খসড়া:সাদা টুপি (কম্পিউটার নিরাপত্তা)

একটি সাদা টুপি (বা একটি সাদা-হ্যাট হ্যাকার, একটি হোয়াইটহ্যাট ) একটি নৈতিক নিরাপত্তা হ্যাকার।^[১] ^[২] এথিক্যাল হ্যাকিং একটি শব্দ যা শুধুমাত্র অনুপ্রবেশ পরীক্ষার চেয়ে একটি বিস্তৃত বিভাগ বোঝানোর জন্য।^[৩] ^[৪] মালিকের সম্মতির অধীনে, হোয়াইট-টুপি হ্যাকারদের লক্ষ্য বর্তমান সিস্টেমের যেকোন দুর্বলতা বা নিরাপত্তা সমস্যা চিহ্নিত করা। ^[৫]

সাদা টুপিটি কালো টুপির সাথে বিপরীত, একটি দূষিত হ্যাকার; এই সংজ্ঞাগত দ্বিধাদ্বন্দ্ব পশ্চিমা চলচ্চিত্র থেকে এসেছে, যেখানে বীরত্বপূর্ণ এবং বিরোধী কাউবয়রা ঐতিহ্যগতভাবে যথাক্রমে একটি সাদা এবং একটি কালো টুপি পরতে পারে । ^[৬] ধূসর টুপি নামে পরিচিত তৃতীয় ধরনের হ্যাকার আছে যারা ভালো উদ্দেশ্য নিয়ে হ্যাক করে কিন্তু কখনো কখনো অনুমতি ছাড়াই। ^[৭] হোয়াইট-হ্যাট হ্যাকাররা " স্নিকার্স এবং/অথবা হ্যাকার ক্লাব ", ^[৮] রেড টিম বা টাইগার টিম নামে দলেও কাজ করতে পারে।^[৯]

এই খসড়াটি উইকিপিডিয়ার জন্য মানসম্পন্ন অবস্থায় আনতে পরিচ্ছন্ন করা প্রয়োজন। মূল সমস্যা হল: বাংলা-ইংরেজির মিশ্রণ রয়েছে।. অনুগ্রহ করে খসড়া এর মান উন্নয়ন করতে সাহায্য করুন; এই সংক্রান্ত বিস্তারিত বর্ণনা আলাপ পাতায় থাকতে পারে।

ইতিহাস[সম্পাদনা]

একটি নৈতিক হ্যাক ব্যবহার করার প্রথম দৃষ্টান্তগুলির মধ্যে একটি হল মার্কিন যুক্তরাষ্ট্রের বিমান বাহিনী দ্বারা পরিচালিত একটি "নিরাপত্তা মূল্যায়ন", যেখানে মাল্টিক্স অপারেটিং সিস্টেমগুলিকে "দুই-স্তরের (গোপন/শীর্ষ গোপন) সিস্টেম হিসাবে সম্ভাব্য ব্যবহারের জন্য পরীক্ষা করা হয়েছিল।" মূল্যায়নে স্থির করা হয়েছে যে মাল্টিক্স "অন্যান্য প্রচলিত সিস্টেমের তুলনায় উল্লেখযোগ্যভাবে ভালো" হলেও এটিতে "... হার্ডওয়্যার নিরাপত্তা, সফ্টওয়্যার নিরাপত্তা এবং পদ্ধতিগত নিরাপত্তার দুর্বলতা " ছিল যা "অপেক্ষাকৃত নিম্ন স্তরের প্রচেষ্টা" দ্বারা উন্মোচিত হতে পারে।^[১০]

লেখকরা তাদের পরীক্ষাগুলো বাস্তববাদের একটি নির্দেশিকা অনুসারে করেছেন, তাই তাদের ফলাফল সঠিকভাবে প্রতিনিধিত্ব করবে যে ধরনের অ্যাক্সেস একজন অনুপ্রবেশকারী সম্ভাব্যভাবে অর্জন করতে পারে। তারা সাধারণ তথ্য সংগ্রহের ব্যায়াম, সেইসাথে সিস্টেমের উপর সরাসরি আক্রমণ যা এর অখণ্ডতাকে ক্ষতিগ্রস্ত করতে পারে এমন পরীক্ষাগুলি সম্পাদন করে; উভয় ফলাফল লক্ষ্য দর্শকদের আগ্রহের ছিল. মার্কিন সামরিক বাহিনীতে নৈতিক হ্যাকিং কার্যক্রমের বর্ণনা দেয় এমন আরও বেশ কয়েকটি এখন অশ্রেণীবদ্ধ প্রতিবেদন রয়েছে।

১৯৮১ সাল নাগাদ দ্য নিউ ইয়র্ক টাইমস হোয়াইট-টুপি কার্যক্রমকে একটি "দুষ্টু কিন্তু বিকৃতভাবে ইতিবাচক 'হ্যাকার' ঐতিহ্যের অংশ হিসাবে বর্ণনা করে"। যখন একজন ন্যাশনাল সিএসএস কর্মচারী তার পাসওয়ার্ড ক্র্যাকারের অস্তিত্ব প্রকাশ করেন, যেটি তিনি গ্রাহক অ্যাকাউন্টে ব্যবহার করেছিলেন, তখন কোম্পানি তাকে সফ্টওয়্যারটি লেখার জন্য নয় বরং তাড়াতাড়ি প্রকাশ না করার জন্য তাকে শাস্তি দেয়।

তিরস্কারের চিঠিতে বলা হয়েছে "কোম্পানি এনসিএসএস-এর সুবিধা উপলব্ধি করে এবং ফাইলগুলিতে ভিপি, ডিরেক্টরি এবং অন্যান্য সংবেদনশীল সফ্টওয়্যারগুলির সুরক্ষা দুর্বলতাগুলি চিহ্নিত করার জন্য কর্মীদের প্রচেষ্টাকে উত্সাহিত করে"।^[১১] 20 অক্টোবর, 2016-এ, ডিপার্টমেন্ট অফ ডিফেন্স (DOD) ঘোষণা করেছে " হ্যাক দ্য পেন্টাগন ।" ^[১২] ^[১৩]

সিস্টেমের নিরাপত্তা মূল্যায়ন এবং দুর্বলতাগুলি নির্দেশ করার জন্য নৈতিক হ্যাকিংয়ের এই কৌশলটি আনার ধারণাটি ড্যান ফার্মার এবং উইটসে ভেনেমা দ্বারা প্রণয়ন করা হয়েছিল। ইন্টারনেট এবং ইন্ট্রানেটে নিরাপত্তার সামগ্রিক স্তর বাড়ানোর জন্য, তারা বর্ণনা করতে এগিয়েছিল যে কীভাবে তারা তাদের লক্ষ্যগুলি সম্পর্কে যথেষ্ট তথ্য সংগ্রহ করতে সক্ষম হয়েছিল যদি তারা এটি করতে বেছে নেয় তবে নিরাপত্তার সাথে আপস করতে সক্ষম হয়েছিল।

কীভাবে এই তথ্য সংগ্রহ করা যায় এবং লক্ষ্যের নিয়ন্ত্রণ অর্জনের জন্য কাজে লাগানো যায় এবং কীভাবে এই ধরনের আক্রমণ প্রতিরোধ করা যায় তার বেশ কয়েকটি নির্দিষ্ট উদাহরণ তারা দিয়েছে। তারা তাদের কাজের সময় ব্যবহৃত সমস্ত সরঞ্জাম সংগ্রহ করে, একটি একক, সহজে-ব্যবহারযোগ্য অ্যাপ্লিকেশনে প্যাকেজ করে এবং যে কেউ এটি ডাউনলোড করতে বেছে নেয় তাকে তা দিয়ে দেয়। নেটওয়ার্ক বিশ্লেষণের জন্য নিরাপত্তা প্রশাসক টুল বা SATAN নামে তাদের প্রোগ্রামটি 1992 সালে বিশ্বব্যাপী মিডিয়ার ব্যাপক মনোযোগের সাথে দেখা হয়েছিল।^[১৪]

কৌশল[সম্পাদনা]

পেনিট্রেশন টেস্টিং শুরু থেকেই সফ্টওয়্যার এবং কম্পিউটার সিস্টেম আক্রমণ করার দিকে মনোনিবেশ করেন- পোর্ট স্ক্যান করা, সিস্টেমে চলমান প্রোটোকল এবং অ্যাপ্লিকেশনগুলিতে পরিচিত ত্রুটিগুলি পরীক্ষা করা এবং প্যাচ ইনস্টলেশন, উদাহরণস্বরূপ - নৈতিক হ্যাকিং অন্যান্য জিনিস অন্তর্ভুক্ত হতে পারে. একটি পূর্ণ-স্কেল নৈতিক হ্যাকের মধ্যে পাসওয়ার্ডের বিশদ জিজ্ঞাসা করার জন্য ইমেল করা কর্মীদের অন্তর্ভুক্ত থাকতে পারে, কার্যনির্বাহী ডাস্টবিনের মাধ্যমে গুঞ্জন, সাধারণত লক্ষ্যগুলির জ্ঞান এবং সম্মতি ছাড়াই।

শুধুমাত্র মালিক, সিইও এবং বোর্ড সদস্যরা (স্টেকহোল্ডার) যারা এই মাত্রার নিরাপত্তা পর্যালোচনার জন্য বলেছে তারাই সচেতন। কিছু ধ্বংসাত্মক কৌশল ব্যবহার করার চেষ্টা করতে এবং প্রতিলিপি করার জন্য একটি বাস্তব আক্রমণ ব্যবহার করতে পারে, এথিক্যাল হ্যাকাররা ক্লোনড টেস্ট সিস্টেমের ব্যবস্থা করতে পারে, অথবা সিস্টেমগুলি কম সমালোচনামূলক অবস্থায় গভীর রাতে একটি হ্যাক সংগঠিত করতে পারে। ^[১৫]

সাম্প্রতিক ক্ষেত্রে এই হ্যাকগুলি দীর্ঘমেয়াদী অপরাধের জন্য স্থায়ী হয় (দিন, সপ্তাহ না হলে, একটি সংস্থায় দীর্ঘমেয়াদী মানব অনুপ্রবেশের)। কিছু উদাহরণের মধ্যে রয়েছে ইউএসবি /ফ্ল্যাশ কী ড্রাইভগুলি লুকানো অটো-স্টার্ট সফ্টওয়্যার সহ একটি সর্বজনীন এলাকায় রেখে যাওয়া যেন কেউ একটি ছোট ড্রাইভ হারিয়ে ফেলে এবং কোনও সন্দেহভাজন কর্মচারী এটি খুঁজে পেয়ে তা নিয়ে যায়।

এইগুলি সম্পাদন করার কিছু অন্যান্য পদ্ধতির মধ্যে রয়েছে:[সম্পাদনা]

এই পদ্ধতিগুলি পরিচিত নিরাপত্তা দুর্বলতাগুলিকে শোষণ করে এবং সুরক্ষিত এলাকায় প্রবেশের জন্য নিরাপত্তা এড়ানোর চেষ্টা করে। তারা সফ্টওয়্যার এবং সিস্টেম 'ব্যাক-ডোর' লুকিয়ে এটি করতে পারে যা তথ্য বা অ্যাক্সেসের লিঙ্ক হিসাবে ব্যবহার করা যেতে পারে যা একটি অ-নৈতিক হ্যাকার, 'ব্ল্যাক হ্যাট' বা 'গ্রে হ্যাট' নামেও পরিচিত, পৌঁছাতে চাইতে পারে।

বৈধতা[সম্পাদনা]

বেলজিয়াম[সম্পাদনা]

বেলজিয়াম ২০২৩ সালের ফেব্রুয়ারিতে হোয়াইট হ্যাট হ্যাকিংকে বৈধ করেছে।^[১৬]

যুক্তরাজ্য[সম্পাদনা]

স্ট্রুয়ান রবার্টসন, পিনসেন্ট ম্যাসনস এলএলপি-এর আইনি পরিচালক, এবং OUT-LAW.com- এর সম্পাদক বলেছেন, "বিস্তৃতভাবে বলতে গেলে, যদি কোনও সিস্টেমে অ্যাক্সেস অনুমোদিত হয়, হ্যাকিংটি নৈতিক এবং আইনী। যদি তা না হয়, তাহলে একটি অপরাধ আছে কম্পিউটার অপব্যবহার আইন । অননুমোদিত অ্যাক্সেস অপরাধের মধ্যে পাসওয়ার্ড অনুমান করা থেকে শুরু করে কারও ওয়েবমেল অ্যাকাউন্ট অ্যাক্সেস করা, একটি ব্যাঙ্কের নিরাপত্তা ক্র্যাক করা পর্যন্ত সমস্ত কিছু অন্তর্ভুক্ত রয়েছে। কম্পিউটারে অননুমোদিত অ্যাক্সেসের সর্বোচ্চ শাস্তি দুই বছরের কারাদণ্ড এবং জরিমানা।

উচ্চতর জরিমানা রয়েছে। ১০ বছর পর্যন্ত জেল - যখন হ্যাকারও ডেটা পরিবর্তন করে"। এমনকি অনেকের সুবিধার জন্য দুর্বলতা প্রকাশ করার জন্য অননুমোদিত অ্যাক্সেস আইনী নয়, রবার্টসন বলেছেন। "আমাদের হ্যাকিং আইনে কোন প্রতিরক্ষা নেই যে আপনার আচরণ বৃহত্তর ভালোর জন্য। এমনকি আপনি যা বিশ্বাস করেন তা হলেও।" ^[১৭]

কর্মসংস্থান[সম্পাদনা]

মার্কিন যুক্তরাষ্ট্রের ন্যাশনাল সিকিউরিটি এজেন্সি CNSS ৪০১১-এর মতো সার্টিফিকেশন অফার করে। এই ধরনের সার্টিফিকেশন সুশৃঙ্খল, নৈতিক হ্যাকিং কৌশল এবং টিম ম্যানেজমেন্ট কভার করে। আগ্রাসী দলগুলিকে "লাল" দল বলা হয়। ডিফেন্ডার দলগুলিকে "নীল" দল বলা হয়। ^[১৮] যখন এজেন্সিটি ২০২০ সালে DEF CON- এ নিয়োগ করেছিল, তখন এটি আবেদনকারীদের প্রতিশ্রুতি দিয়েছিল যে "যদি আপনার কিছু থাকে, আমরা কি বলব, আপনার অতীতে অবিবেচনা, শঙ্কিত হবেন না। আপনার স্বয়ংক্রিয়ভাবে ধরে নেওয়া উচিত নয় যে আপনাকে নিয়োগ দেওয়া হবে না"। ^[১৯]

একটি ভাল "হোয়াইট হ্যাট" হল একটি এন্টারপ্রাইজের জন্য একটি প্রতিযোগিতামূলক দক্ষ কর্মচারী যেহেতু তারা এন্টারপ্রাইজ নেটওয়ার্ক পরিবেশ রক্ষা করার জন্য বাগগুলি খুঁজে বের করার একটি পাল্টা ব্যবস্থা হতে পারে। অতএব, একটি ভাল "সাদা টুপি" একটি এন্টারপ্রাইজের জন্য সিস্টেম, অ্যাপ্লিকেশন এবং শেষ পয়েন্ট জুড়ে ঝুঁকি কমাতে অপ্রত্যাশিত সুবিধা নিয়ে আসতে পারে। ^[২০]

তথ্যসূত্র[সম্পাদনা]

↑ "What is white hat? - a definition from Whatis.com"। Searchsecurity.techtarget.com। সংগ্রহের তারিখ ২০১২-০৬-০৬।
↑ Okpa, John Thompson; Ugwuoke, Christopher Uchechukwu (২০২২-০৯-০৫)। "Cyberspace, Black-Hat Hacking and Economic Sustainability of Corporate Organizations in Cross-River State, Nigeria" (ইংরেজি ভাষায়): 215824402211227। আইএসএসএন 2158-2440। ডিওআই:10.1177/21582440221122739 ।
↑ Ward, Mark (১৪ সেপ্টেম্বর ১৯৯৬)। "Sabotage in cyberspace"।
↑ Knight, William (১৬ অক্টোবর ২০০৯)। "License to Hack": 38–41। ডিওআই:10.1016/s1742-6847(09)70019-9।
↑ Filiol, Eric; Mercaldo, Francesco (২০২১)। "A Method for Automatic Penetration Testing and Mitigation: A Red Hat Approach" (ইংরেজি ভাষায়): 2039–2046। ডিওআই:10.1016/j.procs.2021.08.210 ।
↑ Wilhelm, Thomas; Andress, Jason (২০১০)। Ninja Hacking: Unconventional Penetration Testing Tactics and Techniques। Elsevier। পৃষ্ঠা 26–7। আইএসবিএন 978-1-59749-589-9।
↑ "What is the difference between black, white, and grey hackers"। Norton.com। Norton Security। সংগ্রহের তারিখ ২ অক্টোবর ২০১৮।
↑ "What is a White Hat?"। Secpoint.com। ২০১২-০৩-২০। সংগ্রহের তারিখ ২০১২-০৬-০৬।
↑ Palmer, C.C. (২০০১)। "Ethical Hacking" (পিডিএফ): 769। ডিওআই:10.1147/sj.403.0769।
↑ (প্রতিবেদন)। |শিরোনাম= অনুপস্থিত বা খালি (সাহায্য)
↑ McLellan, Vin (১৯৮১-০৭-২৬)। "Case of the Purloined Password"। The New York Times। সংগ্রহের তারিখ ১১ আগস্ট ২০১৫।
↑ "DoD Announces 'Hack the Pentagon' Follow-Up Initiative"। U.S. Department of Defense (ইংরেজি ভাষায়)। সংগ্রহের তারিখ ২০২৩-১২-১৫।
↑ Perez, Natasha Bertrand,Zachary Cohen,Alex Marquardt,Evan (২০২৩-০৪-১৩)। "Pentagon leak leads to limits on who gets access to military's top secrets | CNN Politics"। CNN (ইংরেজি ভাষায়)। সংগ্রহের তারিখ ২০২৩-১২-১৫।
↑ Palmer, C.C. (২০০১)। "Ethical Hacking" (পিডিএফ): 769। ডিওআই:10.1147/sj.403.0769।
↑ Justin Seitz, Tim Arnold (এপ্রিল ১৪, ২০২১)। Black Hat Python, 2nd Edition: Python Programming for Hackers and Pentesters। No Starch Press। আইএসবিএন 978-1-7185-0112-6।
↑ Drechsler, Charlotte Somers, Koen Vranckaert, Laura (৩ মে ২০২৩)। "Belgium legalises ethical hacking: a threat or an opportunity for cybersecurity?"। CITIP blog। সংগ্রহের তারিখ ৭ মে ২০২৩।
↑ Knight, William (১৬ অক্টোবর ২০০৯)। "License to Hack": 38–41। ডিওআই:10.1016/s1742-6847(09)70019-9।
↑ "What is a White Hat?"। Secpoint.com। ২০১২-০৩-২০। সংগ্রহের তারিখ ২০১২-০৬-০৬।
↑ "Attention DEF CON® 20 attendees"। National Security Agency। ২০১২। ২০১২-০৭-৩০ তারিখে মূল থেকে আর্কাইভ করা।
↑ Caldwell, Tracey (২০১১)। "Ethical hackers: putting on the white hat": 10–13। আইএসএসএন 1353-4858। ডিওআই:10.1016/s1353-4858(11)70075-7।

বিষয়শ্রেণী:কম্পিউটার নীতিশাস্ত্র বিষয়শ্রেণী:হ্যাকিং (কম্পিউটার নিরাপত্তা)

[1] "What is white hat? - a definition from Whatis.com"। Searchsecurity.techtarget.com। সংগ্রহের তারিখ ২০১২-০৬-০৬।

[2] Okpa, John Thompson; Ugwuoke, Christopher Uchechukwu (২০২২-০৯-০৫)। "Cyberspace, Black-Hat Hacking and Economic Sustainability of Corporate Organizations in Cross-River State, Nigeria" (ইংরেজি ভাষায়): 215824402211227। আইএসএসএন 2158-2440। ডিওআই:10.1177/21582440221122739 ।

[3] Ward, Mark (১৪ সেপ্টেম্বর ১৯৯৬)। "Sabotage in cyberspace"।

[Knight-4] Knight, William (১৬ অক্টোবর ২০০৯)। "License to Hack": 38–41। ডিওআই:10.1016/s1742-6847(09)70019-9।

[5] Filiol, Eric; Mercaldo, Francesco (২০২১)। "A Method for Automatic Penetration Testing and Mitigation: A Red Hat Approach" (ইংরেজি ভাষায়): 2039–2046। ডিওআই:10.1016/j.procs.2021.08.210 ।

[6] Wilhelm, Thomas; Andress, Jason (২০১০)। Ninja Hacking: Unconventional Penetration Testing Tactics and Techniques। Elsevier। পৃষ্ঠা 26–7। আইএসবিএন 978-1-59749-589-9।

[Symantec_Group-7] "What is the difference between black, white, and grey hackers"। Norton.com। Norton Security। সংগ্রহের তারিখ ২ অক্টোবর ২০১৮।

[Secpoint-8] "What is a White Hat?"। Secpoint.com। ২০১২-০৩-২০। সংগ্রহের তারিখ ২০১২-০৬-০৬।

[Palmer-9] Palmer, C.C. (২০০১)। "Ethical Hacking" (পিডিএফ): 769। ডিওআই:10.1147/sj.403.0769।

[10] (প্রতিবেদন)। |শিরোনাম= অনুপস্থিত বা খালি (সাহায্য)

[mclellan19810726-11] McLellan, Vin (১৯৮১-০৭-২৬)। "Case of the Purloined Password"। The New York Times। সংগ্রহের তারিখ ১১ আগস্ট ২০১৫।

[12] "DoD Announces 'Hack the Pentagon' Follow-Up Initiative"। U.S. Department of Defense (ইংরেজি ভাষায়)। সংগ্রহের তারিখ ২০২৩-১২-১৫।

[13] Perez, Natasha Bertrand,Zachary Cohen,Alex Marquardt,Evan (২০২৩-০৪-১৩)। "Pentagon leak leads to limits on who gets access to military's top secrets | CNN Politics"। CNN (ইংরেজি ভাষায়)। সংগ্রহের তারিখ ২০২৩-১২-১৫।

[Palmer2-14] Palmer, C.C. (২০০১)। "Ethical Hacking" (পিডিএফ): 769। ডিওআই:10.1147/sj.403.0769।

[15] Justin Seitz, Tim Arnold (এপ্রিল ১৪, ২০২১)। Black Hat Python, 2nd Edition: Python Programming for Hackers and Pentesters। No Starch Press। আইএসবিএন 978-1-7185-0112-6।

[16] Drechsler, Charlotte Somers, Koen Vranckaert, Laura (৩ মে ২০২৩)। "Belgium legalises ethical hacking: a threat or an opportunity for cybersecurity?"। CITIP blog। সংগ্রহের তারিখ ৭ মে ২০২৩।

[Knight2-17] Knight, William (১৬ অক্টোবর ২০০৯)। "License to Hack": 38–41। ডিওআই:10.1016/s1742-6847(09)70019-9।

[Secpoint2-18] "What is a White Hat?"। Secpoint.com। ২০১২-০৩-২০। সংগ্রহের তারিখ ২০১২-০৬-০৬।

[19] "Attention DEF CON® 20 attendees"। National Security Agency। ২০১২। ২০১২-০৭-৩০ তারিখে মূল থেকে আর্কাইভ করা।

[20] Caldwell, Tracey (২০১১)। "Ethical hackers: putting on the white hat": 10–13। আইএসএসএন 1353-4858। ডিওআই:10.1016/s1353-4858(11)70075-7।

[১]

[২]

[৩]

[৪]

[৫]

[৬]

[৭]

[৮]

[৯]

[১০]

[১১]

[১২]

[১৩]

[১৪]

[১৫]

[১৬]

[১৭]

[১৮]

[১৯]

[২০]