Что такое этичный хакинг и пентест? Чем это отличается от обычного взлома?
Часто слышу слова «этичный хакинг» и «пентест». В чём разница между этичным хакером и обычным взломщиком, если они делают одно и то же — ищут дыры? Это вообще официальная работа или просто красивые слова?
2 ответа
Разница только одна, но она решает всё: разрешение.
Пентест (penetration testing, тест на проникновение) — это когда компания сама нанимает специалиста и по договору просит: «попробуй взломать наши системы и расскажи, где дыры, пока их не нашли настоящие злоумышленники». Есть бумага, есть согласованный список целей (scope), есть сроки.
Этичный хакер делает технически те же действия, что и злоумышленник, но:
- только в рамках разрешения (договор, программа bug bounty, своя лаборатория);
- цель — починить, а не украсть/сломать;
- по итогам пишет отчёт, а не продаёт данные.
Обычный взломщик делает то же самое без разрешения — и это уголовная статья (в РФ — гл. 28 УК, ст. 272–274).
Аналогия: пентестер — это как нанятый спец, которого попросили проверить, надёжны ли замки в здании. Грабитель лезет в то же окно, но его никто не звал. Действие похоже — последствия противоположны.
Это абсолютно официальная и востребованная профессия: пентестеров нанимают банки, ИТ-компании, госструктуры.
Важный нюанс для новичка: даже у этичного хакера есть жёсткие рамки scope. Если в договоре написано «тестируй сайт shop.example.com», то лезть на mail.example.com уже нельзя — это выход за разрешённые границы.
Поэтому профессия — это не только техника, но и дисциплина и юридическая аккуратность. Этому, кстати, учат на сертификациях вроде CEH и OSCP.
