CEO společnosti Hacken, mezinárodní expert v oblasti kybernetické bezpečnosti, organizátor bug bounty maratonu Hacken Cup a offline Cyber HackIT 4.0 (Kyjev, 8. - 11. října), Dmitrij Budorin o tom, kdo jsou bílí hackeři a proč jim firmy poskytují přístup k jejich produktům.
Bílý hacker používá stejné znalosti a nástroje jako černý hacker, snaží se proniknout do IT systému. Ale bílí hackeři pracují se svolením, nebo dokonce na objednávku vlastníků systémů a dodržují zákony. Jejich cílem není ukrást informace nebo poškodit společnost, ale pomáhat najít zranitelná místa. Na majiteli systému je, aby slabiny odstranil a eliminoval tak riziko skutečných útoků a krádeže cenných dat.
Nechte se hackovat
Kybernetické útoky jsou stále sofistikovanější a myslet dopředu je efektivní strategie. Bezpečnost v IT můžeme považovat za závod mezi špatnými a dobrými kluky. První používají systémové zranitelnosti proti společnostem, zatímco druzí pomáhají společnostem, aby se nestaly obětí.
A proto vznikly názvy černý hacker (neboli „black hat“), kteřý jedná proti zájmům organizace, a bílý hacker (slangově „white hat“), který firmě pomáhá. Bílí mohou být klíčovým přínosem pro organizace, které nechají své systémy prověřit na zranitelnosti.
Bug bounty, ověřený formát
Velké technologické společnosti (včetně Facebooku, Applu a Microsoftu) organizují bug bounty programy s odměnami pro bílé hackery za nalezení zranitelností. Tyto společnosti vědí, že placení etických hackerů je mnohem levnější než náprava škod způsobených skutečnými útoky.
Zprávy o nalezených zranitelnostech zahrnují kompletní scénář pro zopakování útoku, což umožňuje opravit slabiny včas a posiluje ochranu proti takovým útokům. Výše odměny závisí na tom, jak nebezpečná objevená chyba byla.
Například Facebook i za nejmenší zranitelnost ochotně platí od 500 dolarů a horní hranice není omezená. Také Pentagon a US Army mají programy na odhalení chyb ve veřejných sítích.
Pasivní metody zabezpečení již nefungují
Žádný antivirus neposkytuje absolutní bezpečnost. Významná část úspěšných kybernetických útoků zakládá na použití „chyb v nulovém dni“, tedy těch, které jsou známé dříve, než výrobce softwaru nahraje záplatu a antivirový software aktualizuje databázi.
Dokonce i nejmenší zranitelnost může být použita k napadení systému. Jediným řešením je najít chyby a opravit je. A právě tady pomohou bílí hackeři – nacházejí zranitelnosti a umožňují společnostem, aby je opravili předtím, než se stanou cílem zločinců.
Bezpečné systémy neexistují
V květnu bílý hacker z Argentiny našel chybu v aplikaci Signal (pro Windows a Linux), která je považovaná za jeden z nejbezpečnějších messengerů ve světě. Podstatou zranitelnosti je kliknutí na odkaz s nebezpečným kódem, který se automaticky spustí na počítači příjemce a mnoha způsoby zkouší získat důvěrná data. Ukázalo se, že během aktualizace vývojáři omylem odstranili fragment kódu, což tuto chybu vyvolalo.
Díru naštěstí objevili bílí hackeři a informace poskytli firmě, která chybu rychle opravila. Signal je stále považován za nejbezpečnější messenger na světě a podíl na tom mají i bílí hackeři.
Na podzim v Kyjevě uslyšíme spoluzakladatele messengeru Signala Moxie Marlinspika, který bude hovořit o bezpečnostní politice ve firmě. Vystoupí na fóru HackIT, které se bude konat ve dnech 8. - 11. října. Říká se, že když se Snowdena zeptáte na doporučení bezpečného softwaru, odpoví: „cokoliv od Moxie Marlinspika“.
Jak vypadá bílé hackování
Pro začátek bílý hacker shromažďuje informace o IT strukturách firmy, zjišťuje, které sítě, IP adresy a domény pod ni patří. Následuje seznam volně dostupných služeb: mobilní aplikace, webové služby a prvky síťové infrastruktury.
Poté hacker vyhledává a testuje vnější zranitelnosti. Pokud existuje riziko, že test způsobí poruchy v systému, specialisté společnosti musí být připraveni okamžitě reagovat. Všechny testy probíhají se souhlasem zákazníka a výsledky jsou přesně dokumentovány. Obvykle je úkolem bílých hackerů také metodika pro pozdější testování bezpečnosti sítě.
Jak najímat bílého hackera
Některé velké společnosti přímo zaměstnávají bílé hackery, aby neustále hledali slabé stránky systémů.Rada EU dokonce vydává osvědčení Certified Ethical Hacker (CEH), které firmy považují za jakési doporučené minimum. Certifikace CEH zaručuje, že odborník je zběhlý v sociální inženýrství, SQL, zvládá trojské koně, červy, viry a jiné formy útoku. Kandidáti by měli také prokázat znalosti o kryptografii, penetračním testování firewallů atd.
Když firma najme někoho zvenku, vždy se chrání dohodou o mlčenlivosti a specifikuje systémy, které nemají být zapojeny do plánovaného hackingu.
Kde najít bílého hackera
Existují dvě možnosti: Vypište vlastní bug bounty program nebo vyhledejte bílého hackera na speciálních platformách.
Vytvoření vlastního programu vyžaduje vývoj norem a předpisů, finanční zdroje, vyhledání loajálních a kvalifikovaných účastníků a náročnou organizaci celé akce. Než se dostaví požadované výsledky, může to trvat velmi dlouho a stát velké peníze.
Najít odborníka lze třeba na platformě HackenProof . Jak přesně vzniká spolupráce mezi podnikateli a bílými hackery, se můžete dozvědět na fóru HackIT ve dnech 8. až 11. října v Kyjevě. Tato akce se zaměřuje na nové technologie v oblasti kybernetické bezpečnosti. Například zde proběhne panelová diskuze o prolomení kryptoměnové burzy s bloggerem Michaelem Gu (zakladatel YouTube kanál Boxmining, který se zaměřuje na témata blockchainu a kryptoměn). Na konferenci také proběhne Hacken Cup.
Program fóra zahrnuje dvoudenní konferenci, den praktického školení, den síťování a různé další soutěže pro bílé hackery. Celkově na konferenci vystoupí více než 50 řečníků.
V příštích několika letech budeme svědky velkého boomu bílého hackingu, protože stále více firem a organizací zkouší spolupracovat s etickými hackery a stále další programátoři se snaží o dovednosti etického hackingu. Zdá se, že v příštích pěti letech budou bug bounty programy klíčem k přežití podniků.
