Biały haker w służbie zasobów IT w firmie

Udostępnij:
O tym, kim są biali hakerzy i dlaczego właściciele biznesów nadają im dostęp do własnych stron i serwisów, mówi Dmitrij Budorin, CEO Hacken, firmy z segmentu bezpieczeństwa komputerowego oraz organizator bug-bounty – maratonu Hacken Cup i forum w sprawie bezpieczeństwa komputerowego HackIT 4.0.

fot. pexels.com

Biały haker wykorzystuje tę samą wiedzę i narzędzia, co haker-przestępca, który usiłuje włamać się do systemu IT firmy. Biali hakerzy działają jednak za pozwoleniem administratorów systemów i przestrzegają prawa. Ich celem nie jest kradzież informacji lub wyrządzenie szkody, lecz pomoc w niwelowaniu błędów i niedociągnięć.

Dział bezpieczeństwa IT wykorzystuje wyniki podobnych testów białych hakerów w celu eliminacji miejsc wrażliwych, a zatem istotnie redukuje wiarogodność zaistnienia prawdziwego ryzyka włamania i wycieku wartościowych danych.

Ataki hakerskie stają co raz bardziej wyrafinowane, dlatego gra na wyprzedzenie – to strategia dość skuteczna. Bezpieczeństwo IT można traktować jako swoiste wyścigi pomiędzy złymi a dobrymi hakerami. Pierwsi wykorzystują wrażliwe miejsca systemu przeciwko firmom, natomiast drudzy udzielają pomocy firmie, aby nie padła ofiarą pierwszych. Stąd wywodzi się nazwa: czarni hakerzy działający wbrew interesom organizacji i biali hakerzy (wg slangu sieciowego – white hat, „hakerzy w białych kapeluszach”), których wynajmują same organizacje.

Biali hakerzy są istotni dla firm gotowych poddać własny system bezpieczeństwa prawdziwej próbie ataku, by ustalić wcześniej wspomniane wrażliwe miejsca.

Bug bounty – uznany format

Wielkie firmy technologiczne, w tym Facebook, Apple i Microsoft, organizują bug-bounty – programy, w ramach których proponują białym hakerom złamanie systemów i wykrycie miejsc podatnych na ataki za wynagrodzeniem. Firmy zdają sobie sprawę, że koszt wykorzystania „etycznych” hakerów jest o wiele mniejszy niż naprawianie szkód po realnych atakach.

Raporty dotyczące wrażliwych miejsc w systemie zawierają całokształt czynności niezbędnych do odtworzenia ataku, a zatem umożliwiają firmom zawczasu naprawienie niedociągnięcia i wyeliminowanie ryzyka podobnych ataków po umocnieniu zabezpieczenia. Od stopnia niebezpieczeństwa znalezionego miejsca zależy wysokość wynagrodzenia wypłacanego hakerom.

Dla przykładu w 2018 roku Facebook płacił od 500 dol. za znalezienie najmniejszego miejsca podatnego na włamania, natomiast górny poziom wynagrodzenia nie jest określony. Pentagon i wojsko USA również wykorzystują programy bug-bounty do znalezienia miejsc wrażliwych na ataki w sieciach publicznych. W 2017 roku Siły Powietrzne Stanów Zjednoczonych, poinformowały o własnym programie „bug bounty challenge”.

Pasywne metody ochrony już nie działają

Żaden antywirus nie zapewnia pełnego bezpieczeństwa. Znaczna część następujących ataków hakerskich oparta jest na wykorzystaniu „zero-day exploit” – tzn. wykorzystaniu znalezionych błędów zanim producent softu zdąży przygotować patch, a antywirus zaktualizować swoją bazę.

Nawet najbardziej znikoma luka może być wykorzystana do złamania systemu. Jedynym rozwiązaniem jest poszukiwanie i eliminacja owych luk. Tu pomocni są biali hakerzy, którzy wyszukują wrażliwe na ataki miejsca, umożliwiając w ten sposób firmom zniwelowanie niebezpieczeństwa, zanim czarni hakerzy zwrócą swoją uwagę na firmę.

Systemów bezpiecznych nie istnieje

W maju biali hakerzy z Argentyny znaleźli luki w komunikatorze Signal dla Windows i Linux, uważanym za najbardziej bezpieczny komunikator internetowy na świecie. Sedno wrażliwości tkwi w następującym: podczas przejścia na zakładkę z kodem złośliwym, kod ten samoczynnie był uruchamiany na komputerze użytkownika i w różny sposób zbierał dane poufne.

Stwierdzono, że podczas aktualizacji autorzy oprogramowania przypadkowo wyrzucili fragment kodu, a to z kolej spowodowało lukę w bezpieczeństwie. Ponieważ wykryli ją biali hakerzy, udało się szybko rozwiązać problem. Komunikator internetowy Signal wciąż uważany jest za najbardziej bezpieczny. I trudno zaprzeczyć, że zawdzięcza to decyzji podjętej przez kierownictwo firmy o udziale białych hakerów w celu znalezienia luk.

Tej jesieni w Kijowie wystąpi Moxie Marlinspike, założyciel komunikatora internetowego Signal, który przedstawi szczegóły polityki bezpieczeństwa firmy. Prelekcja odbędzie się w dniach 8-11 października w ramach HackIT. Ja twierdzi Snowden, gdy proszą go o referencje dotyczące bezpieczeństwa oprogramowania: „Wykorzystujcie wszystko, co jest od Moxie Marlinspike”. Wygląda na to, że wystąpienie Moxie będzie wyjątkowe.

W jaki sposób odbywa się „białe” włamanie

Na początku biały haker zbiera informacje o układzie organizacyjnym firmy, dowiaduje się, które sieci, adresy IP i imiona domen należą do nich. Następnie opracowuje wykaz serwerów, z których można korzystać z zewnątrz: dodatków komórkowych, serwisów internetowych i elementów infrastruktury sieci.

Następnie haker wyszukuje i testuje bugi. Taki test może spowodować zawieszenie pracy systemu, ale specjaliści z firmy są na to przygotowani i w każdej chwili mogą przywrócić sprawność sieci.

Wszystkie testy przeprowadzane są po uzgodnieniu ze zleceniodawcą, a wyniki są ściśle raportowane. Ponadto, zleceniodawca we własnym zakresie decyduje, które z elementów systemu warto testować.

Z reguły do zadań białego hakera należy również opracowanie metodologii i dokumentacji, którą da się ponownie wykorzystać, by ocenić poziomu bezpieczeństwa sieci. Z uzyskanych wyników sporządzany jest raport.

Jak wynająć białego hakera?

Niektóre potężne firmy preferują wynajęcie hakerów etycznych jako pracowników etatowych, aby stale wyszukiwali możliwych luk w systemach.

Jednym z zalecanych wymagań do podjęcia pracy jako biały haker w dużych firmach jest posiadanie certyfikatu Certified Ethical Hacker (CEH) Rady UE. Certyfikat CEH gwarantuje, że fachowiec zna się na inżynierii społecznej, SQL-szczepieniach, trojanach, robakach, wirusach i innych formach ataków. Kandydaci również muszą posiadać wiedzę w zakresie kryptografii, testowania na przenikanie, zapór sieciowych itp.

W przypadku, gdy firma wynajmuje zewnętrznego podwykonawcę w celu wykonania robót specjalistycznych, obowiązuje porozumienie o poufności i określane są sfery systemu IT, „nietykalne” podczas planowanego „włamania”.

Gdzie znaleźć białego hakera?

Dostępne są dwie możliwości: uruchomić własny program bug-bounty lub znaleźć białego hakera na platformach specjalistycznych.

Opracowanie własnego programu wymaga opracowania standardów i zasad, dysponowania zasobami do znalezienia uczestników lojalnych i wykwalifikowanych oraz bezpośredniego zorganizowania przedsięwzięcia. Jest to sprawa pracochłonna, wymagająca znacznego budżetu.

Druga możliwość – znaleźć wykonawców na platformie z białymi hakerami, na przykład na HackenProof. W jaki sposób budowana jest współpraca pomiędzy biznesem a białymi hakerami można dowiedzieć się na forum HackIT w dniach 8-11 października w Kijowie. Przedsięwzięcie poświęcone jest nowym technologiom w kontekście bezpieczeństwa komputerowego. Na przykład podczas wydarzenia odbędzie się dyskusja o złamaniu giełdy walut elektronicznych, która zostanie moderowana przez błogera Michaela Hu (założyciela kanału YouTube Boxmining, poświęconego technologii blockchain i walutom elektronicznym). W ramach przedsięwzięcia również odbędzie się maraton bug-bounty Hacken Cup.

W programie forum znalazły się: dwudniowa konferencja, dzień zajęć praktycznych, dzień networkingu, a także zawody białych hakerów. Ogólnie na konferencji wystąpi ponad 50 prelegentów.

W najbliższych latach będziemy świadkami wzrostu popytu na białych hakerów, za czym przemawia coraz większa liczba firm i organizacji pozyskujących do pracy hakerów etycznych. Ponadto coraz więcej programistów pragnie nabyć umiejętność włamywania etycznego. Wszystko to zmierza ku temu, by w ciągu najbliższych pięciu lat bag-bounty stały się istotny czynnik ochrony technologicznych zasobów biznesu.