Kim jest człowiek, który potrafi złamać system, ale robi to… w imię bezpieczeństwa? Krzysztof Trąbiński, ekspert WSIiZ, wyjaśnia jak wygląda praca po „jasnej stronie mocy” cyberświata. Opowiada m.in. o cienkiej granicy między legalnym testowaniem a przestępstwem, i o tym, dlaczego firmy zatrudniają byłych hakerów.
Spis treści:
Jak zostaje się legalnym cyberprzestępcą?
Krzysztof Trąbiński: Można śmiało porównać etycznego hakera (hakera w białym kapeluszu) właśnie z „legalnym cyberprzestepcą”, ponieważ to osoba, która po pierwsze, posiada takie same umiejętności jak „haker w czarnym kapeluszu”. A po drugie, zamiast łamać prawo, wykorzystuje swoją wiedzę do testowania i wzmacniania zabezpieczeń systemów operacyjnych oraz sieci teleinformatycznych.
Mówiąc wprost, to osoba, która dostaje pełne pozwolenie na wyszukiwanie luk w systemach, aby można było je naprawić, zanim zrobi to ktoś o naprawdę złych zamiarach.
Aby rozpocząć swoją przygodę w świecie pentestingu i zostać etycznym hakerem, w pierwszej kolejności należy skupić się na zdobyciu solidnej wiedzy z zakresu informatyki oraz cyberbezpieczeństwa. Można to osiągnąć na wiele sposobów, np. poprzez studia, kursy online a także zdobywać doświadczenie praktyczne na platformach edukacyjnych takich, jak: TryHackMe, czy Hack The Box. Oferują one bezpieczne, legalne środowiska do praktykowania i rozwijania swoich umiejętności, a dodatkowo zapewniają świetną zabawę .
Należy jednak pamiętać, że najważniejsze jest zrozumienie, jak działają systemy i sieci komputerowe, poznać i zrozumieć modele sieciowe TCP/IP oraz ISO/OSI, a także jakie techniki są używane do ich atakowania i obrony.
Etyczny haker przestrzega kodeksu
Jaka jest granica między testowaniem systemów a naruszaniem prawa?
K. T.: Każdy etyczny haker, który przeprowadza testy penetracyjne, przestrzega kodeksu etycznego. Kodeks ten to zbiór zasad, które dotyczą przede wszystkim ochrony prywatnych, poufnych informacji o znaczeniu krytycznym. Bardzo ważne jest przestrzeganie etyki w tej branży, aby chronić siebie i wszystkich innych w organizacji lub firmie, w której przeprowadzany jest pentesting.
POLECAMY: Samochód elektryczny dla Kowalskiego – czy to się opłaci?
Każdy pentester musi również mieć na uwadze to, że przeprowadzanie różnego rodzaju testów penetracyjnych na systemach operacyjnych, bądź też sieciach teleinformatycznych, pomimo tego, że pełnią kluczową rolę w zapewnianiu cyberbezpieczeństwa, podlegają szeregowi regulacji prawnych. Wynika to z faktu, że testy te z natury wiążą się z próbami nieautoryzowanego dostępu do systemów informatycznych, co w normalnych okolicznościach stanowiłoby przestępstwo.
W Polsce brak jest jednej ustawy regulującej kwestie testów penetracyjnych. W tym zakresie, mamy do czynienia z wieloma przepisami z różnych aktów prawnych, które należy uwzględnić przy planowaniu i przeprowadzaniu pentestów. Istnieje jednak pewna wyraźna granica, której przekroczyć nie wolno. Jest ona bardzo wyraźna i opiera się na jednej, podstawowej zasadzie: pisemnej zgodzie właściciela systemu lub infrastruktury sieciowej.
Gdy nie posiadamy takiej zgody, wówczas każde działanie, które mogłoby zostać zinterpretowane jako próba nieautoryzowanego dostępu, uszkodzenia lub zakłócenia działania systemu teleinformatycznego, jest nielegalne i podlega karze.
Legalne testy bezpieczeństwa, czyli testy penetracyjne, zawsze rozpoczynają się od szczegółowej umowy z klientem. Taka umowa precyzuje, co dokładnie może być testowane, jakie metody i narzędzia można zastosować oraz w jakim czasie. Etyczny haker ma obowiązek działać w taki sposób, aby nie spowodować trwałych szkód w systemie, a także nie ujawniać znalezionych luk bez zgody klienta.
Czy były cyberprzestępca może liczyć na legalną pracę?
K. T.: Tak, były cyberprzestępca, czyli „haker w czarnym kapeluszu”, może podjąć legalną pracę, ale musi się odciąć od przeszłości i udowodnić, że jest godny zaufania. Wiele firm, które reprezentują praktycznie wszystkie dostępne obecnie branże, bardzo często korzystają z usług byłych złośliwych aktorów, ponieważ posiadają oni zaawansowane umiejętności techniczne.
Znajomość technik penetracji, inżynierii odwrotnej, czy analizy złośliwego oprogramowania, to kompetencje, za które firmy są w stanie zapłacić bardzo duże pieniądze.
Możemy znaleźć w sieci informację o wielu znanych hakerach, którzy w przeszłości naruszali prawo, a dziś pracują lub pracowali w legalnych zawodach. Najbardziej znanym przykładem hakera, który po wyjściu z więzienia został globalnym konsultantem ds. cyberbezpieczeństwa, jest Kevin Mitnick.
Mitnick założył własną firmę Mitnick Security Consulting, LLC i w sposób legalny, z odpowiednimi umowami oraz klauzulami NDA, przeprowadzał testy penetracyjne, testy socjotechniczne, analizy incydentów i audyty podatności. Do dziś, Mitnick to coś więcej, niż tylko nazwisko. Jego przypadek udowadnia, że branża ceni wiedzę i doświadczenie, niezależnie od przeszłości, pod warunkiem, że dana osoba zrezygnowała z nielegalnych działań.
Bankowość i finanse najbardziej narażone na ataki
W jakich branżach rola hakerów etycznych jest obecnie najbardziej potrzebna?
K. T.: Rola etycznych hakerów jest najbardziej widoczna w tych branżach, które przetwarzają wysoce wrażliwe dane, odpowiadają za zarządzanie infrastrukturą krytyczną lub mają do czynienia z bardzo dużymi transakcjami finansowymi.
Sektor, który jest najbardziej narażony na cyberataki, to przede wszystkim: bankowość i finanse. Różnego rodzaju dane finansowe i transakcje są obecnie bardzo cennym i „łakomym kąskiem” dla złośliwych hakerów. Ataki na ten sektor mogą również prowadzić do kradzieży tożsamości, bardzo dotkliwych strat finansowych oraz utraty zaufania ze strony klientów. Etyczni hakerzy w tym przypadku pomagają w zabezpieczaniu platform bankowości internetowej, systemów płatności elektronicznej i danych osobowych klientów.
ZOBACZ TEŻ: Fotowoltaika w praktyce, czyli czy bycie prosumentem się (jeszcze) opłaci?
Drugi sektor, to branża medyczna, która zwłaszcza po pandemii, stała się bardziej narażona na ataki typu ransomware. Cyberprzestępcy szyfrują dane pacjentów, wykorzystując do tego celu bardzo zaawansowane algorytmy, a następnie żądają wysokiego okupu. Tutaj etyczni hakerzy są niezbędni do zabezpieczania kartotek medycznych, baz danych pacjentów, specjalistycznych systemów oraz sprzętu medycznego.
Bardzo często celem hakerów staję się również sektor energetyczny oraz infrastruktura krytyczna. Ataki na elektrownie, systemy wodociągowe czy sieci transportowe mogą mieć katastrofalne skutki dla całego państwa. W tym przypadku rolą etycznych hakerów jest przetestowanie systemów kontrolnych i operacyjnych, aby upewnić się, że są one odporne na próby przejęcia kontroli lub sabotażu.
Warto również pochylić się tutaj nad administracją publiczną i rządową, ponieważ te instytucje przechowują ogromne ilości wrażliwych danych wszystkich obywateli oraz zarządzają infrastrukturą krytyczną państwa. Ataki na ten sektor mogą mieć na celu szpiegostwo, destabilizację lub paraliżowanie usług publicznych, dlatego testowanie bezpieczeństwa w tym przypadku jest tu niezwykle istotne.
Najpierw umowa, później atak
Jak wygląda legalny cyberatak?
K. T.: Legalny cyberatak, czyli innymi słowy test penetracyjny, to proces przeprowadzany przez hakera etycznego na zlecenie i za zgodą właściciela systemu informatycznego. Jego celem jest znalezienie i wyeliminowanie luk w zabezpieczeniach, zanim wykorzysta je ktoś o złych intencjach. Cały proces testu penetracyjnego jest ściśle kontrolowany i formalnie udokumentowany. Każdy pentest ma pewne procedury, które należy bezwzględnie przestrzegać, i składa się z kilku bardzo ważnych faz.
Pierwszą, bardzo istotną fazą testu penetracyjnego, jest ustalenie formalnej umowy pomiędzy etycznym hakerem a firmą. Dokument ten jest kluczowy dla legalności całego procesu oraz precyzyjnie określa zakres testów.
Kolejnym etapem jest faza rekonesansu. W tym obszarze pentester zbiera informacje o celu ataku. Działa tak, jak złośliwy intruz, szukając publicznie dostępnych danych o firmie, jej pracownikach, adresach IP serwerów, czy używanych technologiach. Może to obejmować analizę mediów społecznościowych, stron internetowych i innych ogólnodostępnych źródeł, biały wywiad, OSINT (Open Source Intelligence).
Po zebraniu jak największej ilości danych rozpoczyna się skanowanie i analiza podatności testowanych zasobów. Etyczny haker używa specjalistycznych narzędzi do skanowania systemu w poszukiwaniu luk w zabezpieczeniach, otwartych portów, błędów w konfiguracji i innych słabych punktów. Celem jest stworzenie „mapy” potencjalnych wektorów ataku.
Gdy zostanie znaleziony słaby punkt test penetracyjny wchodzi w fazę eksploatacji. Jest to właściwa faza ataku, podczas której etyczny haker próbuje wykorzystać znalezione luki, aby uzyskać nieautoryzowany dostęp do systemu. Działa w sposób kontrolowany, aby nie uszkodzić ani nie zakłócić pracy systemów. Może na przykład spróbować uzyskać dostęp do bazy danych poprzez atak typu SQL Injection.
W fazie końcowej testów penetracyjnych, haker przygotowuje szczegółowy raport, który powinien zawierać: wykryte luki, opis w jaki sposób zostały one wykorzystane, ich potencjalny wpływ na bezpieczeństwo w danej organizacji oraz przede wszystkim konkretne rekomendacje dotyczące usunięcia wykrytych podatności i wzmocnienia zabezpieczeń.
Taki szczegółowy raport trafia w ręce działu IT, który jest odpowiedzialny za wdrożenie wszystkich wymaganych poprawek. Oczywiście zalecane jest, aby zostały przeprowadzone dodatkowe testy, które potwierdzą, czy luki zostały skutecznie załatane i system jest bezpieczny.
Cyberprzestępcy coraz częściej korzystają z AI
Czy sztuczna inteligencja zmienia sposób pracy zarówno hakerów?
K. T.: Tak, mogę zdecydowanie potwierdzić, że w obecnych czasach sztuczna inteligencja (AI) fundamentalnie zmienia sposób pracy zarówno hakerów etycznych, jak i cyberprzestępców, stając się kluczowym narzędziem zarówno ataku, jak i obrony.
Może w pierwszej kolejności skupie się na implementowaniu sztucznej inteligencji przez złośliwych aktorów.
Cyberprzestępcy coraz częściej wykorzystują AI, aby ich ataki były bardziej wyrafinowane, skuteczne i trudniejsze do wykrycia, za pomocą tradycyjnych metod.
Dla przykładu, zwróćmy uwagę na zautomatyzowany rekonesans w sieci, który dzięki wykorzystaniu sztucznej inteligencji pozwala na szybkie i efektywne skanowanie systemów w poszukiwaniu luk w zabezpieczeniach. Zamiast manualnie szukać słabych punktów, przestępca może użyć algorytmów do automatycznego znajdowania błędów w kodzie, otwartych portów, czy błędów konfiguracji.
ZOBACZ TEŻ: AI zmienia świat. Co już zawdzięczamy sztucznej inteligencji
Dalej przyjrzyjmy się atakom socjotechnicznym, czyli inżynierii społecznej. Ataki socjotechniczne są wykorzystywane przez hakerów na wysoką skalę, ponieważ są realizowane poprzez interakcję z człowiekiem, wykorzystując jego skłonność do bycia uprzejmym, pomocnym i ciekawskim, a następnie oszukując go. Narzędzia AI są bardzo przydatne w tym rodzaju ataku, gdyż mogą generować niezwykle przekonujące i spersonalizowane wiadomości phishingowe w wielu językach, które są wolne od błędów gramatycznych i stylistycznych. Ponadto tworzą również „deepfake” zarówno wideo jak i audio, które pozwalają na wiarygodne podszywanie się pod osoby zaufane.
Kolejnym przykładem, który przytoczę, jest tworzenie złośliwego oprogramowania (tzw. „Payload”), bo złośliwi aktorzy bardzo często wykorzystują AI do tworzenia malwarea, który zmienia swój kod w celu uniknięcia wykrycia przez tradycyjne oprogramowanie antywirusowe.
Z Krzysztofem Trąbińskim rozmawiała Joanna Gościńska z Biura Prasowego i PR WSIiZ
Tekst powstał w ramach cyklu edukacyjno-informacyjnego CyberPaździernik we WSIiZ. Cały wywiad dostępny jest tutaj: Haker etyczny kontra cyberprzestępca. Różnice i perspektywa kariery.
