ETIKUS HACKELÉS: A KIBERBIZTONSÁG FEHÉR LOVAGJAI
A cikk megjelenésének szakmai támogatója a CyberCamp,
Magyarország első széles körben elérhető junior kiberbiztonsági szakember képzése, amely során az etikus hackelés alapjai is megtanulhatók.
www.cybercamp.hu
ETIKUS HACKELÉS TÖRTÉNETE: AZ 1960-AS ÉVEKTŐL NAPJAINKIG
Talán senki nem gondolt rá a ’60-as években, amikor az MIT (Massachusetts Institute of Technology) mérnöki karán először használták az „ethical hack” (azaz etikus hackelés) kifejezést, hogy 60 év múlva mennyire ismert – és talán sokszor félreismert – kifejezés lesz ez az információbiztonság területén.
Hackereknek kezdetben azokat a nagy tudással bíró szakembereket nevezték, akik talán néha „favágó” módszerekkel, például egy csákánnyal, vagy kalapáccsal, de technikai problémákat oldottak meg. Innen ered maga a kifejezés is, a „hack” ige egyik jelentése csapkod, míg a „hacker” csákányozót is jelent.
Mivel a múlt század közepén még nem voltak internetet érintő problémák, mai tudásunk szerint, komolynak mondható informatika rendszerek, így az első hackerek sem köthetők közvetlenül az internethez. Talán még néhányan emlékeznek arra az időre, amikor csak utcai telefonfülkékből, pénzérmékkel, majd később telefonkártyával lehetett telefonálni. Az első hacker akciók is az érmés telefonálás „hackelésére” irányultak.
MISZTIKUM, ROMANTIKA, ÉS A NEM OLYAN RIDEG VALÓSÁG
Mint korábban, napjainkban is a hackereket, etikus hackereket mindig valamilyen romantikus, misztikus kép lengte körül, melyhez képest a valóság sokkal szakmaibb.
Az etikus hackerek valójában információbiztonsági szakemberek. Feladatuk egy informatikai rendszer vizsgálata abból a célból, hogy megelőzzék a rendszerben lévő esetleges sérülékenységek „rosszszándékú” támadók általi kihasználását. A vizsgálatok során feltárják a rendszer gyengeségeit, rámutatnak a felfedezett gyengeségek kihasználásának következményeire, és javaslatokat adnak egy esetleges támadás kivédésére. Mindezt abból a célból, hogy megelőzzék a nagyobb anyagi kárt, illetve reputációs (jó hírnévet érintő) veszteségeket egy szervezet életében.
MITŐL ETIKUS EGY HACKER?
Bár a vizsgálatok során az etikus hackerek is hackerként viselkednek, ugyanazokat az eszközöket használják, a legfőbb különbség a vizsgálat motivációjában, és eredmények átadásában keresendő.
Míg a hackerek valamilyen anyagi, vagy egyéb haszonszerzési célból, esetleg szórakozásból végzik tevékenységüket, az etikus hackerek ezzel szemben mindig az adott rendszer tulajdonosának megbízásából dolgoznak, céljuk a biztonsági hibák felderítése, a károkozás megelőzése.
A „fekete kalapos” hackerek nincsenek tekintettel a vizsgálat által esetlegesen okozott károkra, és a megszerzett információkat vagy saját céljaikra használják fel, vagy anyagi ellenszolgáltatás fejében adják át, utólag. Az etikus hackerek mindig a megbízójuknak közvetlenül tartoznak beszámolással, és szánt szándékkal sohasem okoznak kárt a vizsgált rendszerekben.
TÉVHITEK ÉS VALÓSÁG AZ ETIKUS HACKEREK VILÁGÁBAN
Az a bizonyos „fekete kapucni”:
- Nem szükséges kellék ???? A filmekkel ellentétben, általában nem egy elsötétített szobában, sötét, kapucnis pulóverben dolgoznak a hackerek, etikus hackerek. Bárkiből lehet etikus hacker, nemtől, kortól függetlenül.
A hacker csak oda ül a számítógépéhez, és percek alatt feltör egy rendszert:
- Néha lehet így van, de valójában hosszas kutatómunka kellhet az előkészületekhez, miután maga a behatolás lehet, hogy tényleg gyorsan, akár percek alatt megtörténik.
A hacker „magányos farkas”:
- Ritkán, de előfordulhat, hogy valaki annyi tudással rendelkezik, hogy egymaga végez el egy vizsgálatot, vagy hajt végre egy támadást, de általában csoportban, egymást kiegészítve dolgoznak. Ekkor érvényesülhet az a mindenre kiterjedő látásmód, sokoldalú tudás, ami akár egy komplex vizsgálathoz, akár egy rosszindulatú támadáshoz elengedhetetlen.
JÖVŐKÉP: A MESTERSÉGES INTELLIGENCIA HATÁSA AZ ETIKUS HACKELÉSRE
Bár a jövőt nem ismerhetjük, a mesterséges intelligencia rohamos fejlődése láttán csak kapkodjuk a fejünket, nem valószínű, hogy teljes mértékben át tudja majd venni az etikus hackerek, információbiztonsági szakemberek szerepét. Az MI nagy mértékben segíthet az információk gyors összegyűjtésében, de mindig kelleni fog maga az ember, aki esetleg észre vehet olyan kapcsolatokat az információk között, amire egy mesterséges intelligencia nem képes. Valamint ne felejtsük el, hogy lehet bármennyire biztonságosan kialakítva egy rendszer, a támadások döntő többsége még mindig az emberi figyelmetlenségből indul ki, így az emberi tényezőt soha nem fogjuk tudni kihagyni a megelőzésből sem.
ÉS, HOGY MIÉRT IS VÉGTELEN AZ ETIKUS HACKELÉS TÖRTÉNETE?
Az internet megjelenése óta, egyre gyorsabban fejlődik a technológia. Az már régóta tudott – és vannak, akik ezt meg is tapasztalják –, hogy egyre kevesebben üzemeltetnek egyre nagyobb, komplexebb rendszereket. Valamint, hiába a szinte naponta megjelenő hír a hackerek okozta károkról, még mindig kevés az olyan tudatos vezető, akik nagyobb figyelmet fordítana a rendszerei biztonságára. A hackerek (bármi legyen is a motivációjuk) mindig azon fognak dolgozni, hogy kihasználják ezen rendszerek sérülékenységeit, így az etikus hackereknek, kiberbiztonsági szakembereknek, mindig előrébb kell járjanak, hogy megvédjék a rendszereiket.
Ez a folytonos versengés bár arra készteti a rendszerek fejlesztőit, hogy minél jobban törekedjenek a biztonságra, de mint egy macska-egér harcban, soha nem lehetünk biztosak abban, hogy ki jár éppen előrébb.
Tegye fel kérdéseit szakértőinknek!