Šta je etičko hakovanje? Hakerske tehnike mogu se koristiti i u dobre svrhe
Etičko hakovanje možda zvuči kao kontradiktoran pojam, ali je zapravo važan alat kada je u pitanju sajber bezbjednost neke organizacije.
Etički haker, poznat i kao „white hat“ (bijeli šešir) haker, jeste stručnjak za bezbjednost koji, na zahtjev kompanije, oponaša taktike zlonamjernih hakera kako bi pokušao da pronađe slabosti u odbrambenim sistemima organizacije.
Kada se ti nedostaci otkriju, mogu se otkloniti prije nego što ih kriminalci iskoriste. Potražnja za etičkim hakerima sve više raste jer broj sajber napada rapidno raste. U nastavku su neke od tehnika koje koriste etički hakeri i kako one mogu koristiti organizacijama.
Šta je etičko hakovanje?
Etičko hakovanje je uobičajena aktivnost u oblasti sajber bezbjednosti, u kojoj stručnjak za bezbjednost pokušava da probije bezbjednosne sisteme organizacije, kako bi stekao neovlašćen pristup i potencijalno „ukrao“ vrijedne podatke.
Etički haker koristi iste strategije i tehnike kao i zlonamjerni haker, ali umjesto da otkrivene ranjivosti iskoristi za štetne svrhe, on ih prijavljuje organizaciji kako bi se preduzele odgovarajuće mjere zaštite. Sa globalnim rastom sajber napada i ransomware napada, sve više organizacija se okreće etičkim hakerima.
Velike hardverske i softverske kompanije takođe ih angažuju da otkriju eventualne bezbjednosne propuste u svojim proizvodima, na primer, Guglov (Google) Red Team simulira napade, testira odbranu proizvoda i razvija rješenja u skladu sa tim.
Hakovanje vs. etičko hakovanje
Zlonamjerno hakovanje je u porastu, a nedavni izvještaj kompanije Check Point Software pokazuje da je broj sajber napada širom svijeta porastao čak 44% prošle godine.
Počinioci može biti bilo ko, od ransomware bandi do neprijateljskih država. Mogu iskoristiti pristup koji su stekli za krađu podataka, rušenje sistema ili instaliranje malvera. Posljedice mogu biti ogromne, kako u finansijskom smislu, tako i po ugled organizacije.
Međutim, hakovanje ne mora nužno da bude nešto loše. Najbolji način za suočavanje sa sajber prijetnjama jeste da se ranjive tačke prepoznaju i saniraju prije nego što ih neko zlonamjeran iskoristi. Upravo to rade i etički hakeri, koristeći potpuno iste metode kao i kriminalci, što znači da uvijek moraju biti korak ispred i upoznati sa najnovijim tehnikama.
Ko je etički haker?
Etički hakeri moraju imati sistematičan način razmišljanja, a sam proces obuhvata više faza. Prva faza je upoznavanje sa sistemima kompanije, prikupljanje javno dostupnih informacija i identifikovanje domena, IP adresa i mrežne infrastrukture.
Zatim slijedi faza skeniranja, tokom koje etički haker koristi različite alate kako bi skenirao ciljani sistem u potrazi za ranjivostima. To podrazumijeva identifikovanje različitih uređaja unutar mreže i načina na koji su povezani, provjeru otvorenih portova koji bi mogli biti iskorišćeni, kao i skeniranje poznatih ranjivosti u softveru i hardveru. Nakon toga, otkrivene ranjivosti se testiraju koristeći iste tehnike koje bi koristio i zlonamjerni haker.
Na kraju, etički haker dostavlja izvještaj. Etičke hakere najčešće angažuju same organizacije, ali neki rade kao frilenseri, pronalazeći i prijavljujući ranjivosti kroz tzv. bug bounty programe koje pokreću kompanije.
Vrste etičkog hakovanja
Etičko hakovanje se naročito široko koristi u industrijama koje rukuju velikim količinama osjetljivih podataka. Na primjer, finansijski sektor posjeduje veoma povjerljive bankarske informacije, dok zdravstvene ustanove čuvaju osjetljive medicinske kartone pacijenata.
Tehnološka industrija takođe u velikoj mjeri koristi etičko hakovanje kako bi se osigurala maksimalna bezbjednost proizvoda.
Primjeri etičkog hakovanja uključuju penetraciono testiranje, koje je fokusirano na probijanje odbrambenih sistema organizacije. Ostale aktivnosti obuhvataju procjenu sistema, aplikacija i mreža. Etički hakeri takođe provjeravaju slabosti među zaposlenima i u poslovnim procesima koje mogu učiniti organizaciju ranjivijom uključujući slabe lozinke, nepostojanje ažuriranja sistema i uređaja, kao i nedostatak efikasne obuke iz oblasti bezbjednosti.
Etičko hakovanje je u više slučajeva spriječilo katastrofe, na primjer 2019. godine, kada je tim iz kompanije Positive Technologies otkrio bezbjednosnu slabost u Visa beskontaktnim karticama koja je mogla omogućiti hakerima da zaobiđu limit plaćanja.
Penetraciono testiranje
Ovo je podvrsta etičkog hakovanja fokusirana na probijanje sistema, mreža ili aplikacija organizacije. To može uključivati pokušaje ubacivanja zlonamjernog koda u veb-sajt, izvođenje DoS (denial of service) napada pokušajem preopterećenja sistema saobraćajem ili presretanje komunikacije između dva uređaja radi krađe osjetljivih podataka što se naziva napad čovjek-u-sredini (man-in-the-middle).
Hakovanje sistema
Ova vrsta hakovanja uključuje pristup pojedinačnim sistemima, često korišćenjem specijalizovanih komercijalnih alata. To može značiti razbijanje lozinki ili njihovo pribavljanje iz baza podataka procurjelih nakon bezbjednosnih propusta, iskorišćavanje ranjivosti sistema i instaliranje zlonamjernog softvera.
Interno testiranje
Interno testiranje otkriva slabosti među zaposlenima i poslovnim procesima unutar organizacije, najčešće kao rezultat ljudske greške. Ovo uključuje slabe lozinke, neažurirane sisteme i uređaje, kao i nedostatak obuke zbog kojeg zaposleni mogu postati žrtve fišing prevara i drugih oblika prevara, ili nenamjerno kompromitovati bezbjednost.
Testiranje veb aplikacija
Testiranje veb aplikacija ima za cilj da otkrije probleme na veb sajtovima i aplikacijama prije nego što se puste u upotrebu. To uključuje identifikovanje ranjivosti poput SQL injekcija, cross-site scripting (XSS) i pogrešnih bezbjednosnih konfiguracija.
Hakovanje mreže
Etički hakeri skeniraju mreže u potrazi za slabostima u bezbjednosti, tražeći otvorene portove, ranjive servise ili propuste u mrežnim protokolima. Takođe provjeravaju ranjivosti u bežičnim mrežama koje bi mogle omogućiti neovlašćen pristup ili presretanje podataka.
Prednosti etičkog hakovanja
Prednosti etičkog hakovanja su jasne: ono omogućava organizaciji da otkrije svoje slabe tačke prije nego što ih neko iskoristi. Može uštedjeti velike sume novca, kao i zaštititi ugled organizacije.
Kao stručnjaci, etički hakeri često mogu otkriti ranjivosti koje interni bezbjednosni timovi ne vide. Oni mogu spriječiti curenje podataka, unaprijediti korporativne mjere sajber bezbjednosti i izgraditi povjerenje korisnika kako u svakodnevnom poslovanju, tako i prilikom lansiranja novih proizvoda. Etičko hakovanje takođe pomaže organizacijama da budu usklađene sa sve većim brojem globalnih i industrijskih propisa koji zahtijevaju redovno bezbjednosno testiranje što takođe može značajno smanjiti rizik od visokih kazni.
Kako postati etički haker?
Svako ko posjeduje odgovarajuće vještine može postati etički haker i učestvovati u bug bounty programima koje organizuju velike tehnološke kompanije. Oni koji otkriju ozbiljne propuste u popularnim softverskim rješenjima mogu zaraditi ogromne svote ponekad i milione dolara.
Kada je riječ o potrebnim vještinama — koje su takođe neophodne za dobijanje posla u ovoj oblasti – postoje brojne specijalizovane kvalifikacije i sertifikati, kao što su Certified Ethical Hacker (CEH), Offensive Security Certified Professional (OSCP), CompTIA Cybersecurity Analyst (CySA+).
Etički hakeri dolaze iz raznih sredina, ponekad su to bivši zlonamjerni hakeri koji su „prešli na drugu stranu“, ali češće imaju diplomu iz oblasti računarskih nauka ili srodnih oblasti, kao i iskustvo u sajber bezbjednosti. Veliki broj ih dolazi i iz vojnih struktura.
Zaključak
Pojam „haker“ s razlogom nosi negativne konotacije, ali nisu svi hakeri loši momci. Etički hakeri koriste iste taktike kao i zlonamjerni, ali svoja otkrića prosljeđuju organizacijama kako bi ojačale svoju bezbjednost. Oni mogu imati ogroman značaj, često štiteći klijente od velikih finansijskih gubitaka.
Emma Woollacott, saradnica Forbesa
What Is Ethical Hacking? Using Hacking Techniques For Good