Ne všechny hackerské aktivity jsou nekalé. Dnes si představíme etický hacking a vysvětlíme pojmy White Hat a Black Hat.
Pod pojmem etickým hacking rozumíme identifikaci zranitelností a potenciálních hrozeb v počítačových systémech, sítích nebo softwarových aplikacích pomocí simulace reálných útoků. Hlavním cílem je odhalit slabá místa a zlepšit bezpečnostní opatření na ochranu systému před skutečnými hackery, kteří přicházejí s úmyslem škodit.
White Hat hackeři: Neohrožení strážci kyberprostoru
Jsou jimi etičtí hackeři, profesionálové v oblasti kybernetické bezpečnosti, kteří pracují na ochraně počítačových systémů a sítí. Jejich cílem je objevit všechna bezpečnostní rizika před tím, než to ilegálně udělá někdo zvenčí. Svou profesionalitu a etické zásady často demonstrují držením profesních certifikátů, například Certified Ethical Hacker (CEH) nebo Offensive Security Certified Professional (OSCP).
Vždy se pohybují v mezích zákona, dodržují přísná pravidla a ke své činnosti pokaždé vyžadují souhlas vlastníka systému. Úzce spolupracují s organizacemi při identifikaci zranitelných míst, vyhodnocování rizik a doporučování řešení pro zmírnění hrozeb. Po dokončení posouzení poskytují podrobné zprávy, které organizaci pomohou zlepšit míru jejího zabezpečení proti hackerským útokům.
Black Hat hackeři: Kybernetičtí zločinci
Hackeři, kteří napadají cizí systémy. Praktikují nelegální hackerské aktivity často s vidinou osobního prospěchu. Případně jsou motivování ideologickými či politickými motivy nebo prostě jen vzrušením z nabourání cizího softwaru.
Malware, phishing, ransomware, DDoS útok, podvodné zprávy. To je jen malý exkurz do nástrojů a technik kyberzločinců. Ve skutečnosti je jejich arzenál mnohem větší. Black Hat hackeři se často sdružují do skupin, kde si vyměňují informace nebo zdroje.
Grey Hat hackeři: Život na hraně
Je to nelegální? Ano. Je to eticky správné? Přijde na to… Grey Hat hackeři své aktivity provozují bez výslovného svolení vlastníka systému. Zároveň ale nejednají s úmyslem jej poškodit. Mohou odhalit zranitelnosti vlastníkům systému. Někdy se jim za to dokonce dostane i finanční kompenzace nebo uznání. Obecně je ale takové jednání považováno za protiprávní a neetické.
Historie hackingu a etického hackingu
V 60. letech 20. století se objevují první hackeři na slavném Massachusettském technologickém institutu (MIT). Studenti rozebírali (hackovali) počítačový software, aby vylepšili jeho funkčnost. Že by počátek filozofie White Hat? Slovo „hack“ se začíná spojovat s oblastí IT.
V 70. letech se obětí hackingu stal vynález Alexandera Grahama Bella (nebo Antonia Meucciho – záleží na tom, komu z nich fandíte). S tímto fenoménen se pojí dvě známá jména. Steve Wozniak a Steve Jobs vyvíjeli zařízení schopná pomocí tónu hacknout telefonní systém a volat zdarma. V roce 1977 potom tito technicky zdatní chlapci zakládají firmu Apple Computers.
80. léta patří subkultuře hackerů. Ti se začali sdružovat a sdílet informace o zranitelnosti systémů a hackerských technikách. V tomto období se začínají objevovat první Black Hat hackeři – bad guys, kteří hledají bezpečností mezery, aby mohli napadnout systémy a získat z toho nějaký osobní prospěch.
Na základě rozmachu hnutí kyberločinců se zvýšilo povědomí veřejnosti o aktuálnosti tématu kybernetické bezpečnosti. Původně se útočníkům říkalo „crackeři“. Dnešní terminologie je ale benevolentnější. Asi také znáte spíš jen pojem „hacker“, že?
V 90. letech přichází na scénu etický hacking jako odpověď na kybernetické hrozby. Etický hacker (White Hat) se stává skutečným profesionálem. V roce 1995 byl spuštěn první program CEH (Certified Ethical Hacker), který poskytoval strukturovaný učební plán a certifikaci pro ty, kdo stojí o kariéru v tomto oboru.
Devadesátá léta byla celkově bohatá na rozmach internetu. S jeho popularizací však začala současně narůstat i kyberkriminalita.
Etický hacker současnosti
Je to vážený odborník na bezpečnost systémů. Člověk s obrovskou znalostní základnou, který se snaží být vždy minimálně jeden krok před zlými hochy. Hraje v ekosystému kybernetické bezpečnosti klíčovou roli. Pracuje jako interní zaměstnanec organizací i vládních agentur nebo jako externí odborný konzultant. Pomáhá firmám identifikovat a také řešit slabá a zranitelná místa systémů.
White Hat hacker se zaměřuje především na penetrační testy. Ty zahrnují například skenování portů nebo zkoumání známých vad. Etický hacker ale využívá mnohem širší spektrum technik.
Patří mezi ně i metody, které by bez souhlasu vlastníka byly rozhodně ilegální. Například sociální inženýrství (hackování lidí – podvodné vyžádání hesla, podněcování ke sdílení přihlašovacích údajů nebo třeba k uskutečnění bankovních převodů), prohledávání odpadků nebo dokonce i nezákonné vniknutí do fyzických prostor. Také jeho útoky na systém jsou skutečné. Jen bývají provedeny tak, aby nezpůsobily žádné reálné škody.
Kromě etických hackerů se v oblasti kybernetické bezpečnosti pohybují i další profese. Například expert na kybernetickou bezpečnost. Jak takový expert pracuje se můžete dočíst v našem stejnojmenném článku.
Jiří Kohout působí jako Head of Security Architecture v Komerční bance a o tématu kybernetické bezpečnosti toho ví opravdu hodně. Článek je proto nabitý spoustou cenných informací z praxe – mimo jiné získáte i praktické rady, jak vy sami můžete zabezpečit svá data.
Závěrem
Ti dobří musejí být vždy o krok před těmi, kteří mají špatné úmysly. „Poznej svého nepřítele, abys věděl, proti kterým zbraním bojuješ“ – to je heslo, kterým se lidé ze sféry cybersecurity musejí neustále řídit. Po přečtení dnešního článku je vám jistě jasné, že právě etický hacking organizacím takové poznání rozhodně umožňuje.