Этический хакинг — устранение нарушений безопасности и предотвращение киберпреступлений

В последние годы этический хакинг приобретает все большее значение в условиях стремительного роста числа случаев киберпреступлений. Все больше компаний, организаций и учреждений ищут квалифицированных экспертов по кибербезопасности, которые могут проверить на практике свою собственную концепцию безопасности, действуя как «настоящие» хакеры.

В этом определении этичного взлома мы объясняем, что отличает этот тип взлома и чем он отличается от нелегального взлома. Кроме того, в нашем обзоре рассматриваются области применения этичного хакинга и специальные квалификации, определяющие «хороших» хакеров.

Этичные хакеры — это специалисты по информационной безопасности, которые взламывают ИТ-системы по прямому заданию. Благодаря согласию «жертвы» этот вариант взлома считается этически оправданным. Целью этичного хакинга является обнаружение слабых мест в цифровых системах и инфраструктурах (например, ошибок в программном обеспечении), оценка рисков безопасности и конструктивное участие в исправлении обнаруженных недостатков безопасности. Стресс-тест на безопасность системы может проводиться в любое время (то есть даже после незаконного взлома). Однако в идеале этичные хакеры должны предвосхищать действия киберпреступников и тем самым предотвращать больший ущерб.

Этичный взлом, в отличие от «нормального» взлома с преступными мотивами, также известного как «взлом белой шляпы», фокусируется на слабых местах в программировании и концептуальном дизайне программного обеспечения (багах). При тестировании безопасности основное внимание уделяется, в частности, веб-приложениям и безопасности веб-сайтов. Помимо программного обеспечения, в процесс тестирования безопасности системы может быть включено любое используемое аппаратное обеспечение.

Для проверки безопасности «белые шляпы» частично используют свободно распространяемые инструменты из интернета (например, бесплатную версию Burp Suite), а частично — самописное программное обеспечение. Последнее гарантирует исключение брешей в безопасности и манипуляций с кодом используемых программ. В результате этического взлома часто получается конкретный вредоносный код (отдельные последовательности команд или программа меньшего размера), который называется эксплойтом. Специальный код использует ошибки или слабые места, обнаруженные в системе, и затем вызывает определенное поведение в программном обеспечении, аппаратуре или других электронных устройствах.

Для этичного взлома характерен особый подход: Со стороны исполнителя действует требование абсолютной прозрачности и честности, особенно когда с помощью этичного взлома необходимо защитить конфиденциальные области (корпоративные и коммерческие секреты, конфиденциальные данные клиентов). Вся соответствующая информация, полученная в результате взлома, должна быть доведена до сведения заказчика, злоупотребление или передача секретов компании не должны иметь места.

Прозрачность обычно включает в себя подробную и полную документацию, которая документирует точную процедуру, результаты и другую соответствующую информацию об этичном взломе. Подробные отчеты могут также содержать конкретные рекомендации по принятию мер, например, по удалению вредоносного ПО или созданию стратегии «медовой точки». Этичные хакеры также следят за тем, чтобы не оставить в системе слабых мест, которыми впоследствии могут воспользоваться киберпреступники.

В ситуации этичного взлома клиенты могут защитить себя юридически. Перед началом тестирования на проникновение компаниям следует заключить письменное соглашение, в котором подробно описывается сфера применения, юридические требования, ожидания и вовлеченные стороны. EC-Council, мировой лидер в области программ сертификации кибербезопасности для этичных хакеров, разработал для этой цели практический кодекс этичности Совета по этике.

При этичном хакерстве основными отличиями от традиционного («обычного») хакерства являются этическая основа и основные и общие условия взлома. Этически мотивированный хакерский взлом направлен на защиту цифровой инфраструктуры и конфиденциальных данных от внешних атак и вносит конструктивный вклад в повышение информационной безопасности.

В отличие от этого, «обычный» хакерский взлом направлен на деструктивные цели, то есть проникновение и, возможно, даже разрушение систем безопасности. В основе большинства хакерских атак лежат низменные мотивы, такие как личное обогащение или получение и шпионаж за конфиденциальными данными. Большинство хакерских атак сопровождается преступными действиями, такими как вымогательство, промышленный шпионаж или систематический паралич критически важной для системы инфраструктуры (даже в больших масштабах). В настоящее время «злые» хакерские атаки все чаще осуществляются глобально действующими преступными организациями, которые, например, используют глобальные сетевые ботнеты для DDoS-атак. Более того, основная задача многих «злых хаков» — остаться необнаруженными и скрытыми.

На первый взгляд, это различие кажется очевидным и избирательным. Однако при ближайшем рассмотрении можно обнаружить пограничные случаи. Например, политически мотивированные взломы могут преследовать этико-конструктивные, но также и деструктивные цели. В зависимости от интересов и личных или политических взглядов можно дать разную оценку и считать взлом «этичным» или «неэтичным». Например, тайное проникновение государственных следственных органов и секретных служб в компьютерные системы частных лиц, государственных органов или других государств критически обсуждается уже несколько лет.

Пересечение границ также является одной из форм этичного хакерства, которое ориентировано на общее благо и улучшение кибербезопасности, но в то же время происходит без спроса и без ведома «цели». Такой вид хакинга практикуют такие группы, как «Культ мертвой коровы» (cDc), которая является старейшей хакерской группой Америки. Деятельность этого объединения сосредоточена не столько на экономических аспектах, сколько на опасениях негативного влияния на общество и безопасность данных граждан.

Таким образом, cDc сыграла важную роль в продвижении интернет-безопасности на передний план и демократизации технологий. Они играют активную роль во многих центральных вопросах, выпуская код, давая показания Конгрессу и создавая компании, которые могут помочь обнаружить угрозы безопасности. Но даже если такие организации, как cDc, не хотят причинять вред своим «жертвам», раскрывают результаты взлома и явно ставят своей целью просвещение общественности, они остаются в юридической серой зоне.

Если рассматривать «нормальный» и этичный хакерство с чисто технической точки зрения, то провести различие между ними еще сложнее. С технической точки зрения, в «белом» хакинге используются те же ноу-хау, те же методы и инструменты, что и в «неэтичном» хакинге, для обнаружения слабых мест в аппаратном и программном обеспечении, максимально приближенном к реальному миру.

Таким образом, грань между «нормальным» и этичным хакингом довольно размыта, и, конечно, не случайно, что многие молодые ИТ-преступники в зрелом возрасте становятся уважаемыми консультантами по безопасности и идейными лидерами в отрасли. Есть также критики, которые принципиально отвергают этические мотивы в качестве критерия различия и считают, что хакерство как таковое должно быть осуждено. Следовательно, не существует оправданного различия между «хорошим» (= этичным) и «злым» (= неэтичным) хакером.

Однако такая позиция игнорирует положительные эффекты и зачастую полезную и необходимую практику этичного хакинга. Например, сообщество международно признанной платформы кибербезопасности HackerOne к маю 2018 года устранило более 72 000 уязвимостей безопасности в более чем 1000 компаний. Согласно отчету Hacker-Powered Security Report 2018, общее количество зарегистрированных критических уязвимостей безопасности в 2017 году увеличилось на 26 процентов. Эти цифры показывают, что хакерство белых шляп является важным и проверенным инструментом в современной борьбе с киберпреступностью.

Этичные хакеры обычно заказываются организациями, правительствами и компаниями (например, технологическими и промышленными компаниями, банками, страховыми компаниями) для поиска брешей в системе безопасности и ошибок программирования (багов). Они часто используют опыт белых шляп для так называемых тестов на проникновение.

В пентестах этичный хакер целенаправленно проникает в ИТ-систему и показывает возможные решения для улучшения безопасности ИТ. Часто проводят различие между тестами на проникновение в ИТ-инфраструктуру и веб-приложения. В первом случае проверяются и анализируются, например, серверные системы, сети Wi-Fi, VPN-доступ и брандмауэры. В области веб-приложений более тщательно проверяются сетевые сервисы, веб-сайты (например, веб-магазины), порталы администрирования клиентов или системы мониторинга серверов и сервисов. Тест на проникновение может относиться к сетевому уровню и уровню приложений. Read Dive составил список из 10 лучших компаний в США, которые предлагают тестирование на проникновение, имитируя атаку на вашу систему для определения любых уязвимостей.

Конкретные рутинные тесты этичных хакеров включают обнаружение открытых портов с помощью сканирования портов, проверку безопасности платежных данных (данных кредитных карт), логинов и паролей, а также имитацию хакерских атак через сеть. Поскольку для этой цели обычно используется протокол TCP/IP, его также называют тестированием на проникновение по IP. При тестировании на проникновение системы часто проверяют, могут ли проникшие вирусы или трояны захватить конфиденциальные данные компании (секреты компании, технические патенты и т.д.). Такие стратегии могут быть дополнены методами социальной инженерии, которые учитывают человеческий фактор риска и явно изучают поведение сотрудников в рамках концепции безопасности.

Для проведения таких тестов на проникновение были разработаны стандарты. На международном уровне Руководство по методологии тестирования безопасности с открытым исходным кодом (OSSTMM) является одним из самых авторитетных стандартов для тестирования безопасности. В США Национальный институт стандартов и технологий (NIST) — это еще одна сила, с которой необходимо считаться, способствующая инновациям в области безопасности американских организаций. Эта система гарантирует безопасность ИТ в различных отраслях — от банковского дела до энергетики.

Не существует признанного профессионального обучения, чтобы стать этичным хакером. Однако компания EC Council, которая специализируется на обучении в области безопасности и предоставлении услуг по кибербезопасности, разработала программу, позволяющую стать сертифицированным этичным хакером. Соответствующие учебные курсы по ИТ предлагаются по всему миру различными официальными партнерами и организациями, а за их проведение отвечают сертифицированные тренеры EC Council.

Национальная инициатива по карьере и изучению кибербезопасности также предлагает программу обучения для получения статуса сертифицированного этичного хакера (CEH). Прохождение курса «доказывает, что вы обладаете навыками, позволяющими помочь организации принять упреждающие меры против вредоносных атак, самостоятельно атакуя систему, оставаясь при этом в рамках закона». Другие признанные квалификации и сертификаты были разработаны компаниями Offensive Security (Offensive Security Certified Professional, OSCP) и SANS Institute (Global Information Assurance Certifications, GIAC).

Однако многие профессиональные хакеры отвергают сертификаты, основанные на обучении, и считают их не особенно практичными. Тем не менее, эти сертификаты являются важным ориентиром для предприятий, поскольку позволяют им лучше оценить серьезность намерений этичного хакера. Сертификаты также являются показателем растущего профессионализма в этой области. В условиях быстро растущего спроса этичные хакеры могут более эффективно продвигать себя на рынке благодаря сертификации, получать предложения о более прибыльной работе и позиционировать себя как серьезных поставщиков услуг, например, представляя свои навыки на собственных веб-сайтах.

Сертификаты могут быть полезны для этичных хакеров в процессе получения работы, но они не являются (пока) абсолютной необходимостью. В настоящее время «белые шляпы» хакеров — это в основном ИТ-специалисты, которые обычно обладают обширными знаниями в следующих областях:

• Компьютерная безопасность
• Сети
• Различные операционные системы
• Программирование и аппаратное обеспечение
• Основы компьютерных и цифровых технологий

В дополнение к этим квалификационным требованиям полезно иметь более обширные знания о хакерской среде, ее менталитете и действиях ее членов.

Конечно, многие, кто меняет профессию на хакерство, приобретают необходимые знания для этичного взлома путем самообучения (например, через онлайн-исследования). ИТ-специалисты, получившие базовые знания в ходе обучения на инженера-электроника ИТ-систем или получившие классическую степень в области компьютерных наук, особенно подходят для этой работы. В рамках отчета Hacker-Powered Security Report 2018 1 698 этичным хакерам был задан вопрос об их подготовке. На момент опроса почти 50 процентов из них работали полный рабочий день в сфере информационных технологий. Основное внимание уделялось аппаратному обеспечению и, в частности, разработке программного обеспечения. Более 40 процентов ИТ-специалистов специализировались на исследованиях в области безопасности. Значительная часть опрошенных (25 процентов) все еще учится. В 2019 году хакерство по-прежнему оставалось в основном побочным занятием. Согласно отчету «2020 Hacker Report» компании HackerOne, в том году только 18 процентов опрошенных занимались этическим хакингом полный рабочий день.

Этичные хакеры работают не только в качестве внешних ИТ-экспертов. Некоторые компании обучают постоянных ИТ-специалистов внутри компании, чтобы они стали хакерами в белой шляпе, и обеспечивают постоянное посещение их сотрудниками тренингов и образовательных курсов по (этичному) взлому и кибербезопасности.

Хакеры-«белые шляпы» могут найти работу по контракту через специальный тендерный процесс. Крупные компании, такие как Facebook, Google и Microsoft, используют программы «bug bounty», в которых они точно определяют условия и требования к кибератакам и поиску ошибок и иногда предлагают успешным хакерам значительное финансовое вознаграждение за обнаружение проблем безопасности. Программы «баг баунти» часто дополняют тестирование на проникновение.

Международно признанные посреднические платформы, такие как HackerOne, часто участвуют в заключении контрактов. В их https://www.hackerone.com/resources/reporting/the-2020-hacker-report — external-link-window «Results and download of the 2020 Hacker Report»>2020 Hacker Report говорится, что только в 2019 году хакеры заработали около 40 миллионов долларов. Это означает, что с момента создания платформы HackerOne было выплачено в общей сложности 82 миллиона долларов. Этичные хакеры также приобретают контракты по собственной инициативе, рекламируя свои услуги в Интернете.

Во времена роста киберпреступности этический хакинг является рекомендуемой бизнес-стратегией для предотвращения и защиты от таких кибератак. Целенаправленные тестовые атаки и практические тесты на проникновение могут наглядно оптимизировать безопасность ИТ-инфраструктуры и, таким образом, предотвратить незаконные взломы на ранней стадии. Клиенты, которые занимаются этическим хакерством, могут избежать опасности операционной слепоты, поскольку внешние эксперты подходят к взломам по-разному и могут иметь другой взгляд специалиста или другой набор предварительных знаний и понимания вопроса.

Малые и средние компании, в частности, могут получить доступ к технологическим ноу-хау в области безопасности, которые в противном случае могут быть им недоступны. Однако клиентам всегда следует помнить, что этический взлом сопряжен с риском. Даже если соблюдены все требования «чистого» взлома, негативные последствия не всегда можно исключить. Например, системы могут быть непреднамеренно затронуты или даже выйти из строя.

Хакеры-«белые шляпы» также могут получить доступ к конфиденциальным и частным данным третьих лиц. Риск возрастает, если не определены четкие базовые и общие условия, или взломы выполняются некомпетентно и неаккуратно. Перед выполнением задания этичные хакеры должны быть тщательно проверены и тщательно отобраны на основе подтвержденного опыта (например, сертификата).