© Associated Press
Доста шеги и интернет трафик предизвика неотдавна изразът "бял хакер" на правосъдния министър Данаил Кирилов, иначе известен със спорните си качества за този пост. Фразата се появи отново покрай изтичането на внушителен масив данни от сървърите на НАП. От фирмата TAD Group също употребиха този термин по адрес на Кристиян Бойков, обвинен за "хакерската атака".
В действителност Бойков работи като "експерт киберсигурност" и да, има такъв масово използван в тези среди израз, само се той е "хакер с бяла шапка" (white hat hacker). Това е свързано с американската поп култура и уестърните, в които в епохата на черно-бялото кино добрият каубой бил с бяла шапка, а лошият - с черна, за да ги разпознават зрителите по-лесно. (с навлизането на цветните филми правилото е нарушено и Клинт Ийстууд в "Добрият, лошият злият" и Юл Бринър във "Великолепната седморка" са емблематични примери за това).
В дигиталната епоха хакерът с бяла шапка, известен още като "етичен" или "морален хакер" е този, който от името на лицензирана частна или правителствена агенция легално опитва да пробие защитите на информационни системи с добри намерения - за да ги тества за слаби места и да се оценят и намалят рисковете. На другия полюс е хакерът с черна шапка - той действа незаконно и с престъпни намерения - за да открадне информация, пари, лични данни и да ги продаде на нелегален пазар, или за да извърши саботаж или терористичен акт. Има и хакери със сиви шапки - тези по средата - които действат нерегламентирано и по ръба или отвъд ръба на закона, но с добри намерения, за да предупредят, че нещо не е добре защитено и трябва да се поправи.
Обикновено и трите категории идват от едни и същи среди, обучават се при едни и същи или познаващи се специалисти и се случва да преминат от единия лагер в другия. Частни или държавни институции активно издирват такива хора и ги привличат на работа, а по света всяка година се организират конференции за хакери (някои участват под псевдонимите си дистанционно) и HR екипите на компании и министерства винаги са там.
Има и множество нюанси - някои имат изключителни умения, но реално не притежават откраднати данни. Едни са извършили толкова престъпления, че няма как да ги наемат в "светлия" бизнес. Други, макар да са лежали в затвора, не са чак толкова "черни", колкото е славата им. Четвърти гледат на дейността си като на "разширяване на човешкото познание", а не като нещо, чиято крайна цел са материални облаги. Джонатан Джеймс (а.к.а. c0mrade), например, едва на 15 години пробива компютърната система на NASA и открадва софтуер, за да разбере как функционира Международната космическа станция.
© Associated Press
Обвиненият за атаката срещу база данни на НАП Кристиян Бойков говори за себе си като за pen tester (известен още като "етичен хакер" и Assurance Validator), т.е. служител, нает да провери възможно ли е да се проникне (penetration) през защитите на една система, да се оцени интернет сайт или мобилно приложение. Пред Би Ти Ви той бе разпитван тази сутрин от водещия подробно за историята от миналото му, когато е успял да влезе в информационната система на Министерството на образованието. Но почти не стана дума за това каква квалификация има, за да бъде допуснат на 20 години до тестване на системи на администрацията и обучаване служители за борба с организираната престъпност.
Тестването за проникване никога не е спонтанно хрумване, разказва изданието "Бизнес нюз дейли". То изисква доста планиране, получаване на изрично разрешение от ръководството на обекта за проверка и провеждането ѝ по възможно най-безопасен начин. Често се прилагат техники и подходи, използвани в реална ситуация от хакери.
Затова от фирмите, наемащи "хакери с бели шапки", се предполага да поддържат определен набор от критерии за служителите си. Те не само трябва да са талантливи в разбирането и изпълняването на поставената задача, но също така и да могат да обяснят какъв е проблемът и как да бъде решен. Нужни са добри комуникационни умения, баланс между интелигентност и разумна оценка на ситуацията, силни технически и организационни умения, способност да запазваш хладнокръвие под натиск и да правиш правилна преценка, когато трябва да се отсъди кое е правилно и кое - не.
В същото време служителят трябва да умее да мисли като "хакер с черна шапка" - с всичките злонамерени хрумвания, шантави идеи, "ненормални" способности и "откачено" поведение. Затова и някои от най-добрите от "бялата" страна са били на "черната" страна, но са били хванати и поради различни причини са приели да загърбят престъпната дейност, за да работят законно за подобряване на системите.
Това е едновременно вълнуващо и скучно занимание, тъй като трябва да се проявява изобретателност, но и да се изпълняват планиран набор от действия, които да се документират и съпровождат с обяснения на използваните методи и установения резултат. И всичко това се случва в определен строго ограничен период от време, като често - образно казано - е достатъчно просто да се намерят кодовете за определен "сейф", да се "снима" отворената му врата, но да не се "рови" в съдържанието му.
© Associated Press
Отвъд формалните проекти за проникване в приложения, мрежи и системи, следват неща като:
- оценка на физическата сигурност на сървъри, системи и мрежови устройства
- проектиране, изработване и проверка на инструменти за проникване
- детайлно описване на методите, които би могло да се приложат при атака към слаби места и логични недостатъци в системите
- откриване на социално определени места за пробив (например слаба политика за съхранение и обновяване на пароли или допускането служителите да си слагат лесни за разбиване пароли)
- бизнес умения за оценка на щети от спиране на дейност, разходи за възстановяване и и т.н. при изработването на стратегия за кибер сигурност
- обсъждане на установеното с ИТ екипите на фирмата или администрацията
- ревизия дали правилно са изпълнени отправените препоръки.
Има програми и в елитни технологичен институти по кибер (хардуеър и софтуер) сигурност и криптографиране, но не съществува някакъв образователен критерий за това да станеш "хакер с бяла шапка". Всяка организация може да постави собствени изисквания за такава позиция, но определено бакалавърска или магистърска степен по информационна сигурност дават предимство. Владеенето на компютърни науки и математика изгражда солидна основа.
Винаги е добре дошъл опит като администратор по сигурността, мрежови или системен администратор и мрежови инженер. Защото кариерата води до позиции като старши пен тестер, консултант по сигурността и архитект на сигурността. Според компанията, за която се работи, това означава и заплата от 100 000 и повече долара годишно
За онези, които не идват от колежи и университети, за плюс се смята , ако са работили в армията и разузнаването, защото се предполага, че там някой вече е направил първоначалното проучване за достъп до определени нива на поверителност и секретност.
Следващото ниво е да се получи сертификат от типа на CEH, OSCP или CISSP, за което се изисква подготовка в курс и явяване на изпит, разказва още изданието, посочващо предимно американските стандарти в сектора.
Най-голямата в света сертифицираща организация е International Council of E-Commerce Consultants (EC-Council). Неин е CEH (Certified Ethical Hacker), но макар хора с такъв сертификат да се търсят усилено (те може да взимат за конкретен договор хонорар в рамките на 15-40 000 долара), това е само началната точка. Таксата за изпита е 100 долара, минава се през 5-дневен курс (но може и дистанционно) и не е задължително да си работил като тестер, за да се явиш. Но няма как да се избегне изискването за поне двугодишен опит в сферата на информационната сигурност.
Отново на EC-Council е сертификатът Licensed Penetration Tester (LPT), който вече говори за експертно ниво. Тук не се изисква доказване на предварителен опит, но сертификатът се подновява на всеки 3 години.
Друга организация е Information Assurance Certification Review Board (IACRB), която след 2 часа изпит за уменията в 9 области издава Certified Penetration Tester (CPT), валиден за 4 години. За доста по-различни умения от IACRB издават Certified Expert Penetration Tester (CЕPT) за напреднали, способни освен друго и да симулират атака от злонамерен потребител с цел оценка на компютърна система или мрежа.
Има още доста сертификати и степени, от които си струва да се отбележи един от свидетелстващите за висока степен на майсторство - OSCP (Offensive Security Certified Professional). След завършването на курса има изпит, в който само за 24 часа трябва във виртуална мрежа с различни мишени, работещи под различни операционни системи и конфигурации да се проучи мрежата, да се открият слабите ѝ места, да се извършат атаки и да се представи доклад за това как е станало проникването.
Другият, заслужаващ внимание, е преходът към разследванията - Computer Hacking Forensic Investigator (CHFI), изискващ умения да се съберат уличаващи извършителите компютърни данни, възстановяване на изтри файлове, разбиване на пароли, разследване на интернет трафика и др.
© Associated Press
И това не е всичко. Сертифицираният "хакер с бяла шапка" трябва се знае и спазва етичния кодекс на EC-Council, винаги да се стои от законната страна на барикадата, да се защитава интелектуалната собственост на другите, никога да не се свръзват с "черни" или "сиви" хакери и да не участват в зловредни дейности.
Има и аспекти извън дигиталната реалност, защото от специалиста по тестване на сигурността може да се изисква лично да проникне в сграда или помещения, където има важна техника. Става дума за понякога елементарни трикове от типа на "задръжте вратата, че картата ми за достъп пак е някъде из джобовете" и други "номера" са сближаване със служители с важен достъп. И за това също си има сертификат - Physical Security Professional (PSP).
Смисълът от всичко изброено дотук е не да отблъсква таланти, а да ги намира и поставя в законова и етична среда, в която с течение на времето да трупат познания и да развиват кариера в посоката, която желаят.-
