Jak může být na hackingu něco etického? A co přesně znamená hacking? Platí ve světě informačních teorií rčení, že nejlepší obranou je útok?
Definicí hackingu je podle cambridgeského slovníku: „využití počítače za účelem získání citlivých dat z jiného zařízení/systému/sítě bez dovolení. účelem však může být i rozšíření počítačového viru.”
Mezi útokem „zlého” hackera a toho dobrého není žádný rozdíl. „Používáme stejné techniky, jde jen o to, na jaké straně kdo stojíme,” uvedl pro Radiožurnál etický hacker a IT specialista Martin Haller. Etickými hackery jsou tedy ti, kteří nechtějí škodit, ale pomáhat. Navíc své útoky na konkrétní sítě, systémy nebo zařízení provádí se svolením majitele systému.
Zaplať si svého hackera
Možná vás napadne otázka proč si dobrovolně nechat nabourat vlastní síť/systém/zařízení? Odpověď je víc než jednoduchá - pokud se etický hacker dostane k vašim datům, je třeba zvýšit zabezpečení, protože „zlý” hacker by na sebe nemusel nechat dlouho čekat. Díky řízeným útokům na vlastní síť tedy dochází k eliminaci potenciálních rizik zvenčí.
Svět IT není černobílý, obsahuje i šedou
„Černí hackeři jsou lidé, kteří útočí na počítačové systémy za účelem krádeže dat či jiné nelegální činnosti. Jejich motivací je většinou finanční profit. Na druhé straně stojí bílí hackeři, kteří se snaží hledat bezpečnostní chyby a navrhovat vhodná opatření. Šedí hackeři provádějí svou činnost většinou pro zábavu či osobní slávu. Přestože nekradou data a nemají jiné špatné úmysly, vykonávají svou činnost bez souhlasu majitele systému, tudíž také nelegálně,” vysvětluje Marek Kovalčík, IT specialista společnosti BDO.
Tříbarevné rozlišení se však používá i k diferenciaci jednotlivých typů etického hackingu. Black-box je režimem testování zabezpečení, kdy tester nezná dané prostředí a nemá informace o jeho architektuře, použitých technologiích či konfiguraci. Tak se simuluje útok z pozice hosta nebo externího útočníka. Naproti tomu v režimu white-box má tester, v danou chvíli útočník, velmi podrobné informace o testovaném prostředí, architektuře sítě, použitých technologiích i konfiguraci. Že k podobné situaci nemůže téměř nikdy dojít? A co když na síť nebo systém zaútočí sám administrátor? Správně tušíte, že gray-box je kombinací obou předchozích režimů, tester tedy získá předem dostupné informace a má za úkol nabodobovat útok napříkald ze strany bývalého zaměstnance, dodavatele nebo partnera.
Tak trochu jiná kariéra v IT
Etický hacker však není pouze “schopný ajťák”, který sedí kdesi v temném pokoji a ve dne v noci bouchá do klávesnice prapodivné kódy. Kromě aktivního ověřování úrovně zabezpečení u klienta, hledání zranitelnosti a jejího využití, je náplní jeho práce také posouzení souvisejících rizik a návrh opatření minimalizující dopad těchto hrozeb. A rozhodně neplatí, že hackeři pracují z tajných temných míst. Přední světové i české korporátní společnosti představují jedny z největších zaměstnavatelů etických hackerů. Vedle menších firem a startupů tak mají nadšenci do jedniček a nul možnost nabourávat systémy bank, pojišťoven nebo například poradenských firem. Držitelem jednoho z největších objemů citlivých dat je potom státní správa, white hats (anglické označení etických hackerů, pozn. redakce) tak mohou působit nejen v soukromém, ale i veřejné sektoru.
Znalosti a dovednost, které jsou potřeba
Jaké požadavky by měl adept na práci etického hackera splňovat? Vedle znalosti oblasti zabezpečení operačních systémů (Linux, Windows) a databázových systémů, by měl znát nástroje používané pro penetrační testování (nmap, Burp Suite, Nessus, Metasploit, OWASP, OSSTMM, PTES ), znalost síťového protokolu TCP/IP a přehled v oblasti kryptografie. A to vše může získat buď několikaletou praxí nebo studiem na vysoké škole, případně kurzem speciálně vytvořeným pro uchazeče o toto profesní směřování.