Wszyscy znamy archetyp bohaterskiego kowboja w białym kapeluszu, którego życiowym credo jest pomoc innym i zwalczanie złoczyńców, których charakteryzują kapelusze czarne. Odwieczna walka dobra ze złem znajduje również swoje miejsce w cyberbezpieczeństwie. Zgodnie z raportem 2019 Hacker liczba White Hat hakerów z roku na rok podwaja się – specjaliści od zabezpieczeń chcą pomagać. Kim zatem jest White Hat?
White hacker – kim jest?
To właśnie kolor biały i wyobrażenie bohatera w białym kapeluszu wpłynęło na wykucie pojęcia hakera White Hat. Najprostsza definicja mówi o specjaliście od zabezpieczeń, który jest w stanie wykryć wszelkie luki w oprogramowaniu i wykorzystuje swoją wiedzę, aby odeprzeć potencjale ataki i naprawić systemy, do którym ma dostęp. Hakerzy w białych kapeluszach zdobywają wartościowe certyfikaty, wśród nich m.in. Certified Ethical Hacker (CEH), Offensive Security Certified Professional (OSCP) lub Global Information Assurance Certifications. Czerpią oni satysfakcję z testowania swoich zdolności, dzielenia się wiedzą, odkrywania ukrytych „backdoorów” i uczestniczenia w procesie usuwania błędów.
Przedsiębiorstwa prześcigają się w uruchamianiu konkursów typu „bug bounty”, czyli polowania na błędy, swoistego crowdsourcingu, w których każdy zapalony miłośnik zabezpieczeń może wziąć udział i zgłosić dostrzeżone problemy. „Bug Bounty Program” stworzony przez Facebooka uważany jest za największe tego typu przedsięwzięcie we współczesnym świecie.
Jednym z głównych celów Strategii Cyberbezpieczeństwa RP na lata 2019-2024 jest właśnie podniesienie poziomu odporności systemów informacyjnych administracji publicznej i sektora prywatnego oraz osiągnięcie zdolności do skutecznego zapobiegania i reagowania na incydenty. Ministerstwo Cyfryzacji podaje, że w ramach Strategii propagowane będzie testowanie zabezpieczeń w modelu „bug bounty”. Również w podpisanej przez Prezydenta Andrzeja Dudę w maju Strategii Bezpieczeństwa Narodowego Rzeczypospolitej Polskiej ważną kwestię stanowi cyberbezpieczeństwo.
Ciprian Alexandru Pitis, haker w białym kapeluszu, wykrył dwie podatności w implementacji aplikacji webowej do podpisywania plików podpisem zaufanym w serwisie moj.gov.pl. Poinformował o tym Departament Cyberbezpieczeństwa i zespół CSIRT NASK. Robert Kośla, dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji, przyznaje, że osoby wychwytujące podatności w systemach bezpieczeństwa pełnią nieocenioną rolę. „Wszystkie systemy informatyczne wymagają stałego monitorowania i testowania. […] Nie ma systemu idealnego” – dodaje Kośla.
W opozycji do etycznych hakerów znajdują się ci określani mianem Black Hat. Za osobę, która po raz pierwszy użyła powyższego terminu uważa się Richarda Stallmana, założyciela Projektu GNU i Free Software Foundation, ale on odżegnuje się od tego. „Nie mówię o osobach łamiących zabezpieczenia per haker” – podkreśla Stallman.
Hakerzy w czarnych kapeluszach to osoby działające bez zgody właściciela systemu, a ich celem nie jest usunięcie zagrożeń i luk, lecz ich wykorzystanie do osiągnięcia korzyści własnych lub osób trzecich, niepożądanych z punktu widzenia właściciela.
Pozostając jeszcze w sferze historii: jednym z pierwszych procesów dotyczących problemu etycznego hakerstwa była sprawa Stephena Golda i Roberta Schifreena, którzy w Anglii lat 80-tych, przeprowadzali proste testy penetracyjne, odgadując hasła użytkowników należących do sieci Prestel brytyjskiego operatora telekomunikacyjnego – British Telecom. Zostali oni jednak, po przekazaniu wiedzy o wykrytych słabościach systemu, aresztowani. Uniewinniono ich, a Izba Lordów utrzymała wyrok z drugiej instancji. Następstwem sprawy Golda i Schifreena było uchwalone przez Parlament Brytyjski obowiązującej do dziś Ustawy o Nadużyciach Komputerowych z 1990 roku.
Omawianą tematykę w polskim systemie prawnym regulują następujące przepisy:
- art. 267 § 1 i 2 Kodeksu Karnego o odpowiedzialności karnej za uzyskanie dostępu do informacji nieprzeznaczonej dla danego odbiorcy (hakera) lub do całości, względnie części systemu informatycznego;
- art. 269b KK (wprowadzony w marcu 2017 r.), który analogicznie do przestępstw narkotykowych de facto kryminalizuje każdy czyn powiązany z użyciem danego sprzętu i/lub oprogramowania do celów cyberprzestępczości;
- art. 269c KK wprowadzający kontratyp ustawowy wskazujący, kto i w jakich sytuacjach nie podlega karze za przestępstwo z art. 267 § 2 KK; mowa tu o uniknięciu kary, gdy powiadomi się administratora systemu o lukach, a obejście zabezpieczeń nie generowało szkód i nie naruszało interesu publicznego lub prywatnego;
- art. 287 § 1 KK, który wyraża, iż karalne jest wpływanie na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych, a także zmienianie, usuwanie albo wprowadzanie nowych zapisów danych – którekolwiek z powyższych działań musi zostać podjęte w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody i bez odpowiedniego upoważnienia. Jest to nazywane oszustwem komputerowym.
Tutaj warto wyróżnić trzecie pojęcie: szarego hakera, który łamie zabezpieczenia w celu sprawdzenia swoich umiejętności i wiedzy. Nie odnosi on korzyści, ale działa na pograniczu prawa. Hakerzy White Hat stają się jednak zjawiskiem pożądanym, a coraz więcej przedsiębiorstw chce ich zatrudniać lub sprawdzać, czy pośród obecnych pracowników nie ma osób, które zajmują się zabezpieczeniami hobbystycznie. Szersze spojrzenie na posiadane zasoby ludzkie może prowadzić do zmian organizacyjnych zgodnych ze współczesnymi trendami.
Polska drużyna White Hatów zwana Dragon Sector, wśród których znaleźli się m.in. pracownicy CERT Polska (grupa zadaniowa należąca do NASK), w 2019 roku zajęła drugie miejsce w chińskich zawodach Capture The Flag (CTF) wygrywając prawie 100.000 PLN. CTF gości tylko najlepszych, a do konkursu można się dostać wyłącznie poprzez zaproszenie.
W 2018 roku CERT Polska informował, że odnotowano rekordowy skok incydentów bezpieczeństwa w cyberprzestrzeni w stosunku do roku poprzedniego, aż o 17,5 proc. Najwięcej szkód czynią na dzień dzisiejszy zagrożenia z rodzaju malware, phishing, DDoS i APT (Advanced Persistent Threat).
W najbliższych latach będziemy świadkami wielu bitew pomiędzy hakerami w białych i czarnych kapeluszach. Będą oni stosować coraz to bardziej wyrafinowane metody, a obszarami ich ataków będzie infrastruktura chmurowa czy Internet Rzeczy. Ostatni głośny atak hakerów dotyczył wykradzenia 756 gigabajtów danych z serwerów, w tym kontraktów celebrytów – m.in. Lady Gagi, Roda Stewarta czy Roberta De Niro – oraz ich prywatnych adresów e-mail. W Polsce administratorzy serwisu Internetowe Forum Policyjne (inicjatywa prywatna) poinformowali o ataku na swój serwer. Niepokoją się, że mogą zostać ujawnione loginy, adresy e-mail i zahaszowane hasła.
Cóż, być może będziemy skazani na bohaterów w białych kapeluszach, którzy będą dla nas walczyć w cyberprzestrzeni.
Źródła:
- gov.pl
- sekurak.pl
- strefabiznesu.pl
- prawo.gazetaprawna.pl
- atlasobscura.com
