Etičko hakovanje

Etički hakeri (engl. ethical hacker) su eksperti u oblasti informacionih tehnologija, koji se bave ispitivanjem sigurnosti računarskih sistema. Termin “etički hakeri” opisuje hakere koji pokušavaju da oštete, izmene, prikriju, ili na drugi način učine neupotrebljivim računarski program, ne bi li pomogli vlasnicima programa da postanu svesni nezaštićenosti svojih podataka i sigurnosnih propusta.

U nastojanju da reše problem upadanja u sisteme, pravne ustanove su došle do zaključka da je najbolje prethodno proveriti opasnost da se tako nešto desi, tako što će angažovati eksperta iz oblasti računarstva koji će to da uradi za njih.

U toku provere sigurnosti računarskih sistema, etički hakeri koriste iste tehnike i metode kao i potencijalni napadači, ali za razliku od njih ne koriste podatke koje prilikom napada otkriju, već procenjuju sigurnost sistema i izveštavaju vlasnika o otkrivenim propustima. Etički hakeri zatim savetuju vlasnike šta treba da promene da bi sistem bio bezbedniji.

Termin koji se najčešće koristi da opiše etičkog hakera jeste “white hat hacker” ^[1]. Ovaj termin vodi poreklo iz vestern filmova gde “dobri momci” nose bele šešire, a “loši momci” crne. Još neki od naziva za etičke hakere su: “penetration tester”, “red teams” i “tiger teams”.^[2]

Istorija[uredi | uredi izvor]

Prvo delovanje etičkih hakera na ispitivanju sigurnosti kompjuterskih sistema, zabeleženo je 1970. godine. Vlada SAD uposlila je grupu kompjuterskih stručnjaka, tada nazvanu “crveni timovi”, za hakovanje sopstvenih kompjuterskih sistema.

Od tada pa do danas, etičko hakovanje postalo je integralni deo industrije informacionih tehnologija. Danas je uobičajena praksa mnogih kompanija, unajmljivanje ili formiranje timova etičkih hakera.

Karakteristike etičkih hakera[uredi | uredi izvor]

Etički hakeri pre svega treba da budu osobe od poverenja.

Iskustvo: važno je iskustvo hakera u radu sa računarima i računarskim mrežama, iskustvo u programiranju, kao i poznavanje rada na različitim operativnim sistemima.

Strpljivost: etički haker treba da se ponaša isto kao i zlonamerni haker. Dešava se da hakeri nekada danima, pa i mesecima nadgledaju sistem pre nego što se odluče da ga napadnu.

Nekada se verovalo da su najbolji etički hakeri osobe koje su nekada bile hakeri. Iako su neki stručnjaci iznosili agrumente da samo hakeri koji su se bavili tim poslom znaju kako da posao etičkog hakera uspešno obave, pravilo o apsolutnom poverenju eliminiše takve kandidate.
Najbolji kandidati za etičke hakere jesu osobe koje imaju uspešno objavljene naučne radove u pomenutim oblastima, koje dobro poznaju oblasti sigurnosti, ili osobe koje su programirale poznate sigurnosne pakete sa otvorenim kodom.

Uslovi[uredi | uredi izvor]

Kada klijent želi da zaštiti sistem, pre toga potrebno je odgovoriti na neka ključna pitanja koja su postavili Garfinkel i Spaford:

Šta pokušavate da zaštitite?
Od čega želite da se zaštitite?
Koliko ste vremena, truda i novca spremni da potrošite kako bi dobili odgovarajuću zaštitu?

Potrebno je sastaviti plan za identifikaciju sistema koji će biti ispitivan, način ispitivanja, i sva moguća ograničenja ispitivanja.

Takođe, potrebno je sastaviti ugovor između klijenta i etičkog hakera. Taj ugovor, poznat pod nazivom “karta za izlazak iz zatvora” (engl. Get out of jail free card) štiti etičke hakere od krivičnog gonjenja, pošto su aktivnosti koje oni objavljuju pri proceni sigurnosti, nelegalne u većini zemalja.

Ugovor treba da sadrži precizan opis ispitivanja, u obliku mrežnih adresa ili pristupnih brojeva modema sistema koje treba ispitivati.

Preciznost je u ovoj fazi izuzetno važna, pošto mala greška može da dovede do evaluacije pogrešnog klijentovog sistema, ili u najgorem slučaju evaluacije sistema neke druge firme.^[3]

Ispitivanje mogućnosti proboja[uredi | uredi izvor]

Faze od kojih je sačinjen uobičajeni hakerski napad na računarsku mrežu su:

Izviđanje
Popisivanje
Dobijanje pristupa
Proširivanje ovlašćenja
Potkradanje
Prikrivanje tragova
Pravljenje zadnjih vrata
Uskraćivanje usluga

Ispitivanje mogućnosti proboja (engl. penetration testing) – jeste metod ocenjivanja i provere sigurnosti računarskih mreža simulacijom napada koji bi obavio zlonamerni haker.^[4]^[5]

Obuhvata aktivnu analizu u pogledu slabosti, tehničkih nedostataka i ranjivosti sistema.

Analiza se izvodi iz pozicije potencijalnog napadača – osoba koja obavlja ispitivanje sebe smešta u poziciju napadača i pokušava da prodre u mrežu i na taj način otkrije ranjivost.

Sve što se otkrije tokom ove analize, izlaže se vlasnicima sistema i zajedno sa njima dolazi do zaključka koliku bi štetu donelo otkrivanje pronađenih informacija, i koje su najbolje mere zaštite koje treba preuzeti da se podaci sačuvaju.

Sertifikati[uredi | uredi izvor]

Etički hakeri mogu biti i sertifikovani, a profesionalna sertifikacija (C|EH) se može obaviti uz pomoć organizacije EC-Council. Sertifikat se dobija nakon uspešno položenog ispita koji organizuje EC-Council, a koji se polaže posle obuke u akreditovanom centru za obuku (ATC - Accredited Training Center). Ispit mogu polagati i oni koji su samouki. U oba slučaja potrebno je imati prethodno dvogodišnje iskustvo u oblasti kompjuterske bezbednosti.^[6]

Pravne i etičke (moralne) norme[uredi | uredi izvor]

Zakonska regulativa dosegla je najviši nivo u SAD: Ovo su samo neki od zakona koji regulišu rad etičkih hakera u Americi:

U.S. Code of Fair Information Practices (1973)
Computer Fraud and Abuse Act (CFAA, 1973)
Graham-Leach-Bliley Act (GLBA, 2000)
USA Patriot Act (2001)
Federal Information Security Management Act (FISMA, 2002)
Sarbanes-Oxley Act (SOX, 2003)

Poznati etički hakeri[uredi | uredi izvor]

Neki od najpoznatijih svetskih etičkih hakera su:

Stiv Voznijak (engl. Steve Wozniak) je američki računarski inženjer i saosnivač kompanije Epl zajedno sa Stivom Džobsom. Najpoznatiji je po dizajniranju i izradi prototipova računara, praktično bez ičije pomoći.
Tim Berners Li (engl. Tim Berners-Lee) je izumitelj World Wide Web-a i čelnik World Wide Web Consortium-a.
Linus Torvalds (engl. Linus Torvalds) je poznat po svojoj ulozi u razvoju Linuksa
Ričard Stolman (engl. Richard Stallman) je američki informatičar i politički aktivista, poznat kao osnivač pokreta za slobodni softver.

Filmovi[uredi | uredi izvor]

Neki od najpoznatijih filmova koji govore o hakerima i etičkim hakerima nalaze se na sledećoj listi:

Vidi još[uredi | uredi izvor]

Reference[uredi | uredi izvor]

^ (jezik: engleski)„White hat”. Pristupljeno 16. 5. 2013.
^ (jezik: engleski)Palmer, S. „Etički hakeri”. ISBN 978-989-615-004-4. Arhivirano iz originala 22. 2. 2017. g. Pristupljeno 16. 5. 2013.
^ (jezik: engleski)Fabia, Ankit. „Vodič do korporativne sigurnosti”. ISBN 978-989-615-004-4. Arhivirano iz originala 22. 2. 2017. g. Pristupljeno 16. 5. 2013.
^ (jezik: engleski)Engerbretson, Partik. „Osnove hakovanja, i penetracioni testovi”. Arhivirano iz originala 22. 2. 2017. g. Pristupljeno 16. 5. 2013.
^ (jezik: engleski)Hartlej, Brus. „Vrednosti kontrolisanja penetracionih testova”. ISBN 978-1-59749-655-1. Arhivirano iz originala 19. 5. 2013. g. Pristupljeno 16. 5. 2013.
^ (jezik: engleski)Graves, Kimberli. „Sersifikovani etički hakeri” (PDF). ISBN 978-0-470-52520-3. Arhivirano iz originala (PDF) 11. 5. 2013. g. Pristupljeno 16. 5. 2013.

Literatura[uredi | uredi izvor]

Patrick Engebretson: “The basics of hacking: Ethical Hacking and Penetration testing Made Easy“
Dr. Bruce V. Hartley, CISSP: „Ethical hacking, The Value of Controlled Penetration Tests“
C.C. Palmer: „Ethical hacking“
Ankit Fadia: „Corporate security“
Ethical Hacking Student Guide, Internet Security Systems, Inc.
Himanen P.: „Hakerska etika i duh informacijskog doba“
Panian Ž. “Bogatstvo interneta”

Spoljašnje veze[uredi | uredi izvor]

[1] (jezik: engleski)„White hat”. Pristupljeno 16. 5. 2013.

[2] (jezik: engleski)Palmer, S. „Etički hakeri”. ISBN 978-989-615-004-4. Arhivirano iz originala 22. 2. 2017. g. Pristupljeno 16. 5. 2013.

[3] (jezik: engleski)Fabia, Ankit. „Vodič do korporativne sigurnosti”. ISBN 978-989-615-004-4. Arhivirano iz originala 22. 2. 2017. g. Pristupljeno 16. 5. 2013.

[4] (jezik: engleski)Engerbretson, Partik. „Osnove hakovanja, i penetracioni testovi”. Arhivirano iz originala 22. 2. 2017. g. Pristupljeno 16. 5. 2013.

[5] (jezik: engleski)Hartlej, Brus. „Vrednosti kontrolisanja penetracionih testova”. ISBN 978-1-59749-655-1. Arhivirano iz originala 19. 5. 2013. g. Pristupljeno 16. 5. 2013.

[6] (jezik: engleski)Graves, Kimberli. „Sersifikovani etički hakeri” (PDF). ISBN 978-0-470-52520-3. Arhivirano iz originala (PDF) 11. 5. 2013. g. Pristupljeno 16. 5. 2013.

[1]

[2]

[3]

[4]

[5]

[6]