Ау, хакерите са лоши хора, това го знае всеки. Никой не иска да нахлуят в електронния му дом, защото, пробият ли защитата, става лошо.
Има обаче и други хакери. Те не само са доста по-„симпатични“ от гледна точка на собствениците на сайтове, но и изкарват съвсем не лоши пари, при това напълно законно, за разлика от колегите си.
У нас терминът „бял хакер“, уви, се ползва по-скоро иронично след няколко обществени случки, които доста изкривиха общите впечатления. Истината е съвсем друга. В общия случай през последните десетилетия почти всички сериозни фирми се убедиха, че е добра идея да заложат не само на специалисти, които знаят как да ги пазят, но и на такива, които знаят как да пробият защитата.
Който не иска да храни своя армия, ще храни чужда, гласи една мъдрост, която ни повтарят, когато е време от бюджета да се отделят пари за някой съмнителен нов самолет. Иначе като цяло е вярна и в епохата на развитото информационно общество. Не си ли храниш свои хакери, много скоро ще ти се наложи да плащаш на чужди.
Етично? Епично!
Етичното хакерство е светлият лъч в битката с опитите за пробив в сигурността. А също и, както стана дума, доста доходоносна професия.
Изчиствайки терминологията, нека кажем още, че хакерите с белите шапки, етичните хакери и „пен тестерите“ са доста различни явления и все пак това, което ги обединява, е, че помагат да бъдат предотвратени реални хакерски атаки.
Какви са пък тези шапки? Съвсем условна терминология. Black hat, или хакерите с черни шапки, са тези, които се стремят да навредят, да получат информация, да осъществят престъпление. Докато техният контрапункт прави точно обратното. Хората с белите шапки често работят за правителства, големи корпорации, специалисти са по киберсигурност. И с работата си се опитват не да навредят, а да помогнат. Да открият слабостите в защитата, които могат да бъдат използвани от техните конкуренти с черни (поне докато течението за етническа толерантност не промени термина) шапки. Те проверяват надеждността на киберзащитата и търсят слабите ѝ места.
Червената шапчица
Между другото, говори се и за още цветове на шапките. Например „сивите шапки“ (Grey hat) са по средата между черното и бялото – търсят пробойни и обикновено едва след това решават дали ще ги ползват етично или… не толкова.
„Сините шапки“ (Blue hat) са като белите, само че това е алтернативна терминология, предлагана от Microsoft (може би като асоциация със „сините каски“ на ООН). „Зелените шапки“ (Green hat) са новаците в бранша, хакерите, които още нямат особено много опит и знания. Любопитни са и „червените“ (Red hat), чиято цел е да се борят с „черните шапки“. Но не като помагат за подсилване на защитите, както при „най-светлите“ им колеги, а опитвайки се директно да наказват нарушителите, да ги атакуват и притискат в ъгъла.
(Не)канен гост
Дори не говорим само за компютри. Например – неотдавна ви разказахме за предизвикателствата пред сигурността, които отправя направлението Internet of Things.
Zipato е огромна компания, производител на всякакви технологии, именно свързани с „интернет на нещата“ – от сензори до централизирани системи за управлението им. Та, преди няколко месеца белите хакери Чарлз Дардаман и Джейсън Уилър обявиха, че са открили няколко много сериозни пробойни в системите. Чрез тях зложелателите могат да поемат управлението на всяка система в дома, без потребителят дори да заподозре. Разбира се, те не споделиха прекалено много подробности пред обществото, запазиха ги за самата компания, която пък в резултат им благодари лаконично и след няколко седмици поправи пропуските си.
Отнело им само един ден. Първо хакерите успели да отворят входната врата на избрания дом Zipato, макар че не това била главната им цел. Опитали да се доберат до смарт хъба ZipaMicro – системата, която стои в сърцето на умния дом и управлява всички процеси в него. Влизайки в системата, Дардаман и Уилър открили в паметта на устройството SSH ключ, даващ root достъп… който се оказал един и същи за всички системи ZipaMicro. Имайки този ключ, хакерите вече можели да получат достъп до абсолютно всеки умен дом, ползващ ZipaMicro. Поне докато не обърнали внимание и тази уязвимост била запушена.
Бяла шапка, първо лице
А що за хора са самите тези етични хакери? Даваме думата на споменатия Чарлз Дардаман. „Искам да водя съвсем нормален живот и да си заработвам за пенсия“, казва 20-годишният младеж. Интересът му към хакерството тръгва от компютърните игри. В горните класове на гимназията любимото му занимание е да пише код за Minecraft и да решава логически главоблъсканици.
После главоблъсканиците стават реални, но той нито за миг не си представя, че би могъл да се занимава с тъмната страна на хакерството. Днес етичното хакерство му е професия – работи в компания, която е наемана за целта. Но прави същото и в свободното си време, опитвайки да открива слабостите във важни за много хора системи.
Химикалка тест
По-често обаче в ролята на бели хакери влизат не случайни и външни хора, а специално наемани специалисти, наречени пен-тестери. Не, не идва от английската дума за химикалка, а е съкратено от penetration – проникване. Тоест, компанията има собствени или пък наема от външна фирма хора, които правят всичко по силите си, за да пробият защитите ѝ. По-често се избира външна фирма, така че да не познава системите и да опитва да вдигне защитите без предварителни очаквания.
Това е и идеята на цялото направление – технологичният екип на всяка фирма може да си живее с блаженото усещане, че е създал съвършено безопасен софтуерен продукт. Но за да е сигурно, че е така, както добре знаем, проверката е висша форма на доверие. „Доверявай, но проверявай“, както се шегуваше Рейгън с Горбачов.
Понякога важната работа я вършат хора, които не са наети от компанията. И може би за хубаво – защото е твърде идеалистично да си мислим, че ако бъде открит сериозен проблем, чието решение е твърде скъпо, фирмата наистина ще предприеме някакви действия. Ето още една любопитна история в тази посока.
Воланът – в чужди ръце
През 2015 г. етични хакери успяват да „прихванат“ управлението на Jeep Cherokee чрез уязвимост в мултимедийната система Uconnect. Може би по този начин спасяват огромен брой човешки животи, но пък фирмата е принудена да изтегли временно от пазара… 1,4 милиона автомобила, от които проблемът да бъде отстранен.
Пред възможността някой хакер да получи достъп до управлението на автомобила ви… май рисковете наистина стават сериозни и източването на малка сума от банковата ви сметка след пробив изглежда направо невинен проблем.
Има и други, не по-малко впечатляващи примери за заплашващи живота рискове, които са били предотвратени от етични хакери. През март 2019-а анонимни хакери обръщат внимание за сериозен пропуск в сигурността на кардио дефибрилаторите, произвеждани от компанията Medtronic. Оказва се, че от разстояние до 6 метра на практика всеки може да получи достъп до тях и да ги управлява, както намери за добре. За щастие, проблемът отново е установен навреме и отстранен, преди да се стигне до реални инциденти.
Тест в кутия
Три са основните методи на етичното хакерство или пентестинга. И отново са свързани с цветове, подобно на шапките. Най-често се работи с т.нар Black Box или „черна кутия“. В този случай „бялата шапка“ влиза в ролята на своя колега с по-тъмен аксесоар – започна проверките си, без да има никакъв достъп до мрежата на компанията, която ще провери, без да знае нищо за технологиите, които ползва.
При „сивата кутия“ (Gray Box) етичният хакер знае основните неща, които са важни за работата на компанията или софтуера, които ще бъдат проверени. Понякога това са бивши сътрудници, клиенти или потребители на съответния продукт.
Ако се прави тестване тип „бяла кутия“ (White Box) пентестерът разполага с пълен достъп до инфраструктурата и администраторски права. Което, както вече стана дума, прави самата проверка доста по-малко показателна и почти безсмислена.
Хакери наопаки
И така, думата „хакер“ в днешния ни речник определено носи по-скоро негативни асоциации. За нас това са хора, които се опитват да ни оберат, наранят, да откраднат; които действат отвъд закона. Има го обаче и другото – етичното хакерство, както вече разбрахме, то може буквално да спасява животи.
Освен това е високоплатена и ценена от големите световни компании професия. Начин хората, за които пробиването на защитите е спорт, да се превърнат от проблем в спасител на обществото. Прелюбопитно занимание, което понякога може да е истинско предизвикателство.
И все пак, ако ви се стори добра идея и решите да се захванете с него, най-добре е да започнете със завършването на реномирана академия. Иначе, докато се учите, като нищо може да направите грешка, която да ви струва скъпо.
Вече знаете кои са „белите хакери“ и защо понякога те са направо манна небесна за големите компании. С това продължаваме поредицата за сигурността онлайн в блога на ZETTAHOST.bg. Започнахме с историята на социалното инженерство, продължихме с няколко основни правила за това как да си изберем сигурна парола онлайн. Спряхме са на VPN – удобствата, но и опасностите, които крие. Подробно разгледахме DoS и DDoS атаките, разказахме и за скритите, но огромни опасности от направлението „интернет на нещата“. Продължаваме нататък! Защото онлайн нищо не е по-ценно от сигурността…
