Što je etičko hakiranje? Mnogi dolaze iz vojnih struktura i zarađuju milijune

Etički haker, poznat i kao „white hat“ (bijeli šešir) haker, stručnjak je za sigurnost koji, na zahtjev tvrtke, imitira taktike zlonamjernih hakera kako bi pokušao pronaći slabosti u obrambenim sustavima organizacije.

Kada se ti nedostaci otkriju, mogu se ukloniti prije nego što ih iskoriste kriminalci. Potražnja za etičkim hakerima sve više raste jer broj kibernetičkih napada rapidno raste. U nastavku donosimo neke od tehnika koje koriste etički hakeri i načine na koje one mogu koristiti organizacijama.

Što je etičko hakiranje?

Etičko hakiranje uobičajena je aktivnost u području kibernetičke sigurnosti u kojoj stručnjak pokušava provaliti u sigurnosne sustave organizacije kako bi stekao neovlašteni pristup i potencijalno „ukrao“ vrijedne podatke.

Etički haker koristi iste strategije i tehnike kao i zlonamjerni haker, ali umjesto da ranjivosti iskoristi u štetne svrhe, prijavljuje ih organizaciji kako bi se poduzele odgovarajuće sigurnosne mjere. S obzirom na globalni porast kibernetičkih i ransomware napada, sve više organizacija angažira etičke hakere.

Velike hardverske i softverske tvrtke također ih angažiraju kako bi otkrili moguće sigurnosne propuste u svojim proizvodima – primjerice, Googleov Red Team simulira napade, testira obranu proizvoda i razvija rješenja u skladu s time.

Hakiranje vs. etičko hakiranje

Zlonamjerno hakiranje je u porastu, a nedavno izvješće tvrtke Check Point Software pokazalo je da je broj kibernetičkih napada širom svijeta porastao za čak 44 % prošle godine.

Počinitelji mogu biti bilo tko – od ransomware bandi do neprijateljskih država. Mogu iskoristiti pristup za krađu podataka, rušenje sustava ili instalaciju zlonamjernog softvera. Posljedice mogu biti ogromne – kako financijski, tako i po reputaciju organizacije.

Međutim, hakiranje ne mora nužno biti nešto loše. Najbolji način da se suočimo s kibernetičkim prijetnjama jest prepoznati i otkloniti ranjive točke prije nego što ih iskoristi netko s lošim namjerama. Upravo to čine etički hakeri, koristeći iste metode kao i kriminalci – zbog čega uvijek moraju biti korak ispred i upoznati s najnovijim tehnikama, piše Forbes Srbija. 

Tko je etički haker?

Etički hakeri moraju imati sustavan način razmišljanja, a sam proces uključuje više faza. Prva faza je upoznavanje sa sustavima organizacije, prikupljanje javno dostupnih informacija i identifikacija domena, IP adresa i mrežne infrastrukture.

Zatim slijedi faza skeniranja, u kojoj etički haker koristi različite alate kako bi skenirao ciljani sustav u potrazi za ranjivostima. To uključuje identifikaciju različitih uređaja unutar mreže i načina na koji su povezani, provjeru otvorenih portova koji se mogu iskoristiti, kao i skeniranje poznatih ranjivosti u softveru i hardveru. Nakon toga se otkrivene ranjivosti testiraju koristeći iste tehnike koje bi koristio zlonamjerni haker.

Na kraju, etički haker izrađuje izvješće. Etičke hakere najčešće angažiraju same organizacije, ali neki rade kao slobodnjaci (freelanceri), pronalazeći i prijavljujući ranjivosti putem tzv. bug bounty programa koje organiziraju tvrtke.

Vrste etičkog hakiranja

Etičko hakiranje osobito je prisutno u industrijama koje rukuju velikim količinama osjetljivih podataka. Na primjer, financijski sektor raspolaže vrlo povjerljivim bankovnim informacijama, dok zdravstvene ustanove čuvaju osjetljive medicinske podatke pacijenata.

Tehnološka industrija također uvelike koristi etičko hakiranje kako bi osigurala maksimalnu sigurnost proizvoda.

Primjeri etičkog hakiranja:

• Penetracijsko testiranje: fokusira se na probijanje obrambenih sustava organizacije.


• Procjena sustava, aplikacija i mreža


• Testiranje ljudskog faktora i poslovnih procesa: provjera slabih lozinki, nepostojanja ažuriranja, slabog znanja zaposlenika o sigurnosti itd.

Etičko hakiranje više je puta spriječilo katastrofe – primjerice, 2019. godine tim iz tvrtke Positive Technologies otkrio je sigurnosnu ranjivost u Visa beskontaktnim karticama, koja je hakerima mogla omogućiti zaobilaženje limita plaćanja.

Podvrste etičkog hakiranja

• Penetracijsko testiranje: pokušaji ubacivanja zlonamjernog koda, DoS napadi, napadi čovjek-u-sredini (MITM).


• Hakiranje sustava: razbijanje lozinki, iskorištavanje ranjivosti, instalacija zlonamjernog softvera.


• Interno testiranje: otkrivanje slabosti unutar organizacije, najčešće zbog ljudske pogreške.


• Testiranje web aplikacija: otkrivanje problema poput SQL injekcija, XSS napada, loših sigurnosnih postavki.


• Hakiranje mreža: skeniranje portova, provjera bežičnih mreža, identifikacija slabih točaka u mrežnim protokolima.


• 
  
  [caption id="attachment_6020179" align="alignnone" width="1024"]

Prednosti etičkog hakiranja

Prednosti su jasne: omogućuje organizaciji da prepozna i ukloni svoje slabosti prije nego što ih netko zlonamjeran iskoristi. Može uštedjeti velike iznose novca i zaštititi reputaciju.

Etički hakeri mogu otkriti ranjivosti koje interni timovi za sigurnost možda ne vide. Oni mogu spriječiti curenje podataka, poboljšati sigurnosne mjere i pomoći u usklađivanju s regulativama koje zahtijevaju redovito testiranje sigurnosti – čime se značajno smanjuje rizik od visokih kazni.

Kako postati etički haker?

Svatko s potrebnim vještinama može postati etički haker i sudjelovati u bug bounty programima koje organiziraju velike tehnološke tvrtke. Oni koji otkriju ozbiljne propuste mogu zaraditi i milijune dolara.

Potrebne vještine uključuju poznavanje računalne sigurnosti, a za zapošljavanje u toj oblasti često se traže certifikati poput:

• Certified Ethical Hacker (CEH)


• Offensive Security Certified Professional (OSCP)


• CompTIA CySA+

Etički hakeri dolaze iz različitih sredina – neki su bivši zlonamjerni hakeri koji su „prešli na drugu stranu“, ali češće imaju diplomu iz računalnih znanosti i iskustvo u kibernetičkoj sigurnosti. Mnogi dolaze i iz vojnih struktura.

N1 pratite putem aplikacija za Android | iPhone/iPad i mreža Twitter | Facebook | Instagram | TikTok.