Этичный хакер и его роль в безопасности

Руслан Рахметов, Security Vision

Иногда можно услышать, как людей, понимающих устройство программы, сайта или базы данных, называют хакерами. В этой статье мы расскажем про тех, кого так называют, развеем основные мифы об их сфере деятельности и о том, чем этичный хакер отличается от остальных.

Сложные технологии надёжно проникли в нашу жизнь, с ними связаны образование, работа, повседневные дела и развлечения. У технологий обычно есть разработчики, владельцы и клиенты; при помощи технологий внутри систем хранятся разные данные, простые и конфиденциальные, а значит, есть и люди, стремящиеся получить эти данные, взломав систему, и те, кто защищает её от злоумышленников.

Этичный хакинг – это использование знаний о технологиях для исследования систем, обнаружения уязвимостей и применения навыков взлома с целью укрепления безопасности. Данный процесс описывается различными методологиями (как, например, NIST для описания процессов реагирования на киберинциденты), но в общем может включать набор понятных шагов:

1) Сбор информации

Этот этап включает в себя сбор максимального количества открытой информации о целевой системе, сети, сотрудниках и структуре организации. Используются доступные законные средства поиска информации и иногда методы социальной инженерии.

2) Сканирование объекта

Хакер использует различные инструменты для обнаружения уязвимостей в целевой системе (поиск открытых портов, служб, приложений). Подобные средства используются и внутри компаний для описания ИТ-ландшафта и управления активами компании.

3) Получение доступа

Использование обнаруженных на прошлом шаге технических уязвимостей, слабых паролей, незащищённых компьютеров и т.д.

4) Закрепление

Хакеру выгодно иметь постоянный доступ к системе, а значит, нужно сделать все, чтобы при первом же перезапуске устройства или возвращении пользователя за рабочий стол можно было остаться в инфраструктуре «взламываемого» объекта.

5) Анализ привилегий

Хакер анализирует полученный доступ и определяет, какие возможности у него есть из этой точки входа. Обычно стремятся получить права администратора, доступ к контроллеру домена или другие права, иногда в обход существующей IdM-системы.

По завершении процесса этичный хакер пишет и передаёт заказчику отчёт, по которому политики безопасности можно будет адаптировать так, чтобы в будущем другой хакер (уже, предположительно, злоумышленник) не смог использовать известные слабые места в эшелонах защиты компаний.

Этичный хакер не всегда является штатным сотрудником или работает в периметре. Иногда знания и творческий подход к решению задач, похожих на тестирование на проникновение, применяются в своего рода конкурсах, когда за найденные ошибки и уязвимости компания готова заплатить любому «искателю» (как, например, делают Yandex и Google).

Стать «белым» хакером проще всего тем, кто обучается или применяет на практике знания в информационной безопасности (т.е. студентам, сотрудникам ИТ-отделов, аналитикам SOC и т.д.), а подтвердить навыки можно на специальных соревнованиях (например, образовательных, вендорских или партнёрских), а также сертификатами (CEH – Certified Ethical Hacker, OSCP – Offensive Security Certified Professional и др.).

Чаще всего под хакерами понимают тех, кто взламывает систему, чтобы получить выгоду обманом, но это не всегда верно – этичных хакеров и злоумышленников действительно может объединять их мотивация (зарабатывание денег), но подходы и способы работы будут различаться. Если черные хакеры планируют разрушение, воровство данных или другие вредоносные активности, белые – стремятся улучшить безопасность и готовы зарабатывать честным путём (например, как штатный сотрудник). Белые хакеры занимаются тестированием на проникновение с разрешения владельцев системы для повышения безопасности данных, в т.ч. в целях защиты клиентов.

Благодаря кинематографу (например, американский «Мистер Робот» или «Оффлайн» российского производства) и общему ореолу тайны вокруг профессии (Цикада 3301, Анонимус) некоторые люди считают, что хакеры – это участники скрытых организаций, которые используют не доступные обычным людям технологии и могут взломать что угодно. Однако на самом деле взломать все системы практически невозможно, а используемые техники и средства можно достаточно легко изучить и понять. Большинство атак основано на элементарных методах, таких как перебор слабых паролей, фишинг (жертва сама передаёт данные в руки хакеру) и социальная инженерия (когда применяются психологические уловки). Хакер – не обязательно скрытный молодой человек, сидящий в подвале, напичканном передовыми технологиями.

Третий миф о процессе хакинга – взломать компьютер можно за считаные секунды, и никакие способы защиты не помогут. В реальности, поскольку хакеры используют обычные земные технологии и психологтческие уловки, многие из их инструментов уже хорошо изучены и описаны, их изучают в университетах или описывают в аналитических отчётах и фидах для проведения анализа угроз.

Важно подсветить также, что взлому подлежат не только компьютеры, но и сети (о которых мы рассказывали в другой статье), умные устройства (IoT, интернет вещей), смартфоны, планшеты, банковские системы и множество других устройств и объектов.

Оба типа хакеров при этом могут действовать в одиночку или в составе групп/сообществ. Белые хакеры часто работают на основе контрактов или соглашений, определяющих параметры и цели их тестирования на проникновение. Действия черных хакеров – незаконны, а сам злоумышленник за их совершение может подвергнуться наказанию. Чтобы разделить два этих понятия окончательно, предлагаем сформулировать основные принципы этичного хакинга:

· Соответствие законам и нормам

Существуют законы и нормы, регулирующие информационную безопасность и компьютерные системы, обеспечивающие безопасность людей и компаний. В этичном процессе законы соблюдаются на 100%.

· Цели и методы

Несмотря на схожие процессы, методы работы этичных хакеров нацелены на повышение безопасности системы, а не на кражу данных или шантаж. Поиск уязвимостей и потенциальных угроз в процессе этичного хакинга завершается устранением, а не эксплуатацией.

· Разрешение на деятельность

Для этичных хакеров создаются контракты, выдаются явные разрешения от владельцев систем или объявляются публичные награды за деятельность, направленную на улучшение безопасности.

Таким образом, хакеры действительно могут использовать свои навыки и умения для взлома технических средств, но делать это могут не только чтобы выкрасть или уничтожить данные, но и для повышения уровня безопасности. Сломать можно что угодно, но базовые приёмы по защите себя и своих данных – отлично работают и против хакеров-злоумышленников.