ETIKUS HACKELÉS – MI FÁN TEREM? 

A cikk megjelenésének szakmai támogatója a CyberCamp, 
Magyarország első széles körben elérhető junior kiberbiztonsági szakember képzése, amelyben az etikus hackelés alapjai is megtanulhatók.
www.cybercamp.hu

KIK AZ ETIKUS HACKEREK, ÉS MIÉRT KELLENEK?

Bár az „etikus hacker” kifejezés sokakban romantikus, kalandos foglalkozás benyomását kelti, az etikus hackeléssel foglalkozók alapvetően információbiztonsági szakértők. Az etikus hackelés során belebújnak egy rosszindulatú támadó bőrébe, és hacker módszerekkel próbálnak minél több információt, majd jogosultságot szerezni egy rendszerben.

Kulcsfontosságú a munkájuk során, hogy a biztonsági vizsgálathoz minden esetben a megbízó írásbeli megrendelése szükséges. Minden vizsgálat esetében meg kell határozni a hatáskört, a vizsgálat időablakát. Valamint a vizsgálat befejeztével jelenteni kell a megbízó felé a feltárt sérülékenységeket, bizonyítékokat, és javaslatot kell adni a kitettség csökkentésére. Az etikus hackernek minden esetben szem előtt kell tartania a megismert adatok biztonságban tartását, és a szándékos károkozás elkerülését

Tudtad?

Az első nagyobb hackertámadás 1971-ben történt, amikor egy John Draper nevű vietnámi veterán rájött hogyan lehet ingyen telefonálni. Ezt később „Phreaking”-nek nevezték el.

KIK VOLTAK A HACKEREK, ÉS MIÉRT „ROSSZ” A HÍRÜK NAPJAINKBAN?

A „hacker” szó az angolszász „hack” (üt, vág, feldarabol) szóból ered, és eredetileg olyan személyt jelentett, aki vagy dolgokat kivág és feldarabol (jellemzően fát), vagy aki ehhez eszközöket, szerszámokat készít. Hackereknek hívták később, az 1960-as évektől már az olyan informatika szakembereket is, akik a szoftver / hardver készítés öröméért, szórakozásból végezték a munkájukat.

A hacker tevékenység negatív megítélése a Háborús játékok (1983.) c. mozifilm megjelenéséhez köthető. Ettől kezdve a köztudatban már nem csak segítő, mindent megjavító személyként gondoltak egy hackerre, hanem megjelent a „bűnözői” oldala is.

A HACKEREK 3 FAJTÁJA

Szakmai körökben sokszor vita tárgya, hogy vannak-e egyáltalán etikus hackerek, vagy „csak” hackernek hívunk minden olyan információbiztonsági szakértőt is, aki hacker módszerekkel vizsgál egy rendszert, mégis szükséges lehet valamilyen módon megkülönböztetni a rosszindulatú és megbízás alapján dolgozó hackereket.

Hogy megfelelően el tudjuk határolni az etikus hackereket, kénytelenek vagyunk megemlíteni a másik oldalt is. Vegyük át, hogy milyen hacker fajtákat különböztethetünk meg.

Fehér kalapos hacker: ők a fentebb említett hackerek, nem szándékoznak kárt okozni a vizsgált rendszeren, és hivatalos megbízás alapján végzik a vizsgálatot, hogy megtalálják a szervezet sebezhetőségeit, feltárják azokat, és javaslatokat adjanak azok javítására. Ők tehát etikus hackeléssel foglalkoznak.

Fekete kalapos hacker: a fehér kalapos hackerek szöges ellentétei. Motivációjuk lehet adatszerzés, adatlopás, zsarolás, szándékos károkozás. Általában bűnözői csoportokban tevékenykednek, de közéjük sorolhatjuk a script kiddie-ket (általában tizenéves „műkedvelő” hackerek, akik többnyire nincsenek tudatában tevékenységük következményeivel) is.

Szürke kalapos hacker: a fehér és fekete kalapos hackerek kombinációja. Ők rossz szándék nélkül, azonban megbízás nélkül hackelnek. Ha sérülékenységet találnak, azt a rendszer üzemeltetőjének, tulajdonosának jelentik. Bár ők jószándékkal végeznek vizsgálatot, ne feledjük, hogy a rendszer tulajdonosa/üzemeltetője tudta nélkül, így gyakorlatilag az üzemeltető jószándékán múlik, hogy végül fekete, vagy fehér kalapos hackerként tekintenek rájuk. A megbízás nélküli hackelés, információgyűjtés büntetendő tevékenység, a Btk. szabályai vonatkoznak rá!

MILYEN PROBLÉMÁKAT LEHET AZ ETIKUS HACKERELÉS SORÁN FELTÁRNI?

A vizsgált informatikai rendszer biztonsági vizsgálata során az etikus hackerek célja a támadás szimulálása. Ilyenkor támadási pontokat keresnek. A kezdetekben a céljuk, a lehető legtöbb információ megszerzése a vizsgált rendszerről.

Miután elegendő információt gyűjtöttek az etikus hackelés során, az információkat felhasználva megpróbálják megtalálni a sebezhetőségeket a vizsgált rendszerben. Ezeket automatizált, és manuális vizsgálatok sorozatával végzik. Még a nagyon kifinomult, és jól konfigurált rendszerek is rendelkezhetnek olyan elemekkel, amiket ki lehet használni.

De nem állnak meg a sebezhetőségek megtalálásánál, akár ki is használhatják ezeket meglevő exploitok segítségével, hogy bebizonyítsák, mit tenne egy rosszindulatú támadó.

Ezt követően az etikus hackerek részletes jelentést készítenek. Ez a dokumentáció tartalmazza a felfedezett sebezhetőséget, azok kihasználásának a részleteit, valamint a javításukhoz szükséges lépéseket.

Összefoglalva, az etikus hackerek munkája nagyon összetett: át kell látniuk a vizsgált rendszert, és tisztában kell lenniük azzal, hogy mit és mit nem csinálhatnak egy adott rendszeren belül. Munkájuk igencsak fontos, hogy egy szervezet megelőzze az esetleges adatszivárgásokat, zsarolásokat, vagy hogy a rosszindulatú támadók ne tudjanak kárt okozni a rendszerben.

NÉHÁNY HÍRES ETIKUS HACKER

Joanna Rutkowska – kiberbiztonsági kutató, Lengyelországból származik, és az ő nevéhez fűződik a Qubes OS nevű operációs rendszer, amit a biztonságra összpontosítva hoztak létre. Rutkowska fő területe a lopakodó malwarek ismertebb nevükön a rootkitek. Igazán ismert 2006-ban lett, amikor a Black Hat Briefing konferencián az előadása során rávilágított a Windows Vista kernel sebezhetőségére.

Charlie Miller – munkáját tekintve leginkább az Apple termékek sebezhetőségeinek feltárásáról ismert. Legnevesebb munkáját a Pwn2Own versenyen érte el, ahol elsőként fedezett fel egy MacBook Air hibát, amiért 10.000 dolláros díjat kapott.

Kevin Mitnic – előtörténetét tekintve Kevin egy fekete kalapos hacker, aki utána fehér kalapos lett, és tanácsadónak állt. Fekete kalapos hacker tevékenysége közé tartozott a Digital Equipment Corporation biztonsági rendszerének feltörése, ahol a betörést követően lemásolta a talált szoftvereket. Miután bizonyította képességeit a világ előtt, 2000-ben tanácsadónak állt és a híresztelések szerint az FBI részéről is kapott megbízást.