Дивият запад на киберпространството: добрите и лошите хакери

Сигурността и престъпността стават дигитални


От Tzveta Dryanovska, публикувана на 30 октомври 2017

 

В днешния дигитализиран свят сякаш всичко, което сме свикнали да наблюдаваме във физическото пространство, може почти директно да се удвои в киберпространството. Това важи и за сигурността – както тази на гражданите, така и на бизнесите и държавите. Именно престъпността, която определяме през понятия като престъпници, собственост, закон и неговото прилагане, съществува и в киберпространството. Само че дигиталното пространство е по-слабо регулирано от физическото и понякога е трудно да се установи кое всъщност е престъпление, кой е извършителят, и най-важното – как да обезпечим своята киберсигурност. Нищо чудно, че експертите по сигурност и технологии често описват киберпространството като „дигитален Див запад“ със собствени морални дигитални норми на поведение. Ако това е случаят, си струва да разберем кои са „добрите“ и кои – „лошите“ и защо действат срещу или в полза на сигурността.

 

Хакер – какво е едно име?

 

Понятието хакер с право е оспорвано и обикновено има негативна конотация, тъй като се свързва предимно с престъпни или злонамерени действия. Но определението може да се прецизира. Ако приемем, че хакерът е онзи, който разполага със средствата да разбива дигитална сигурност, то намеренията и резултатът от действията му ще определят дали е от „добрите“ или от „лошите“.

 

Най-известните хакери са така наречените Black hats или „Черни шапки“. Те са еквивалентът на „лошите“ от уестърните. В правни термини те са онези, които извършват киберпрестъпления чрез уменията си да проникват в компютърни мрежи, като пробият през мерките за сигурност. Целта най-често е кражба, промяна или фалшификация на конфиденциални и лични данни или прекъсване на уеб-базирани услуги. Намерението от своя страна е зловредно и мотивирано от лична печалба или просто от желание за вредителство. Независимо дали става дума за източване на средства от банкова сметка, незаконно придобиване на лични данни и използването им за престъпни цели или за сваляне на сайтове чрез DDoS атаки, действията на Черните шапки са насочени срещу дигиталната сигурност и собствеността. И именно такива действия представляват киберпрестъпления.

 

И все пак, съществуват хакери, които използват уменията си за по-благородни цели и носят т.нар. Бели шапки (White hats). По аналогия с уестърните и популярните образи на Дивия запад, Белите шапки би трябвало да са шерифите, които залавят Черните и ги тикват в затвора. Що се отнася до киберпрестъпността обаче, прилагането на закона и наказателните мерки срещу зловредните хакери остават в правомощията на традиционните сили на реда, докато на Белите шапки е отредена друга роля. Етичните хакери или Белите шапки може да не са шерифи, но пък имат доброто намерение да усъвършенстват мерките за сигурност на дадена система или сайт, като покажат слабости в сигурността, неизвестни за собственика. За да намерят пролуките, те използват същите хакерски умения, които би използвал и хакер от „лошите“. Разликата е, че веднъж открили уязвимост в системата, „добрите“ информират потребителя и дават съвети за това как би могла да се подсили сигурността. Освен това етичните хакери оперират законно, със знанието на потребителя, и предоставят хакерските си умения по професионален начин.

 

Дигитални ловци на глави

 

Наемането на етични хакери става все по-разпространено и носи все повече печалби. Компании наемат Бели шапки, за да проверят защитата на системите си от кибератаки и да повишат сигурността. Много от етичните хакери са специално обучени и имат сертифицирани умения. Големи IT компании ги наемат, за да изпълняват така наречените „pentests” или тестове за проникване, чрез които се определя състоянието на киберсигурността. Понякога от компаниите, особено във финансовия сектор, може дори да се изисква провеждането на системни тестове, които да докажат силата на защита.

 

Докато някои Бели шапки са наети на договор, други предпочитат свободната практика и често са паралелно заети на други позиции в IT сектора. Компаниите насърчават тази практика чрез “bug bounty” подхода. Вместо да наемат Бялата шапка за постоянно, възнаграждението се определя в зависимост от уязвимостите, които той или тя ще намери в системата. През 2015 „Гугъл“ плаща близо 20 хиляди долара на хакери на този принцип. Нещо повече, вече съществуват уеб-базирани услуги като HackerOne, BugCrowd, Cobalt и BountyFactory в Европа, които свързват Белите шапки с клиентите, като взимат процент от печалбата за всяка открита грешка. Подобни компании са посредници между етичните хакери и компаниите, на които им трябват „пен тестъри“.

 

Не само бизнеса и корпорациите проявяват интерес към услугите на Белите шапки. Етични хакери на свободна практика могат да се наемат и от правителства, финансови институции, звена от критичната инфраструктура, сектора на здравеопазването или дори от военните. През 2016 например Департаментът на отбраната на САЩ стартира програмата „Хакни Пентагона” (Hack the Pentagon). Вярна на името си, програмата позволява на повече от 50 хакери законно да се опитат да хакнат Пентагона, за което са им изплатени премии в размер от над 70 хиляди долара. Това, което Пентагонът получава в замяна, не е по-малко впечатляващо – за три седмици хакерите успяват да открият 134 слабости в киберсигурността.

 

Най-добрата защита – превантивното нападение

 

Общността на Белите шапки може да се състои от изследователи на сигурността, учени и студенти по компютърни науки. За големи компании, които са под постоянна заплаха от кибернетични пробиви, често е необходим цял екип от Бели шапки. Идеята зад сформирането на такъв екип е, че, съчетавайки разнообразната си експертиза, етичните хакери биха могли да открият слаби места на системата, които самостоятелен експерт по сигурността би пропуснал. Основният аргумент е, че дори и най-опитните експерти на дадено предприятие са специализирани в защитата, докато най-добрата допълнителна мярка за киберсигурност е симулацията на атака от хакер, който мисли и действа по коренно различен начин. Това не означава, че Белите шапки заместват традиционните експерти по сигурността. Работата на етичния хакер не е да изгради защита, а да изпробва нейната устойчивост, да диагностицира и да покаже къде са нужни подобрения.

 

Още едно предимство на подобен подход е, че позволява по-широк кръг от хора да се включат в сектора на киберсигурността, който има огромна нужда от способни кадри. Дадена организация може да предпочете сертифициран хакер от Белите шапки, а би могла да наеме и някого също толкова способен, който не е успял да вземе професионалната, а често и твърде скъпа, диплома. Тази практика привлича млади хакери да се присъединят към отбора на „добрите“, вместо да търсят финансови печалби чрез киберпрестъпност. Само за 2015 г. „Фейсбук“ дава повече от 4,3 милиона долара за възнаграждения на етични хакери. През 2016 г. компанията дава премия от 10 хиляди долара на десетгодишно момче от Финландия, което успява да открие уязвимост в кода на „Инстаграм“[1]. По подобен начин през 2014 „Гугъл“ дава на 17-годишния Джордж Хоц 150 хиляди долара за открита слабост при Google Chrome. След това Хоц е поканен да се присъедини към започващия тогава „Проект нула“ (Project Zero) – финансираният изцяло от „Гугъл“ екип от ловци, който през последните три години си е спечелил висока репутация сред етичните хакери. Подобни примери открояват иновативното решение за запълване на недостига на умения в сферата на киберсигурността, като на младежите се дава не само възможност да развиват IT способностите си, но и по-ясно очертан път за професионално развитие, който биха могли да следват.

 

Киберхоризонти

 

В един идеален свят законите и нормите, управляващи физическото ни пространство, ще бъдат също толкова приложими и в дигиталното. С бързото развитие на технологиите обаче, киберпрестъпността и последиците от нея се роят, докато експерти по сигурността и обикновени граждани се борят да не изостават от бързо развиващите се заплахи. Това води до чувство за безнаказаност и подсилване на убеждението, че хакерите могат да оперират анонимно в дигиталното пространство и всички незаконни действия „да им се разминат“. Следователно основна цел в киберсигурността е да се наложат ефикасни правни норми: сложен и нелек процес, който няма да се случи за ден. Междувременно обаче една от стратегиите срещу киберпрестъпността е да се предлагат убедителни стимули за хакерите да нахлупят бялата вместо черната шапка и да работят за запълването на пролуките в сигурността, а не за разширяването им.

[1] През 2012 г. Instagram беше купен от Facebook за над един милиард долара.

Автор
още по темата

още от Решения за България: Digital