Objavljeno u Nacionalu br. 856, 2012-04-10
Ljudi koji su napravili poslovnu karijeru ‘upadajući’ u tuđa računala poznati su kao ‘bijeli šeširi’, no postoje i oni negativni, ‘crni šeširi’, pripadnici krim miljea, u koje računalni stručnjak Robert Petrunić svrstava i medijski eksponirane Anonymuse
Kada pomislite na pojam haker, prvo što vam padne na pamet je kriminal, financijska šteta, gubitak ili krađa podataka. Samo jedan upad u računalni sustav može rezultirati štetom koja se broji u milijunima dolara, a, na žalost, brojne tvrtke ignoriraju sigurnosne rupe u svojim sustavima. Prošlogodišnje istraživanje tvrtke Deloitte o uravnoteženosti poslovanja IT-odjela pokazalo je da se u trećini hrvatskih tvrtki ne primjenjuju zadane procedure o informacijskoj sigurnosti i zaštiti privatnosti. No postoje ljudi koji su napravili poslovnu karijeru ‘upadajući’ u tuđa računala i sustave, u branši su poznati kao “bijeli šeširi” i bave se “etičnim hakiranjem”. Njihovi podvizi rijetko dođu na naslovnica novina i internetskih portala.
“Etični haker je stručnjak na području informacijske sigurnosti koji se bavi, među ostalim, i penetracijskim testiranjem. U pitanju je provaljivanje u sustav naručitelja nakon potpisanog ugovora u kojem su definirane dopuštene i nedopuštene radnje, a sve kako bi se otkrili propusti koje bi netko mogao iskoristiti i tako provaliti u sustav”, ističe Robert Petrunić, predavač i konzultant u učilištu Algebra koji se računalnom sigurnošću intenzivno bavi desetak godina, a ujedno je i ponosni nositelj “bijelog šešira”.
“BUDUĆI DA JE HAKER postala riječ koja opisuje negativca, a i pozitivci su hakeri, dijelimo se u ‘white hats’ (bijele šešire) i ‘black hats’ (crne šešire), odnosno hakere s ‘tamne strane’ koji su obično dio kriminalnog miljea”, objašnjava Petrunić. Kako kaže, postoje i “sivi šeširi”. To su preobraćeni crni šeširi, tj. oni koji su se vratili s “tamne strane”. U javnosti poznati “sivi šeširi”, prije nego što su počeli raditi kao sigurnosni konzultanti, nerijetko su prije toga odležali zatvorsku kaznu i vratili novac zarađen na ilegalan način. Kevin Mitnick karijeru je započeo hakiranjem sustava javnog gradskog prijevoza u Los Angelesu kako bi se besplatno vozio, a priznao je i krađu softvera od tvrtki Motorola, Fujitsu i Sun Microsystem. Jedan od osnivača Applea Stephen Wozniak hakiranjem je manipulirao telefonske linije i besplatno telefonirao, a kolege s fakulteta tvrde da je uspio nazvati i papu predstavljajući se kao bivši američki državni tajnik Henry Kissinger. Javnosti je poznat Jonathan James, koji je prvi maloljetni haker osuđen na zatvor sku kaznu. Uhvaćen je dok je imao 15, a osuđen sa 16 godina. On je, među ostalim, provalio sustave američkog ministarstva obrane i NASA-e.
Kao trenutno najpoznatiji primjer “crnih šešira” Petrunić navodi medijski eksponirane “Anonimuse” za koje kaže da su “kriminalna skupina koja se pokušava sakriti iza paravana Robina Hooda”. “Glume borce za ljudska prava, a u biti se bave kriminalnim radnjama”, smatra Petrunić.
ŠTO SE TIČE potencijalnih žrtva hakera, Petrunić kaže da nema pravila i da je meta bilo tko je ranjiv jer ima sigurnosni propust kojega nije svjestan. Postoje maliciozni hakeri koji traže ranjive web stranice i kad ih pronađu, provale na njih. Ako ne mogu ništa drugo, naprave defacement – zamijene originalnu stranicu nekom svojom koja je u biti njihov potpis. Isto postoje maliciozni hakeri, u koje spadaju i “Anonimusi” koji se trude zaraziti što više računala, kako bi ih kasnije iskoristili za napade na druge sustave. Raspolagati mrežom od nekoliko desetaka tisuća zombi računala znači imati popriličnu moć – usporedbe radi, to je kao da netko tko ima desetak tisuća metaka puca po nekome tko ima samo jedan metak. Postoje i maliciozni hakeri kojima je jedina namjera zaraditi novac, pa na računala “posiju” trojanske konje koji im omogućavaju krađu brojeva kreditnih kartica, upad u bankarsko poslovanje, objašnjava Petrunić. Ti hakeri su nerijetko dio policiji poznatih kriminalnih skupina koje koriste usluge hakera, a često se u tom kontekstu spominje i ruska mafija.
Petrunić kaže da neetični haker koji svoje znanje koristi za krađu podataka, pa i novca, riskira odlazak na dugogodišnju robiju. Etični haker, za razliku od svojih kriminalnih kolega, radi u nekoj sigurnosnoj tvrtki koja se bavi penetracijskim testiranjem i sigurnosnim auditingom. Može se zaposliti i kao konzultant za informacijsku sigurnost ili trener. Postoji opcija i da se etični haker zaposli u nekoj tvrtki gdje će raditi na internom poboljšanju i implementaciji sigurnosnih kontrola. “Zaraditi se može pristojno, ali u Hrvatskoj, na žalost, malo tvrtki može prepoznati kvalitetu ovog tipa i platiti je, stoga kvalitetni ljudi obično traže sreću u inozemstvu ili u rijetkim tvrtkama u Hrvatskoj koje plaćaju stručnjake po fer tarifama”, kaže Petrunić.
ISTRAŽIVANJE ANALITIČKE KUĆE IDC pokazalo je da diljem svijeta postoji potražnja za tim specifičnim zanimanjem. Tvrtke AT&T, Wells Fargo, Citigroup, Microsoft i Boeing neprestano traže nove zaposlenike koji se brinu za IT sigurnost, a početna plaća iznosi između 50.000 i 120.000 dolara godišnje. Petrunić navodi da etički haker nije osoba koja samoinicijativno traži i pronađe propust u nečijem sustavu i nakon toga kontaktira s vlasnikom, ali tvrtke kojima je IT sigurnost jako važna u poslovanju same su raspisale nagrade za one koji otkriju rupe u njihovim sustavima i, naravno, to im dojave a da tu informaciju ne objave niti podjele s drugim hakerima. Tako je krajem prošle godine Mozilla objavila da će svima koji otkriju i, naravno, prijave sigurnosne rupe u njihovu pregledniku Firefox isplatiti 3000 dolara. Samo nekoliko dana poslije Google je podigao nagradu na 3133 dolara koju će isplatiti IT-ovcima koji otkriju rupe u pregledniku Chrome. Brojni hakeri su samouki, ali profesionalni etični haker postaje se dugogodišnjim radom na području informacijske sigurnosti, a postoji i niz seminara, priča Petrunić, koji usmjeravaju polaznika u tom smjeru.
Na Visokoj školi za primijenjeno računalstvo postoji kolegij sigurnost elektroničkog poslovanja koji se bavi upravo tom tematikom, te kolegiji sigurnost informacijskih sustava i sigurnost računalnih mreža, koji su dobra odskočna daska za daljnji razvoj u tom smjeru. “Osoba koja namjerava postati etični haker morat će naučiti barem jedan programski jezik, dobro poznavati Windows i Linux OS, mrežne protokole, uređaje i razne verzije baza podataka, poslovnih sustava”, kaže Petrunić.
DODAJE DA JE STALNA edukacija nužna jer se svakodnevno mijenjaju pravila igre, načini napada, ponajviše širenjem mobilnog interneta i telefonije. Pametni telefoni uvijek su povezani i spojeni na mrežu, što definitivno nije ostalo neprimijećeno “na tamnoj strani”. Napadi se sa stolnih i prijenosnih računala polako prebacuju na pametne telefone i samo je pitanje vremena kad će ova platforma biti najnapadanija, upozorava Petrunić uz napomenu da su neetični hakeri sve bolji. “Neetični hakeri imaju neograničeno vrijeme da istraže svaki segment, svaki protokol, svaku aplikaciju, dok osobe koje te aplikacije i protokole održavaju imaju ograničeno vrijeme i sredstva. Ako se osoba X zainteresira za neki protokol i nađe osobu Y koja je uložila godinu dana u proučavanje tog protokola, zajedno će najvjerojatnije otkriti nešto što osoba X nije uspjela sama otkriti. Tako se preko raznih underground foruma i mailing lista prenosi znanje i pronalaze propusti koji se poslije koriste za provalu u sustav koji je bio siguran prije nego što su te informacije bile ‘otkrivene’.”
KOLIKO SU HAKERI aktivni, najbolje govori “sigurnosni incident” koji je Petrunić otkrio za vrijeme predavanja, školujući novu generaciju etičnih hakera: “Držao sam CEH seminar namijenjen školovanju etičnih hakera i pokazivao logove na svom web poslužitelju. U logovima se nekoliko minuta prije pojavio zanimljiv zapis koji je upućivao na pokušaj upada u sustav. Dok sam polaznicima objašnjavao što bi se moglo napraviti takvim napadom (kad bi poslužitelj bio ranjiv), prebacio sam se na sistemske logove i u tom trenutku pojavilo se nekoliko zapisa koji su upućivali na to da je sustav provaljen. Pogledao sam koji korisnici postoje na sustavu i doslovce u tom trenutku pojavio se novi korisnik – uživo smo pratili upad u sustav. Analizirao sam kojim putem je provaljeno u sustav i zatvorio napadaču pristup, počistio ono što je ‘posijao’ i zakrpao propust koji je napadač iskoristio. Sreća u nesreći bila je da je zakrpa postojala i da je izišla nekoliko sati prije samog napada, što mi je omogućilo promptnu reakciju i sprečavanje napadača da se vrati istim putem, a najveća je sreća bila to što sam uživo gledao što se događa, pa napadač nije ima vremena postaviti backdoor, stražnja vrata kroz koja bi mogao ponovo upasti u sustav.”
Komentari