Etičko hakovanje može zvučati kao kontradiktoran pojam, ali je zapravo važan alat kada je u pitanju sajber sigurnost organizacije.
Etički haker, također poznat kao “white hat” haker, je sigurnosni stručnjak koji, na zahtjev kompanije, oponaša taktike zlonamjernih hakera kako bi pokušao pronaći slabosti u odbrambenim sistemima organizacije.
Nakon što se ovi nedostaci otkriju, mogu se ispraviti prije nego što ih kriminalci iskoriste. Potražnja za etičkim hakerima raste kako se broj sajber napada brzo povećava. U nastavku su navedene neke od tehnika koje koriste etički hakeri i kako one mogu koristiti organizacijama.
Šta je etičko hakovanje?
Etičko hakovanje je uobičajena aktivnost u oblasti sajber sigurnosti, u kojoj stručnjak za sigurnost pokušava probiti sigurnosne sisteme organizacije kako bi dobio neovlašteni pristup i potencijalno “ukrao” vrijedne podatke.
Etički haker koristi iste strategije i tehnike kao i zlonamjerni haker, ali umjesto da iskorištava otkrivene ranjivosti u zlonamjerne svrhe, on ih prijavljuje organizaciji kako bi se mogle poduzeti odgovarajuće zaštitne mjere. S globalnim porastom cyber napada i napada ransomwareom, sve više organizacija se okreće etičkim hakerima.
Velike hardverske i softverske kompanije ih također angažuju za otkrivanje potencijalnih sigurnosnih nedostataka u svojim proizvodima, na primjer, Googleov Crveni tim simulira napade, testira odbranu proizvoda i razvija rješenja u skladu s tim.
Hakovanje naspram etičkog hakovanja
Zlonamjerno hakovanje je u porastu, a nedavni izvještaj kompanije Check Point Software pokazuje da se broj sajber napada širom svijeta prošle godine povećao za čak 44%.
Počinitelji mogu biti bilo ko, od bandi koje se bave ransomwareom do neprijateljskih država. Mogu koristiti pristup koji su stekli za krađu podataka, rušenje sistema ili instaliranje zlonamjernog softvera. Posljedice mogu biti ogromne, kako finansijski, tako i po ugled organizacije.
Međutim, hakovanje nije nužno loša stvar. Najbolji način za suočavanje sa sajber prijetnjama jeste identifikacija i sanacija ranjivosti prije nego što ih neko zlonamjerno iskoristi. Upravo to rade etički hakeri, koristeći potpuno iste metode kao i kriminalci, što znači da uvijek moraju biti korak ispred i upoznati s najnovijim tehnikama.
Ko je etički haker?
Etički hakeri moraju imati sistematičan način razmišljanja, a sam proces uključuje nekoliko faza. Prva faza je upoznavanje sa sistemima kompanije, prikupljanje javno dostupnih informacija i identifikacija domena, IP adresa i mrežne infrastrukture.
Zatim slijedi faza skeniranja, tokom koje etički haker koristi različite alate za skeniranje ciljnog sistema u potrazi za ranjivostima. To uključuje identifikaciju različitih uređaja unutar mreže i načina na koji su povezani, provjeru otvorenih portova koji bi mogli biti iskorišteni i skeniranje poznatih ranjivosti u softveru i hardveru. Nakon toga, otkrivene ranjivosti se testiraju korištenjem istih tehnika koje bi koristio zlonamjerni haker.
Konačno, etički haker podnosi izvještaj. Etičke hakere najčešće angažuju same organizacije, ali neki rade kao freelanceri, pronalazeći i prijavljujući ranjivosti putem takozvanih programa za otkrivanje grešaka koje vode kompanije.
Vrste etičkog hakovanja
Etičko hakovanje se posebno široko koristi u industrijama koje rukuju velikim količinama osjetljivih podataka. Na primjer, finansijski sektor posjeduje strogo povjerljive bankarske informacije, dok zdravstvene ustanove čuvaju osjetljive medicinske kartone pacijenata.
Tehnološka industrija također u velikoj mjeri koristi etičko hakiranje kako bi osigurala maksimalnu sigurnost proizvoda.
Primjeri etičkog hakovanja uključuju testiranje penetracije, koje je usmjereno na probijanje odbrambenih sistema organizacije. Druge aktivnosti uključuju procjenu sistema, aplikacija i mreža. Etički hakeri također provjeravaju slabosti kod zaposlenika i poslovnih procesa koje mogu učiniti organizaciju ranjivijom, uključujući slabe lozinke, nedostatak ažuriranja sistema i uređaja te nedostatak efikasne sigurnosne obuke.
Etičko hakovanje spriječilo je katastrofe u brojnim slučajevima, kao što je bio slučaj 2019. godine, kada je tim iz Positive Technologies otkrio sigurnosnu slabost u beskontaktnim Visa karticama koja je mogla omogućiti hakerima da zaobiđu ograničenja plaćanja.
Testiranje
Ovo je podtip etičkog hakovanja usmjerenog na probijanje sistema, mreža ili aplikacija organizacije. To može uključivati pokušaj ubacivanja zlonamjernog koda na web stranicu, izvođenje DoS (denial of service) napada pokušajem preopterećenja sistema prometom ili presretanje komunikacije između dva uređaja radi krađe osjetljivih podataka, što se naziva napadom čovjeka u sredini .
Hakiranje sistema
Ova vrsta hakovanja uključuje pristup pojedinačnim sistemima, često korištenjem specijaliziranih komercijalnih alata. To može značiti probijanje lozinki ili njihovo pribavljanje iz baza podataka koje su procurile nakon sigurnosnih propusta, iskorištavanje sistemskih ranjivosti i instaliranje zlonamjernog softvera.
Interno testiranje
Interno testiranje otkriva slabosti među zaposlenima i poslovnim procesima unutar organizacije, najčešće kao rezultat ljudske greške. To uključuje slabe lozinke, zastarjele sisteme i uređaje, te nedostatak obuke, što može učiniti da zaposlenici postanu žrtve phishing prevara i drugih oblika prevare ili nenamjerno ugrozi sigurnost.
Testiranje web aplikacija
Testiranje web aplikacija ima za cilj otkrivanje problema na web stranicama i aplikacijama prije nego što budu objavljene. To uključuje identifikaciju ranjivosti kao što su SQL injekcija, cross-site scripting (XSS) i netačne sigurnosne konfiguracije.
Hakiranje mreže
Etički hakeri skeniraju mreže u potrazi za sigurnosnim slabostima, tražeći otvorene portove, ranjive servise ili nedostatke u mrežnim protokolima. Također provjeravaju ranjivosti u bežičnim mrežama koje bi mogle omogućiti neovlašteni pristup ili presretanje podataka.
Prednosti etičkog hakovanja
Prednosti etičkog hakovanja su jasne: omogućava organizaciji da otkrije svoje slabe tačke prije nego što ih neko iskoristi. To može uštedjeti velike sume novca, kao i zaštititi reputaciju organizacije.
Kao stručnjaci, etički hakeri često mogu otkriti ranjivosti koje interni sigurnosni timovi ne vide. Oni mogu spriječiti curenje podataka, poboljšati mjere korporativne kibernetičke sigurnosti i izgraditi povjerenje korisnika kako u svakodnevnom poslovanju, tako i prilikom lansiranja novih proizvoda. Etičko hakovanje također pomaže organizacijama da se pridržavaju sve većeg broja globalnih i industrijskih propisa koji zahtijevaju redovno sigurnosno testiranje, što također može značajno smanjiti rizik od velikih kazni.
Kako postati etički haker?
Svako ko posjeduje odgovarajuće vještine može postati etički haker i učestvovati u programima nagrađivanja za otkrivanje grešaka koje organizuju velike tehnološke kompanije. Oni koji otkriju ozbiljne nedostatke u popularnim softverskim rješenjima mogu zaraditi ogromne sume, ponekad i milione dolara.
Kada su u pitanju potrebne vještine – koje su također neophodne za dobijanje posla u ovoj oblasti – postoji niz specijaliziranih kvalifikacija i certifikata, kao što su Certificirani etički haker (CEH), Certificirani profesionalac za ofanzivnu sigurnost (OSCP), CompTIA analitičar kibernetičke sigurnosti (CySA+).
Etički hakeri dolaze iz različitih sredina, ponekad su to bivši zlonamjerni hakeri koji su “otišli na drugu stranu”, ali češće imaju diplomu iz računarstva ili srodne oblasti, kao i iskustvo u sajber sigurnosti. Veliki broj njih također dolazi iz vojnih struktura.
Termin “haker” nosi negativne konotacije s razlogom, ali nisu svi hakeri loši momci. Etički hakeri koriste iste taktike kao i zlonamjerni, ali svoje nalaze prosljeđuju organizacijama kako bi ojačale njihovu sigurnost. Mogu biti od ogromnog značaja, često štiteći klijente od velikih finansijskih gubitaka.
Emma Woolcott, saradnica Forbesa
