Kad vam netko kaže riječ “haker” teško je ne zamisliti hakera kakvi se često pokazuju u filmovima. Čudni likovi s kapuljačama u mračnim sobama koji tipkaju po računalu i rade ilegalne stvari. Iako je to često daleko od istine, hakere se prikazuje kao kriminalce koji krše zakon, kradu podatke i slično.
Ima na svijetu puno takvih (ili onih koji to pokušavaju biti), ali “hakiranje” u početku nije bila riječ koja nosi loše konotacije. Hakeri su bili ljudi koji su rješavali probleme. Danas se hakeri mogu podijeliti u dvije skupine – back hat hakere (oni koji krše zakone) i white hat hakere o kojima ćemo mi danas pisati.
Dotične osobe, white hat hakeri, odnosno etički hakeri često rade za dobrobit ljudi ili kompanija. Pa se često postavlja pitanje – da li je to legalno što rade i kako uspijevaju biti na “dobroj strani” zakona?
Što je “etičko hakiranje”?
Iako se možda čini kao oksimoron, etičko hakiranje je stvarno i postoji u svijetu. Ako je “regularno” hakiranje probijanje sigurnosne zaštite bez dopuštenja vlasnika, onda je etičko hakiranje probijanje sigurnosne zaštite s dopuštenjem vlasnika. Kada kažemo vlasnika, najčešće mislimo na kompanije.
Malo je čudno da bi jedna kompanija dopustila da ih netko “hakira”. To je kao da nekom date dopuštenje da vam provali u kuću. Ali tu su dva razloga zašto to kompanije dopuštaju – prvi je edukacijski razlog, a drugi je sigurnosni.
Što je “edukacijsko” u etičkom hakiranju?
Edukacijsko hakiranje je kada vam netko dopusti da ga hakirate kako bi nešto naučio o sigurnosti, odnosno da ga vi nešto naučite o sigurnosti. Ako netko ima sigurnosne rupe, sigurno bi htio naučiti nešto o tome. Ili bi htio naučiti kako se zaštititi. U svakom slučaju, što više poznajete svoje ranjivosti, to ćete ih lakše “zakrpati”.
Zato kompanije plaćaju etičke hakere da ih hakiraju. I vjerovali ili ne – to košta jako puno. Ali mnogo je skuplje da vam neki “pravi” haker napravi štetu, ukrade podatke i na koncu potencijalno uništi kompaniju koju stvarate godinama.
Što je sa sigurnošću?
U ovom modernom dobu, apsolutno sve je na Internetu. To su naše slike, naši dokumenti, naše sigurnosne kopije i tako dalje. Što se kompanija tiče, tu je situacija vrlo slična. Danas se sve više ide prema “paperless” poslovanju u kojem je sve digitalno i potrošnja papira se pokušava svesti na minimum.
Zato je danas pouzdana cyber zaštita i više nego prijeko potrebna. Zato kompanije, kao što smo rekli, plaćaju sigurnosne kompanije ili etičke hakere da ih “probiju”, te zatim im pomognu zakrpati rupe ili pokušavaju sami napraviti softver koji će ih štititi. Prva solucija je uvijek bolja. Pustiti profesionalce da obave posao u kojem su dobri.
To se posebice odnosi na banke koje često koriste ovakve usluge kako bi svele mogućnost štete na minimum. Prema nekim izvještajima, mnoge svjetske banke su bile hakirane ali su te stvari pomele pod tepih čisto da bi zaštitite svoj ugled.
Treba li etičko hakiranje učiti u školama i na fakultetima?
Odgovor je teško dati na ovo pitanje. Ako ste recimo na fakultetu i učite o mrežama, vjerojatno je to korisno za naučiti. No, jako malo edukacijskih ustanova nude ovakve vještine i znanja. S druge strane, postoji hrpa tečajeva koji vas mogu naučiti osnovama probijanja računalnih mreža. Pa čak možete i zaraditi svjetski priznate certifikate za to. Naravno, oni nisu garancija za posao, ali ipak govore da ponešto znate o tome.
Pitanje koje se postavlja je – nije li maliciozno učiti ljude ovakvim vještinama? Odgovor je – ne. Ljude se uči etičkom hakiranju, odnosno da ne hakiraju bez tuđe dozvole i da ne rade štetu. Uči ih se o sigurnosti, o tome kako zaobići određenu zaštitu i slično. Ako netko i napravi nešto ilegalno, isključivi krivac je sama osoba. To je valjda prva lekcija na svim tečajevima. Oni nisu tu da vas uče krivim stvarima, nego da vam daju naplative vještine. Na vama je da se ponašate u skladu sa zakonima.
Kako ljudi žive od ovih vještina?
Možda ste primijetili da mi cijelo vrijeme govorimo o profesionalcima, o profesionalnim etičkim hakerima. Hakiranje nije samo “hobi”, nego je to način življenja. To je karijera koju neki jako dobro unovče. Pogotovo oni koji imaju certifikate i uspiju se isprofilirati kao dobri etički hakeri.
O zaradi smo već pisali, ali uglavnom kompanije plaćaju etičkim hakerima određenu svotu novca da im probiju računalnu mrežu, da ju analiziraju i da im pomognu zakrpati sigurnosne rupe ako postoje. Prema nekim istraživanjima, pojedinci u Americi s time zarađuju oko 70-80 tisuća dolara godišnje. To je u prosjeku. Neki zarađuju i mnogo, mnogo više.
Kako naći takve poslove? Vjerovali ili ne – preko oglasa. Kompanije oglase da traže etičke hakere, daju im dopuštenje da rade određene stvari i za to bivaju plaćeni.
Krivi put je nekog hakirati i onda tražiti novac za to. To je jedino karta prema zatvoru.
Da li takvih poslova ima u Hrvatskoj? Možda ima, ali jako malo. Nismo baš našli oglase kompanija koje traže etičke hakere, što ne znači da ih nije bilo ili ih neće biti. Samo hoćemo reći da je to mnogo razvijenije na zapadu, nego što je kod nas ili generalno u Europi.
Zašto etičko hakiranje mora biti legalno?
Iako “izvana” ovo može izgledati loše i možete se osjećati nesigurno što postoje tečajevi koji uče ljude o hakiranju, ali to je nužno zlo. Bez takvih tečajeva, koje najčešće drže profesionalci, ljudi i kompanije bi se teško obranili od “pravih” hakera koji ne biraju alate i sredstva da vas hakiraju.
Pogotovo poslovni subjekti kojima se šteta može mjeriti u milijunima dolara. One moraju zapošljavati etičke hakere koji će konstantno testirati njihove mreže, pokušavati ih hakirati, koristiti nove alate za probijanje mreža i slično. To je posao koji nikada ne završava. I baš zato etičko hakiranje mora biti legalno. Dok god vam netko daje dozvolu da to radite i za to vas plaća, to ne može biti ilegalno.
Rekli smo već – ilegalno je ako nekog hakirate bez dozvole i onda ga ucjenjujete. To je teško kršenje zakona i za to se ide u zatvor. No, sve ostalo je legalno i treba ostati tako. Ako želite i sami nešto naučiti o tome, postoji jako puno izvora na Internetu i od kuda krenuti. Mi ćemo vam dati prvi link (CEH), a ostalo je na vama.
Piše: B.P.