Objavljeno: 11.6.2019 | Avtor: Matej Huš | Monitor Posebna 2019

Beli klobuki

Niso vsi hekerji kriminalci, ki želijo konec sveta, kot ga poznamo, ali, danes še pogosteje, mastno zaslužiti. Hekerji, ki se držijo etičnega kodeksa, delajo v dogovoru ter svoja odkritja odgovorno delijo s proizvajalci programske in stroje opreme, so v resnici izjemno pomemben člen informacijske varnosti. Prijelo se jih je ime beli klobuki.

Avtomobilska industrija že dolgo vrsto let razbija in zaletava nove avtomobile, da bi preverila njihovo varnost. To navsezadnje od njih zahtevajo tudi regulatorji, saj lahko le tako nedvomno pokažejo, kaj se zgodi ob nesreči. Nenavadno je, da je trajalo desetletja, da si je to spoznanje utrlo pot tudi med informacijske sisteme. Njihovo varnost in odpornost bomo najučinkoviteje preverili tako, da bomo hekerji povabili k vdorom.

Hekerje, čeprav formalno ta izraz v slovenski zakonodaji sploh ne obstaja, delimo v tri velike skupine: bele, sive in črne. Simbolika izvira iz ameriških vesternov, v katerih so dobri liki pogosto nosili svetle klobuke, negativci pa temne. Kdo se je prvi spomnil uporabiti to terminologijo za računalniške hekerje, ni povsem jasno. Richard Stallman, ki mu pogosto pripisujejo prvo uporabo tega izraza, to zanika, ker sam sploh ne odobrava besede heker. Izraz etični heker pa je prvikrat uporabil podpredsednik IBM John Patrick leta 1995, čeprav je koncept starejši.

Beli, sivi in črni klobuki

Črni klobuki so hekerji, ki nimajo nobenih plemenitih namenom. V sisteme vdirajo po lastni volji in z nezakonitimi motivi. V najboljšem primeru želijo zgolj dokazati svoje sposobnosti in cilj ni povzročiti škode, a tudi to sodi med nezakonito vdiranje. Drugi črni klobuki pa vdirajo bodisi zaradi materialnih koristi bodisi zgolj za povzročanje škode. Rezultat vdiranja koristi njim.

Sivi klobuki so hekerji, ki so v spektru zakonitosti nekje v sredini. Njihov cilj ni povzročati škode, a vseeno vdirajo nepovabljeni in iz lastnih vzgibov. Morda imajo dobre namene, a odkritih ranljivosti ne razkrijejo upravljavcu. Ravnajo se po lastnem moralnem kompasu, ki je včasih bolj, včasih pa manj poravnan z zakonodajo.

Tretja skupina so beli klobuki ali etični hekerji. To so strokovnjaki, ki vdirajo v sisteme zgolj z dovoljenjem, s povabilom ali v dogovoru z lastnikom sistema. Odkrite ranljivosti odgovorno delijo z lastnikom sistema, njihovo početje pa je ves čas na prvi strani zakona. Seveda so za svoje dejanje tudi primerno finančno nagrajeni. Rezultati vdiranja koristijo naročniku, torej »tarči«.

Biti etični heker pa ni enostavno, saj je treba poznati zakonodajo in spoštovati etični kodeks, sicer se lahko tudi dobronamerni etični heker spremeni v neetičnega. Klobuki se hitro umažejo.

Dogovor

Pri tako občutljivi stvari, kot je vdiranje v informacijski sistem, je zelo priporočljivo, da je dogovor pisen. V njem se morata naročnik (oziroma »tarča«) in heker dogovoriti o več stvareh. Najprej se je treba dogovoriti, kaj je cilj vdora in v kolikšnem obsegu ter katere tehnike napada bodo uporabljene. V primeru prekoračitve tega obsega namreč preizkus varnosti postane navaden vdor.

Zelo pomembno je določiti, koga in kdaj je treba seznaniti z izsledki. Ta seznanitev mora biti izčrpna, torej mora omogočati zakrpanje luknje. Etični heker odkritih ranljivosti ne sme razkrivati tretjim osebam, razen če mu po odpravi ranljivosti naročnik to dovoli – denimo na kakšni konferenci. Odveč je poudariti, da mora biti naročnik lastnik informacijskega sistema in da mora imeti pravico, da sploh odobri vdiranje.

To ni tako nepomembna opomba. Nekatere licenčne pogodbe za program ali infrastrukturo (na primer v oblaku) ne dovoljujejo samovoljnega vdiranja, četudi je naročnik uporabnik. V takem primeru bi šlo vseeno za nepooblaščeni dostop. Druga zelo pomembna točka pa so osebni podatki, do katerih bi etični heker pri svojem delu lahko imel dostop. Vpogled v zasebno komunikacijo zaposlenih, njihove osebne podatke in podobno je nezakonit. Ker upravljavec informacijskega sistema niti sam nima splošne pravice do dostopa do teh podatkov, je seveda ne more podeliti etičnemu hekerju. Tudi kadar heker teh podatkov ne prebira, je treba paziti na morebitno odtekanje iz EU. Strežniki v tujini večinoma niso primerni za hranjenje osebnih podatkov.

Zakonodaja

Etični heker mora poznati zakonodajo s področja zasebnosti posameznika, varovanja osebnih podatkov in vdiranja v informacijske sisteme. Ne glede na dogovor med naročnikom in etičnim hekerjem se mora ta zakonodaja spoštovati.

Tajnost občil, ki jo zagotavlja večina držav na svetu (Slovenija konkretno v 139. členu kazenskega zakonika, splošno pa tudi v ustavi), prepoveduje neupravičeno seznanitev s sporočili, ki se prenašajo elektronsko. Kazen je predpisana tudi za osebo, ki komu omogoči to neupravičeno seznanitev (v našem primeru torej tudi naročnik). V 137. členu sta izrecno prepovedana neupravičeno prisluškovanje in zvočno snemanje, v 143. členu pa še zloraba osebnih podatkov, kamor sodi tudi vdor v računalniško vodeno zbirko podatkov.

V praksi se ta problem rešuje tako, da se preizkusi z vdiranjem opravljajo na kopijah produkcijskih informacijskih sistemov, ki ne vsebujejo osebnih (ali kakršnikoli drugih pomembnih) podatkov. Običajno se vdiranje naroči, preden je sistem implementiran, lahko pa se seveda tudi kasneje, zlasti ob večjih nadgradnjah.

Spreobrnjenci

Niso tako redke zgodbe o hekerjih, ki so v mladih letih delovali onkraj zakona, kasneje pa so se spametovali, odslužili svoj dolg družbi in zdaj svoje znanje uporabljajo v njeno dobrobit. Najbolj znani primer je Kevin Mitnick, ki se je že kot najstnik lahko zastonj vozil z mestnimi avtobusi. Pri 16 letih je vdrl v računalniški sistem DEC, kasneje pa je našel pot v več deset informacijskih sistemov. Po odmevni aretaciji leta 1995 je bil obsojen zaradi več kaznivih dejanj. V zaporu je preživel pet let. Danes je eden najbolj znanih hekerjev, vodi podjetje za računalniško varnost in je svetovalec za največja podjetja.

Kevin Poulsen je bil v mladih letih heker, ki mu je uspelo vdreti v vojaški Arpanet in številna druga omrežja. Ko so ga ujeli pri 17 letih, je dobil le opozorilo, a ni zaleglo. Ko so ga želeli aretirani v drugo, je leta 1989 izginil, a so ga naslednje leto prijeli. Po petletni zaporni kazni in še triletni prepovedi uporabe računalnikov ali interneta je postal novinar, ki med drugim piše tudi za Wired.

Robert Tappan Morris je znan kot avtor virusa Morris Worm, ki je bil leta 1988 prvi internetni virus. Leta 1990 je bil obsojen na tri leta zapora, danes pa je profesor računalništva na MIT in uspešen podjetnik.

Vsi trije opisani (seveda so še druge zgodbe) so danes v 50. letih. Tovrstne zgodbe so dandanes redkejše, ker so kazni za hekerje strožje. Če so jo včasih odnesli z nekaj leti zapora, danes 20-letne zaporne kazni (zlasti ko gre za vdore v državne informacijske sisteme) niso nič nenavadnega. Zato mlajših hekerjev, ki bi sneli črni klobuk, skorajda ni. Današnji mladi etični hekerji so etični že od samega začetka.

Adrian Lamo, Kevin Mitnick, Kevin Lee Poulsen. Slika: Matthew Griffiths/v javni lasti

Drugi problem so licenčni pogoji proizvajalcev programske opreme, ki pogosto prepovedujejo vdiranje, četudi bi šlo za naročene preizkuse. V takih primerih je treba pred naročilom pridobiti dovoljenje. Tega ne more storiti etični heker, temveč naročnik. Seveda pa se mora etični heker pozanimati, ali je naročnik pridobil ustrezna dovoljenja.

Kazenski zakon v 221. členu tudi določa, da je neupravičen vstop ali vdor v informacijski sistem ali prestrezanje podatkov kaznivo in lahko pomeni do enega leta zapora. Če pri tem storilec povzroči škodo (kakršnokoli uporabo, spremembo, kopiranje, uničenje podatkov ali dodajanje vnosov), je zagrožena kazen tudi do petih let zapora. Podobno zakon sankcionira tudi zlorabo informacijskega sistema pri gospodarskem poslovanju (237. člen).

Zanimiv je še 306. člen, ki ureja izdelovanje in pridobivanje orožja ter pripomočkov za izvajanje kaznivih dejanj. Prepovedani so izdelovanje, posest, prodaja, uvoz, izvoz in druge oblike zagotavljanja pripomočkov za vdor ali neupravičen vdor v informacijski sistem, če se to počne z namenom storitve kaznivega dejanja.

Odgovorno razkrivanje

Etični hekerji se običajno držijo svojega kodeksa, ki poleg spoštovanja zakonodaje vsebuje še nekaj častnih zavez. Ena izmed najpomembnejših je odgovorno razkrivanje ranljivosti. Pogosto se namreč zgodi, da etični hekerji ne vdirajo v noben poseben sistem, temveč odkrijejo kakšno ranljivost v običajni programski opremi, ki jo uporabljajo ljudje. Odkritje ranljivosti v Microsoftovem Officeu, Adobovem Flashu ali Applovem iOS seveda ni nezakonito, če heker preizkuša lastne sisteme. Toda ko enkrat odkrije takšno informacijo, jo mora posredovati avtorju programa. Večina večjih programskih hiš ima odprte stalne razpise za nagrajevanje odkritih ranljivosti (bug bounty) v svoji programski opremi. Hekerji, ki pošljejo natančen opis ranljivosti, si lahko obetajo nekaj deset tisoč dolarjev. Šele ko je izdan popravek, imajo hekerji pravico razkriti to ranljivost javnosti.

Žal so tudi med proizvajalci programske opreme gnila jajca. Zgodi se, da hekerji posredujejo ustrezne informacije, potem pa se v najboljšem primeru ne zgodi nič, v najslabšem primeru pa hekerja obtožijo vdiranja in ga sodno preganjajo. Če etični heker odkrije resno ranljivost in je proizvajalec kljub opozorilu ne popravi, je včasih upravičeno to informacijo priobčiti svetu. Koliko časa mora heker čakati, ni nikjer določeno. Nekako pa velja, če se niti po šestih mesecih nič ne premakne, lahko heker z javno objavo ustvari javni pritisk na podjetje, da luknjo zakrpa. Včasih si tako nagajajo celo podjetja. Google meni, da je 90 dni dovolj, zato nekritično objavlja vse ranljivosti po 90 dneh od odkritja, kar je Microsoft v preteklosti že močno ujezilo. Postopek priprave popravka namreč lahko traja dlje.

Čedalje popularnejši poklic

Biti etični heker postaja čedalje pogostejši poklic, ki pa ga pestijo težave prekarnosti. Razen največjih podjetij, ki zaposlujejo lastne bele klobuke ali redno sodelujejo s strokovnjaki za varnost, so čedalje pogostejši bug bountyji. Podjetja ugotavljajo, da je ceneje razpisati nagrade za odkrite ranljivosti kakor pa redno zaposlovati strokovnjake, ki bi preverjali varnost sistemov. Te nagrade niso pretirano visoke, podjetja pa pogosto iščejo izgovore, zakaj bi jih znižala (»ranljivost ni tako resna«) ali sploh ne bi izplačala (»za ranljivost že vemo, samo odpravili je še nismo«).

Zato postanejo mikavne ponudbe sivih igralcev (denimo podjetja Zerodium), ki prekupčujejo z ranljivostmi in si lahko privoščijo za luknjo v iOS plačati tudi pol milijona dolarjev. To pa je že tema naslednjega članka. 

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji