Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини ИТ сигурност
бр. 4, 2018

Призванието етичен хакер – въпрос на морал и лоялност

Етичният хакер действа градивно с цел да подобри съществуващата дигитална среда, злонамереният е изцяло деструктивен, категоричен е Иван Станчин от Уникредит Булбанк.

от , 24 април 2018 0 745 прочитания,

Иван Гайдаров

Все по-широкото разпространение на технологиите улеснява ежедневието на потребителите и оптимизира стратегиите и пазарното представяне на компаниите. То обаче води със себе си и заплахи за сигурността, които доскоро бяха приемани само като част от сценариите за научно-фантастични филми. Това се промени с гръм и трясък, след като в рамките на само няколко години жертви на кибератаки станаха някои от най-големите компании и организации в света, а новините за злоупотреби с лични данни, мощни фишинг кампании и масово разпространение на зловреден софтуер и криптовируси се превърнаха в нещо съвсем обичайно. В резултат думата “хакер” придоби както огромна популярност, така и определено отрицателна конотация. Но докато много хора и групи полагат усилия да поставят знак за равенство между понятията “хакер” и “киберпрестъпник” в преследване на лична изгода, без оглед на щетите, които нанасят на жертвите си, други, не толкова често ангажиращи общественото внимание хора, използват сходни инструменти, но с коренно различна цел – да подобрят цялостното ниво на сигурност на дигиталната среда. Това са т.нар “етични хакери”.

Призванието етичен хакер – въпрос на морал и лоялност

Етичните хакери

“Има много дефиниции и интерпретации за това какво е етично хакерство. В общи линии под този термин се има предвид дейност, която има за цел да установи уязвимости и пробойни в системите и услугите, предлагани от дадена организация, като целта е подобряване на нивото на сигурност. Тази дейност, разбира се, не е концентрирана само към бизнес компании, но и към производителите на софтуер, с оглед на това евентуални пропуски да бъдат поправени преди да доведат до неприятни последствия”, обяснява Иван Станчин, старши мениджър “Информационна сигурност” на Уникредит Булбанк, и дава пример: “Пред етичния хакер има Библия, пред другия – анархичен знак. Единият се кълне и вярва в нещо, той действа градивно с цел да подобри съществуваща среда. Идеите на другия са деструктивни.”

По думите му, за да стане един софтуерен специалист етичен хакер, на първо място трябва да притежава нужното светоусещане. 

“Това са хора с морални ценности, които искат да направят всичко възможно да живеем в един по-сигурен свят. Това е изключително необходимо, защото всички услуги, които ползваме днес, са дигитализирани, което може да доведе до огромни проблеми, ако се неглижира сигурността”, категоричен е Станчин.

Именно вътрешната настройка и липсата на престъпни наклонности е и нещото, което отличава етичните хакери от противниците им, тъй като наборът от инструменти, на който разчитат двете страни, фактически са едни и същи.

“Хакерството вече е бизнес. Минаха времената, в които всеки самостоятелно пробваше своите знания и умения за пробиване на дадена система. Подобни солови изяви вече не са често срещани. Те са характерни за първите няколко години, в които един софтуерен специалист основно се учи. След това идва кръстопът, на който трябва да избере накъде ще тръгне. За съжаление, хората, поели по тъмната пътека, обикновено се сдружават в екипи и организации, което ги прави изключително сериозен противник”, обръща внимание старши мениджърът “Информационна сигурност” на Уникредит Булбанк. 

Иначе идеята за предлагане на етичното хакерство като услуга се появява през 90-те години на 20-ти век и първоначално не постига особена успех, тъй като малко хора тогава осъзнават последствията, които може да има една успешна кибер атака за жертвата – загуба на средства и информация, отстъпление от пазарни позиции, проблеми с потребители и клиенти, имиджови сътресения и т.н. От друга страна самите злонамерени актьори към онзи момент нямат толкова сериозен инструментариум и толкова подходящи условия за своите кампании, колкото сега, в ерата на повсеместната свързаност.

С еволюцията на технологиите обаче се променя и разширява и дигитална среда. Концепцията за Интернет на нещата, свързваща милиарди устройства в невиждана до момента мрежа, и облачната инфраструктура, която централизира огромни количества данни, както и липсата на достатъчен брой подготвени специалисти по киберсигурност способстват за превръщането на киберпрестъпленията в изключително доходоносно занимание, което не убягва от вниманието на голяма част от хакерите. Затова с времето започват да се организират и компании, които предлагат специализирана услуга – установяване на уязвимости и провеждане на тестове за проникване, които да покажат слабите места в дадена система.

“За да се пробият изкусно съвременните корпоративни системи са нужни екипи. Така че, хакери вече не означава технически грамотни хора, които атакуват дадена система. Това са строго изградени организации, в които има ръководители, профайлъри, кодировчици и т.н. Ако говорим за чисто технологичната част, това са кодировчиците, които знаят как да напишат даден код, как да прочетат нещо от паметта, как да го използват за извличане на информация. След като имат тази основа, други хакери изграждат комуникацията, чрез която да шпионират и да контролират средата. Има и такива, които не са толкова технически грамотни, но знаят как да създават моделите за атака. Ако тази симбиоза не съществува, хакерството е обречено. За масова атака е нужна изключително стройна организация”, обяснява Иван Станчин, като специално обръща внимание, че това важи както за злонамерените хакери, така и за етичните.

Етичните хакери в действие

“Много действия, които трябва да се извършват при изграждането на една система, често биват забравяни, било то от гледна точка на спестяване на бюджет, било то заради това, че липсва човешки ресурс, който да я поддържа в адекватно състояние. В същия момент има и специалисти, които в стремежа си да облекчат своята дейност, оставят задни вратички, щедро използвани впоследствие за злоупотреби от злонамерните играчи. И тук е мястото на етичния хакер”, посочва старши мениджърът “Информационна сигурност” на Уникредит Булбанк и добавя, че тяхната роля не е да запушват дупките в системата, а да ги откриват, докладват и да дават съвети за възможните начини за тяхното фиксиране. 

Самият процес на работа на етичните хакери има няколко строго последователни стъпки, които го отличават от този на злонамерена атака. На първо място е задаването на целите и обхвата на кампанията - какви компютърни активи са в обхвата на теста; всички компютри ли включва, или само определено приложение, или услуга; могат ли тестовете за проникване да включват автоматизирано сканиране за уязвимости; разрешено ли е социалното инженерство и ако да, с кои точно методи; на кои дати ще бъде разрешено провеждането на тестовете и т.н.

“За разлика от останалите, които работят в “черна кутия”, етичните хакери са наясно поне с част от средата. Обикновено човекът, който наема етичния хакер, му дава информация за вида на мрежата, отделните сегменти, защитниците, администраторите и т.н. По друг начин казано, етичният хакер стартира работата си като е наясно с условията. Тук въпросът е доклко тази информация е пълна и доколко той трябва да я допълва, за да изгради някакъв допълнителен вектор за осъществяване на атаката си”, обяснява Иван Станчин.

Иван Станчин, старши мениджър

Втората важна стъпка е изборът на инструменти, с които да бъде извършена атаката, като е от изключително значение етичният хакер да е сигурен, че избраното решение не съдържа злонамерен софтуер или друг код, предназначен да пробие този, който го използва. След това идва и първата същинска част – проучването на целта.

“Техническите знания по отношение на строежа на една система, в смисъла на съвкупност от апарати и процеси, са задължителни, но хакерството не приключва с проникването в дадена станция. За да се стигне до тази стъпка, трябва да се извърши комплекс от действия. Атакуваният обект трябва да бъде разпознат и идентифициран дали може да бъде цел или не. Нужна е информация за поведенческите навици на обектите. Всеки един от тях се разглежда от различни страни – психологическо поведение, бизнес, дали е интересен за финална цел или за трамплин към друга. Това определя обема и вида на атаката, която може да бъде реализирана”, акцентира още Станчин, според когото социалното инженерство и профилирането не е задължително да бъдат правени с помощта на каквато и да е техника.

“Работа може да свърши и една чистачка например, която е получила достъп до информацията за даден обект заради оставени без надзор документи или незаключена врата. На базата на тази информация се взима решение кои части от системата могат да бъдат обект на атаката. В цялото множество от уязвимости хакерът трябва да знае върху какво да се съсреодоточи. Не може към всички едновременно. Трябва да избере определени цели и на тази база да гради нива, по които да стигне до крайната точка, която е и цел на симулацията. Така работят всички хакери – и етичните, и злонамерените”, предупреждава експертът по кибер-сигурност.

След като профилирането е завършено, етичният хакер пристъпва към действие, като преди това начертава пътна карта, по която ще осъществи атаката.

“Дадена система никога не е на 100% защитена и няма как да бъде. Един етичен хакер открива част от пробойните, но това не означават, че няма други. Хакерът може да открие определени проблеми, но не и всички. Всичко зависи от начина, по който той си е съставил плана на атаката. Затова има един отделен процес, който се нарича установяване на уязвимостите. При него се използват вече готови софтуери, които правят анализ на налични уязвимости и вероятните заплахи, до които те могат да доведат. Етичната атака може да спре и дотук, като, ако се затворят всички открити вратички, това би гарантирало около 80% ниво на сигурност”, категоричен е Иван Станчин.

След като симулацията е завършена, идва ред на последната фаза от теста, която обуславя и наименованието “етичен хакер” - документирането на констатациите и заключенията за нивото на сигурност на системата. “Атакуващият” е длъжен да предаде цялата информация относно слабостите, на които се е натъкнал, като едновременно с това подписва клаузи за конфиденциалност на данните. Именно тук идва и моралната дилема – да спазиш поетите ангажименти или да се възползваш от открилите се възможности. Всеки истински етичен хакер знае отговора на този въпрос.

Етичните хакери в България

“В големите компании у нас вече има изградени специализирани звена, които се грижат за сигурността на системите. Много от тях разчитат на тренирани специалисти, за които това е основната дейност. Има и много организации, които, въпреки че имат свои звена, организират и външни проверки с оглед на факта, че експерти, които не познават системите отвътре, са способни да открият нови пропуски”, разказва Иван Станчин.

Но освен вътрешните отдели, на българския пазар не липсват и компании, които предлагат етично хакерство като услуга. Според наблюденията на старши мениджъра “Информационна сигурност” на Уникредит Булбанк те са изключително професионално ориентирани и формирани от хора от бранша, които търсят ново поприще за изява, след като са стигнали възможно най-високото ниво в други технологични области като програмирането и системната администрация.

“Като цяло, вътрешен екип се изгражда много труно. Изискват се много специфични познания и, едновременно с това, комплексна експертиза. Колкото до самите тестове за уязвимости, е хубаво те да се извършват поне веднъж на година. В случая твърдението: “Потребителят винаги е прав” е грешно. Именно той е този, който трябва да се грижи за своята система, и всяка компания, която гони устойчиво развитие, трябва да инвестира в своите хора, ресурси и инфраструктура. Един елемент от системата да не бъде оптимизиран, компанията вече става уязвима”, съветва още Иван Станчин.

Обучението за тестове на сигурността и моралните въпроси

Много хора, получили повече или по-малко задълбочени знания, изграждат убеденост в способностите си, граничеща със самозабравяне. В курсовете, които се предлагат, не се научават кой знае колко много нови неща, спомня си Иван Станчин. "Но когато аз лично изкарах подобно обучение успях да разбера нещо ново за себе си от друга гледна точка – дали притежавам морал", допълва той. Освен техническите инструменти и подходи, в тези курсове се преподават и неща като подредност на действията, информираност, управление на конфликти, рапортни линии и т.н., които човек, вглъбен в своите знания и самоувереност, пропуска. Той става прекалено убеден в способностите си и много лесно може да бъде привлечен към другата страна. "Обученията няма да ви научат как да станете супер хакер. Това е занаят, който се учи и в реални условия. Обикновено човек се самообучава, но оттам нататък вече е въпрос на морал, лоялност и избор. Тези курсове траят от пет до десет дена. Няма как някой да стане програмист за това време.Процесът е дълъг, а курсовете са неговата еманация, един вид - рамка. Те ви дават делвата, а вие изборате с какво ще я пълните и дали ще оставите ябълките да се вкиснат на оцет или ще направите вкусен сайдер", категоричен е Станчин.

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия | Декларация за поверителност | Политика за бисквитки |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов