Kriminalac, virusi, krađa ili brisanje podataka, neke su od prvih asocijacija na riječ "haker". Takve pretpostavke većinom su opravdane jer skupine hakera koje se bave upravo takvim kriminalnim radnjama nisu rijetkost. U tome je slučaju riječ o "crnim hakerima" ili "crnim šeširima". No ipak nije sve tako crno i nisu svi hakeri nužno negativci.
Da ne bi došlo do napada i neželjenih događaja, svoj posao moraju dobro obaviti "bijeli hakeri" ili "bijeli šeširi". Iako su javnosti manje poznati, oni ne ugrožavaju, nego štite računalnu sigurnost. Za bijele hakere najčešće se koristi izraz "etički haker", a oni su osobe koje se bave "testiranjem proboja u sustave i iskorištavanja njihovih ranjivosti na etičan način, a sve da bi oni koji su ih angažirali mogli preventivno popraviti sustave kojima upravljaju", tumači stručnjak za informacijsku sigurnost Alen Delić.
Kao pravi napadači
Najjednostavnije rečeno, etički hakeri provjeravaju sigurnost nekog sustava. Navedena provjera može biti black box i white box. Kada je riječ o provjeri black box, uprava određene tvrtke angažira hakera da provjeri sigurnost sustava bez znanja IT odjela i bez dodatnih informacija o sustavu. S druge strane, ako se hakeru da kompletna dokumentacija i programski kod sustava, riječ je o provjeri white box, objašnjava Zlatan Morić, voditelj katedre za kibernetičku sigurnost Visokog učilišta Algebra.
Osnovna zamisao jest da etički haker pokuša iskoristiti sve tehnike, taktike i procedure koje bi napravio i napadač, a Morić napominje da se sam taj proces generalno dijeli na nekoliko faza. Proces započinje s takozvanim izviđanjem kojim se nastoje otkriti informacije o "žrtvi", a nakon čega slijedi skeniranje, odnosno proširivanje informacija komunikacijom sa samom žrtvom.
Foto: Zlatan Morić/Privatna arhiva
Zatim se obavlja inicijalni upad u sustav žrtve, takozvana eskalacija prava te instalacija pomoćnih programa koji će, na primjer, omogućiti naknadna spajanja na sustav. Nakon što etički haker uspješno prođe prethodne faze, pokušava ukloniti tragove svoje aktivnosti te završava istraživanjem, odnosno eksploracijom sustava žrtve.
Glavna razlika između bijelih i crnih hakera jest što bijeli hakeri nikad ne rade ništa što je protuzakonito, oni za proboj u sustav moraju imati odobrenje vlasnika, navodi Zlatan Morić iz Algebre
Da bi etički hakeri prionuli poslu, nužno je da ih angažiraju tvrtke koje se time bave. Morić ističe da je upravo to glavna razlika između etičkih, odnosno bijelih i crnih hakera.
"Etički hakeri nikad ne bi trebali raditi ništa što je protuzakonito bez obzira na namjere. Prije bilo kojeg svojeg postupka moraju dogovoriti i imati pismeno odobrenje vlasnika sustava da mogu provesti testiranje", dodaje.
Potražnja raste
Napretkom društva i tehnologije, uloga etičkih hakera postaje sve važnija. Jedan od najboljih primjera etičkog hakiranja dolazi iz Hrvatske, a riječ je o hakeru Leonu Juraniću koji je prije desetak godina uspio otkriti pojedine ranjivosti u računalnom sustavu američke svemirske agencije NASA. Njegove namjere bile su preispitati i unaprijediti sigurnost njihova sustava, u čemu je i bio uspješan.
No potrebno je spomenuti da Juranić pritom nije imao odobrenje vlasnika. Iako je NASA cijenila i nagradila Juranićevo otkriće, Morić upozorava da je "bilo kakav upad bez odobrenja vlasnika kazneno djelo" i da nema testiranja bez dozvole, što etičke hakere i odvaja od drugih.
Stručnjak Delić smatra da bi danas svaka ozbiljna organizacija trebala angažirati "treće strane" koje za njih mogu obavljati sigurnosne poslove jer njihovi rezultati za organizaciju mogu imati veliku vrijednost. Također, primjećuje da sve više organizacija razumije njihovu potrebu pa potražnja za etičkim hakerima raste.
Iako Hrvatska prati sigurnosne trendove, kao problemi se ističu nedostatak stručnjaka i manjak ulaganja
U Hrvatskoj je tako dobar primjer Hrvatska narodna banka koja je svim bankama propisala obvezu angažiranja hakera koji će provoditi testiranja sigurnosti njihovih sustava, navodi Morić.
Delić pak komentira da je pozitivno što su znanja stručnjaka, koji se bave takvim poslovima, u Hrvatskoj iznimno visoka i na razini europskih i svjetskih konkurenata, no negativno je to što ih nemamo dovoljno, a ne nastaju preko noći.
"Kvalitetan stručnjak na takvom području svoja znanja razvija godinama, kontinuirano i nikad s tim razvojem znanja zapravo ne prestaje", poručuje. Hrvatska sve više prati trendove u napadima i zaštiti sustava, ali problem nastaje kada je riječ o financijskom aspektu jer su prosječna ulaganja u sigurnost premala, upozorava Delić.
I svaki korisnik računala odgovoran je za svoju sigurnost
U Europskoj uniji cijeli listopad posvećen je podizanju svijesti o važnosti kibernetičke sigurnosti, u čemu sudjeluje i Hrvatska organizacijom Noći hakiranja, timskog natjecanja u etičkom hakiranju koje svake godine privlači i razvija nove generacije dobronamjernih hakera. Iako je apsolutna kibernetička sigurnost nemoguća, razvijanje svijesti i edukacija iznimno su važne.
"Najbolje se štite, kako organizacije, tako i pojedinci, oni koji problematici pristupaju sustavno, odnosno analiziraju što zapravo trebaju zaštititi i koliki su im rizici da im se nešto dogodi, te oni koji primijene dobre prakse i mjere koje će im pomoći da zaštite podatke, informacije ili sustave", napominje sigurnosni stručnjak Delić.
U suvremenim okolnostima gdje su hakerski napadi gotovo svakodnevica, nužna je edukacija cjelokupnog društva. Pojedinci bi, na primjer, trebali moći samostalno prepoznati opasne poruke ili brinuti se o održavanju vlastitih lozinki. Ipak, realnost pokazuje da su od velike važnosti i sami etički hakeri koji otkrivaju propuste i unapređuju sustave što pozitivno utječe na opću sigurnost.
