A jó, a rossz és a hacker

A médiában az elmúlt időszakban egyre több, különböző rendszerek ellen indított digitális támadással találkozhattunk, amiket egytől egyig hackerek követtek el. Éppen ezért legújabb cikkünkben megmutatjuk, hogy pontosan milyen fajtáikkal találkozhatunk és hogy pontosan miket érdemes tudni róluk.

30 évvel ezelőtt söpört végig a világhálón az első netes kártevő, ami az internet 10%-át megbénította. A Morris-férget készítője ugyan csak egy kísérletnek szánta, ám végül elég nagy galibát okozott vele, hiszen a hatvanezer internetre csatlakozó számítógépből hatezerben tett kárt, így arányait tekintve a mai napig nem történt ilyen széles körű támadás, pedig sajnos volt már korábban jó pár hasonló jellegű eset.

Mindenki hibázhat

Minden szoftvernél alapvető elvárás, hogy az megfelelően és biztonságosan működjön. Amióta az informatika létezik, azóta léteznek a hibabejelentések is, már csak az a kérdés, hogy ki és milyen módon jelenti be az így felmerülő problémákat.

Elsőre meglepő lehet, de az informatika hőskorában a “hacker” kifejezés pozitív jelzőnek számított, mivel főleg azokra használták ezt a jelzőt, akik értettek a programozáshoz, és olyan techinikai bravúrokat tudtak végrehajtani, amiket csak kevesen. A játékok feltörése után viszont a szó pejoratív jelentést kapott, egyre inkább az informatikai támadók szinonímájává vált és csak az utóbbi években került be a köztudatba az “etikus” és a “nem etikus hacker” kifejezés. De mi is a különbség a két elnevezés között?

A jó és a rossz fiúk

Az etikus hackereket szokás “fehér kalapos” hackereknek nevezni, míg a nem etikusakat “fekete kalaposaknak”. Az analógia a régi westernfilmekből való, amikben a jó fiúk fehér kalapot, a rosszak pedig feketét viseltek.

A fehér kalaposok általában olyan fizetett hackerek, akiket azért bérelnek fel, hogy betörjenek különböző cégek saját informatikai rendszereibe, ezáltal feltárva a rendszer sérülékenységeit – még mielőtt azt egy fekete kalapos tenné, azzal megkárosítva a rendszert és annak felhasználóit, tulajdonosát.

Ahogy az előbbiekből következtetni lehet, a nem etikus hackerek önös érdekekből “pusztítanak”, általában azért, hogy jogszerűtlen anyagi javakhoz jussanak. A tavalyi évben például miközben a bitcoin árfolyama csúcsokat döntögetett, egyik hajnalban a NiceHash bitcoinbányász oldalon található belső pénztárcákból 4736,42 bitcoint loptak el, amely az akkori árfolyam alapján 17 697 709 113 forintot jelentett. A pénzből valószínűleg drogot vásároltak a dark weben.

Fontos továbbá tudni, hogy azokat a hibákat, amikkel el lehet érni valamilyen fontos információt vagy adatot, “exploitoknak” szokás nevezni. Ezekkel rengeteget lehet keresni az informatikai feketepiacon, hiszen gondoljunk csak bele, mennyit érhet egy olyan exploit, amivel szervezett bűnözői körök akár számítógépek millióit képesek elfoglalni, és saját céljukra használni.

2015 júliusában a titkosszolgálatok beszállítójaként működő Hacking Team cég szervereit feltörték, arról pedig 400 gigabájtnyi adatot tettek hozzáférhetővé. A közzétett adatok közül a 444.hu egyik kommentelője kilenc számlát talált, amelyet a magyar Információs Hivatalnak (IH), valamint a Nemzetbiztonsági Szakszolgálatnak (NBSZ) állítottak ki. Az IH például egy exploit portálra fizetett elő.

Azokat, akik pusztán a rombolás kedvéért írnak programokat, crackereknek is nevezték – ám ezt ne keverjük össze a játékok crackelésével, vagyis feltörésével. Manapság már nem használjuk ezt a kifejezést.

Szokás még beszélni az úgynevezett “szürke kalapos” hackerekről is. Ők a fent említett két tábor között helyezkednek el: alapvetően legális dolgokat csinálnak, ám van, hogy átlépik a határokat, illetve nem teljesen szabályozott területeken mozognak – ugyanis nem mindegy, hogy egy felfedezett hibát 1 óra vagy 90 nap múlva osztja meg az illetékesekkel. Működésük morális problémákat vet fel: például hacktivista mozgalmakat indítanak összességében pozitív céllal, ám sok esetben jogszerűtlenül, így sokaknak potenciális kárt okozva. Ilyen például a híres Anonymous csoport is, akik többek között a Szcientológia Egyház szervereit támadják saját meggyőződésükből kiindulva, mivel szerintük az egy káros szervezet.

A hibabejelentések hogyanja

Az etikus hacker zárt módon, csak a megbízójának jelenti be a felfedezett hibát, míg a nem etikus hacker van, hogy közzé is teszi azt, hogy további károkat okozzon a szoftver gyártójának, amivel félelmet kelthet a felhasználókban, mondván, az adataik veszélyben vannak, vagy akár további hackertámadásokkal is fenyegetőzhet. Más esetekben pedig eladhatja vagy fel is használhatja a hibával kapcsolatos információkat.

Vannak olyan cégek, akik kimondottan arra ösztönzik felhasználóikat, hogy keressenek hibát szoftverük működésében, amennyiben pedig jelentik nekik azt, busásan megjutalmazzák őket – ezeket szokás “bug bounty” (magyarul “hibaadomány”) programoknak nevezni. 2016-ban például egy 10 éves ausztrál kisfiú felfedezett egy biztonsági hibát az Instagram rendszerében: rájött, hogy bármilyen írott tartalmat törölni tud a közösségi felületről, akár magát Justin Biebert is. A hibáról e-mailben tájékoztatta az Instagramot működtető Facebookot, akik cserébe 10 000 dolláros jutalomban részesítették – így született meg a Facebook legfiatalabb etikus hackere.

Ám itt megemlíthető egy negatív példa is, amire valószínűleg nagyon sokan emlékszünk tavalyról: miután a BKK bevezette az e-jegy rendszerét, egy 18 éves fiatal jelentkezett, hogy a cég honlapján néhány szám átírásával 50 forintért tudott vásárolni bérletet. A hibát jelezte a szervezetnek – elmondása szerint a felfedezéstől számított 2 percen belül –, ám nem kapott tőlük választ, ehelyett a médiából értesült arról, hogy a rendszert üzemeltető T-Systems feljelentést tett ellene. A fiatalt végül nem találták bűnösnek.

Összegezve tehát az etikus hackerektől nem kell félni, nem bántanak, csak a rendszerek hosszútávú biztonságáért küzdenek. Jelenleg az egyik legjobban kereső szakma, ami nem véletlen, hiszen az a gondolkodás, amivel egy jó hacker rendelkezik, általában nehezen tanulható. Ezzel ellentétben a “fekete kalapos” csapattal szemben legjobb, ha mindent megteszünk saját adataink és egyúttal rendszereink biztonsága érdekében.

 

ACPM-IT Tanácsadó Kft

Az ACPM IT Tanácsadó Kft magas minőségű IT biztonsági szolgáltatásokat nyújt cégek, pénzügyi intézetek és kormányzati szervek számára IT biztonsági tanácsadás, audit és tréningek formájában. 

Weboldal: acpmit.com 
LinkedIn: linkedin.com/company/acpm-it-consulting-ltd- 

Kapcsolódó tartalmak:

Visszajelzés

Hasznosnak találtad az oldalt?