastada IT-süsteemides turvaauke. Eetiliseks häkkimiseks teeb selle tegevuse asjaolu, et eetiline häkker annab ülevaate kompromiteeritud kohtadest süsteemi parandamise eesmärgil. <ref name="kaks" />
Häkkimise puhul on eetilisteks probleemideks ennekõike ohutus ja isiklikele andmetele ligipääs. Eetilisel häkkimisel pannakse turvasüsteemide testimise piirid väga konkreetselt paika, et vähendada potentsiaalseid riske.

=Kasutatud kirjandus=

<references />

Eetiline häkkimine, selle võimalused ja ohud

2022-05-05T17:57:29Z

Samoss:

==Sissejuhatus==

Eetiline häkkimine on turvapraktika, kus palgatud häkker proovib IT süsteemi sisse murda, simuleerides pahaloomulist küberrünnakut <ref name="üks">‘Ethical hacking’, WhiteHat Security Glossary. https://www.whitehatsec.com/glossary/content/ethical-hacking</ref>. Fraas “eetiline häkkimine” oli esimesena kasutatud 1995 aastal IBM asepresidendi John Patricku poolt, aga selle sõna kontseptsioon on olnud olemas palju kauem. Eetilised häkkerid on tuntud ka “valge mütsi” häkkeritena ning on tavaliselt palgalised turvaspetsialistid, kes proovivad turvaauke avastada häkkimise teel. <ref name="kaks">‘History Of Ethical Hacking 1960’s To Today | RedTeam Blogs’, Jul. 17, 2021. https://redteamacademy.com/blogs/history-of-ethical-hacking/</ref>

==Ajalugu==

Häkkimise mõiste tekkis 1970ndatel, aga hakkas rohkem levima järgmisel kümnendil. Paar artiklit ja filmi hiljem, kus tutvustati häkkimist arvutisüsteemidesse, tekkis suuremale avalikkusele kuvand häkkimisest ja selle potentsiaalsest ohust.<ref name="kolm">‘What Is Hacking? Types of Hacking & More’, Fortinet. https://www.fortinet.com/resources/cyberglossary/what-is-hacking</ref>
1983 aastal häkiti sisse mitmesse asutusse, nende seas nt. Sloan-Kettering vähiravikeskus <ref name="neli">‘The 414 Gang Strikes Again - TIME’. https://web.archive.org/web/20071202043840/http://www.time.com/time/magazine/article/0,9171,949797,00.html</ref>.

Need tegevused viisid USA kongressi mitme poliisi koostamisele seoses arvutikuritegudega, aga need ei aidanud kõrge-profiili rünnakuid suurte korporatsioonide ja valitsuse süsteemide pihta vähendada. <ref name="kolm" />

Joe Grandi on öelnud oma intervjuus, et häkkeri mõiste käib kellegi kohta, kes suudab lahendada tehnilisi probleeme unikaalsel viisil. <ref name="viis">‘Joe “Kingpin” Grand on Hacker History’, PCMAG. https://www.pcmag.com/news/joe-kingpin-grand-on-hacker-history </ref>. Seda mõtet järgides saab häkkimiseks pidada peaaegu iga leiutist, isegi enne digitaalajastut. Häkkerid on aidanud kujundada tänapäeva tehnoloogiat nagu teler, raadio ja telefon, alates nende loomisest. Ilma häkkeriteta näeksid kõik need seadmed välja täpselt samasugused nagu päeval, mil nad valmistati või neid ei oleks üldse olemas, sest ei oleks olnud vajadust neid laiali levitada ja edasi arendada. Televisiooni ei oleks võib-olla kunagi leiutatud, kuna liikuva pildi jäädvustamise tehnoloogiat ei oleks kunagi keegi edasi arendanud. Liikuvate piltide kontseptsioon on aluseks väga paljudele edasistele tehnoloogiatele. <ref name="kuus">‘The Early History of Motion Pictures | American Experience | PBS’. https://www.pbs.org/wgbh/americanexperience/features/pickford-early-history-motion-pictures%20/</ref>

===Häkkimine tänapäeval===

Kui rääkida tänapäeva häkkimisest meile kõige tuttavamast küljest, siis on tegu protsessiga, mille käigus tungitakse omavoliliselt isikliku arvuti või organisatsiooni võrku. Häkkeriks võib nimetada isikut, kes kasutab oma programmi konstrueerimiseks häkkimistegevuseks mõeldud vahendeid ja mõistab nende taga olevat kontseptsiooni. <ref name="kolm" />

Privaatsus, turvalisus ja tuvastamine on muutunud kõige murettekitavamaks teemaks internetis, mis kaasneb interneti tõhususega. Madala tehnilise teadmisega teismeline võib sisse murda ohvri arvutisse ja paljastada ohvri privaatsust. Asjatundlik häkker võib ohustada ettevõtte arvutit ja põhjustada salajaste äriandmete lekkimist konkurentidele, et saada rahalist kasu. Selleks, et vältida või leevendada seda tüüpi kahju, mängib olulist rolli eetiline häkkimine, mis aitab kaasa kaitsepüüdlustele.

===Valge mütsi häkker===
Valge mütsi häkkerit nimetatakse ka eetiliseks häkkeriks, kes kasutab oma oskusi ja teadmisi selleks, et kaitsta üksikisikute, ettevõtete või valitsuste süsteeme või võrke rünnakute eest. Nad võivad olla kas ettevõtte palgalised töötajad või töövõtjad. Eetilised häkkerid mitte ainult ei tuvasta haavatavusi, mida võidakse kasutada rünnakutes, vaid aitavad ka parandada sihtsüsteemi üleüldist turvalisuse taset. Lisaks õpetavad nad inimestele, kuidas end internetis turvata. <ref name="seitse">‘Black hat, White hat, and Gray hat hackers – Definition and Explanation’, www.kaspersky.com, Feb. 09, 2022. https://www.kaspersky.com/resource-center/definitions/hacker-hat-types</ref>

===Musta mütsi häkker===

Musta mütsi häkkerid on kurjategijad, kes proovivad siseneda arvutivõrkudesse pahatahtlikul eesmärgil. Nad võivad ka paigaldada arvutitesse pahavara, mis hävitab faile, hoiab arvuteid lukus, varastab salasõnu, krediitkaardi numbreid ja muud personaalset infot. Musta mütsi häkkereid motiveerib isiklik kasu: finantsiline, kättemaks, niisama segaduse tekitamine. Vahel on nende motivatsioon ideoloogiline.

Edukamad musta mütsi häkkerid on enamasti osavad häkkerid, kes töötavad suurtes kuritegelikes organisatsioonides. Tööotsi saadakse tihti tumedas veebis. Lepingud on tihtipeale sarnased nagu tavalises äris.

Häkkimisest on saanud lahutamatu osa riiklikus luureandmete kogumises, aga on tüüpilisem, et musta mütsi häkker töötab üksi või kuritegelikus organisatsioonis lihtsa rahateenimise eesmärgil. <ref name="seitse" />

===Halli mütsi häkker===

Halli mütsi häkkerid teevad segu valgest ja mustast mütsist. Neile meeldib ennast proovile panna ja murda turvaaukudest sisse. Nad võivad häkkida süsteemi ilma loata ja öelda omanikule, milliseid haavatavusi nad leidsid (valge mütsi käitumine) või nad võivad ka lihtsalt neid haavatavusi avalikustada (musta mütsi käitumine). Näiteks võib valge mütsi häkker teha päevasel ajal võrgu kaitsmistööd ja sellega seonduvalt häkib ka teisi süsteeme.
halli mütsi häkkerid on üldiselt kahjutud ja moodustavad enamuse häkkeri kommuunist.
<ref name="seitse" /><ref name="kaheksa">‘Different Types Of Hackers – And What They Mean For Your Business | Bridewell Consulting’, https://www.bridewellconsulting.com. https://www.bridewellconsulting.com/different-types-of-hackers-and-what-they-mean-for-your-business</ref>

==Eetilised häkkerid==

Eetilised häkkerid on info- ja küberturbe spetsialistid, kes tunnevad hästi IT süsteemide testimist, läbitungimistestimist ja paljusid muid turvalisust tagavaid võrguanalüüsi lähenemisviise ning tagavad ettevõtte infosüsteemide turvalisuse ja terviklikkuse. Nad võivad kasutada mitmesuguseid lähenemisviise, et rakendada erinevaid läbitungimise või süsteemi terviklikkuse teste, mis võivad hõlmata häkkimise tööriistu, sotsiaalse manipuleerimise taktikaid ja katseid vältida standardseid turvameetmeid, et saada juurdepääs väidetavalt kaitstud alade nõrkade kohtade leidmiseks antud kaitseskeemis. Valge mütsi annet süsteemidesse tungimisel ja turvaprotokollide järgimisel kasutatakse enamasti just nende programmide ja andmebaaside paremaks kasutamiseks, nii et neist saavad tavaliselt küber- või IT-turbetööstuse seaduslikud spetsialistid või konsultandid hea palgaga – näiteks, Glassdoor andmetel, üle 100 000 USD aastas <ref name="üheksa">‘Salary: Ethical Hacker (April, 2022)’, Glassdoor. https://www.glassdoor.com/Salaries/ethical-hacker-salary-SRCH_KO0,14.htm</ref>.

===Eetilise häkkeri vajalikud oskused ja teadmised<ref name="kümme">‘Этичный хакинг: как взламывать системы и при этом зарабатывать легально’, Хабр. https://habr.com/ru/company/skillfactory/blog/525672/</ref>
===

Eetiline häkker on samal ajal universaalne ja kitsa spetsialisatsiooniga: tal peavad olema laiad teadmised erinevates IT alades ja sügavad oskused ühes või mitmes valdkonnas. Üldjuhul noorem pentester (parandada tõlge) peab:
* oskama administeerida Windowsi ja Linuxi süsteeme;
* tundma programmeerimise keeli nagu Python, php, Perl, Ruby, JavaScript, Bash, jne;
* tundma HTMLi;
* teadma võrguprotokolle (TCP/IP, ICMP) ja võrguteenuseid (Proxy, VPN, Samba, AD);
* tundma erinevaid protokolle nagu HTTP, FTP, DNS, SSH;
* oskama töötada andmebaasidega nagu Azure SQL Database, MySQL, Microsoft SQL Server, PostgreSQL, Oracle Database.

===Eetilise häkkeri instrumendid ja meetmed===

Valge mütsi häkker kasutab samu tehnikaid, mis tavaline häkker. Erinevus seisneb õiguslikes aspektides – valge mütsi häkkerid ründavad süsteeme ja rakendusi viimaste omanike loal ja heaks, et aidata tuvastada nõrkusi ja kitsaskohti.

====Läbitungimistest====

Läbitungimistest (ingl Penetration testing, Pentesting) on simuleeritud häkkeri rünnak, mille käigus katsetatakse erinevaid viise süsteemi sisse murdmiseks ja proovitakse tõestada, et seda saab teha. Peale testi lõpetamist ja turvaaukude leidmist koostab häkker aruande probleemide kirjeldusest, ning teeb ettepanekud nende parandamiseks. Läbitungimistest on väga levinud, ning selle 3 erinevat alamtüüpi on:

* Must kast ( ingl Black box): simulatsioon rünnakust, kus häkkeril ei ole ligipääsu ettevõtte võrku ja ta ei tunne ettevõtte IT infrastruktuuri.
* Hall kast (ingl Gray box): siin ründaja on kas endise töötaja või kliendi rollis, kes on juba natukene tuttav ettevõtte võrguga.
* Valge kast (ingl White box): häkker omab täielikku ligipääsu ettevõtte süsteemidele administraatori õigustega.

Nendest kolmest meetodist on Must kast kõige populaarsem, kuna on kõige rohkem reaalsusele lähedane. <ref name="üksteist">‘Этичный хакинг: что это, значение для информационной безопасности’. https://itglobal.com/ru-ru/company/blog/kak-etichnyj-haking-pomozhet-vovremya-najti-uyazvimosti-v-korporativnoj-seti/</ref>

====Andmepüük====

Andmepüük (ingl Phishing) meelitab ohvrit andma tundlikku teavet või klõpsama pahatahtlikul failil või lingil. Eetiliste andmepüügi kampaaniate puhul proovitakse leida ja lahendada võimalikke probleeme organisatsiooni võrgus enne rünnaku toimumist. Kampaania raames koostatakse emaile ja saadetakse ettevõttes laiali pikema perioodi jooksul, et simuleerida reaalset rünnakut ja koguda tagasisidet. <ref name="kaksteist">‘Why Ethical Phishing Campaigns Are Ineffective’, Techopedia.com. https://www.techopedia.com/why-ethical-phishing-campaigns-are-ineffective/2/34464 </ref>

[[File:Picture_1.jpg|thumb|Joonis 1. Õngitsemiskirja näide]]

====DDOS-rünnak====

DDOS-rünnak (ingl Distributed Denial-of-Service attack) on sihtmärgi päringutega üle koormamine nii, et see muutub kättesaamatuks või jookseb kokku <ref name="kolmteist">‘Mis on DDoS rünnak ja kuidas end selle eest kaitsta? | AM.ee’, Arvutimaailm. https://www.am.ee/Mis-on-DDoS</ref>. Valge mütsi häkker simuleerib DDoS rünnakut selleks, et aidata ettevõttel välja töötada reageerimiskava.

====Sotsiaalne manipuleerimine====

Sotsiaalne manipuleerimine (ingl Social engineering) on manipuleerimise võte, mis kasutab ära inimlikke vigu privaatse teabe, juurdepääsu või väärisesemete hankimiseks. Küberkuritegevuse puhul kipuvad need "inimhäkkimise" pettused meelitama pahaaimamatuid kasutajaid andmeid paljastama, pahavaranakkusi levitama või piiratud süsteemidele juurdepääsu võimaldama <ref name="neliteist">‘What is Social Engineering?’, www.kaspersky.com, Mar. 09, 2022. https://www.kaspersky.com/resource-center/definitions/what-is-social-engineering</ref>. Eetilised häkkerid kasutavad sotsiaalse manipuleerimise võtteid, et testida ettevõtte süsteemide turvataset, selle parandamise eesmärgil.

====Turvalisuse skaneerimine====

Turvalisuse skaneerimine (ingl Security scanning) – valged mütsid kasutavad erilisi instrumente süsteemide nõrkuste automaatseks tuvastamiseks. Tööriistadeks on alates veebirakenduste haavatavuste tuvastamisest (nt Acunetix või Netsparker) kuni avatud lähtekoodiga pentestimiseni. <ref name="viisteist">‘20 parimat eetilise häkkimise tööriista & Tarkvara häkkeritele (2021)’. https://et.csstricks.net/8225889-20-best-ethical-hacking-tools-and-software-for-hackers-2021</ref>

==Eetilise häkkeri kasu ettevõtetele ja ühiskonnale==

Eetiline häkkimine toob üsna palju kasu ühiskonnale. Nende tegevuse ettevõtete jaoks võib klassifitseerida järgmiselt <ref name="kuusteist">‘Everything You Need to Know About a White Hat Hacker | HackerNoon’. https://hackernoon.com/everything-you-need-to-know-about-a-white-hat-hacker</ref>:

* haavatavuste identifitseerimine - valged häkkerid aitavad leida süsteemide ja võrkude kaitsmatust. Lisaks ta on suutule andma hinnangut kaitse tasemele.
* Turvasüsteemi taseme tõstmine – tagab turvasüsteemi kõrge taseme ja annab hinnangu olemasolevale tasemele.
* Seisuaja (ingl down-time) madaldamine – valged häkkerid saavad testida, et rünnaku ajal oleks süsteem stabiilsem ja kiirem.
* Ettevõtte tugiüksuste kontrollimine – aitavad kontrollida praeguse IT toetusmeeskonna (ingl support team) taset. Kontrollivad probleemile reageerimise kiirust <ref name="seitseteist">‘Facts about White Hat Hackers for Cyber Security Portland’, Bytagig. https://www.bytagig.com/articles/facts-about-white-hat-hackers-for-cyber-security-portland/</ref>.
* Tundliku info kaitsmine – aitavad kontrollida andmete turvalisust. Eriti puudutab see punkt tundlikke valdkondi nagu pangandus, tervishoid jne.

Valged häkkerid aitavad ettevõtetel hoida turvasüsteemidega seotud kulusid madalamal. Esineb reaalne oht kaotada miljoneid sellele, et süsteeme rünnatakse või leitakse süsteemne viga. Umbes 2/4 kaotatud andmete kuludest on seotud vargustega (vaata joonis 1) ja viimane 1/4 osa on seotud inimliku eksitusega. Valged häkkerid aitavad otseselt võidelda
pahatahtlike rünnakute ning süsteemsete vigade vastu, aga nad kaudselt saavad madaldada ka inimfaktoritega seotud vigu, kuna nad oskavad anda hinnangut süsteemile, et see oleks võimalikult kaitstud.

[[File:Picture_2.png|thumb|none|250px|link=https://www.economist.com/business/2014/02/22/white-hats-to-the-rescue|Joonis 1. Andmete kaotuse maksumus iga varguseliigi kohta $]]

Ühiskonna ja tavakasutajate jaoks on valge häkkemine samuti väga kasulik, kuna interneti kasutajate arv kasvab iga aasta ja suure tõenäosusega aastaks 2030 kasutab 90% inimestest alates kuuendast eluaastast internetti <ref name="üheksateist">‘White Hat Hacker - Roles and Responsibilities’, Simplilearn.com, Sep. 16, 2019. https://www.simplilearn.com/white-hat-hacker-article</ref>. Valged häkkerid aitavad:
* Kasutajakogemust tõsta – interneti portaalid, kus teostatakse kontrolle, on kiiremad ja turvalisemad võrreldes nendega, mida ei kontrollita.
* Kasutajate andmed kaitsta - Valged häkkerid aitavad tõsta portaalide turvalisust.Juhul kui valge häkker häkib süsteemi ja saab enda valdusse kasutajate isiklikke andmeid, siis ta ei kasuta neid enda kasuks, vaid suhtleb nendesse nagu teiste inimeste varasse (erinevalt musta mütsi häkkeritega)
* Aitavad saavutada balanssi ühiskonna oskustes interneti kasutamisel – valged häkkerid on üsna paljude oskustega, samuti nagu mustad häkkerid. Kuna tavakasutajate kogemus ei ole tavaliselt nii kõrgel tasemel, siis valgete häkkerite abil ei ole nii suurt mustade häkkerite ülekaalu.

==Eetilised probleemid seoses häkkimisega==

Valgete häkkerite ees on tihti piirangud, mida nad ei tohi ületada, kuna nad võivad kogemata põhjustada süsteemi kokkukukkumise või andmete kaotuse <ref name="kakskümmend">‘White Hat Hacker - an overview | ScienceDirect Topics’. https://www.sciencedirect.com/topics/computer-science/white-hat-hacker</ref>. Tihti esineb valik, kas valged häkkerid peaksid testima reaalses keskkonnas, kus on suur oht tuua kahju, või simuleeritud keskkonnas, kus oht pole nii suur, aga ka tulemus pole garanteeritud.
Näide, kus piiri ületamine tekitas üsna suurt resonantsi ühiskonnas, oli tuntud arvutimängude tarkvaraarendaja Chris Robertsi juhtum, kes väidetavasti proovis teha läbitungimise testi Boeing 737 meelelahutussüsteemi vastu <ref name="kakskümmend üks">O. K. and D. A. of C. Lifars, ‘At what point do white hat hackers cross the ethical line?’, CSO Online, Aug. 17, 2015. https://www.csoonline.com/article/2971833/at-what-point-do-white-hat-hackers-cross-the-ethical-line.html</ref>. FBI andmetel oleks tema poolt tehtud testimine keset lendu võinud põhjustada palju probleeme lennu ohutusega. Vaatamata sellele, et lennu eksperdid kahtlevad, et esines mingi oht, on probleem ikka õhus - mis on see piir, mida valged häkkerid ei tohi oma tegevuses kunagi ületada?
Ühelt poolt võib lähtuda kahju tekitamise printsiibist - kas valge häkker kavatses oma tegevusega kahju tekitada? Probleemiks on, et hea kavatsus ei tähenda alati head tegevust, kus tegevus võib olla illegaalne. Põhimõtteliselt tuleks eristada juhtumeid, millal häkkerite tegevus on rangelt piiratud ja millal mitte. Elukriitilised süsteemid nagu haigla, lennundus, pangasüsteem jne, nõuvad rangeid piiranguid ja professionaalsust läbitungimise testimisel.
Ettevõtted nagu Google, Facebook, Microsoft tihti lubavad ja toetavad avalikku testimist ning on nõus isegi häkkeritele maksma, kui nad leiavad vigu nende süsteemis. Haavatavuse avalikustamise eeskirjad (ingl vulnerability disclosure policy) tähendab, et ettevõtte ja vabakutselise agendi vahel on leping, mis kirjeldab meetodid ja instrumendid, mida võib kasutada haavatavuste leidmiseks ja kirjeldamiseks <ref name="kakskümmend kaks">‘What is ethical hacking? White hat hackers explained’, CyberNews, Oct. 14, 2019. https://cybernews.com/security/ethical-hacking/</ref>.
Eetilise häkkeri tegevusel peavad olema täidetud kriteeriumid <ref name="kakskümmend kaks" />:
* Tegevusluba – tegevus peab olema seaduslik ja häkker peab olema kindel, et ta võib tegutseda ilma, et keegi saaks kannatada.
* Piirangud – eetiline häkker ei tohiks ligipääsu saamisel seda ära kasutada, rohkem kui vajalik. Selle asemel piiravad eetilised häkkerid oma tegevust sellega, mis on väärtusliku turvaalase ülevaate saamiseks hädavajalik.
* Ei jäta lahtisi otsi – eetilise häkkeri tegevus ei tohi süsteemi jätta vähem kaitstuks. Nende tegevus ei tohi jätta jälgi, mida teised võivad kasutada süsteemi rikkumiseks.
* Aus raporteering – eetiline häkker peab raporteerima oma tegevust. Ettevõttele on oluline, et nad teaksid oma nõrkustest ja teaksid kuidas neid parandada. Raporteerimine on ka oluline eetilise häkkeri vaatepunktist, et nad vajadusel saaksid hiljem tõestada oma tegevuse eesmärki.
Nende printsiibide järgimisel on häkkerite tegevus rohkem kaitstud, esineb vähem võimalus et nad midagi rikkuvad ja on vähem tõenäoline, et nad teevad midagi ebaseaduslikku, mille eest nad ise peavad hiljem vastutama. Tänu sellele on eetiline pool ettevõtetele ja ühiskonnale tagatud.

=Eetiliseks häkkeriks saamise põhjused=

====Uudishimu====
Üheks põhjuseks miks inimene IT valdkonnas võiks saada häkkeriks on uudishimu. Huvi avastada, mida süsteem võimaldab teha, mitte seda, mida ta oli mõeldud tegema. Kuid mis motiveeriks inimest oma häkkeri oskusi mitte kuritarvitada enda huvides, vaid kasutada neid teiste heaks?

====Raha====
Mõne jaoks on selleks motivaatoriks raha. Valge mütsi häkkerid on ühed paremini tasustatavad töötajad IT valdkonnas. Näiteks USA-s sertifitseeritud eetilise häkkeri keskmine aasta palk on 82,966 USD ning võib ulatuda kuni 142,000 USD <ref name="kakskümmend kolm">‘Certified Ethical Hacker (CEH) Salary | PayScale’. https://www.payscale.com/research/US/Job=Certified_Ethical_Hacker_(CEH)/Salary</ref>. Lisaks sellele on mitmeid puugipreemiajahte (ingl Bug bounty program), mis pakkuvad head rahalist kompensatsiooni süsteemides turvalisust ohustavate vigade leidmise ja raporteerimise eest. Keskmine kompensatsioon kriitilise vea raporteerimise eest, mida HackerOne programmis välja makstakse, on ligi 3 000 USD <ref name="kakskümmend neli">‘Top 5 Takeaways from the 2021 Hacker-Powered Security Report: Industry Insights’, HackerOne. https://www.hackerone.com/hacker-powered-security-report/top-5-takeaways-2021-hacker-powered-security-report-industry </ref>. On ka ekstreemsemaid juhtumeid nagu näiteks Jay "saurik" Freeman, kes 2022 aasta veebruaris sai krüptovaluuta Ethereumi saatmise platvormi Optimism turvalisusega seotud vea raporteerimise eest 2 000 042 USD <ref name="kakskümmend viis">‘Attacking an Ethereum L2 with Unbridled Optimism’. https://www.saurik.com/optimism.html </ref>. Kuigi musta mütsi häkkeritel on samuti mitmeid võimalusi raha saamiseks, tekivad neil lisaraskused selle kasutamisel, kuna esialgu on vaja raha muuta näiliselt legaalseks.

====Kuulsus====
Kuulsus ja tunnustus on ka põhjuseks, miks mõni häkker otsustab kanda valget mütsi. Kasuks tulevad puugipreemia programmid, kus suurimate väljamaksete saajad satuvad rahvusvahelistesse uudistesse või "Hack The Air Force" programmi võitja saavutab tunnustuse IT maailmas <ref name="kakskümmend kuus">‘Interview with Hack the Air Force Winner, @CableJ’, HackerOne. https://www.hackerone.com/ethical-hacker/interview-hack-air-force-winner-cablej </ref>. Muidugi kõige kuulsamad häkkerid on musta mütsi häkkerid, kuid enamasti nad saavutavad kuulsust siis kui neid kinni peetakse või mitte väga pikka aega enne seda. Eetiline häkkimine võimaldab saavutada kuulsust ilma vanglasse sattumiseta.

====Legaalsus====
Siit tuleb ka järgmine põhjus miks mõned eelistavad olla valge mütsi häkkerid musta mütsi asemel. Seaduse rikkumine ja risk olla kinni peetud ei ole iga inimese jaoks. On neid kellele meeldib häkkida, kuid nad tegelevad sellega ametlikult lepingute raames, et seadusi mitte rikkuda. Selle kohta on hästi kommenteerinud oma intervjuus tööstuse analüütikaga tegeleva ettevõtte Uptake küberturbe osakonna juhataja Matt Jakubowski "On piir, millest ma ei tahtnud üle astuda, sest mulle ei meeldi vangla. Ma pole kunagi seal olnud, aga eeldan, et mulle ei meeldi seal." <ref name="kakskümmend seitse">‘White Hat Hackers & Ethical Hacking In 2022 | Built In’. https://builtin.com/cybersecurity/ethical-hacking </ref>.

====Soov teha head====
On ka neid, kellel pole muud põhjust vaja kui soov teha head. Nad on häkkerid, kelle jaoks on mõeldamatu teistele inimestele või organisatsioonidele kahju tekitamine. David Holmes küsitles valge mütsi häkkereid ning 74% küsitletutest vastasid, et nemad poleks mitte mingi summa eest, mida oleks karistamata võimalik saada, läinud üle musta mütsi häkkeriteks <ref name="kakskümmend kaheksa">D. H. World Security Expert, F5 Networks, Special to Network, ‘What keeps white hat hackers from turning to the dark side?’, Network World, Feb. 19, 2016. https://www.networkworld.com/article/3035594/what-keeps-white-hat-hackers-from-turning-to-the-dark-side.html </ref>. Sellest võiks järeldada, et enamuse häkkerite jaoks on poole valik pigem eetiline küsimus. Muidugi peaks mainima ka, et sama küsitluse käigus selgus, et üle poole valge mütsi häkkeritest on aeg-ajalt häkkinud sõbra või kolleegi arvutisse nalja pärast.
Esineb ka häkkereid, kes alustasid musta mütsi häkkeritena, kuid hiljem läksid üle valge mütsi peale. Nende puhul on raske välja tuua mingeid tüüpilisi põhjuseid selliseks otsuseks. Kuid kuulsamad juhtumid on seotud üleminekuga valge mütsi häkkeriks pärast kinnipidamist musta mütsi häkkerina. Kõige tuntum näide on Kevin Mitnick, kes 80ndate lõpus ja 90ndate alguses oli häkkinud mitmeid suuri ettevõtteid, oli 1995 aastal kinni peetud ning pärast viie aastast vanglakaristust ta asutas ettevõtte Mitnick Security. Temast sai väga edukas valge mütsi häkker ja küberturvalisuse konsultant <ref name="kakskümmend üheksa">M. S. Consulting, ‘About Kevin Mitnick | Mitnick Security’. https://www.mitnicksecurity.com/about-kevin-mitnick-mitnick-security</ref>.

=Kokkuvõte=

Eetiline häkkimine on tänapäeval väga levinud ja leidub võimalusi saada ka sertifitseeritud eetiliseks häkkeriks. Eetilist häkkerit nimetatakse ka “valge mütsi” häkkeriks, kes kasutab samu võtteid, mida pahatahtlik “musta mütsi” häkker, et tuvastada IT-süsteemides turvaauke. Eetiliseks häkkimiseks teeb selle tegevuse asjaolu, et eetiline häkker annab ülevaate kompromiteeritud kohtadest süsteemi parandamise eesmärgil. <ref name="kaks" />
Häkkimise puhul on eetilisteks probleemideks ennekõike ohutus ja isiklikele andmetele ligipääs. Eetilisel häkkimisel pannakse turvasüsteemide testimise piirid väga konkreetselt paika, et vähendada potentsiaalseid riske.

=Kasutatud kirjandus=

<references />

Eetiline häkkimine, selle võimalused ja ohud

2022-05-02T19:56:09Z

Samoss:

==Sissejuhatus==

Eetiline häkkimine on turvapraktika, kus palgatud häkker proovib IT süsteemi sisse murda, simuleerides pahaloomulist küberrünnakut <ref name="üks">‘Ethical hacking’, WhiteHat Security Glossary. https://www.whitehatsec.com/glossary/content/ethical-hacking</ref>. Fraas “eetiline häkkimine” oli esimesena kasutatud 1995 aastal IBM asepresidendi John Patricku poolt, aga selle sõna kontseptsioon on olnud olemas palju kauem. Eetilised häkkerid on tuntud ka “valge mütsi” häkkeritena ning on tavaliselt palgalised turvaspetsialistid, kes proovivad turvaauke avastada häkkimise teel. <ref name="kaks">‘History Of Ethical Hacking 1960’s To Today | RedTeam Blogs’, Jul. 17, 2021. https://redteamacademy.com/blogs/history-of-ethical-hacking/</ref>

==Ajalugu==

Häkkimise mõiste tekkis 1970ndatel, aga hakkas rohkem levima järgmisel kümnendil. Paar artiklit ja filmi hiljem, kus tutvustati häkkimist arvutisüsteemidesse, tekkis suuremale avalikkusele kuvand häkkimisest ja selle potentsiaalsest ohust.<ref name="kolm">‘What Is Hacking? Types of Hacking & More’, Fortinet. https://www.fortinet.com/resources/cyberglossary/what-is-hacking</ref>
1983 aastal häkiti sisse mitmesse asutusse, nende seas nt. Sloan-Kettering vähiravikeskus <ref name="neli">‘The 414 Gang Strikes Again - TIME’. https://web.archive.org/web/20071202043840/http://www.time.com/time/magazine/article/0,9171,949797,00.html</ref>.

Need tegevused viisid USA kongressi mitme poliisi koostamisele seoses arvutikuritegudega, aga need ei aidanud kõrge-profiili rünnakuid suurte korporatsioonide ja valitsuse süsteemide pihta vähendada. <ref name="kolm" />

Joe Grandi on öelnud oma intervjuus, et häkkeri mõiste käib kellegi kohta, kes suudab lahendada tehnilisi probleeme unikaalsel viisil. <ref name="viis">‘Joe “Kingpin” Grand on Hacker History’, PCMAG. https://www.pcmag.com/news/joe-kingpin-grand-on-hacker-history </ref>. Seda mõtet järgides saab häkkimiseks pidada peaaegu iga leiutist, isegi enne digitaalajastut. Häkkerid on aidanud kujundada tänapäeva tehnoloogiat nagu teler, raadio ja telefon, alates nende loomisest. Ilma häkkeriteta näeksid kõik need seadmed välja täpselt samasugused nagu päeval, mil nad valmistati või neid ei oleks üldse olemas, sest ei oleks olnud vajadust neid laiali levitada ja edasi arendada. Televisiooni ei oleks võib-olla kunagi leiutatud, kuna liikuva pildi jäädvustamise tehnoloogiat ei oleks kunagi keegi edasi arendanud. Liikuvate piltide kontseptsioon on aluseks väga paljudele edasistele tehnoloogiatele. <ref name="kuus">‘The Early History of Motion Pictures | American Experience | PBS’. https://www.pbs.org/wgbh/americanexperience/features/pickford-early-history-motion-pictures%20/</ref>

===Häkkimine tänapäeval===

Kui rääkida tänapäeva häkkimisest meile kõige tuttavamast küljest, siis on tegu protsessiga, mille käigus tungitakse omavoliliselt isikliku arvuti või organisatsiooni võrku. Häkkeriks võib nimetada isikut, kes kasutab oma programmi konstrueerimiseks häkkimistegevuseks mõeldud vahendeid ja mõistab nende taga olevat kontseptsiooni. <ref name="kolm" />

Privaatsus, turvalisus ja tuvastamine on muutunud kõige murettekitavamaks teemaks internetis, mis kaasneb interneti tõhususega. Madala tehnilise teadmisega teismeline võib sisse murda ohvri arvutisse ja paljastada ohvri privaatsust. Asjatundlik häkker võib ohustada ettevõtte arvutit ja põhjustada salajaste äriandmete lekkimist konkurentidele, et saada rahalist kasu. Selleks, et vältida või leevendada seda tüüpi kahju, mängib olulist rolli eetiline häkkimine, mis aitab kaasa kaitsepüüdlustele.

===Valge mütsi häkker===
Valge mütsi häkkerit nimetatakse ka eetiliseks häkkeriks, kes kasutab oma oskusi ja teadmisi selleks, et kaitsta üksikisikute, ettevõtete või valitsuste süsteeme või võrke rünnakute eest. Nad võivad olla kas ettevõtte palgalised töötajad või töövõtjad. Eetilised häkkerid mitte ainult ei tuvasta haavatavusi, mida võidakse kasutada rünnakutes, vaid aitavad ka parandada sihtsüsteemi üleüldist turvalisuse taset. Lisaks õpetavad nad inimestele, kuidas end internetis turvata. <ref name="seitse">‘Black hat, White hat, and Gray hat hackers – Definition and Explanation’, www.kaspersky.com, Feb. 09, 2022. https://www.kaspersky.com/resource-center/definitions/hacker-hat-types</ref>

===Musta mütsi häkker===

Musta mütsi häkkerid on kurjategijad, kes proovivad siseneda arvutivõrkudesse pahatahtlikul eesmärgil. Nad võivad ka paigaldada arvutitesse pahavara, mis hävitab faile, hoiab arvuteid lukus, varastab salasõnu, krediitkaardi numbreid ja muud personaalset infot. Musta mütsi häkkereid motiveerib isiklik kasu: finantsiline, kättemaks, niisama segaduse tekitamine. Vahel on nende motivatsioon ideoloogiline.

Edukamad musta mütsi häkkerid on enamasti osavad häkkerid, kes töötavad suurtes kuritegelikes organisatsioonides. Tööotsi saadakse tihti tumedas veebis. Lepingud on tihtipeale sarnased nagu tavalises äris.

Häkkimisest on saanud lahutamatu osa riiklikus luureandmete kogumises, aga on tüüpilisem, et musta mütsi häkker töötab üksi või kuritegelikus organisatsioonis lihtsa rahateenimise eesmärgil. <ref name="seitse" />

===Halli mütsi häkker===

Halli mütsi häkkerid teevad segu valgest ja mustast mütsist. Neile meeldib ennast proovile panna ja murda turvaaukudest sisse. Nad võivad häkkida süsteemi ilma loata ja öelda omanikule, milliseid haavatavusi nad leidsid (valge mütsi käitumine) või nad võivad ka lihtsalt neid haavatavusi avalikustada (musta mütsi käitumine). Näiteks võib valge mütsi häkker teha päevasel ajal võrgu kaitsmistööd ja sellega seonduvalt häkib ka teisi süsteeme.
halli mütsi häkkerid on üldiselt kahjutud ja moodustavad enamuse häkkeri kommuunist.
<ref name="seitse" /><ref name="kaheksa">‘Different Types Of Hackers – And What They Mean For Your Business | Bridewell Consulting’, https://www.bridewellconsulting.com. https://www.bridewellconsulting.com/different-types-of-hackers-and-what-they-mean-for-your-business</ref>

==Eetilised häkkerid==

Eetilised häkkerid on info- ja küberturbe spetsialistid, kes tunnevad hästi IT süsteemide testimist, läbitungimistestimist ja paljusid muid turvalisust tagavaid võrguanalüüsi lähenemisviise ning tagavad ettevõtte infosüsteemide turvalisuse ja terviklikkuse. Nad võivad kasutada mitmesuguseid lähenemisviise, et rakendada erinevaid läbitungimise või süsteemi terviklikkuse teste, mis võivad hõlmata häkkimise tööriistu, sotsiaalse manipuleerimise taktikaid ja katseid vältida standardseid turvameetmeid, et saada juurdepääs väidetavalt kaitstud alade nõrkade kohtade leidmiseks antud kaitseskeemis. Valge mütsi annet süsteemidesse tungimisel ja turvaprotokollide järgimisel kasutatakse enamasti just nende programmide ja andmebaaside paremaks kasutamiseks, nii et neist saavad tavaliselt küber- või IT-turbetööstuse seaduslikud spetsialistid või konsultandid hea palgaga – näiteks, Glassdoor andmetel, üle 100 000 USD aastas <ref name="üheksa">‘Salary: Ethical Hacker (April, 2022)’, Glassdoor. https://www.glassdoor.com/Salaries/ethical-hacker-salary-SRCH_KO0,14.htm</ref>.

===Eetilise häkkeri vajalikud oskused ja teadmised===

Eetiline häkker on samal ajal universaalne ja kitsa spetsialisatsiooniga: tal peavad olema laiad teadmised erinevates IT alades ja sügavad oskused ühes või mitmes valdkonnas. Üldjuhul noorem pentester (parandada tõlge) peab:
* oskama administeerida Windowsi ja Linuxi süsteeme;
* tundma programmeerimise keeli nagu Python, php, Perl, Ruby, JavaScript, Bash, jne;
* tundma HTMLi;
* teadma võrguprotokolle (TCP/IP, ICMP) ja võrguteenuseid (Proxy, VPN, Samba, AD);
* tundma erinevaid protokolle nagu HTTP, FTP, DNS, SSH;
* oskama töötada andmebaasidega nagu Azure SQL Database, MySQL, Microsoft SQL Server, PostgreSQL, Oracle Database.
<ref name="kümme">‘Этичный хакинг: как взламывать системы и при этом зарабатывать легально’, Хабр. https://habr.com/ru/company/skillfactory/blog/525672/</ref>

===Eetilise häkkeri instrumendid ja meetmed===

Valge mütsi häkker kasutab samu tehnikaid, mis tavaline häkker. Erinevus seisneb õiguslikes aspektides – valge mütsi häkkerid ründavad süsteeme ja rakendusi viimaste omanike loal ja heaks, et aidata tuvastada nõrkusi ja kitsaskohti.

====Läbitungimistest====

Läbitungimistest (ingl Penetration testing, Pentesting) on simuleeritud häkkeri rünnak, mille käigus katsetatakse erinevaid viise süsteemi sisse murdmiseks ja proovitakse tõestada, et seda saab teha. Peale testi lõpetamist ja turvaaukude leidmist koostab häkker aruande probleemide kirjeldusest, ning teeb ettepanekud nende parandamiseks. Läbitungimistest on väga levinud, ning selle 3 erinevat alamtüüpi on:

* Must kast ( ingl Black box): simulatsioon rünnakust, kus häkkeril ei ole ligipääsu ettevõtte võrku ja ta ei tunne ettevõtte IT infrastruktuuri.
* Hall kast (ingl Gray box): siin ründaja on kas endise töötaja või kliendi rollis, kes on juba natukene tuttav ettevõtte võrguga.
* Valge kast (ingl White box): häkker omab täielikku ligipääsu ettevõtte süsteemidele administraatori õigustega.

Nendest kolmest meetodist on Must kast kõige populaarsem, kuna on kõige rohkem reaalsusele lähedane. <ref name="üksteist">‘Этичный хакинг: что это, значение для информационной безопасности’. https://itglobal.com/ru-ru/company/blog/kak-etichnyj-haking-pomozhet-vovremya-najti-uyazvimosti-v-korporativnoj-seti/</ref>

====Andmepüük====

Andmepüük (ingl Phishing) meelitab ohvrit andma tundlikku teavet või klõpsama pahatahtlikul failil või lingil. Eetiliste andmepüügi kampaaniate puhul proovitakse leida ja lahendada võimalikke probleeme organisatsiooni võrgus enne rünnaku toimumist. Kampaania raames koostatakse emaile ja saadetakse ettevõttes laiali pikema perioodi jooksul, et simuleerida reaalset rünnakut ja koguda tagasisidet. <ref name="kaksteist">‘Why Ethical Phishing Campaigns Are Ineffective’, Techopedia.com. https://www.techopedia.com/why-ethical-phishing-campaigns-are-ineffective/2/34464 </ref>

[[File:Picture_1.jpg|thumb|Joonis 1. Õngitsemiskirja näide]]

====DDOS-rünnak====

DDOS-rünnak (ingl Distributed Denial-of-Service attack) on sihtmärgi päringutega üle koormamine nii, et see muutub kättesaamatuks või jookseb kokku <ref name="kolmteist">‘Mis on DDoS rünnak ja kuidas end selle eest kaitsta? | AM.ee’, Arvutimaailm. https://www.am.ee/Mis-on-DDoS</ref>. Valge mütsi häkker simuleerib DDoS rünnakut selleks, et aidata ettevõttel välja töötada reageerimiskava.

====Sotsiaalne manipuleerimine====

Sotsiaalne manipuleerimine (ingl Social engineering) on manipuleerimise võte, mis kasutab ära inimlikke vigu privaatse teabe, juurdepääsu või väärisesemete hankimiseks. Küberkuritegevuse puhul kipuvad need "inimhäkkimise" pettused meelitama pahaaimamatuid kasutajaid andmeid paljastama, pahavaranakkusi levitama või piiratud süsteemidele juurdepääsu võimaldama <ref name="neliteist">‘What is Social Engineering?’, www.kaspersky.com, Mar. 09, 2022. https://www.kaspersky.com/resource-center/definitions/what-is-social-engineering</ref>. Eetilised häkkerid kasutavad sotsiaalse manipuleerimise võtteid, et testida ettevõtte süsteemide turvataset, selle parandamise eesmärgil.

====Turvalisuse skaneerimine====

Turvalisuse skaneerimine (ingl Security scanning) – valged mütsid kasutavad erilisi instrumente süsteemide nõrkuste automaatseks tuvastamiseks. Tööriistadeks on alates veebirakenduste haavatavuste tuvastamisest (nt Acunetix või Netsparker) kuni avatud lähtekoodiga pentestimiseni. <ref name="viisteist">‘20 parimat eetilise häkkimise tööriista & Tarkvara häkkeritele (2021)’. https://et.csstricks.net/8225889-20-best-ethical-hacking-tools-and-software-for-hackers-2021</ref>

==Eetilise häkkeri kasu ettevõtetele ja ühiskonnale==

Eetiline häkkimine toob üsna palju kasu ühiskonnale. Nende tegevuse ettevõtete jaoks võib klassifitseerida järgmiselt <ref name="kuusteist">‘Everything You Need to Know About a White Hat Hacker | HackerNoon’. https://hackernoon.com/everything-you-need-to-know-about-a-white-hat-hacker</ref>:

* haavatavuste identifitseerimine - valged häkkerid aitavad leida süsteemide ja võrkude kaitsmatust. Lisaks ta on suutule andma hinnangut kaitse tasemele.
* Turvasüsteemi taseme tõstmine – tagab turvasüsteemi kõrge taseme ja annab hinnangu olemasolevale tasemele.
* Seisuaja (ingl down-time) madaldamine – valged häkkerid saavad testida, et rünnaku ajal oleks süsteem stabiilsem ja kiirem.
* Ettevõtte tugiüksuste kontrollimine – aitavad kontrollida praeguse IT toetusmeeskonna (ingl support team) taset. Kontrollivad probleemile reageerimise kiirust <ref name="seitseteist">‘Facts about White Hat Hackers for Cyber Security Portland’, Bytagig. https://www.bytagig.com/articles/facts-about-white-hat-hackers-for-cyber-security-portland/</ref>.
* Tundliku info kaitsmine – aitavad kontrollida andmete turvalisust. Eriti puudutab see punkt tundlikke valdkondi nagu pangandus, tervishoid jne.

Valged häkkerid aitavad ettevõtetel hoida turvasüsteemidega seotud kulusid madalamal. Esineb reaalne oht kaotada miljoneid sellele, et süsteeme rünnatakse või leitakse süsteemne viga. Umbes 2/4 kaotatud andmete kuludest on seotud vargustega (vaata joonis 1) ja viimane 1/4 osa on seotud inimliku eksitusega. Valged häkkerid aitavad otseselt võidelda
pahatahtlike rünnakute ning süsteemsete vigade vastu, aga nad kaudselt saavad madaldada ka inimfaktoritega seotud vigu, kuna nad oskavad anda hinnangut süsteemile, et see oleks võimalikult kaitstud.

[[File:Picture_2.png|thumb|none|250px|link=https://www.economist.com/business/2014/02/22/white-hats-to-the-rescue|Joonis 1. Andmete kaotuse maksumus iga varguseliigi kohta $]]

Ühiskonna ja tavakasutajate jaoks on valge häkkemine samuti väga kasulik, kuna interneti kasutajate arv kasvab iga aasta ja suure tõenäosusega aastaks 2030 kasutab 90% inimestest alates kuuendast eluaastast internetti <ref name="üheksateist">‘White Hat Hacker - Roles and Responsibilities’, Simplilearn.com, Sep. 16, 2019. https://www.simplilearn.com/white-hat-hacker-article</ref>. Valged häkkerid aitavad:
* Kasutajakogemust tõsta – interneti portaalid, kus teostatakse kontrolle, on kiiremad ja turvalisemad võrreldes nendega, mida ei kontrollita.
* Kasutajate andmed kaitsta - Valged häkkerid aitavad tõsta portaalide turvalisust.Juhul kui valge häkker häkib süsteemi ja saab enda valdusse kasutajate isiklikke andmeid, siis ta ei kasuta neid enda kasuks, vaid suhtleb nendesse nagu teiste inimeste varasse (erinevalt musta mütsi häkkeritega)
* Aitavad saavutada balanssi ühiskonna oskustes interneti kasutamisel – valged häkkerid on üsna paljude oskustega, samuti nagu mustad häkkerid. Kuna tavakasutajate kogemus ei ole tavaliselt nii kõrgel tasemel, siis valgete häkkerite abil ei ole nii suurt mustade häkkerite ülekaalu.

==Eetilised probleemid seoses häkkimisega==

Valgete häkkerite ees on tihti piirangud, mida nad ei tohi ületada, kuna nad võivad kogemata põhjustada süsteemi kokkukukkumise või andmete kaotuse <ref name="kakskümmend">‘White Hat Hacker - an overview | ScienceDirect Topics’. https://www.sciencedirect.com/topics/computer-science/white-hat-hacker</ref>. Tihti esineb valik, kas valged häkkerid peaksid testima reaalses keskkonnas, kus on suur oht tuua kahju, või simuleeritud keskkonnas, kus oht pole nii suur, aga ka tulemus pole garanteeritud.
Näide, kus piiri ületamine tekitas üsna suurt resonantsi ühiskonnas, oli tuntud arvutimängude tarkvaraarendaja Chris Robertsi juhtum, kes väidetavasti proovis teha läbitungimise testi Boeing 737 meelelahutussüsteemi vastu <ref name="kakskümmend üks">O. K. and D. A. of C. Lifars, ‘At what point do white hat hackers cross the ethical line?’, CSO Online, Aug. 17, 2015. https://www.csoonline.com/article/2971833/at-what-point-do-white-hat-hackers-cross-the-ethical-line.html</ref>. FBI andmetel oleks tema poolt tehtud testimine keset lendu võinud põhjustada palju probleeme lennu ohutusega. Vaatamata sellele, et lennu eksperdid kahtlevad, et esines mingi oht, on probleem ikka õhus - mis on see piir, mida valged häkkerid ei tohi oma tegevuses kunagi ületada?
Ühelt poolt võib lähtuda kahju tekitamise printsiibist - kas valge häkker kavatses oma tegevusega kahju tekitada? Probleemiks on, et hea kavatsus ei tähenda alati head tegevust, kus tegevus võib olla illegaalne. Põhimõtteliselt tuleks eristada juhtumeid, millal häkkerite tegevus on rangelt piiratud ja millal mitte. Elukriitilised süsteemid nagu haigla, lennundus, pangasüsteem jne, nõuvad rangeid piiranguid ja professionaalsust läbitungimise testimisel.
Ettevõtted nagu Google, Facebook, Microsoft tihti lubavad ja toetavad avalikku testimist ning on nõus isegi häkkeritele maksma, kui nad leiavad vigu nende süsteemis. Haavatavuse avalikustamise eeskirjad (ingl vulnerability disclosure policy) tähendab, et ettevõtte ja vabakutselise agendi vahel on leping, mis kirjeldab meetodid ja instrumendid, mida võib kasutada haavatavuste leidmiseks ja kirjeldamiseks <ref name="kakskümmend kaks">‘What is ethical hacking? White hat hackers explained’, CyberNews, Oct. 14, 2019. https://cybernews.com/security/ethical-hacking/</ref>.
Eetilise häkkeri tegevusel peavad olema täidetud kriteeriumid <ref name="kakskümmend kaks" />:
* Tegevusluba – tegevus peab olema seaduslik ja häkker peab olema kindel, et ta võib tegutseda ilma, et keegi saaks kannatada.
* Piirangud – eetiline häkker ei tohiks ligipääsu saamisel seda ära kasutada, rohkem kui vajalik. Selle asemel piiravad eetilised häkkerid oma tegevust sellega, mis on väärtusliku turvaalase ülevaate saamiseks hädavajalik.
* Ei jäta lahtisi otsi – eetilise häkkeri tegevus ei tohi süsteemi jätta vähem kaitstuks. Nende tegevus ei tohi jätta jälgi, mida teised võivad kasutada süsteemi rikkumiseks.
* Aus raporteering – eetiline häkker peab raporteerima oma tegevust. Ettevõttele on oluline, et nad teaksid oma nõrkustest ja teaksid kuidas neid parandada. Raporteerimine on ka oluline eetilise häkkeri vaatepunktist, et nad vajadusel saaksid hiljem tõestada oma tegevuse eesmärki.
Nende printsiibide järgimisel on häkkerite tegevus rohkem kaitstud, esineb vähem võimalus et nad midagi rikkuvad ja on vähem tõenäoline, et nad teevad midagi ebaseaduslikku, mille eest nad ise peavad hiljem vastutama. Tänu sellele on eetiline pool ettevõtetele ja ühiskonnale tagatud.

=Eetiliseks häkkeriks saamise põhjused=

Üheks põhjuseks miks inimene IT valdkonnas võiks saada häkkeriks on uudishimu. Huvi avastada, mida süsteem võimaldab teha, mitte seda, mida ta oli mõeldud tegema. Kuid mis motiveeriks inimest oma häkkeri oskusi mitte kuritarvitada enda huvides, vaid kasutada neid teiste heaks?
Mõne jaoks on selleks motivaatoriks raha. Valge mütsi häkkerid on ühed paremini tasustatavad töötajad IT valdkonnas. Näiteks USA-s sertifitseeritud eetilise häkkeri keskmine aasta palk on 82,966 USD ning võib ulatuda kuni 142,000 USD <ref name="kakskümmend kolm">‘Certified Ethical Hacker (CEH) Salary | PayScale’. https://www.payscale.com/research/US/Job=Certified_Ethical_Hacker_(CEH)/Salary</ref>. Lisaks sellele on mitmeid puugipreemiajahte (ingl Bug bounty program), mis pakkuvad head rahalist kompensatsiooni süsteemides turvalisust ohustavate vigade leidmise ja raporteerimise eest. Keskmine kompensatsioon kriitilise vea raporteerimise eest, mida HackerOne programmis välja makstakse, on ligi 3 000 USD <ref name="kakskümmend neli">‘Top 5 Takeaways from the 2021 Hacker-Powered Security Report: Industry Insights’, HackerOne. https://www.hackerone.com/hacker-powered-security-report/top-5-takeaways-2021-hacker-powered-security-report-industry </ref>. On ka ekstreemsemaid juhtumeid nagu näiteks Jay "saurik" Freeman, kes 2022 aasta veebruaris sai krüptovaluuta Ethereumi saatmise platvormi Optimism turvalisusega seotud vea raporteerimise eest 2 000 042 USD <ref name="kakskümmend viis">‘Attacking an Ethereum L2 with Unbridled Optimism’. https://www.saurik.com/optimism.html </ref>. Kuigi musta mütsi häkkeritel on samuti mitmeid võimalusi raha saamiseks, tekivad neil lisaraskused selle kasutamisel, kuna esialgu on vaja raha muuta näiliselt legaalseks.
Kuulsus ja tunnustus on ka põhjuseks, miks mõni häkker otsustab kanda valget mütsi. Kasuks tulevad puugipreemia programmid, kus suurimate väljamaksete saajad satuvad rahvusvahelistesse uudistesse või "Hack The Air Force" programmi võitja saavutab tunnustuse IT maailmas <ref name="kakskümmend kuus">‘Interview with Hack the Air Force Winner, @CableJ’, HackerOne. https://www.hackerone.com/ethical-hacker/interview-hack-air-force-winner-cablej </ref>. Muidugi kõige kuulsamad häkkerid on musta mütsi häkkerid, kuid enamasti nad saavutavad kuulsust siis kui neid kinni peetakse või mitte väga pikka aega enne seda. Eetiline häkkimine võimaldab saavutada kuulsust ilma vanglasse sattumiseta.
Siit tuleb ka järgmine põhjus miks mõned eelistavad olla valge mütsi häkkerid musta mütsi asemel. Seaduse rikkumine ja risk olla kinni peetud ei ole iga inimese jaoks. On neid kellele meeldib häkkida, kuid nad tegelevad sellega ametlikult lepingute raames, et seadusi mitte rikkuda. Selle kohta on hästi kommenteerinud oma intervjuus tööstuse analüütikaga tegeleva ettevõtte Uptake küberturbe osakonna juhataja Matt Jakubowski "On piir, millest ma ei tahtnud üle astuda, sest mulle ei meeldi vangla. Ma pole kunagi seal olnud, aga eeldan, et mulle ei meeldi seal." <ref name="kakskümmend seitse">‘White Hat Hackers & Ethical Hacking In 2022 | Built In’. https://builtin.com/cybersecurity/ethical-hacking </ref>.
On ka neid, kellel pole muud põhjust vaja kui soov teha head. Nad on häkkerid, kelle jaoks on mõeldamatu teistele inimestele või organisatsioonidele kahju tekitamine. David Holmes küsitles valge mütsi häkkereid ning 74% küsitletutest vastasid, et nemad poleks mitte mingi summa eest, mida oleks karistamata võimalik saada, läinud üle musta mütsi häkkeriteks <ref name="kakskümmend kaheksa">D. H. World Security Expert, F5 Networks, Special to Network, ‘What keeps white hat hackers from turning to the dark side?’, Network World, Feb. 19, 2016. https://www.networkworld.com/article/3035594/what-keeps-white-hat-hackers-from-turning-to-the-dark-side.html </ref>. Sellest võiks järeldada, et enamuse häkkerite jaoks on poole valik pigem eetiline küsimus. Muidugi peaks mainima ka, et sama küsitluse käigus selgus, et üle poole valge mütsi häkkeritest on aeg-ajalt häkkinud sõbra või kolleegi arvutisse nalja pärast.
Esineb ka häkkereid, kes alustasid musta mütsi häkkeritena, kuid hiljem läksid üle valge mütsi peale. Nende puhul on raske välja tuua mingeid tüüpilisi põhjuseid selliseks otsuseks. Kuid kuulsamad juhtumid on seotud üleminekuga valge mütsi häkkeriks pärast kinnipidamist musta mütsi häkkerina. Kõige tuntum näide on Kevin Mitnick, kes 80ndate lõpus ja 90ndate alguses oli häkkinud mitmeid suuri ettevõtteid, oli 1995 aastal kinni peetud ning pärast viie aastast vanglakaristust ta asutas ettevõtte Mitnick Security. Temast sai väga edukas valge mütsi häkker ja küberturvalisuse konsultant <ref name="kakskümmend üheksa">M. S. Consulting, ‘About Kevin Mitnick | Mitnick Security’. https://www.mitnicksecurity.com/about-kevin-mitnick-mitnick-security</ref>.

=Kokkuvõte=

Eetiline häkkimine on tänapäeval väga levinud ja leidub võimalusi saada ka sertifitseeritud eetiliseks häkkeriks. Eetilist häkkerit nimetatakse ka “valge mütsi” häkkeriks, kes kasutab samu võtteid, mida pahatahtlik “musta mütsi” häkker, et tuvastada IT-süsteemides turvaauke. Eetiliseks häkkimiseks teeb selle tegevuse asjaolu, et eetiline häkker annab ülevaate kompromiteeritud kohtadest süsteemi parandamise eesmärgil. <ref name="kaks" />
Häkkimise puhul on eetilisteks probleemideks ennekõike ohutus ja isiklikele andmetele ligipääs. Eetilisel häkkimisel pannakse turvasüsteemide testimise piirid väga konkreetselt paika, et vähendada potentsiaalseid riske.

=Kasutatud kirjandus=

<references />

File:Picture 2.png

2022-05-02T19:50:43Z

Samoss: Joonis 1. Andmete kaotuse maksumus iga vargusliigi kohta $.

== Summary ==
Joonis 1. Andmete kaotuse maksumus iga vargusliigi kohta $.

File:Picture 1.jpg

2022-05-02T19:45:05Z

Samoss: Õngitsemiskirja näide.

== Summary ==
Õngitsemiskirja näide.

Eetiline häkkimine, selle võimalused ja ohud

2022-05-02T19:39:27Z

Samoss: Created page with "==Sissejuhatus== Eetiline häkkimine on turvapraktika, kus palgatud häkker proovib IT süsteemi sisse murda, simuleerides pahaloomulist küberrünnakut <ref name="üks">‘E..."

==Sissejuhatus==

Eetiline häkkimine on turvapraktika, kus palgatud häkker proovib IT süsteemi sisse murda, simuleerides pahaloomulist küberrünnakut <ref name="üks">‘Ethical hacking’, WhiteHat Security Glossary. https://www.whitehatsec.com/glossary/content/ethical-hacking</ref>. Fraas “eetiline häkkimine” oli esimesena kasutatud 1995 aastal IBM asepresidendi John Patricku poolt, aga selle sõna kontseptsioon on olnud olemas palju kauem. Eetilised häkkerid on tuntud ka “valge mütsi” häkkeritena ning on tavaliselt palgalised turvaspetsialistid, kes proovivad turvaauke avastada häkkimise teel. <ref name="kaks">‘History Of Ethical Hacking 1960’s To Today | RedTeam Blogs’, Jul. 17, 2021. https://redteamacademy.com/blogs/history-of-ethical-hacking/</ref>

==Ajalugu==

Häkkimise mõiste tekkis 1970ndatel, aga hakkas rohkem levima järgmisel kümnendil. Paar artiklit ja filmi hiljem, kus tutvustati häkkimist arvutisüsteemidesse, tekkis suuremale avalikkusele kuvand häkkimisest ja selle potentsiaalsest ohust.<ref name="kolm">‘What Is Hacking? Types of Hacking & More’, Fortinet. https://www.fortinet.com/resources/cyberglossary/what-is-hacking</ref>
1983 aastal häkiti sisse mitmesse asutusse, nende seas nt. Sloan-Kettering vähiravikeskus <ref name="neli">‘The 414 Gang Strikes Again - TIME’. https://web.archive.org/web/20071202043840/http://www.time.com/time/magazine/article/0,9171,949797,00.html</ref>.

Need tegevused viisid USA kongressi mitme poliisi koostamisele seoses arvutikuritegudega, aga need ei aidanud kõrge-profiili rünnakuid suurte korporatsioonide ja valitsuse süsteemide pihta vähendada. <ref name="kolm" />

Joe Grandi on öelnud oma intervjuus, et häkkeri mõiste käib kellegi kohta, kes suudab lahendada tehnilisi probleeme unikaalsel viisil. <ref name="viis">‘Joe “Kingpin” Grand on Hacker History’, PCMAG. https://www.pcmag.com/news/joe-kingpin-grand-on-hacker-history </ref>. Seda mõtet järgides saab häkkimiseks pidada peaaegu iga leiutist, isegi enne digitaalajastut. Häkkerid on aidanud kujundada tänapäeva tehnoloogiat nagu teler, raadio ja telefon, alates nende loomisest. Ilma häkkeriteta näeksid kõik need seadmed välja täpselt samasugused nagu päeval, mil nad valmistati või neid ei oleks üldse olemas, sest ei oleks olnud vajadust neid laiali levitada ja edasi arendada. Televisiooni ei oleks võib-olla kunagi leiutatud, kuna liikuva pildi jäädvustamise tehnoloogiat ei oleks kunagi keegi edasi arendanud. Liikuvate piltide kontseptsioon on aluseks väga paljudele edasistele tehnoloogiatele. <ref name="kuus">‘The Early History of Motion Pictures | American Experience | PBS’. https://www.pbs.org/wgbh/americanexperience/features/pickford-early-history-motion-pictures%20/</ref>

===Häkkimine tänapäeval===

Kui rääkida tänapäeva häkkimisest meile kõige tuttavamast küljest, siis on tegu protsessiga, mille käigus tungitakse omavoliliselt isikliku arvuti või organisatsiooni võrku. Häkkeriks võib nimetada isikut, kes kasutab oma programmi konstrueerimiseks häkkimistegevuseks mõeldud vahendeid ja mõistab nende taga olevat kontseptsiooni. <ref name="kolm" />

Privaatsus, turvalisus ja tuvastamine on muutunud kõige murettekitavamaks teemaks internetis, mis kaasneb interneti tõhususega. Madala tehnilise teadmisega teismeline võib sisse murda ohvri arvutisse ja paljastada ohvri privaatsust. Asjatundlik häkker võib ohustada ettevõtte arvutit ja põhjustada salajaste äriandmete lekkimist konkurentidele, et saada rahalist kasu. Selleks, et vältida või leevendada seda tüüpi kahju, mängib olulist rolli eetiline häkkimine, mis aitab kaasa kaitsepüüdlustele.

===Valge mütsi häkker===
Valge mütsi häkkerit nimetatakse ka eetiliseks häkkeriks, kes kasutab oma oskusi ja teadmisi selleks, et kaitsta üksikisikute, ettevõtete või valitsuste süsteeme või võrke rünnakute eest. Nad võivad olla kas ettevõtte palgalised töötajad või töövõtjad. Eetilised häkkerid mitte ainult ei tuvasta haavatavusi, mida võidakse kasutada rünnakutes, vaid aitavad ka parandada sihtsüsteemi üleüldist turvalisuse taset. Lisaks õpetavad nad inimestele, kuidas end internetis turvata. <ref name="seitse">‘Black hat, White hat, and Gray hat hackers – Definition and Explanation’, www.kaspersky.com, Feb. 09, 2022. https://www.kaspersky.com/resource-center/definitions/hacker-hat-types</ref>

===Musta mütsi häkker===

Musta mütsi häkkerid on kurjategijad, kes proovivad siseneda arvutivõrkudesse pahatahtlikul eesmärgil. Nad võivad ka paigaldada arvutitesse pahavara, mis hävitab faile, hoiab arvuteid lukus, varastab salasõnu, krediitkaardi numbreid ja muud personaalset infot. Musta mütsi häkkereid motiveerib isiklik kasu: finantsiline, kättemaks, niisama segaduse tekitamine. Vahel on nende motivatsioon ideoloogiline.

Edukamad musta mütsi häkkerid on enamasti osavad häkkerid, kes töötavad suurtes kuritegelikes organisatsioonides. Tööotsi saadakse tihti tumedas veebis. Lepingud on tihtipeale sarnased nagu tavalises äris.

Häkkimisest on saanud lahutamatu osa riiklikus luureandmete kogumises, aga on tüüpilisem, et musta mütsi häkker töötab üksi või kuritegelikus organisatsioonis lihtsa rahateenimise eesmärgil. <ref name="seitse" />

===Halli mütsi häkker===

Halli mütsi häkkerid teevad segu valgest ja mustast mütsist. Neile meeldib ennast proovile panna ja murda turvaaukudest sisse. Nad võivad häkkida süsteemi ilma loata ja öelda omanikule, milliseid haavatavusi nad leidsid (valge mütsi käitumine) või nad võivad ka lihtsalt neid haavatavusi avalikustada (musta mütsi käitumine). Näiteks võib valge mütsi häkker teha päevasel ajal võrgu kaitsmistööd ja sellega seonduvalt häkib ka teisi süsteeme.
halli mütsi häkkerid on üldiselt kahjutud ja moodustavad enamuse häkkeri kommuunist.
<ref name="seitse" /><ref name="kaheksa">‘Different Types Of Hackers – And What They Mean For Your Business | Bridewell Consulting’, https://www.bridewellconsulting.com. https://www.bridewellconsulting.com/different-types-of-hackers-and-what-they-mean-for-your-business</ref>

==Eetilised häkkerid==

Eetilised häkkerid on info- ja küberturbe spetsialistid, kes tunnevad hästi IT süsteemide testimist, läbitungimistestimist ja paljusid muid turvalisust tagavaid võrguanalüüsi lähenemisviise ning tagavad ettevõtte infosüsteemide turvalisuse ja terviklikkuse. Nad võivad kasutada mitmesuguseid lähenemisviise, et rakendada erinevaid läbitungimise või süsteemi terviklikkuse teste, mis võivad hõlmata häkkimise tööriistu, sotsiaalse manipuleerimise taktikaid ja katseid vältida standardseid turvameetmeid, et saada juurdepääs väidetavalt kaitstud alade nõrkade kohtade leidmiseks antud kaitseskeemis. Valge mütsi annet süsteemidesse tungimisel ja turvaprotokollide järgimisel kasutatakse enamasti just nende programmide ja andmebaaside paremaks kasutamiseks, nii et neist saavad tavaliselt küber- või IT-turbetööstuse seaduslikud spetsialistid või konsultandid hea palgaga – näiteks, Glassdoor andmetel, üle 100 000 USD aastas <ref name="üheksa">‘Salary: Ethical Hacker (April, 2022)’, Glassdoor. https://www.glassdoor.com/Salaries/ethical-hacker-salary-SRCH_KO0,14.htm</ref>.

===Eetilise häkkeri vajalikud oskused ja teadmised===

Eetiline häkker on samal ajal universaalne ja kitsa spetsialisatsiooniga: tal peavad olema laiad teadmised erinevates IT alades ja sügavad oskused ühes või mitmes valdkonnas. Üldjuhul noorem pentester (parandada tõlge) peab:
* oskama administeerida Windowsi ja Linuxi süsteeme;
* tundma programmeerimise keeli nagu Python, php, Perl, Ruby, JavaScript, Bash, jne;
* tundma HTMLi;
* teadma võrguprotokolle (TCP/IP, ICMP) ja võrguteenuseid (Proxy, VPN, Samba, AD);
* tundma erinevaid protokolle nagu HTTP, FTP, DNS, SSH;
* oskama töötada andmebaasidega nagu Azure SQL Database, MySQL, Microsoft SQL Server, PostgreSQL, Oracle Database.
<ref name="kümme">‘Этичный хакинг: как взламывать системы и при этом зарабатывать легально’, Хабр. https://habr.com/ru/company/skillfactory/blog/525672/</ref>

===Eetilise häkkeri instrumendid ja meetmed===

Valge mütsi häkker kasutab samu tehnikaid, mis tavaline häkker. Erinevus seisneb õiguslikes aspektides – valge mütsi häkkerid ründavad süsteeme ja rakendusi viimaste omanike loal ja heaks, et aidata tuvastada nõrkusi ja kitsaskohti.

====Läbitungimistest====

Läbitungimistest (ingl Penetration testing, Pentesting) on simuleeritud häkkeri rünnak, mille käigus katsetatakse erinevaid viise süsteemi sisse murdmiseks ja proovitakse tõestada, et seda saab teha. Peale testi lõpetamist ja turvaaukude leidmist koostab häkker aruande probleemide kirjeldusest, ning teeb ettepanekud nende parandamiseks. Läbitungimistest on väga levinud, ning selle 3 erinevat alamtüüpi on:

* Must kast ( ingl Black box): simulatsioon rünnakust, kus häkkeril ei ole ligipääsu ettevõtte võrku ja ta ei tunne ettevõtte IT infrastruktuuri.
* Hall kast (ingl Gray box): siin ründaja on kas endise töötaja või kliendi rollis, kes on juba natukene tuttav ettevõtte võrguga.
* Valge kast (ingl White box): häkker omab täielikku ligipääsu ettevõtte süsteemidele administraatori õigustega.

Nendest kolmest meetodist on Must kast kõige populaarsem, kuna on kõige rohkem reaalsusele lähedane. <ref name="üksteist">‘Этичный хакинг: что это, значение для информационной безопасности’. https://itglobal.com/ru-ru/company/blog/kak-etichnyj-haking-pomozhet-vovremya-najti-uyazvimosti-v-korporativnoj-seti/</ref>

====Andmepüük====

Andmepüük (ingl Phishing) meelitab ohvrit andma tundlikku teavet või klõpsama pahatahtlikul failil või lingil. Eetiliste andmepüügi kampaaniate puhul proovitakse leida ja lahendada võimalikke probleeme organisatsiooni võrgus enne rünnaku toimumist. Kampaania raames koostatakse emaile ja saadetakse ettevõttes laiali pikema perioodi jooksul, et simuleerida reaalset rünnakut ja koguda tagasisidet. <ref name="kaksteist">‘Why Ethical Phishing Campaigns Are Ineffective’, Techopedia.com. https://www.techopedia.com/why-ethical-phishing-campaigns-are-ineffective/2/34464 </ref>

Joonis 2. õngitsemiskirja näide.

====DDOS-rünnak====

DDOS-rünnak (ingl Distributed Denial-of-Service attack) on sihtmärgi päringutega üle koormamine nii, et see muutub kättesaamatuks või jookseb kokku <ref name="kolmteist">‘Mis on DDoS rünnak ja kuidas end selle eest kaitsta? | AM.ee’, Arvutimaailm. https://www.am.ee/Mis-on-DDoS</ref>. Valge mütsi häkker simuleerib DDoS rünnakut selleks, et aidata ettevõttel välja töötada reageerimiskava.

====Sotsiaalne manipuleerimine====

Sotsiaalne manipuleerimine (ingl Social engineering) on manipuleerimise võte, mis kasutab ära inimlikke vigu privaatse teabe, juurdepääsu või väärisesemete hankimiseks. Küberkuritegevuse puhul kipuvad need "inimhäkkimise" pettused meelitama pahaaimamatuid kasutajaid andmeid paljastama, pahavaranakkusi levitama või piiratud süsteemidele juurdepääsu võimaldama <ref name="neliteist">‘What is Social Engineering?’, www.kaspersky.com, Mar. 09, 2022. https://www.kaspersky.com/resource-center/definitions/what-is-social-engineering</ref>. Eetilised häkkerid kasutavad sotsiaalse manipuleerimise võtteid, et testida ettevõtte süsteemide turvataset, selle parandamise eesmärgil.

====Turvalisuse skaneerimine====

Turvalisuse skaneerimine (ingl Security scanning) – valged mütsid kasutavad erilisi instrumente süsteemide nõrkuste automaatseks tuvastamiseks. Tööriistadeks on alates veebirakenduste haavatavuste tuvastamisest (nt Acunetix või Netsparker) kuni avatud lähtekoodiga pentestimiseni. <ref name="viisteist">‘20 parimat eetilise häkkimise tööriista & Tarkvara häkkeritele (2021)’. https://et.csstricks.net/8225889-20-best-ethical-hacking-tools-and-software-for-hackers-2021</ref>

==Eetilise häkkeri kasu ettevõtetele ja ühiskonnale==

Eetiline häkkimine toob üsna palju kasu ühiskonnale. Nende tegevuse ettevõtete jaoks võib klassifitseerida järgmiselt <ref name="kuusteist">‘Everything You Need to Know About a White Hat Hacker | HackerNoon’. https://hackernoon.com/everything-you-need-to-know-about-a-white-hat-hacker</ref>:

* haavatavuste identifitseerimine - valged häkkerid aitavad leida süsteemide ja võrkude kaitsmatust. Lisaks ta on suutule andma hinnangut kaitse tasemele.
* Turvasüsteemi taseme tõstmine – tagab turvasüsteemi kõrge taseme ja annab hinnangu olemasolevale tasemele.
* Seisuaja (ingl down-time) madaldamine – valged häkkerid saavad testida, et rünnaku ajal oleks süsteem stabiilsem ja kiirem.
* Ettevõtte tugiüksuste kontrollimine – aitavad kontrollida praeguse IT toetusmeeskonna (ingl support team) taset. Kontrollivad probleemile reageerimise kiirust <ref name="seitseteist">‘Facts about White Hat Hackers for Cyber Security Portland’, Bytagig. https://www.bytagig.com/articles/facts-about-white-hat-hackers-for-cyber-security-portland/</ref>.
* Tundliku info kaitsmine – aitavad kontrollida andmete turvalisust. Eriti puudutab see punkt tundlikke valdkondi nagu pangandus, tervishoid jne.

Valged häkkerid aitavad ettevõtetel hoida turvasüsteemidega seotud kulusid madalamal. Esineb reaalne oht kaotada miljoneid sellele, et süsteeme rünnatakse või leitakse süsteemne viga. Umbes 2/4 kaotatud andmete kuludest on seotud vargustega (vaata joonis 1) ja viimane 1/4 osa on seotud inimliku eksitusega. Valged häkkerid aitavad otseselt võidelda
pahatahtlike rünnakute ning süsteemsete vigade vastu, aga nad kaudselt saavad madaldada ka inimfaktoritega seotud vigu, kuna nad oskavad anda hinnangut süsteemile, et see oleks võimalikult kaitstud.

Joonis 1. Andmete kaotuse maksumus iga varguseliigi kohta $ <ref name="kaheksateist">‘White hats to the rescue’, The Economist, Feb. 22, 2014. https://www.economist.com/business/2014/02/22/white-hats-to-the-rescue</ref>

Ühiskonna ja tavakasutajate jaoks on valge häkkemine samuti väga kasulik, kuna interneti kasutajate arv kasvab iga aasta ja suure tõenäosusega aastaks 2030 kasutab 90% inimestest alates kuuendast eluaastast internetti <ref name="üheksateist">‘White Hat Hacker - Roles and Responsibilities’, Simplilearn.com, Sep. 16, 2019. https://www.simplilearn.com/white-hat-hacker-article</ref>. Valged häkkerid aitavad:
* Kasutajakogemust tõsta – interneti portaalid, kus teostatakse kontrolle, on kiiremad ja turvalisemad võrreldes nendega, mida ei kontrollita.
* Kasutajate andmed kaitsta - Valged häkkerid aitavad tõsta portaalide turvalisust.Juhul kui valge häkker häkib süsteemi ja saab enda valdusse kasutajate isiklikke andmeid, siis ta ei kasuta neid enda kasuks, vaid suhtleb nendesse nagu teiste inimeste varasse (erinevalt musta mütsi häkkeritega)
* Aitavad saavutada balanssi ühiskonna oskustes interneti kasutamisel – valged häkkerid on üsna paljude oskustega, samuti nagu mustad häkkerid. Kuna tavakasutajate kogemus ei ole tavaliselt nii kõrgel tasemel, siis valgete häkkerite abil ei ole nii suurt mustade häkkerite ülekaalu.

==Eetilised probleemid seoses häkkimisega==

Valgete häkkerite ees on tihti piirangud, mida nad ei tohi ületada, kuna nad võivad kogemata põhjustada süsteemi kokkukukkumise või andmete kaotuse <ref name="kakskümmend">‘White Hat Hacker - an overview | ScienceDirect Topics’. https://www.sciencedirect.com/topics/computer-science/white-hat-hacker</ref>. Tihti esineb valik, kas valged häkkerid peaksid testima reaalses keskkonnas, kus on suur oht tuua kahju, või simuleeritud keskkonnas, kus oht pole nii suur, aga ka tulemus pole garanteeritud.
Näide, kus piiri ületamine tekitas üsna suurt resonantsi ühiskonnas, oli tuntud arvutimängude tarkvaraarendaja Chris Robertsi juhtum, kes väidetavasti proovis teha läbitungimise testi Boeing 737 meelelahutussüsteemi vastu <ref name="kakskümmend üks">O. K. and D. A. of C. Lifars, ‘At what point do white hat hackers cross the ethical line?’, CSO Online, Aug. 17, 2015. https://www.csoonline.com/article/2971833/at-what-point-do-white-hat-hackers-cross-the-ethical-line.html</ref>. FBI andmetel oleks tema poolt tehtud testimine keset lendu võinud põhjustada palju probleeme lennu ohutusega. Vaatamata sellele, et lennu eksperdid kahtlevad, et esines mingi oht, on probleem ikka õhus - mis on see piir, mida valged häkkerid ei tohi oma tegevuses kunagi ületada?
Ühelt poolt võib lähtuda kahju tekitamise printsiibist - kas valge häkker kavatses oma tegevusega kahju tekitada? Probleemiks on, et hea kavatsus ei tähenda alati head tegevust, kus tegevus võib olla illegaalne. Põhimõtteliselt tuleks eristada juhtumeid, millal häkkerite tegevus on rangelt piiratud ja millal mitte. Elukriitilised süsteemid nagu haigla, lennundus, pangasüsteem jne, nõuvad rangeid piiranguid ja professionaalsust läbitungimise testimisel.
Ettevõtted nagu Google, Facebook, Microsoft tihti lubavad ja toetavad avalikku testimist ning on nõus isegi häkkeritele maksma, kui nad leiavad vigu nende süsteemis. Haavatavuse avalikustamise eeskirjad (ingl vulnerability disclosure policy) tähendab, et ettevõtte ja vabakutselise agendi vahel on leping, mis kirjeldab meetodid ja instrumendid, mida võib kasutada haavatavuste leidmiseks ja kirjeldamiseks <ref name="kakskümmend kaks">‘What is ethical hacking? White hat hackers explained’, CyberNews, Oct. 14, 2019. https://cybernews.com/security/ethical-hacking/</ref>.
Eetilise häkkeri tegevusel peavad olema täidetud kriteeriumid <ref name="kakskümmend kaks" />:
* Tegevusluba – tegevus peab olema seaduslik ja häkker peab olema kindel, et ta võib tegutseda ilma, et keegi saaks kannatada.
* Piirangud – eetiline häkker ei tohiks ligipääsu saamisel seda ära kasutada, rohkem kui vajalik. Selle asemel piiravad eetilised häkkerid oma tegevust sellega, mis on väärtusliku turvaalase ülevaate saamiseks hädavajalik.
* Ei jäta lahtisi otsi – eetilise häkkeri tegevus ei tohi süsteemi jätta vähem kaitstuks. Nende tegevus ei tohi jätta jälgi, mida teised võivad kasutada süsteemi rikkumiseks.
* Aus raporteering – eetiline häkker peab raporteerima oma tegevust. Ettevõttele on oluline, et nad teaksid oma nõrkustest ja teaksid kuidas neid parandada. Raporteerimine on ka oluline eetilise häkkeri vaatepunktist, et nad vajadusel saaksid hiljem tõestada oma tegevuse eesmärki.
Nende printsiibide järgimisel on häkkerite tegevus rohkem kaitstud, esineb vähem võimalus et nad midagi rikkuvad ja on vähem tõenäoline, et nad teevad midagi ebaseaduslikku, mille eest nad ise peavad hiljem vastutama. Tänu sellele on eetiline pool ettevõtetele ja ühiskonnale tagatud.

=Eetiliseks häkkeriks saamise põhjused=

Üheks põhjuseks miks inimene IT valdkonnas võiks saada häkkeriks on uudishimu. Huvi avastada, mida süsteem võimaldab teha, mitte seda, mida ta oli mõeldud tegema. Kuid mis motiveeriks inimest oma häkkeri oskusi mitte kuritarvitada enda huvides, vaid kasutada neid teiste heaks?
Mõne jaoks on selleks motivaatoriks raha. Valge mütsi häkkerid on ühed paremini tasustatavad töötajad IT valdkonnas. Näiteks USA-s sertifitseeritud eetilise häkkeri keskmine aasta palk on 82,966 USD ning võib ulatuda kuni 142,000 USD <ref name="kakskümmend kolm">‘Certified Ethical Hacker (CEH) Salary | PayScale’. https://www.payscale.com/research/US/Job=Certified_Ethical_Hacker_(CEH)/Salary</ref>. Lisaks sellele on mitmeid puugipreemiajahte (ingl Bug bounty program), mis pakkuvad head rahalist kompensatsiooni süsteemides turvalisust ohustavate vigade leidmise ja raporteerimise eest. Keskmine kompensatsioon kriitilise vea raporteerimise eest, mida HackerOne programmis välja makstakse, on ligi 3 000 USD <ref name="kakskümmend neli">‘Top 5 Takeaways from the 2021 Hacker-Powered Security Report: Industry Insights’, HackerOne. https://www.hackerone.com/hacker-powered-security-report/top-5-takeaways-2021-hacker-powered-security-report-industry </ref>. On ka ekstreemsemaid juhtumeid nagu näiteks Jay "saurik" Freeman, kes 2022 aasta veebruaris sai krüptovaluuta Ethereumi saatmise platvormi Optimism turvalisusega seotud vea raporteerimise eest 2 000 042 USD <ref name="kakskümmend viis">‘Attacking an Ethereum L2 with Unbridled Optimism’. https://www.saurik.com/optimism.html </ref>. Kuigi musta mütsi häkkeritel on samuti mitmeid võimalusi raha saamiseks, tekivad neil lisaraskused selle kasutamisel, kuna esialgu on vaja raha muuta näiliselt legaalseks.
Kuulsus ja tunnustus on ka põhjuseks, miks mõni häkker otsustab kanda valget mütsi. Kasuks tulevad puugipreemia programmid, kus suurimate väljamaksete saajad satuvad rahvusvahelistesse uudistesse või "Hack The Air Force" programmi võitja saavutab tunnustuse IT maailmas <ref name="kakskümmend kuus">‘Interview with Hack the Air Force Winner, @CableJ’, HackerOne. https://www.hackerone.com/ethical-hacker/interview-hack-air-force-winner-cablej </ref>. Muidugi kõige kuulsamad häkkerid on musta mütsi häkkerid, kuid enamasti nad saavutavad kuulsust siis kui neid kinni peetakse või mitte väga pikka aega enne seda. Eetiline häkkimine võimaldab saavutada kuulsust ilma vanglasse sattumiseta.
Siit tuleb ka järgmine põhjus miks mõned eelistavad olla valge mütsi häkkerid musta mütsi asemel. Seaduse rikkumine ja risk olla kinni peetud ei ole iga inimese jaoks. On neid kellele meeldib häkkida, kuid nad tegelevad sellega ametlikult lepingute raames, et seadusi mitte rikkuda. Selle kohta on hästi kommenteerinud oma intervjuus tööstuse analüütikaga tegeleva ettevõtte Uptake küberturbe osakonna juhataja Matt Jakubowski "On piir, millest ma ei tahtnud üle astuda, sest mulle ei meeldi vangla. Ma pole kunagi seal olnud, aga eeldan, et mulle ei meeldi seal." <ref name="kakskümmend seitse">‘White Hat Hackers & Ethical Hacking In 2022 | Built In’. https://builtin.com/cybersecurity/ethical-hacking </ref>.
On ka neid, kellel pole muud põhjust vaja kui soov teha head. Nad on häkkerid, kelle jaoks on mõeldamatu teistele inimestele või organisatsioonidele kahju tekitamine. David Holmes küsitles valge mütsi häkkereid ning 74% küsitletutest vastasid, et nemad poleks mitte mingi summa eest, mida oleks karistamata võimalik saada, läinud üle musta mütsi häkkeriteks <ref name="kakskümmend kaheksa">D. H. World Security Expert, F5 Networks, Special to Network, ‘What keeps white hat hackers from turning to the dark side?’, Network World, Feb. 19, 2016. https://www.networkworld.com/article/3035594/what-keeps-white-hat-hackers-from-turning-to-the-dark-side.html </ref>. Sellest võiks järeldada, et enamuse häkkerite jaoks on poole valik pigem eetiline küsimus. Muidugi peaks mainima ka, et sama küsitluse käigus selgus, et üle poole valge mütsi häkkeritest on aeg-ajalt häkkinud sõbra või kolleegi arvutisse nalja pärast.
Esineb ka häkkereid, kes alustasid musta mütsi häkkeritena, kuid hiljem läksid üle valge mütsi peale. Nende puhul on raske välja tuua mingeid tüüpilisi põhjuseid selliseks otsuseks. Kuid kuulsamad juhtumid on seotud üleminekuga valge mütsi häkkeriks pärast kinnipidamist musta mütsi häkkerina. Kõige tuntum näide on Kevin Mitnick, kes 80ndate lõpus ja 90ndate alguses oli häkkinud mitmeid suuri ettevõtteid, oli 1995 aastal kinni peetud ning pärast viie aastast vanglakaristust ta asutas ettevõtte Mitnick Security. Temast sai väga edukas valge mütsi häkker ja küberturvalisuse konsultant <ref name="kakskümmend üheksa">M. S. Consulting, ‘About Kevin Mitnick | Mitnick Security’. https://www.mitnicksecurity.com/about-kevin-mitnick-mitnick-security</ref>.

=Kokkuvõte=

Eetiline häkkimine on tänapäeval väga levinud ja leidub võimalusi saada ka sertifitseeritud eetiliseks häkkeriks. Eetilist häkkerit nimetatakse ka “valge mütsi” häkkeriks, kes kasutab samu võtteid, mida pahatahtlik “musta mütsi” häkker, et tuvastada IT-süsteemides turvaauke. Eetiliseks häkkimiseks teeb selle tegevuse asjaolu, et eetiline häkker annab ülevaate kompromiteeritud kohtadest süsteemi parandamise eesmärgil. <ref name="kaks" />
Häkkimise puhul on eetilisteks probleemideks ennekõike ohutus ja isiklikele andmetele ligipääs. Eetilisel häkkimisel pannakse turvasüsteemide testimise piirid väga konkreetselt paika, et vähendada potentsiaalseid riske.

=Kasutatud kirjandus=

<references />

ITSPEA wiki-kirjatööde leht

2022-05-02T18:15:09Z

Samoss: /* Kevad 2022 */

[[IT_eetilised,_sotsiaalsed_ja_professionaalsed_aspektid|Tagasi ITSPEA lehele]] | [[e-ITSPEA | Tagasi e-ITSPEA lehele]]

See wiki-leht on mõeldud neile, kes tahavad enda [http://akadeemia.kakupesa.net/ITSPEA ITSPEA] või [[e-ITSPEA]] kirjatööd wiki kujul esitada.

== Individuaalsed kirjatööd ==

=== sügis 2012 ===
* [https://wiki.itcollege.ee/index.php/Olavi_Koplik_-_Internet_kui_kultuurin%C3%A4htus Olavi Koplik]

=== sügis 2013 ===
* [https://wiki.itcollege.ee/index.php/Magnus_Kokk_-_L%C3%BChike_%C3%BClevaade_GNU/Linux_t%C3%B6%C3%B6lauakeskkondadest Magnus Kokk - Lühike ülevaade GNU/Linux töölauakeskkondadest]

=== sügis 2015 ===
* [https://wiki.itcollege.ee/index.php/Arti_Zirk_-_Mina_ja_Linux Arti Zirk - Mina ja Linux]
* [https://wiki.itcollege.ee/index.php/Arti_Zirk_-_Syncly_MusicSync Arti Zirk - Syncly MusicSync]

== Rühmatööd ==

=== kevad 2017 ===
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_Kr%C3%BCptoraha_roll_tuleviku%C3%BChiskonnas I026 - IT eetilised, sotsiaalsed, professionaalsed aspektid - Krüptoraha roll tulevikühiskonnas - Taivo Liik, Dmitry Lukas, Kersti Perandi, Gert Vesterberg]
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_Makses%C3%BCsteemide_areng_-_kas_teekond_sularahavaba_%C3%BChiskonna_poole%3F "Maksesüsteemide areng - kas teekond sularahavaba ühiskonna poole?" - Jüri Ahhundov, Erik Ehrbach, Marko Mõznikov, Egert Närep]
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_IT_valdkonna_kujutamine_kaasaja_filmikunstis "IT valdkonna kujutamine kaasaja filmikunstis" - Anna Amelkina, Kadi Koppelmann, Maie Palmeos, Marie Udam, Marilyn Võsu]
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_Privaatsus_internetis_kas_v%C3%B5imatu_missioon#Privaatsuse_saavutamise_t.C3.B6.C3.B6riistad"Privaatsus internetis - kas võimatu missioon?" - Aleksandra Sepp, Merike Meizner, Alvar Suun, Jaak Vaher, Andres Tambek]
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_Nutiseadmete_mõju_algkooliealiste_laste_arengule_"Nutiseadmete mõju algkooliealiste laste arengule" - Anni-Bessie Kitt, Jaan Koolmeister, Jan Pentshuk, Andreas Porman, Pille Ulmas]
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_Industry_4.0_"Industry 4.0" - Autorid: Meelis Osi, Liis Talimaa, Sander Pihelgas, Aare Taveter]
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_Tarkvara_tagauksed "Tarkvara tagauksed - poolt ja vastu"- Autorid: Katrin Lasberg, Marko Esna, Maile Mäesalu, Kristiina Keelmann, Madis Tammekänd]
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_IT_ja_terrorism "IT ja terrorism" - Madli Mirme, Joonas Rihma, Peeter Stamberg, Ave-Liis Saluveer]
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_Tarkvara_arendajate_töökoha_vahetamise_põhjused "Tarkvara arendajate töökoha vahetamise põhjused" - Andrei Pugatšov, Anton Meženin, Jekaterina Losseva, Artur Kapranov, Konstantin Dmitrijev]
* [https://wiki.itcollege.ee/index.php/User_talk:Dtsurjum "Elektrooniline raha, olevik ja tulevik.”] - ''Dmitri Tšurjumov, Mark Selezenev, Igor Budnitski, Leonid Grigorjevski, Jakov Kanyuchka''
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_Ärimudelid_muutuvas_tehnomaailmas_"Ärimudelid muutuvas tehnomaailmas" - Henri Paves, Madis Võrklaev, Rudolf Purge, Ruudi Vinter]
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_X-tee_-_kodanik_kohtub_riigiga "X-tee - kodanik kohtub riigiga" - Egert Loss, Tanel Peep, Priit Rätsep, Annely Vattis, Allar Vendla ]
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_E-riik_-_ohud_ja_kasu_inimeste_jaoks "E-riik - ohud ja kasu inimeste jaoks" - Filip Fjodorov, Dmitri Kiriljuk, Jevgeni Jurtšenko, Pavel Abin, Boris Brokan ]
* [https://wiki.itcollege.ee/index.php/IT_-_haridus_ja_-_haritus "IT - haridus ja - haritus"] - ''Radne Kaal, Kreet Solnask, Laura Lenbaum, Jooni Soots''
* [["Robootika, AI ja eetika"]] - Kädi-Kristlin Miggur, Siim Kustassoo, Teele Puusepp, Kristel Tali
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_Arvutikriminalistika "Arvutikriminalistika"] - Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_Turundusest_Facebooki_n%C3%A4itel "Turundusest Facebooki näitel"] - Liis Talsi, Jana Kindlam, Tanel Vari
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_IT_ettev%C3%B5tete_%C3%B5igused_ja_kohustused_isikuandmete_t%C3%B6%C3%B6tlemisel "IT ettevõtete õigused ja kohustused isikuandmete töötlemisel"] - I026 - Kevad 2017 - IT ettevõtete õigused ja kohustused isikuandmete töötlemisel - Annika Pajupuu, Juta Jaama, Ilmar Ermus, Jüri Vinnal, Martti-Heiki Must

=== sügis 2017 ===
* [[Eesti e-teenused: õnnestumised ja õnnetused]] - Eduard Pajumägi, Joonas Jõpiselg, Tõnis Kundla, Valeria Müürsepp, Heiki Tähis
* [[Kas me kõik liigume digitaalse nomaadluse poole?]] - Allan Allmere, Veiko Aunapuu, Kristi Jõgeva, Maarja Mahlapuu, Ane Võlma
* [[Facebooki kahjulik mõju inimesele]] - Annika Avingu, Mariana Lepassar, Helena Loitmaa
* [[Igapäeva liiklemist lihtsustavad mobiilirakendused Eesti näitel]] - Polina Dvinskihh, Xenia Kinževskaja, Marco Sepp, Andres Kõiv
* [[Võrgurobotid ja nende kasutusalad]] - Triin Mõlder, Kristin Kivimäe, Evi Abel, Kadri Tamme
* [[Elektrooniline järelevalve ühiskonnas]] - Laura Närska, Alan Laaneväli, Lauri Laks, Rauno Kaldmaa
* [["Avalik või privaatne pilveteenus?"]] - Kalev Kilumets, Kalev Kask, Tarmo Leemet
* [[Targa maja värkvõrk]] - Margit Aus, Lii Looga, Tuuli Soodla-Tikkerbär, Tanel Tsirgu
* [[GDPR ehk isikuandmete kaitse üldmäärus - andmekäitluse kultuuri muutus]] - Rainer Renn, Julia Ront
* [[Identiteet internetis]] - Hedi Dorožkin, Johanna Kommer, Merike Lees, Liina Müür, Jürgen Saarniit
* [[Zero UI]] - Kärt Raidmaa, Reenika East, Teedu Pedaru
* [[Infotehnoloogia inimese elus - eksoskelett või vähkkasvaja?]] - Frank Tuuksam, Kert Kivaste, Martin Õunap
* [[Big Data ohud ja võimalused]] - Karin Ojamäe, Ivan Petrovski, Rutmar Silde
* [[Internet radikaliseerib]] - Siim Bobkov ja Marko Mandli

=== Kevad 2019 ===
* [[Isejuhtivad autod ning nendega seonduvad dilemmad]] - Krista Freimann, Priit Post, Aivar Mägi, Taaniel Sülla
* [http://strat-it-itspeak2019.wikidot.com/ Strateegilise infotehnoloogia areng kõrgharidusasutustes 2020. aasta näitel]. Autorid: Jevgeni Družkov, Anton Sauh, Stanislav Grebennik, Kirill Kostev.
* [http://tehisintellektfilmides.wikidot.com/blog:_start/ Tehisintellekt filmides]. Autorid: Mikk Villem, Helena Laur, Mihkel Lilienthal Marianne Pisukov.
* [[Andmekaitsest ja selle olulisusest]] - Taavet Tamm, Rommi Parman, Helin Kuuskla, Kristo Laasik, Renata Muru
* [[Tänapäeva trendid IT arendusmetoodikates ja -protsessides]] - Edvin Ojamets, Indrek Haavik, Lauris Heinsalu, Rene Berkmann
* [[The Impact of Information Technology in the workforce]] - Kaupo Lepasepp, Jevgeni Vassiljev, Viktoria Vessener, Jekaterina Metsavas
* [[Arvutimängude mõju inimese vaimsele ja füüsilisele heaolule]] - Holger Roosioja, Renar Tupits, Siim Idla, Jevgeni Tsupov
* [[Aju-arvuti liides (BCI)]] - Liisa, Agu, Kristjan

=== Kevad 2020 ===
* [[Eetiliseks tehisintellektiks valmisoleku kujundamine]] - Kristo Kleemann, Kristel Rillo, Lilian Tomingas-Frolov, August Vinter
* [[Isesõitvate sõidukite otsustusprotsessid liiklus- ja ohuolukordades ning sellega seotud eetilised aspektid. ]] - Lennart Viikmaa, Andre Liima, Andreas Post, Aleksandra Rüüberg, Tanel Rootsma
* [[Biomeetrial põhineva isikutuvastuse tulevik]] - Allan Bernard, Ave Karjus, Angelika Kärber, Liis Kohal, Rauno Ellermaa
* [[Teema pealkiri ehitamisel (peateema: versioonihalduskeskkonnad)]] - Karoliina Rebane, Annika Raie, Sven Petrov, Ivo Mäeoja, Tauno Rämson
* [[Väledad tarkvaraarenduse mudelid]] - Magnus Teekivi, Mirjam Pajumägi, Mihkel Männa
* [[ITurvalisus läbi videoanalüütika]] - Argo Sieger, Ahti Paloson, Ott Kossar, Rainis Mäemees
* [[Totalitaarsete režiimide hirmud ehk Interneti tsensuur Hiina ja Venemaa näitel]] - Raul Erdel, Katre Vahtre, Hendrik Park, Mathias Nöps
* [[Suunamudijate mõju noortele]] - Alvar Jõekaar, Helene Abel, Kristiina Sojunen, Maris Vaino

=== Sügis 2020 ===

* [[Sissejuhatus ID-kaardi baastarkvara avatud lähtekoodiga arendusele]] - Raul Metsma
* [[Interneti kasutaja anonüümse tuvastuse meetodite kasutamine kaubanduslikel eesmärkidel]] - Gleb Engalychev, Artjom Ljuboženko, Paavel Makarenko, Ilja Vasilenko, Nikita Brjakilev
* [[COVID-19 mõju töökultuurile]] - Marko Lindeberg, Tanel Saar, Martin Vool, Margus Laanem
* [[Mis on tehisintellekt?]] - Grete-Liis Paavo, Sigrid Pihel, Kelly Roosilill, Siim Lukas Simmo, Jörgen Jõgiste
*[[Infoühiskonna teenuse ja meediateenuse ebaseaduslik vastuvõtmine]] - Kristiina Melissa Jõeäär, Jan Erik Alliksaar, Kaspar Ojasalu
* [[ICO wiki:IDE keskkonna kasutatavus ja kasutuskogemus]] - Roman Malõsev, Egor Mikhaylov, Grigori Senkiv
* [[Turunduspsühholoogia sotsiaalmeedias]] - Julia Ruzu, Saskia Rohtla, Denis Kusherekin, Kristjan Mänd
* [[Digikultuuri säilitamine]] - Mihkel Koks, Karl-Kevin Köörna, Gregor Kaljulaid, Maria Kaasik-Aaslav
* [[Sotsiaalmeedia meie ümber ja selle negatiivne mõju noortele]] - Carina Ruut, Carmen Unt, Hanna-Kristella Lehtsaar, Edvin Põiklik, Robin Väli
* [[Isesõitvad autod ei tuvasta(nud) musta nahavärviga inimesi]] - Rainer Aas, Ergas-Ever Kask, Kaia Kivend, Talis Petersell
* [[Närvivõrgud ja programmeerimine]] - Rodion Lehmus, Aleksander Ozerov, Eric Rodionov, Konstantin Donets, Vadim Zolotarenko
* [[Programmatic ehk Algoritmiline reklaamiost]] - Viktoria Mihhailova, Alec Bennoune, Aleksei Krassilnikov
* [[Alternatiivsed võimalused IT alase hariduse omandamiseks]] - Merilin Veeber, Saara Denisov, Susanna Abner
* [[Andmepüügi liigid ja võtted]] - Anastasia Gavrilova, Ekaterina Afanasjeva, Maria Harkina, Alisa Tarassova
* [[Tumeveeb]] - Steven Teras, Paul Siht, Sebastian Magagni, Marko Paumere, Cer-Lyn Luhasaar
* [[Suur Vend ja (pahade) asjade internet]] - Ragnar Kramm, Ragnar Leon Sonny Kaarneem, Kristjan Paloots, Taavi Tikkerber
* [[E-spordi olemus, trendid ja tuleviku väljavaated]] - Rasmus Vahelaan, Karl Markus Kõivastik, Joonas Kaal, Magnar Markvart
* [[Šifreerimismasinad]] - Mait Uusmäe, Hans Kristian Laur, Kerli Raudsepp, Anne-Mai Agukas
* [[Arvutimängude areng ja mõju]] - Laada Tereštšenkova, Artjom Strelkov, Aleksandr Jefimov, Jan Solovjov, Aleks Moppel
* [[Piraatlus ja striiminguteenused]] - Aimar Tuul, Andri Suga, Karl-Steven Valdmaa, Kristi Rikma
* [[Internetiprivaatsusega seotud põhiprobleemid ühiskonnas]] - Regina Novikova, Renee Balent, Jan Ulrich Sütt, Kevin Mihkelson

=== Kevad 2021 ===

* [[Tehnoloogia kehakultuuris]] - Jass Murutalu, Rasmus Maipuu, Kristo Palo, Anneli Vorms, Sten-Markus Ratnik
* [[InfoTehnoloogia Suundumised, Potentsiaal ja Eripära Aafrikas]] - Andi Angel, Jens-Kristjan Liivand, Ats Raigla, Lauri Simulman
* [[Andmed on uus euro: andmete kogumine ja kasutamine tänapäeva ühiskonnas]] - Kristi Reispass, Keiti Hiiemäe-Ild, Keijo Raamat, Henri Keerutaja, Ranet Mikko
* [[Mänguelementide eetiline kasutus lastele suunatud tarkvaras]] - Margot Saare, Maris Salk, Ragnar Rääsk
* [[Nutilinn (Smart city) ja asjade internet (IoT)]] - Stanislav Matšel, Kirill Janson, Katrin Kornfeldt, Kristjan Lund

=== Sügis 2021 ===

* [https://wiki.itcollege.ee/index.php/Miks_kardetakse_tehisintellekti%3F Miks kardetakse tehisintellekti?] - Marjam Nesterova, Kaisa Liiv, Katre Siller, Timur Habibulin, Kristina Aprelkova
* [https://wiki.itcollege.ee/index.php/Autonoomsed_s%C3%B5idukid_abiks_erivajadustega_inimestele Autonoomsed sõidukid abiks erivajadustega inimestele] - Joosep Mart Männik, Roma Imran Tariq, Danyil Kurbatov, Ahto Jalak, Svetlana Suhhorukova
* [https://wiki.itcollege.ee/index.php/Masinn%C3%A4gemine_ja_selle_rakendamine_kaasaegses_maailmas Masinnägemine ja selle rakendamine kaasaegses maailmas] - Dmitri Sobolev, Leonid Peskov, Pavel Petrov
* [https://wiki.itcollege.ee/index.php/Tumeveebi_n%C3%B5utuimad_tooted_ja_teenused Tumeveebi nõutuimad tooted ja teenused] - Vitali Logvin, Roman Mihhejev, Sergei Razguljajev, Anneli Väli
* [https://wiki.itcollege.ee/index.php/Levinumad_operatsioonis%C3%BCsteemid_ja_nende_asutajad Levinumad operatsioonisüsteemid ja nende asutajad] - Gleb Poljakov, Roman Vilu, Romet Reino, Erik M
* [[Infojagamise ohud sotsiaalmeedias]] - Maido Paalmäe, Triinu Pärnapuu, Rasmus Pidim, Karl Rikkonen
* [https://wiki.itcollege.ee/index.php/Arvutimängude_litsentsirikkumised_tänapäeval Arvutimängude litsentsirikkumised tänapäeval] - Arne Antov, Roland Kastein, Erik Johannes Keldrima, Andree Uuetoa
* [[Neuralink ja ühiskond]] - Hendrik Kuhi, Ronald-Reigor Lehtsaar, Nikita Kašnikov, Ingmar Markus
* [[Androidi tekkimine ja areng]] - Aleksandr Borovkov, Kristina Kavelitš, Daniel Geller, Alen Siilivask
* [https://wiki.itcollege.ee/index.php/Iot_omadused_ja_kasutusalad IoT omadused ja kasutusalad] - Ats Kiisa, Marek Ott
* [https://wiki.itcollege.ee/index.php/Biomeetrilise_andmet%C3%B6%C3%B6tluse_head_ja_vead. Biomeetrilise andmetöötluse vead ja head.]Jevgenia Dõmša, Laura Reins
* [https://wiki.itcollege.ee/index.php/IT_ilmumine_ja_areng_Eestis IT: ilmumine ja areng Eestis] Artjom Stepanov, Ariana Leštšuk
* [https://wiki.itcollege.ee/index.php/Deep_Blue Deeb Blue] Markus Johan Aug, Kati Lõhmus, Getter Saar
* [[Infotehnoloogilise ühiskonna apokalüpsis? - Ülemaailmne elektrikatkestus]]Triinu-Liis Vaikma, Alice Buht, Grete Eerikson, Mari-Liis Gabrel.
* [https://wiki.itcollege.ee/index.php/IT_m%C3%B5ju_spordile IT mõju spordile] Mathias Ranna, Karl Stefan Lill, Stenver Savi.
* [https://wiki.itcollege.ee/index.php/User_talk:Deleva: Krüptoraha] Deniz Levasjov, Renat Aparin, Kirill Mosegov.
* [https://wiki.itcollege.ee/index.php/Esoteerilised_programmeerimiskeeled Esoteerilised programmeerimiskeeled] Dariana Aav, Gen Lee, Mikkel Paat, Taeri Saar
* [https://wiki.itcollege.ee/index.php/Õuna_revolutsioon_-_Newtonist_Jobsini Õuna revolutsioon - Newtonist Jobsini] Darja Obuhhova, Diana Labunets, Robert Unt, Jegor Borissov, Valeri Tšernov
* [https://wiki.itcollege.ee/index.php/Võrgusuhtluse_ajalugu,_olevik_ja_tulevik Võrgusuhtluse ajalugu, olevik ja tulevik] Anet Mitt, Tanel Loigom, Andžei Veidenbaum, Maria Bljahhina, Reio Opromei
* [https://wiki.itcollege.ee/index.php/Tehnoloogilised_lahendused_t%C3%B6%C3%B6turul_ja_%C3%B5ppeasutuses Tehnoloogilised lahendused tööturul ja õppeasutuses] Kätlin Rajamäe, Steven Salmistu, Talis Paas, Karol-Ari Krimses, Daniel Vasser
* [https://wiki.itcollege.ee/index.php/L%C3%A4bi_tehnoloogia_%C3%BCliinimeseks Läbi tehnoloogia üliinimeseks?] Fred Kaur, Madrid Babajev, Aleksandra Vassilissa Garkuša, Kirill Seredjuk, Edgar Vildt

=== Kevad 2022 ===

* [https://wiki.itcollege.ee/index.php/K%C3%BCberturvaja_t%C3%B6%C3%B6vahendid Küberturvaja töövahendid] - Jake Rahu, Triinu Viikholm, Hell Kais, Siim Hendrik Rääk, Rene Ämarik
* [https://wiki.itcollege.ee/index.php/Biomeetrilise_autentimise_v%C3%B5lu_ja_valu Biomeetrilise autentimise võlu ja valu] - Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda
* [https://wiki.itcollege.ee/index.php/T%C3%BCtarettev%C3%B5tte_loomisprotsess_ja_selle_m%C3%B5ju_t%C3%B6%C3%B6tajatele Tütarettevõtte loomisprotsess ja selle mõju töötajatele] - Mihkel Jõela, Sander Plukš, Tõnis Saarjõe, Kareen Arutjunjan
* [https://wiki.itcollege.ee/index.php/Eksoskeletid Eksoskeletid] - Mari-Ann Piht, Helen Aavisto, Kristjan Keskküla
* [https://wiki.itcollege.ee/index.php/Eetiline%20h%C3%A4kkimine%2C%20selle%20v%C3%B5imalused%20ja%20ohud Eetiline häkkimine, selle võimalused ja ohud] - Ilja Rõbalkin, Darja Lunina, Daniil Gorohhov, Edward Schotter, Sander Moss

[[Category:ITSPEA]]
[[IT_eetilised,_sotsiaalsed_ja_professionaalsed_aspektid|Tagasi ITSPEA lehele]] | [[e-ITSPEA | Tagasi e-ITSPEA lehele]]

E-ITSPEA osalejad

2022-02-03T17:53:24Z

Samoss:

[[e-ITSPEA|Tagasi kursuse esilehele]]

Siia võiks kursuse toimumise ajal igaüks lisada enda pärisnime ja ajaveebi (blogi) aadressi.

NBǃ Kes lisab end hiljem, palun pange end nimekirja lõppu. Kusagilt nimekirja keskelt uusi tulijaid välja kaevata on üsna tüütu. ː(

Õppejõud: Kaido Kikkas, https://jora.kakupesa.net

Tudengid:
* Mehis Kasonen mehiskasonen@blogspot.com
* Triinu Viikholm https://triinuadelaide.wordpress.com/
* Hell Kais, https://hellkais.blogspot.com/
* Kristjan Keskküla, https://peamees.wordpress.com
* Ants Vain, https://antsvain.blogspot.com/
* Riho Kalda, https://rihok-itspea.blogspot.com/
* Heiko Piirme, https://hepiir.blogspot.com/
* Sandra Poll, https://sandra-poll.blogspot.com/
* Diana Vaher https://diavah.blogspot.com/
* Rene Ämarik https://reamar-itspea.blogspot.com/
* Piret Piiroja https://pipiir.blogspot.com/
* Ahti Blumkvist https://ahblum.blogspot.com/
* Aleksei Hüpin https://alekseihyp.blogspot.com/
* Siim Hendrik Rääk https://siiraak.blogspot.com/
* Daniil Mandrikov https://mandrikov512.blogspot.com/
* Kerli Saarniit https://kerlisaarniit.blogspot.com/
* Andrus Rähni https://andrusr.blogspot.com/
* Timo Hain https://timohain.blogspot.com/
* Tõnis Saarjõe https://tonissaarjoe.blogspot.com/
* Rauno Schiff https://raunosc.blogspot.com/
* Janek Järvpõld https://janek-itspea.blogspot.com/
* Helen Aavisto https://aavistohelen.blogspot.com/
* Darja Lunina https://dlunina-itspea.blogspot.com/
* Ketlin Loob https://keloob.blogspot.com/
* Kaido Sõmera https://kaidosom.blogspot.com/
* Mari-Ann Piht https://mrnnpht.wordpress.com/
* Sander Plukš https://sanderpluks.blogspot.com/
* Kristjan Leol https://kristjan-l.blogspot.com/
* Roman Komkov https://rokomk.blogspot.com/
* Mihkel Jõela https://mihkelj0ela.blogspot.com/
* Jake Rahu https://jakerahu.blogspot.com/
* Viljar Vaht https://vvitspea.blogspot.com/
* Reijo Timuska https://retimu.blogspot.com/
* Konstantin Dzyuba https://konstantinhyperblog.blogspot.com/
* Stenver Suurkütt https://itspeastenver.wordpress.com/
* Lemme Velleõu https://lemmevicy0004.wordpress.com
* Sander Moss https://no-pain-less-gain.blogspot.com/

Kursuse foorumi ja blogide RSS-vooge koondav OPML-fail ilmub siia veidi hiljem, kui osalejate nimekiri on stabiliseerunud.

[[e-ITSPEA|Tagasi kursuse esilehele]]
[[Category:ITSPEA]]