Как се става "хакер с бяла шапка" - с талант, много работа и сертификати
Доста смешки и интернет трафик провокира наскоро изразът " бял хакер " на правосъдния министър, другояче прочут със противоречивите си качества за този пост. Фразата се появи още веднъж около приключването на величествен масив данни от сървърите на Национална агенция за приходите. От компанията TAD Groiup също използваха този термин по адрес на Кристиян Бойков, упрекнат за " хакерската офанзива ".
В реалност Бойков работи като " специалист киберсигурност " и да, има подобен всеобщо изпозван в тези среди израз, единствено се той е " хакер с бяла шапка " (white hat hacker). Това е обвързвано с американската поп просвета и уестърните, в които в епохата на черно-бялото кино положителният каубой бил с бяла шапка, а неприятният - с черна, с цел да ги разпознават феновете по-лесно. (с навлизането на цветните филми правилото е нарушено и Клинт Ийстууд в " Добрият, неприятният злият " и Юл Бринър във " Великолепната седморка " са емблематични образци за това).
В цифровата ера хакерът с бяла шапка, прочут още като " етичен " или " честен хакер " е този, който от името на лицензирана частна или държавна организация легално пробва да пробие отбраните на осведомителни системи с положителни планове - с цел да ги тества за слаби места и да се оценят и понижат рисковете. На другия полюс е хакерът с черна шапка - той работи нелегално и с незаконни планове - с цел да открадне информация, пари, персонални данни и да ги продаде на незаконен пазар, или с цел да извърши бойкот или терористичен акт. Има и хакери със сиви шапки - тези по средата - които работят нерегламентирано и по ръба или оттатък ръба на закона, само че с положителни планове, с цел да предупредят, че нещо не е добре предпазено и би трябвало да се поправи.
Обикновено и трите категории идват от едни и същи среди, образоват се при едни и същи или познаващ и се експерти и се случва да преминат от единия лагер в другия. Частни или държавни институции интензивно търсят такива хора и ги притеглят на работа, а по света всяка година се провеждат конференции за хакери (някои вземат участие под псевдонимите си дистанционно) и HR екипите на компании и министерства постоянно са там.
Има и голям брой нюанси - някои имат изключителни умения, само че действително не имат откраднати данни. Едни са направили толкоз закононарушения, че няма по какъв начин да ги наемат в " светлия " бизнес. Други, въпреки да са лежали в пандиза, не са чак толкоз " черни ", колкото е славата им. Четвърти гледат на активността си като на " разширение на човешкото знание ", а не като нещо, чиято последна цел са материални облаги. Джонатан Джеймс (а.к.а. c0mrade), да вземем за пример, едвам на 15 години пробива компютърната система на NASA и открадва програмен продукт, с цел да разбере по какъв начин действа Международната галактическа станция.
© Associated Press
Обвиненият за офанзивата против база данни на Национална агенция за приходите Кристиян Бойков приказва за себе си като за pen tester (известен още като " етичен хакер " и Assurance Validator), т.е. чиновник, нает да ревизира допустимо ли е да се проникне (penetration) през отбраните на една система, да се оцени интернет уебсайт или мобилно приложение. Пред Би Ти Ви той бе разпитван тази заран от водещия в детайли за историята от предишното му, когато е съумял да влезе в осведомителната система на Министерството на образованието. Но съвсем не стана дума за това каква подготовка има, с цел да бъде позволен на 20 години до тестване на системи на администрацията и обучаване чиновници за битка с проведената престъпност.
Тестването за навлизане в никакъв случай не е непринудено скимване, споделя изданието " Бизнес нюз дейли ". То изисква много обмисляне, приемане на категорично позволение от управлението на обекта за инспекция и провеждането ѝ по допустимо най-безопасен метод. Често се ползват техники и подходи, употребявани в действителна обстановка от хакери.
Затова от компаниите, наемащи " хакери с бели шапки ", се допуска да поддържат избран набор от критерии за чиновниците си. Те освен би трябвало да са надарени в разбирането и изпълняването на поставената задача, само че също по този начин и да могат да обяснят какъв е казусът и по какъв начин да бъде решен. Нужни са положителни информационни умения, баланс сред просветеност и рационална оценка на обстановката, мощни механически и организационни умения, дарба да запазваш самообладание под напън и да правиш вярна преценка, когато би трябвало да се отсъди кое е вярно и кое - не.
В същото време служителят би трябвало да умее да мисли като " хакер с черна шапка " - с всичките злонамерени хрумвания, шантави хрумвания, " ненормални " качества и " откачено " държание. Затова и някои от най-хубавите от " бялата " страна са били на " черната " страна, само че са били хванати и заради разнообразни аргументи са приели да загърбят незаконната активност, с цел да работят законно за възстановяване на системите.
Това е по едно и също време вълнуващо и скучно занятие, защото би трябвало да се демонстрира досетливост, само че и да се извършват плануван набор от дейности, които да се документират и съпровождат с пояснения на употребяваните способи и открития резултат. И всичко това се случва в избран строго стеснен интервал от време, като постоянно - нагледно казано - е задоволително просто да се намерят кодовете за избран " сейф ", да се " снима " отворената му врата, само че да не се " рови " в наличието му.
© Associated Press
Отвъд формалните планове за навлизане в приложения, мрежи и системи, следват неща като:
- оценка на физическата сигурност на сървъри, системи и мрежови устройства
- планиране, разработване и инспекция на принадлежности за навлизане
- детайлно разказване на методите, които би могло да се приложат при офанзива към слаби места и разумни дефекти в системите
- разкриване на обществено избрани места за пробив (например слаба политика за предпазване и възобновяване на пароли или допускането чиновниците да си поставят лесни за разтрошаване пароли)
- бизнес умения за оценка на вреди от прекъсване на активност, разноски за възобновяване и и така нататък при изработването на тактика за кибер сигурност
- разискване на откритото с ИТ екипите на компанията или администрацията
- проверка дали вярно са изпълнени отправените рекомендации.
Има стратегии и в елитни софтуерен институти по кибер (хардуеър и софтуер) сигурност и криптографиране, само че не съществува някакъв учебен аршин за това да станеш " хакер с бяла шапка ". Всяка организация може да сложи лични условия за такава позиция, само че несъмнено бакалавърска или магистърска степен по осведомителна сигурност дават преимущество. Владеенето на компютърни науки и математика построява солидна основа.
Винаги е добре пристигнал опит като админ по сигурността, мрежови или систематичен админ и мрежови инженер. Защото кариерата води до позиции като старши пен тестер, съветник по сигурността и проектант на сигурността. Според компанията, за която се работи, това значи и заплата от 100 000 и повече $ годишно
За тези, които не идват от колежи и университети, за плюс се счита, в случай че са работили в армията и разузнаването, тъй като се допуска, че там някой към този момент е направил първичното изследване за достъп до избрани равнища на дискретност и секретност.
Следващото равнище е да се получи документ от вида на CEH, OSCP или CISSP, за което се изисква подготовка в курс и явяване на изпит, споделя още изданието, посочващо най-вече американските стандарти в бранша.
Най-голямата в света сертифицираща организация е International Council of E-Commerce Consultants (EC-Council). Неин е CEH (Certified Ethical Hacker), само че въпреки хора с подобен документ да се търсят интензивно (те може да взимат за съответен контракт хонорар в границите на 15-40 000 долара), това е единствено началната точка. Таксата за изпита е 100 $, минава се през 5-дневен курс (но може и дистанционно) и не е наложително да си работил като тестер, с цел да се явиш. Но няма по какъв начин да се избегне условието за най-малко двугодишен опит в областта на осведомителната сигурност.
Отново на EC-Council е документът Licensed Penetration Tester (LPT), който към този момент приказва за експертно равнище. Тук не се изисква доказване на прелиминарен опит, само че документът се възобновява на всеки 3 години.
Друга организация е Information Assurance Certification Review Board (IACRB), която след 2 часа изпит за уменията в 9 области издава Certified Penetration Tester (CPT), годен за 4 години. За много по-различни умения от IACRB издават Certified Expert Penetration Tester (CЕPT) за напреднали, способни с изключение на друго и да симулират офанзива от злоумишлен консуматор за оценка на компютърна система или мрежа.
Има още много документи и степени, от които си коства да се означи един от свидетелстващите за висока степен на майсторство - OSCP (Offensive Security Certified Professional). След завършването на курса има изпит, в който единствено за 24 часа би трябвало във виртуална мрежа с разнообразни цели, работещи под разнообразни операционни системи и конфигурации да се изследва мрежата, да се открият слабите ѝ места, да се извършат офанзиви и да се показа отчет за това по какъв начин е станало проникването.
Другият, заслужаващ внимание, е преходът към следствията - Computer Hacking Forensic Investigator (CHFI), изискващ умения да се съберат уличаващи причинителите компютърни данни, възобновяване на изтри файлове, разтрошаване на пароли, следствие на интернет трафика и други
© Associated Press
И това не е всичко. Сертифицираният " хакер с бяла шапка " би трябвало се знае и съблюдава етичния кодекс на EC-Council, постоянно да се стои от законната страна на барикадата, да се пази интелектуалната благосъстоятелност на другите, в никакъв случай да не се свръзват с " черни " или " сиви " хакери и да не вземат участие в зловредни действия.
Има и аспекти отвън цифровата действителност, тъй като от експерта по тестване на сигурността може да се изисква персонално да проникне в постройка или пространства, където има значима техника. Става дума за от време на време обикновени трикове от вида на " задръжте вратата, че картата ми за достъп отново е някъде из джобовете " и други " номера " са доближаване със чиновници с значим достъп. И за това също си има документ - Physical Security Professional (PSP).
Смисълът от всичко изброено дотук е не да отблъсква гении, а да ги намира и слага в законова и етична среда, в която с течение на времето да натрупат знания и да развиват кариера в посоката, която желаят.-
Всичко, което би трябвало да знаете за: Изтичането на персонални данни от Национална агенция за приходите (56)
В реалност Бойков работи като " специалист киберсигурност " и да, има подобен всеобщо изпозван в тези среди израз, единствено се той е " хакер с бяла шапка " (white hat hacker). Това е обвързвано с американската поп просвета и уестърните, в които в епохата на черно-бялото кино положителният каубой бил с бяла шапка, а неприятният - с черна, с цел да ги разпознават феновете по-лесно. (с навлизането на цветните филми правилото е нарушено и Клинт Ийстууд в " Добрият, неприятният злият " и Юл Бринър във " Великолепната седморка " са емблематични образци за това).
В цифровата ера хакерът с бяла шапка, прочут още като " етичен " или " честен хакер " е този, който от името на лицензирана частна или държавна организация легално пробва да пробие отбраните на осведомителни системи с положителни планове - с цел да ги тества за слаби места и да се оценят и понижат рисковете. На другия полюс е хакерът с черна шапка - той работи нелегално и с незаконни планове - с цел да открадне информация, пари, персонални данни и да ги продаде на незаконен пазар, или с цел да извърши бойкот или терористичен акт. Има и хакери със сиви шапки - тези по средата - които работят нерегламентирано и по ръба или оттатък ръба на закона, само че с положителни планове, с цел да предупредят, че нещо не е добре предпазено и би трябвало да се поправи.
Обикновено и трите категории идват от едни и същи среди, образоват се при едни и същи или познаващ и се експерти и се случва да преминат от единия лагер в другия. Частни или държавни институции интензивно търсят такива хора и ги притеглят на работа, а по света всяка година се провеждат конференции за хакери (някои вземат участие под псевдонимите си дистанционно) и HR екипите на компании и министерства постоянно са там.
Има и голям брой нюанси - някои имат изключителни умения, само че действително не имат откраднати данни. Едни са направили толкоз закононарушения, че няма по какъв начин да ги наемат в " светлия " бизнес. Други, въпреки да са лежали в пандиза, не са чак толкоз " черни ", колкото е славата им. Четвърти гледат на активността си като на " разширение на човешкото знание ", а не като нещо, чиято последна цел са материални облаги. Джонатан Джеймс (а.к.а. c0mrade), да вземем за пример, едвам на 15 години пробива компютърната система на NASA и открадва програмен продукт, с цел да разбере по какъв начин действа Международната галактическа станция.
© Associated Press
Обвиненият за офанзивата против база данни на Национална агенция за приходите Кристиян Бойков приказва за себе си като за pen tester (известен още като " етичен хакер " и Assurance Validator), т.е. чиновник, нает да ревизира допустимо ли е да се проникне (penetration) през отбраните на една система, да се оцени интернет уебсайт или мобилно приложение. Пред Би Ти Ви той бе разпитван тази заран от водещия в детайли за историята от предишното му, когато е съумял да влезе в осведомителната система на Министерството на образованието. Но съвсем не стана дума за това каква подготовка има, с цел да бъде позволен на 20 години до тестване на системи на администрацията и обучаване чиновници за битка с проведената престъпност.
Тестването за навлизане в никакъв случай не е непринудено скимване, споделя изданието " Бизнес нюз дейли ". То изисква много обмисляне, приемане на категорично позволение от управлението на обекта за инспекция и провеждането ѝ по допустимо най-безопасен метод. Често се ползват техники и подходи, употребявани в действителна обстановка от хакери.
Затова от компаниите, наемащи " хакери с бели шапки ", се допуска да поддържат избран набор от критерии за чиновниците си. Те освен би трябвало да са надарени в разбирането и изпълняването на поставената задача, само че също по този начин и да могат да обяснят какъв е казусът и по какъв начин да бъде решен. Нужни са положителни информационни умения, баланс сред просветеност и рационална оценка на обстановката, мощни механически и организационни умения, дарба да запазваш самообладание под напън и да правиш вярна преценка, когато би трябвало да се отсъди кое е вярно и кое - не.
В същото време служителят би трябвало да умее да мисли като " хакер с черна шапка " - с всичките злонамерени хрумвания, шантави хрумвания, " ненормални " качества и " откачено " държание. Затова и някои от най-хубавите от " бялата " страна са били на " черната " страна, само че са били хванати и заради разнообразни аргументи са приели да загърбят незаконната активност, с цел да работят законно за възстановяване на системите.
Това е по едно и също време вълнуващо и скучно занятие, защото би трябвало да се демонстрира досетливост, само че и да се извършват плануван набор от дейности, които да се документират и съпровождат с пояснения на употребяваните способи и открития резултат. И всичко това се случва в избран строго стеснен интервал от време, като постоянно - нагледно казано - е задоволително просто да се намерят кодовете за избран " сейф ", да се " снима " отворената му врата, само че да не се " рови " в наличието му.
© Associated Press
Отвъд формалните планове за навлизане в приложения, мрежи и системи, следват неща като:
- оценка на физическата сигурност на сървъри, системи и мрежови устройства
- планиране, разработване и инспекция на принадлежности за навлизане
- детайлно разказване на методите, които би могло да се приложат при офанзива към слаби места и разумни дефекти в системите
- разкриване на обществено избрани места за пробив (например слаба политика за предпазване и възобновяване на пароли или допускането чиновниците да си поставят лесни за разтрошаване пароли)
- бизнес умения за оценка на вреди от прекъсване на активност, разноски за възобновяване и и така нататък при изработването на тактика за кибер сигурност
- разискване на откритото с ИТ екипите на компанията или администрацията
- проверка дали вярно са изпълнени отправените рекомендации.
Има стратегии и в елитни софтуерен институти по кибер (хардуеър и софтуер) сигурност и криптографиране, само че не съществува някакъв учебен аршин за това да станеш " хакер с бяла шапка ". Всяка организация може да сложи лични условия за такава позиция, само че несъмнено бакалавърска или магистърска степен по осведомителна сигурност дават преимущество. Владеенето на компютърни науки и математика построява солидна основа.
Винаги е добре пристигнал опит като админ по сигурността, мрежови или систематичен админ и мрежови инженер. Защото кариерата води до позиции като старши пен тестер, съветник по сигурността и проектант на сигурността. Според компанията, за която се работи, това значи и заплата от 100 000 и повече $ годишно
За тези, които не идват от колежи и университети, за плюс се счита, в случай че са работили в армията и разузнаването, тъй като се допуска, че там някой към този момент е направил първичното изследване за достъп до избрани равнища на дискретност и секретност.
Следващото равнище е да се получи документ от вида на CEH, OSCP или CISSP, за което се изисква подготовка в курс и явяване на изпит, споделя още изданието, посочващо най-вече американските стандарти в бранша.
Най-голямата в света сертифицираща организация е International Council of E-Commerce Consultants (EC-Council). Неин е CEH (Certified Ethical Hacker), само че въпреки хора с подобен документ да се търсят интензивно (те може да взимат за съответен контракт хонорар в границите на 15-40 000 долара), това е единствено началната точка. Таксата за изпита е 100 $, минава се през 5-дневен курс (но може и дистанционно) и не е наложително да си работил като тестер, с цел да се явиш. Но няма по какъв начин да се избегне условието за най-малко двугодишен опит в областта на осведомителната сигурност.
Отново на EC-Council е документът Licensed Penetration Tester (LPT), който към този момент приказва за експертно равнище. Тук не се изисква доказване на прелиминарен опит, само че документът се възобновява на всеки 3 години.
Друга организация е Information Assurance Certification Review Board (IACRB), която след 2 часа изпит за уменията в 9 области издава Certified Penetration Tester (CPT), годен за 4 години. За много по-различни умения от IACRB издават Certified Expert Penetration Tester (CЕPT) за напреднали, способни с изключение на друго и да симулират офанзива от злоумишлен консуматор за оценка на компютърна система или мрежа.
Има още много документи и степени, от които си коства да се означи един от свидетелстващите за висока степен на майсторство - OSCP (Offensive Security Certified Professional). След завършването на курса има изпит, в който единствено за 24 часа би трябвало във виртуална мрежа с разнообразни цели, работещи под разнообразни операционни системи и конфигурации да се изследва мрежата, да се открият слабите ѝ места, да се извършат офанзиви и да се показа отчет за това по какъв начин е станало проникването.
Другият, заслужаващ внимание, е преходът към следствията - Computer Hacking Forensic Investigator (CHFI), изискващ умения да се съберат уличаващи причинителите компютърни данни, възобновяване на изтри файлове, разтрошаване на пароли, следствие на интернет трафика и други
© Associated Press
И това не е всичко. Сертифицираният " хакер с бяла шапка " би трябвало се знае и съблюдава етичния кодекс на EC-Council, постоянно да се стои от законната страна на барикадата, да се пази интелектуалната благосъстоятелност на другите, в никакъв случай да не се свръзват с " черни " или " сиви " хакери и да не вземат участие в зловредни действия.
Има и аспекти отвън цифровата действителност, тъй като от експерта по тестване на сигурността може да се изисква персонално да проникне в постройка или пространства, където има значима техника. Става дума за от време на време обикновени трикове от вида на " задръжте вратата, че картата ми за достъп отново е някъде из джобовете " и други " номера " са доближаване със чиновници с значим достъп. И за това също си има документ - Physical Security Professional (PSP).
Смисълът от всичко изброено дотук е не да отблъсква гении, а да ги намира и слага в законова и етична среда, в която с течение на времето да натрупат знания и да развиват кариера в посоката, която желаят.-
Всичко, което би трябвало да знаете за: Изтичането на персонални данни от Национална агенция за приходите (56)
Източник: dnevnik.bg
КОМЕНТАРИ