Dobri in slabi fantje
Informacijska varnost je velikansko področje. In vsak dan se, skladno s tehnološkim napredkom, še veča. V njej je aktivnih veliko ljudi, od sistemskih skrbnikov, varnostnih strokovnjakov in analitikov, programerjev, hekerjev, krekerjev, socialnih inženirjev, haktivistov, hekerjev, ki jih zaposlujejo obveščevalne agencije, informacijskih forenzikov itd. Da, med hekerji »profesionalci« so tako dobri kot slabi fantje.
Za začetek bi bilo dobro sploh opredeliti, kdo ali kaj je heker. Slovenska stran v spletni enciklopediji Wikipedia pojasnjuje, da izraz heker označuje več subkultur in skupnosti računalniških zanesenjakov. Danes se izraz heker največkrat uporablja v povezavi z ljudmi, ki se ukvarjajo z vdori oziroma nepooblaščenimi dostopi v računalniška omrežja in zaobhajanju varnostnih sistemov iz različnih vzrokov, kot so zaslužek, aktivizem, pridobivanje informacij, iskanje pomanjkljivosti v varnostnem sistemu. Lahko bi torej rekli, da je heker človek, ki se zelo dobro spozna na programiranje, omrežne tehnologije in številne druge računalniške funkcije. Nekateri ljudje to znanje radi delijo z drugimi in skupnostjo, spet drugi te spretnosti uporabijo za »vstop« v sisteme, korporacije, vlade in omrežja, kjer navadno povzročijo škodo ali pa probleme.
Izraz heker se največkrat uporablja v povezavi z ljudmi, ki se ukvarjajo z vdori oziroma nepooblaščenimi dostopi v računalniška omrežja.
Ko povprečen človek sliši izraz heker, ga ne obidejo lepe misli. Tudi po zaslugi tv serij in filmov se je v javnosti zakoreninila predstava, da je heker nekdo, ki namenoma »vlamlja« v sisteme ali omrežja in iz njih nelegalno pridobi informacije ali pa vnaša kaos oziroma prevzame nadzor. »Programiranje« javnosti je torej poskrbelo, da hekerjev ne povezuje z dobrimi deli, nasprotno, v njenih očeh je beseda heker praktično sopomenka za kriminalca. Stroka sicer pozna tri vrste hekerjev, ki jim je v pomoč pri ločevanju zelo prikladno nadela barvne klobuke. Tudi sama hekerska skupnost svoje »člane« nadalje ločuje in »predalčka«, na eni strani so tisti, ki iščejo razpoke z namenom zlorabe in okoriščanja, spet drugi v sisteme vdirajo zato, ker želijo (prave) odgovore in imajo ponavadi v mislih predvsem misijo, da ima javnost pravico izvedeti resnico.
Sloviti hekerji
Računalniška zgodovina je postregla z vrsto odličnih hekerjev – na obeh straneh. Po njihovih zgodbah so posnete filmske uspešnice … Naštevamo nekaj zgledov znanih in slavnih hekerjev.
Znani beli klobuki
Tim Berners-Lee, eden dveh očetov interneta, ki je izumil tehnologije in rešitve, kot so WWW, HTML in URL, je eden tistih, ki svoje podrobno poznavanje sistemov izkoriščajo v dobre namene.
Vinton Cerf je drugi oče interneta, saj je zelo veliko prispeval k internetu, kot ga poznamo in uporabljamo danes. Redno se bori proti ljudem, ki zlorabljajo »njegovo« stvaritev.
Dan Kaminsky je še eden od visoko cenjenih strokovnjakov za varnost. Med drugim je odkril škodljivo kodo v Sonyjevi zaščiti proti kopiranju.
Ken Thompson je eden od soustvarjalcev operacijskega sistema UNIX in programskega jezika C ter zagovornik teze, da mora programska oprema služiti v dobro sveta.
Donald Knuth je eden najvplivnejših ljudi s področja računalniškega programiranja, posebej teoretičnih računalniških znanj.
Larry Wall, avtor visokonivojskega programskega jezika PERL, v katerem je možno ustvariti zelo veliko rešitev, žal tudi škodljive programske kode, proti čemur se krčevito bori.
Znani črni klobuki
Dejan Ornig je bržkone najbolj znan slovenski heker. Je tudi nekdanji tajni sodelavec policije. Odkril je varnostne ranljivosti v komunikacijskem sistemu TETRA, ki jo uporabljajo slovenska policija in vojska, vladne službe, Sova in Dars. Pozneje je kot tajni policijski sodelavec vdiral v komunikacijsko zasebnost za policijo zanimivih posameznikov, dokler očitno ni postal »prenevaren«. Junija lani je bil obsojen na leto in tri mesece pogojne kazni.
Matjaž Škorjanc iz Maribora je bil zaradi priprave izjemno škodljive programske kode decembra 2013 obsojen na štiri leta in deset mesecev zapora. Izdelal in prodajal je namreč izsiljevalsko škodljivo kodo in pomagal zgraditi omrežje okuženih računalnikov Mariposa, s čimer je prišel na radar FBI in drugih organov pregona.
Kevin Mitnick je bržkone najbolj znan računalniški heker, danes varnostni svetovalec. S hekanjem je začel že pri 12. letih in pri 15. uspešno vdrl v avtobusni sistem v Los Angelesu. V srednji šoli je svoje sposobnosti vdiranja razširil na telefonske sisteme in kmalu zatem še omrežja ter vdrl v omrežja znanih podjetij (Nokia, Motorola, IBM, Siemens). Dlje časa je veljal za najbolj iskanega kiberkriminalca na svetu. Zaradi vdorov je bil zaprt kar dvakrat, danes pa vodi svoje podjetje, ki deluje na področju varnosti v internetu. Njegova življenjska zgodba je doživela tudi filmsko upodobitev v filmu Track Down.
Albert Gonzalez si je ustvaril ugled v hekerski skupnosti z vdorom v sistem ameriške vesoljske agencije NASA. Star je bil 14 let, ko so njegovo šolo obiskali agenti FBI. Ustanovil je spletno stran Shadowcrew.com, na kateri so lahko člani kupovali in preprodajali ukradene številke bančnih računov, kreditne kartice, lažne potne liste in druge ponarejene izkaznice. Aretiran je bil leta 2008, v zaporu pa bo ostal vsaj do leta 2025.
Jonathan James je bil povezan z Gonzalezom. Ameriški Obrambni agenciji za zmanjševanje varnostnih tveganj je odtujil programsko kodo. Vdrl je tudi v NASO in v nadaljevanju postal prvi obsojeni mladoletni heker. Oblasti so ga zmotno preiskovale zaradi Gonzalesove kraje kreditnih kartic, v strahu pred zaporom pa je leta 2008 storil samomor.
Gary McKinnon je škotski heker, ki je med letoma 2001 in 2002 vdrl v več kot sto računalnikov ameriške vojske in vesoljske agencije NASA. Izbrisal je veliko zaupnih podatkov, uničeval varnostne kopije datotek in se poigraval z občutljivo programsko opremo. Ameriško vlado je popravilo škode, ki jo je povzročil, stalo skoraj milijon dolarjev. McKinnon se svojega početja ni sramoval in ga ni poskušal skriti, temveč je ameriški vojski napovedal, da je ne bo pustil pri miru, dokler ga ne ujamejo.
Adrian Lamo ima zanimiv vzdevek – brezdomni heker (The homeless hacker). Tega si je na prelomu tisočletja ustvaril z vdiranjem v strežnike Microsofta, Googla, Yahooja in časopisa The New York Times. Vzdevek brezdomni je dobil zato, ker za svoje hekerske vdore nikoli ni uporabljal lastnega računalnika, temveč je v druge sisteme vdiral le z javnih mest. Uporabljal je računalnike v knjižnicah, internetnih kavarnah in na univerzah.
Anonymous je danes bržkone najbolj znana hekerska skupina, ki združuje hekerje z vsega sveta. Najbolj znana je po svojem spodbujanju državljanske nepokorščine in razobličenju najrazličnejših znanih spletnih strani, napadi DDOS in javnimi objavami zaupnih in osebnih podatkov.
Beli, črni in sivi klobuki
Hekerji kriminalci oziroma danes kar kiberkriminalci so pogosto označeni kot črni hekerji (angl. black hat hackers). Ti zlorabljajo informacijsko in internetno varnost, iščejo pomanjkljivosti in vdirajo v sisteme. Največkrat to počno zaradi osebne zabave, dosežkov, (političnega) sporočila ali zaslužka. Žal v 21. stoletju največkrat prevlada prav želja po okoriščanju. Črni hekerji so predstavniki stereotipnih in ilegalnih hekerjev, ki ne spoštujejo hekerske etike, pravil in zakonov. V omrežja vdirajo z namenom, da bi sistem uničili, onesposobili ali ukradli zaupne podatke in z njihovo prodajo ali zlorabo pridobili finančno korist.
Nasprotje črnih hekerjev so beli hekerji oziroma beli klobuki (angl. white hat hackers). V zadnjih letih se belih hekerjev prijema tudi oznaka etični hekerji. Najpogosteje so med njimi računalniški strokovnjaki, ki se ukvarjajo s preizkušanjem varnostnih rešitev in mehanizmov. V sisteme, omrežja ali aplikacije beli hekerji vdirajo z namenom, da preizkusijo in nadgradijo ter predvsem zagotovijo varnost informacijskih sistemov podjetij. Zanje torej veljajo »pravila«, spoštujejo hekersko etiko.
Sivi hekerji (angl. grey hat hackers) so očitno nekje vmes med belimi in črnimi klobuki. Čeprav siva barva pozna veliko odtenkov, stroka sive hekerje obravnava kot pretežno pozitivne. Pogosto gre za računalniške strokovnjake, ki zgolj občasno (a zavedno) prekršijo nekatera pravila in etiko, a v korist dobrega dela. Čeprav pravil in zakonov ne spoštujejo v celoti, v sisteme ne vdirajo zlonamerno. Vse pogosteje sivi hekerji postanejo beli hekerji, ki se »po naročilu« ukvarjajo s pomočjo podjetjem, a jim pot do pozitivnega cilja zastavljajo toga pravila in omejitve (ki jih nato zaobidejo).
Hekanje kot storitev
Etični hekerji so v zadnjih letih tudi našli način, kako s svojim delom (pošteno) zaslužiti. Svoje znanje in veščine hekanja prodajajo kot storitev. Podjetja, ki sumijo ali vedo, da so bila napadena in njihovi sistemi zlorabljeni, jih lahko najamejo. Beli hekerji tako z vedenjem in dovoljenjem podjetja delujejo znotraj njega in iščejo bodisi sledi za napadalci bodisi razpoke v varnostnih politikah, mehanizmih in rešitvah in jih oddelku IT pomagajo odpraviti in s tem dvigniti stopnjo varnosti stopničko ali več višje.
Tudi v Sloveniji imamo več podjetij, ki ponujajo t. i. storitve varnostnega pregleda, ki ga opravi posamezni etični heker ali pa ekipa varnostnih strokovnjakov. Njihove storitve pogosto obsegajo svetovanje na področju informacijske varnosti, pregled arhitekture in integracije rešitev v okolju IT, ocenjevanje varnostnih tveganj, pomoč pri vpeljavi varnostnih rešitev in izobraževanje zaposlenih.
Čeprav siva barva pozna veliko odtenkov, stroka sive hekerje obravnava kot pretežno pozitivne.
Da hekanje postaja industrija »na obeh straneh«, dokazujeta tudi želja in potreba belih hekerjev po certificiranju. »V praksi sicer samostojni etični heker ne stremi po certifikacijah, dokazuje se v živo s svojim delom. V mojem primeru pa certifikate potrebujem zato, da strankam dokažem svoje kompetence in znanje. Hiter razvoj tehnologije skrbi za to, da mora etični heker svoje znanje stalno nadgrajevati. A to je nekaj povsem naravnega, za hekerja je praktično vsako varnostno preverjanje tudi učenje ali pa vsaj ponavljanje osvojenega znanja,« pojasnjuje Matjaž Katarinčič, varnostni svetovalec v podjetju Smart Com in certificiran etični heker.
Podjetja se vse pogosteje obračajo po pomoč k belim hekerjem. Pa ne le zato, ker so vse pogosteje tarča napadalcev, temveč etičnega hekerja in/ali druge varnostne strokovnjake najamejo takrat, ko sama ne zmorejo ali znajo opraviti varnostnih pregledov. Pogosto se, denimo, želijo prepričati, da sta njihova nova spletna aplikacija ali storitev varni, saj bi morebiten vdor, kraja ali zloraba podatkov pomenili bridko poslovno usodo (in posledično tudi finančni zalogaj).
Cene storitev etičnih hekerjev precej variirajo, v praksi so sicer še najbolj odvisne od obsega pregleda ali pomoči in želja strank(e). Storitev varnostnega pregleda je praktično vedno opravljena »na ključ«.
Hekanje je lahko tudi služba
Računalniški programerji, sistemski in omrežni strokovnjaki se lahko z intenzivnim izobraževanjem preobrazijo v bele hekerje. Heker je namreč precej donosen poklic, prav tako na trgu velja, da je povpraševanje večje od ponudbe, saj tako varnostna podjetja, podjetja IT kot različni sistemski integratorji mrzlično iščejo napredne varnostne strokovnjake, pač tiste, ki znajo »nekaj več«. Podjetjem postaja kristalno jasno, da je v pospešeno digitalnem poslovnem svetu tudi dobra obramba, torej visoka informacijska varnost, lahko še kako velika konkurenčna prednost. Z zaposlovanjem hekerjev pa si na neki način tudi kupujejo prihodnost … če le beli hekerji pravočasno odkrijejo in preprečijo namero napadalcev in tako podjetju prihranijo kup denarja in ohranijo ugled.
Vseh varnostnih razpok morebiti ne bodo odkrili in podjetja bodo lahko še vedno doživela varnostne incidente. A tista, ki so nanje ustrezno pripravljena, jo bodo odnesla bistveno bolje – prav po zaslugi zaposlovanja hekerjev. Belim klobukom praktično nikoli ne bo zmanjkalo dela, saj so črni klobuki z veliko denarja ustvarili in zagnali orjaško kolesje, ki melje in melje ...