Etický hacking: Hackeři na „světlé straně síly“

12.12.2019

Přečteno 231x
Etický hacking: Hackeři na „světlé straně síly“

Hackeři nejsou jen počítačoví zločinci, kteří kradou bankovní účty a citlivá osobní data. Etičtí hackeři hledají bezpečnostní slabiny IT systémů a pomáhají je opravit. Čtěte dál a zjistíte, kdo jsou nejslavnější z nich a jak pomáhají chránit i vaše data.

Pozice etického hackera, neboli také „penetračního testera“, patří k nejzajímavějším a nejnáročnějším pozicím mezi ajťáky. Přezdívá se jim také „white hat“ (bílý klobouk) hackeři, protože jsou na “světlé straně síly”, narozdíl od black hat hackerů, kteří se dopouštějí kriminální činnosti.

Co je to etický hacking

Cílem etického hackingu je odhalovat chyby v zabezpečení IT systémů. Etický hacker používá stejné techniky jako útočník. Pokud se mu podaří najít slabiny v systému, informuje o tom příslušné oddělení ve firmě. White hat hackeři často pracují jako konzultanti v bezpečnostních firmách. Ve velkých firmách jsou často celá oddělení, která se zabývají penetračními testy.

Etičtí hackeři ale nejsou hrdinové z pohádek. Mnoho z nich má kriminální minulost v black hat hackingu. Největší technologické firmy a vládní organizace si je najímají, protože často patří mezi špičky v oboru. Je to podobné, jako když si chcete prověřit zabezpečení vaší banky. Nejlépe ho otestuje ten, který skutečně dokázal nějakou banku vykrást.

Přechod od temné strany k etickému hackingu

Nejslavnější z etických hackerů mají za sebou kriminální minulosti a nezřídka se jednalo o velké kauzy. Média a soudy se mnohokrát snažily z odsouzených udělat odstrašující příklady pro ostatní. V mnoha případech se jim ale jen podařilo téma zpopularizovat mezi širokou veřejností a inspirovat další hackery. Hackerská komunita inspirovala i slavné filmy jako Matrix, Mr. Robot nebo Ghost in the Shell. Kdo jsou ale skuteční hackeři a jaké jsou jejich osudy?

Kevin Mitnick – jeden z nejslavnějších hackerů všech dob

Mladík z Los Angeles se už ve 12 letech bavil jednou ze základních technik hackingu – používal takzvané sociální inženýrství (manipulace lidí za účelem např. získání neoprávněného přístupu) a phreakingu (napojování se na cizí telefonní linku). Po univerzitních studiích se stal profesionálním hackerem. Naboural se do systémů firmy DEC a zkopíroval si jejich software, za což byl odsouzen na 12 měsíců. Po propuštění pronikl do počítačové sítě telekomunikační firmy Pacific Bell. Byl na něj vypsán zatykač, ale Mitnick uprchl a přes dva roky žil jako uprchlík.

Nakonec ho dopadla FBI. V silně medializovaném soudním procesu byl odsouzen na pět let nepodmíněného trestu. Říká se, že mu byly připsány i zločiny jiných hackerů. Jisté je, že se naboural do systémů firem Motorola, Nokia, Fujitsu Siemens. Připisováno mu je i hacknutí Apple, Novell, PacBell, FBI a Pentagonu. Poté, co si Mitnick odpykal trest, začal spolupracovat s FBI a jako bezpečnostní konzultant pro firmu Fortune 500 a FBI.

Den v životě etického hackera

Drtivá většina dnešních penetračních testerů však nejsou celebrity. O jejich činech, ať už prospěšných i kriminálních, se toho ví jen málo. Mohou to být lidé z vašeho okolí, můžete je potkat na ulici či ve veřejné dopravě. Nejsou to pobledlí mladíci v černé mikině s kapucí, jak jsou portrétováni v amerických filmech. 

Jsou to normální lidé, kteří ale mají velikou odpovědnost. Pomáhají zabezpečit naše data – v bankách, pojišťovnách, vládních institucích či technologických firmách. A jak vypadá práce takového etického hackera?

Externí a interní hacking

Penetrační specialisté testují, zdali je možné IT systémy napadnout zvenčí nebo zevnitř. Riziko vnějšího útoku se zjišťuje například pomocí specializovaných programů (hacking apps). Používají se programy jako Nmap, Nessus či Burp Suite. Ty slouží ke skenování portů, firewallů a vzdálených proxy serverů. Tyto aplikace používají i skuteční hackeři. Výsledek skenování napoví penetračnímu testerovi, kde jsou potenciální slabiny systémů.

Dalším typem aktivit je interní hacking. Ten se zabývá situací, kdy hacker již pronikne do systému a zmocní se například interního uživatelského účtu. Etický hacker testuje, jak dobře jsou zabezpečená citlivá data firmy, pokud má potenciální útočník přístup do vnitřní sítě. 

Fyzický hacking

Fyzický hacking se zabývá například zabezpečením Wi-Fi sítí. Penetrační tester zkouší sílu hesla a šifrování lokální bezdrátové sítě. Testuje se také, zdali se přes Wi-Fi sítě pro návštěvníky nelze dostat do vnitřní sítě. V rámci fyzického hackingu se například také testuje, zdali zaměstnanci otevírají potenciálně nebezpečné e-maily (phishing).

Testuje se také, zdali technická podpora při žádosti o reset hesla do uživatelského účtu kontroluje identitu volajícího. V pokročilých technikách fyzického hackingu používají útočníci metody sociálního inženýrství a pokouší se dostat budovy a získat přístup například k serverům firmy.

Modrý versus červený tým

V oboru IT bezpečnosti je důležitá prevence. Velké firmy zpravidla mívají bezpečnostní analytiky, kteří potenciální hrozby monitorují, snaží se je odhalovat a zabraňovat jim. Etičtí hackeři s nimi často spolupracují v modelu „souboje modrého a červeného týmu”. Červený tým představují penetrační testeři, kteří simulují určité typy útoků. Modrý tým testuje, zdali jejich systém útok detekuje a zabrání mu.

Modrý a červený tým potom dohromady tvoří „fialový tým”, který vzájemně kooperuje. Pokud analytici nezabrání útoku, hackeři jim pomohou s bezpečnostní záplatou. Pokud modrý tým zachytí útok, červený tým ví, že musí zdokonalovat svoje metody.

Historie white hat hackingu

White hat hacking je mnohem starší disciplínou, než by se na první pohled mohlo zdát. Existoval ještě před rozšířením internetu, v době prvních počítačů. Letectvo Spojených států amerických koncem šedesátých let 20. století začalo používat operační systém Multics. Aby otestovalo jeho zabezpečení, najalo řadu IT expertů, aby se pokusili nabourat do systému. 

Dalším známým případem byla firma NCSS. Jeden z jejích zaměstnanců napsal program, který mu umožnil získat hesla ostatních uživatelů. Firma ocenila jeho práci, ale zároveň ho kritizovala, že ji neinformoval dříve. Etický hacking také propagovali Dan Farmer a Wietse Venema, kteří v 90. letech napsali program s kuriózní zkratkou SATAN (Security Administrator Tool for Analyzing Networks). Aplikace obsahovala příkaz „repent” (činit pokání), která změnila zkratku na SANTA, aby neurazila náboženské cítění uživatelů.

Zdroj titulní fotografie: Freepik.com

Jak se vám článek líbil?

Ověřte si, jestli je pevný internet od Vodafonu dostupný i na vaší adrese