White i Black Hat (ang. kapelusz) to kategoryzacja hakerów ze względu na to, jak i dlaczego wykonują swoje pentesty.
Czarny kapelusz (haker czarnego kapelusza lub czarny kapelusz) to haker komputerowy, który zwykle narusza przepisy prawa lub normy etyczne. Termin wywodzi się z westernów z lat 50. XX wieku, kiedy to "źli" typowo nosili czarne kapelusze, a "dobrzy" białe. Hakerzy w czarnych kapeluszach dążą do włamania się do dowolnego systemu dla własnego zysku lub ze złej woli. Biały kapelusz to etyczny haker bezpieczeństwa, określany również jako haker białego kapelusza. Termin "etyczne hakowanie" oznacza coś więcej, niż tylko testy penetracyjne. Hakerzy w białych kapeluszach dążą do wykrycia wszelkich wad obecnego systemu za zgodą właściciela. Haker białego kapelusza wykorzysta lukę tylko za pozwoleniem i nie ujawni jej istnienia, dopóki nie zostanie ona naprawiona. Trzecią kategorią jest szary kapelusz - osoba, która hakuje z dobrymi intencjami, ale czasami bez pozwolenia.
A jak to się ma do testerów oprogramowania? Naszą interpretację przedstawiamy poniżej.
Tester w białym kapeluszu
Tester, który jest upoważniony do prowadzenia testów i którego celem jest możliwie najlepsze weryfikowanie jakości oprogramowania. Kieruje się on wysokimi standardami etycznymi. Szczególnie kluczowy jest tu aspekt ujawniania przełożonym informacji o jakości i "nie zamiatania" niepopularnych informacji pod dywan. Główną motywacją tego typu testera jest wysoka jakość oprogramowania, ale i uczciwy zarobek.
Testerzy ci często biorą udział w projektach bug bounty czy pay-per-bug.
Tester w szarym kapeluszu
Tester, który nie otrzymał upoważnienia do prowadzenia testów, ale z jakiegoś powodu je prowadzi. Swoją ocenę często ujawnia bez zgody właściciela witryny lub po nieudanych próbach zgłoszenia problemu administratorowi systemu.
Czasami testerzy "szarokapeluszowi" nie mają wystarczającej wiedzy i kompetencji do całościowej oceny jakości oprogramowania i koncentrują się na wąskich wycinkach systemu. Ich główną motywacją do wykonywania testów jest uzyskanie uznania w Internecie po publikacji informacji o defektach.
Nam (w testerzy.pl) zdarza się informować o pewnych defektach oprogramowania bez całościowej oceny systemów.
Tester w czarnym kapeluszu
Tester-haker, który chce uzyskać pewną korzyść przez weryfikację jakości oprogramowania. Pomijając wykorzystywanie luk bezpieczeństwa dla bezpośredniego zysku, to motywacją do wykonywania testów może być sprzedawanie informacji o defektach, ukrywanie informacji lub używanie ich do szantażowania właściciela systemu. Testerami black hat można nazywać osoby, które spotkamy na korytarzach naszej firmy, mające wiedzę o krytycznych defektach oprogramowania, ale ukrywające ją, czekając na możliwość wykorzystania jej do celów zarobkowych. Przykładem może być ujawnienie informacji o defekcie na krótko przed decyzją o premiach.
A ty jakim testerem jesteś?