Šta je etičko hakovanje? Hakerske tehnike mogu se koristiti i u dobre svrhe
Etičko hakovanje možda zvuči kao kontradiktoran pojam, ali je zapravo važan alat kada je u pitanju sajber bezbednost neke organizacije.
Etički haker, poznat i kao „white hat“ (beli šešir) haker, jeste stručnjak za bezbednost koji, na zahtev kompanije, oponaša taktike zlonamernih hakera kako bi pokušao da pronađe slabosti u odbrambenim sistemima organizacije.
Kada se ti nedostaci otkriju, mogu se otkloniti pre nego što ih kriminalci iskoriste. Potražnja za etičkim hakerima sve više raste jer broj sajber napada rapidno raste. U nastavku su neke od tehnika koje koriste etički hakeri i kako one mogu koristiti organizacijama.
Šta je etičko hakovanje?
Etičko hakovanje je uobičajena aktivnost u oblasti sajber bezbednosti, u kojoj stručnjak za bezbednost pokušava da probije bezbednosne sisteme organizacije, kako bi stekao neovlašćen pristup i potencijalno „ukrao“ vredne podatke.
Etički haker koristi iste strategije i tehnike kao i zlonamerni haker, ali umesto da otkrivene ranjivosti iskoristi za štetne svrhe, on ih prijavljuje organizaciji kako bi se preduzele odgovarajuće mere zaštite. Sa globalnim porastom sajber napada i ransomware napada, sve više organizacija se okreće etičkim hakerima.
Velike hardverske i softverske kompanije takođe ih angažuju da otkriju eventualne bezbednosne propuste u svojim proizvodima, na primer, Guglov Red Team simulira napade, testira odbranu proizvoda i razvija rešenja u skladu sa tim.
Hakovanje vs. etičko hakovanje
Zlonamerno hakovanje je u porastu, a nedavni izveštaj kompanije Check Point Software pokazuje da je broj sajber napada širom sveta porastao za čak 44% prošle godine.
Počinioci može biti bilo ko, od ransomware bandi do neprijateljskih država. Mogu iskoristiti pristup koji su stekli za krađu podataka, rušenje sistema ili instaliranje malvera. Posledice mogu biti ogromne, kako u finansijskom smislu, tako i po ugled organizacije.
Međutim, hakovanje ne mora nužno da bude nešto loše. Najbolji način za suočavanje sa sajber pretnjama jeste da se ranjive tačke prepoznaju i saniraju pre nego što ih neko zlonameran iskoristi. Upravo to rade i etički hakeri, koristeći potpuno iste metode kao i kriminalci, što znači da uvek moraju biti korak ispred i upoznati sa najnovijim tehnikama.
Ko je etički haker?
Etički hakeri moraju imati sistematičan način razmišljanja, a sam proces obuhvata više faza. Prva faza je upoznavanje sa sistemima kompanije, prikupljanje javno dostupnih informacija i identifikovanje domena, IP adresa i mrežne infrastrukture.
Zatim sledi faza skeniranja, tokom koje etički haker koristi različite alate kako bi skenirao ciljani sistem u potrazi za ranjivostima. To podrazumeva identifikovanje različitih uređaja unutar mreže i načina na koji su povezani, proveru otvorenih portova koji bi mogli biti iskorišćeni, kao i skeniranje poznatih ranjivosti u softveru i hardveru. Nakon toga, otkrivene ranjivosti se testiraju koristeći iste tehnike koje bi koristio i zlonamerni haker.
Na kraju, etički haker dostavlja izveštaj. Etičke hakere najčešće angažuju same organizacije, ali neki rade kao frilenseri, pronalazeći i prijavljujući ranjivosti kroz tzv. bug bounty programe koje pokreću kompanije.
Vrste etičkog hakovanja
Etičko hakovanje se naročito široko koristi u industrijama koje rukuju velikim količinama osetljivih podataka. Na primer, finansijski sektor poseduje veoma poverljive bankarske informacije, dok zdravstvene ustanove čuvaju osetljive medicinske kartone pacijenata.
Tehnološka industrija takođe u velikoj meri koristi etičko hakovanje kako bi se osigurala maksimalna bezbednost proizvoda.
Primeri etičkog hakovanja uključuju penetraciono testiranje, koje je fokusirano na probijanje odbrambenih sistema organizacije. Ostale aktivnosti obuhvataju procenu sistema, aplikacija i mreža. Etički hakeri takođe proveravaju slabosti među zaposlenima i u poslovnim procesima koje mogu učiniti organizaciju ranjivijom uključujući slabe lozinke, nepostojanje ažuriranja sistema i uređaja, kao i nedostatak efikasne obuke iz oblasti bezbednosti.
Etičko hakovanje je u više slučajeva sprečilo katastrofe, na primer 2019. godine, kada je tim iz kompanije Positive Technologies otkrio bezbednosnu slabost u Visa beskontaktnim karticama koja je mogla omogućiti hakerima da zaobiđu limit plaćanja.
Penetraciono testiranje
Ovo je podvrsta etičkog hakovanja fokusirana na probijanje sistema, mreža ili aplikacija organizacije. To može uključivati pokušaje ubacivanja zlonamernog koda u veb-sajt, izvođenje DoS (denial of service) napada pokušajem preopterećenja sistema saobraćajem ili presretanje komunikacije između dva uređaja radi krađe osetljivih podataka što se naziva napad čovek-u-sredini (man-in-the-middle).
Hakovanje sistema
Ova vrsta hakovanja uključuje pristup pojedinačnim sistemima, često korišćenjem specijalizovanih komercijalnih alata. To može značiti razbijanje lozinki ili njihovo pribavljanje iz baza podataka procurelih nakon bezbednosnih propusta, iskorišćavanje ranjivosti sistema i instaliranje zlonamernog softvera.
Interno testiranje
Interno testiranje otkriva slabosti među zaposlenima i poslovnim procesima unutar organizacije, najčešće kao rezultat ljudske greške. Ovo uključuje slabe lozinke, neažurirane sisteme i uređaje, kao i nedostatak obuke zbog kojeg zaposleni mogu postati žrtve fišing prevara i drugih oblika prevara, ili nenamerno kompromitovati bezbednost.
Testiranje veb aplikacija
Testiranje veb aplikacija ima za cilj da otkrije probleme na veb sajtovima i aplikacijama pre nego što se puste u upotrebu. To uključuje identifikovanje ranjivosti poput SQL injekcija, cross-site scripting (XSS) i pogrešnih bezbednosnih konfiguracija.
Hakovanje mreže
Etički hakeri skeniraju mreže u potrazi za slabostima u bezbednosti, tražeći otvorene portove, ranjive servise ili propuste u mrežnim protokolima. Takođe proveravaju ranjivosti u bežičnim mrežama koje bi mogle omogućiti neovlašćen pristup ili presretanje podataka.
Prednosti etičkog hakovanja
Prednosti etičkog hakovanja su jasne: ono omogućava organizaciji da otkrije svoje slabe tačke pre nego što ih neko iskoristi. Može uštedeti velike sume novca, kao i zaštititi ugled organizacije.
Kao stručnjaci, etički hakeri često mogu otkriti ranjivosti koje interni bezbednosni timovi ne vide. Oni mogu sprečiti curenje podataka, unaprediti korporativne mere sajber bezbednosti i izgraditi poverenje korisnika kako u svakodnevnom poslovanju, tako i prilikom lansiranja novih proizvoda. Etičko hakovanje takođe pomaže organizacijama da budu usklađene sa sve većim brojem globalnih i industrijskih propisa koji zahtevaju redovno bezbednosno testiranje što takođe može značajno smanjiti rizik od visokih kazni.
Kako postati etički haker?
Svako ko poseduje odgovarajuće veštine može postati etički haker i učestvovati u bug bounty programima koje organizuju velike tehnološke kompanije. Oni koji otkriju ozbiljne propuste u popularnim softverskim rešenjima mogu zaraditi ogromne svote ponekad i milione dolara.
Kada je reč o potrebnim veštinama — koje su takođe neophodne za dobijanje posla u ovoj oblasti – postoje brojne specijalizovane kvalifikacije i sertifikati, kao što su Certified Ethical Hacker (CEH), Offensive Security Certified Professional (OSCP), CompTIA Cybersecurity Analyst (CySA+).
Etički hakeri dolaze iz raznih sredina, ponekad su to bivši zlonamerni hakeri koji su „prešli na drugu stranu“, ali češće imaju diplomu iz oblasti računarskih nauka ili srodnih oblasti, kao i iskustvo u sajber bezbednosti. Veliki broj ih dolazi i iz vojnih struktura.
Zaključak
Pojam „haker“ s razlogom nosi negativne konotacije, ali nisu svi hakeri loši momci. Etički hakeri koriste iste taktike kao i zlonamerni, ali svoja otkrića prosleđuju organizacijama kako bi ojačale svoju bezbednost. Oni mogu imati ogroman značaj, često štiteći klijente od velikih finansijskih gubitaka.
Ema Vulkot, saradnica Forbes