„Белите“ и „черните“ хакери имат сходни действия, но коренно различни цели

Може ли хакерството да бъде етично?

Разбира се. Всъщност екипът, който ръководя представлява точно това. Хакерството само по себе си представлява опит дадена система да бъде експлоатирана чрез откриване на пропуск в сигурността. Разликата между етичното и злонамереното хакерство е в мотива и крайната цел. Етичното има за цел да подобри сигурността на системите, като открие слабостите преди злонамерените потребители и да помогне на компаниите да защитят данните си, за разлика от злонамереното, където целта са финансови облаги, кражба на данни, отмъщение, конкуренция и т.н.

Различават ли се White hat и Black hat хакери в инструментите и подходите си за пробиване на дадена система? Или по-скоро технически те мислят еднакво?

Разликата е минимална. Тя се състои основно в това, че при злонамереното хакерство последните стъпки са да покриеш следите си и да успееш да запазиш достъпа до системата без да те хванат. Тези стъпки в повечето случаи не са необходими при етичното хакерство, тъй като собственикът на системата е осведомен за извършваното тестване и не трябва да крием следите си. От друга страна, при етичното хакерство има още една стъпка – а именно създаването на доклад и описване на уязвимостите с прилежащите за всяка уязвимост риск, въздействие, засегнат актив и т.н. Тоест при етичното хакерство се инвестира доста време в документалната част. Техническите способи и инструменти са идентични, като е важно да отбележим, че в хакерството до голяма степен се разчита на разработката на собствени скриптове и инструменти, което е приложимо и при двата подхода.

Какво мотивира едните и какво другите в избора им с кой тип хакерство да се занимават?

Мен лично, като експерт в бранша, ме мотивира това да помагам на компаниите и на служителите, които работят в тях, да запазят сигурността на информацията си. Много хора страдат финансово и репутационно вследствие на хакерски атаки всяка година, а някои дори губят бизнеса си. Боря се срещу това и с екипа ми се опитваме всеки ден да направим света по-сигурно място и това е основната ни цел. От друга страна, хакерството е хоби поради факта, че доказваш определени познания и умения, като при шаха или при спорта. Прекрасно е, когато успяваш да си изкарваш прехраната, практикувайки хобито си. Мотивът на злонамерените хакери, както съм споделял и преди, е най-често с цел финансови облаги, мъст, бизнес поръчка с цел саботиране на конкуренцията, кражба на самоличност, а нерядко и просто да докажат, че са победили системата. Удоволствието, когато експлоатираш дадена уязвимост наистина е голямо.

Колко лесна за прескачане е границата между тъмната и светлата страна на хакерството? И ако първата изглежда по-изкушаваща, то има ли все пак случаи на преминаване от обора на лошите към този на добрите?

Неслучайно професията на пенетрейшън тестърите е една от най-добре платените в IT бранша. Ако работиш усърдно, ще изкарваш доста пари спрямо редица други професии. Ако работиш злонамерено, вероятно може да настъпи момент, в който да успееш да продадеш ценна информация за много пари, но рискът да те хванат е голям. Немалко пенетрейшън тестъри по света в тийнейджърските си години са правили бели, компрометирайки системи неоторизирано. Затова в моята компания проверяваме всеки един експерт обстойно. Тук обаче идва моралната гледна точка. Вземете например Кевин Митник, един от най-известните хакери – през по-голямата част от кариерата си атакува системи неоторизирано, но така и не се възползва от откритата информация с цел облаги. Ако човек има ценностна система и морал, не би трябвало да може да бъде съблазнен да прекрачи границата.

Има ли „бели“ хакери, които действат с идеална цел? Към коя група например се причислява хакер, който на своя глава решава да тества сигурността на дадена система, но след това не търси публичност и не злоупотребява с откритите бъгове, а алармира пред самата организация за съществуването им?

Според мен такъв тип хора понякога могат да са полезни с този си подход. Изпадал съм безброй много пъти в ситуация, в която дадена компания се смята за неуязвима или категорично отказва да отдели бюджет, за да подсигури системите си. При тях няма друг начин да се открие уязвимост, освен чрез гореспоменатия подход. От правна гледна точка обаче това е нарушение на закона и е наказуемо. Изключително скъпо, а понякога и невъзможно е да се докаже дали въпросните хакери с „идеална“ цел не са източили или използвали ценна информация, открита на системите.

В коя част на черно-белия спектър попада случаят с пробива на НАП миналата година, при който изтекоха данните на милиони българи в интернет?

Там случаят е много особен. Ако сценарият е такъв, че въпросният хакер е открил уязвимост, докладвал я е на НАП, те са взели навременни мерки да я отстранят и той не е използвал въпросната уязвимост за собствени облаги, вероятно щеше да е направил едно добро дело, макар и нелегално.

Ако обаче информацията за въпросната уязвимост бъде използвана по какъвто и да е начин, споделена и продавана на други потребители, медии и т.н., не намирам морално оправдание зад тези действия. Ако е имало и политически мотиви, каквито твърдения имаше, тогава случаят влиза изцяло в черния спектър.

Какво казва етичният кодекс за това кога и при какви условия могат да се активизират „белите“ хакери?

Ако вървите по улицата и видите къща с отворен прозорец, надникнете вътре, след което уведомите собственика, че вещите му лесно могат да бъдат откраднати през прозореца, това правилно ли е? Хората разбират правилата по различен начин, въпреки че те са писани с идеята да са приложими за всички. Етичният кодекс е в собствените ни глави и мисли, сами преценяваме кое е правилно. Трябва да сме наясно обаче, че понякога нещото, което смятаме за правилно може да ни вкара в затвора, защото то не е общоприето и не всеки споделя нашите виждания.

Колко често трябва да се одитира сигурността на една система и зависи ли периодиката от това дали тя борави с чувствителни данни?

Моят съвет е да се одитира поне веднъж годишно или при всяка сериозна промяна в инфраструктурата или кода на едно приложение. Разбира се, от огромно значение е и какви данни съхранява компанията, какъв е рискът от потенциална кибератака и до какво може да доведе тя за съответната организация. Ако даден актив и прилежащата информация има изключително ниска стойност, е безсмислено да се инвестират много средства в проверка на сигурността. Ако обаче от тези данни зависи съществуването на нашия бизнес, е добре да се замислим.

Какви са ней-честите проблеми със сигурността, които вие засичате? Наблюдава ли се подобряване на IT защитата в България, или все още цари неразбиране на проблема?

Проблемите, които най-често откриваме, са свързани с грешки в приложния код на уеб приложения. Това е така, поради причината, че немалка част от софтуерните разработчици на пазара имат недостатъчно голям опит или бързат с изпълнението на поръчката, вследствие на което се правят едни и същи тривиални грешки от години. 

Мрежите се променят по-бавно и там по-рядко се откриват проблеми. С навлизането на смартфоните през последното десетилетие започнаха да се разработват и много мобилни приложения, които често биват пропускани по време на одит и се използват като точка, през която хакерите да проникнат в даден сървър.

По своето естество най-често срещаните проблеми са източване на съдържанието на базата данни, неоторизирана кражба на акаунти и привилегии, достъпване на ограничени ресурси и инжектиране на код, с цел подлъгване на потребителите чрез методите на социалното инженерство.

Какво е нивото на българските „бели“ хакери в сравнение с това на европейските и световните като цяло?

В България IT експертите са на много високо ниво и тези в сферата на киберсигурността на правят изключение. Смятам, че в много IT специалности превъзхождаме западняците. В България има изключително кадърни момчета и момичета, а ми прави впечатление, че все по-голяма част от младите, заминали, за да „откраднат“ знания от чужбина, се прибират и се реализират тук. Най-голям брой завоевания в световен мащаб имат индийските и руските хакери, но това е така поради огромния брой на населението в тези държави.

Какви са перспективите за развитието на тази професия у нас? И как се подготвя човек за нея – има ли такива специалности в университетите, или ученето се случва на терен?

В България все още няма институции, които да предлагат адекватно обучение в тази насока. В интернет обаче са налични огромен брой свободнодостъпни ресурси, които да позволят на всеки желаещ да се научи на занаята – Cybrary.it, Coursera.org, CTF365, Vulnhub, Hackthebox, Hackerone и др. В интерес на истината най-много се учи в практиката, стига човек да успее да натрупа достатъчно базови познания, така че да си осигури стаж или работа на „junior“ позиция в някоя компания. Онлайн курсове също са достъпни, макар и доста скъпи, като най-високо се ценят тези на Offensive Security, след което се нареждат курсовете на SANS и CompTia.

Какво очаквате от Sofia CyberSec 2020 и защо според Вас събитието е важно?

2020 г. беше много особена и трудна за всички, но вирусите продължиха да се развиват и в интернет пространството. През годината излязоха някои доста интересни уязвимости на водещи услуги и компании, като Twitter, Zoom, EasyJet и др. На събитието очаквам аудиторията да се запознае с последните новости в сферата на киберсигурността и с полезна информация как да предпазим информацията си и цените си активи. Според мен събитието е едно от малкото в България, които предоставят възможност на водещи експерти от бранша да се срещнат с хората от бизнеса и да обменят информация за последните трендове.