Етичко хаковање

Из Википедије, слободне енциклопедије

Етички хакери (енгл. Ethical hacker) су експерти у области информационих технологија, који се баве испитивањем сигурности рачунарских система. Термин “етички хакери” описује хакере који покушавају да оштете, измене, прикрију, или на други начин учине неупотребљивим рачунарски програм, не би ли помогли власницима програма да постану свесни незаштићености својих података и сигурносних пропуста.

У настојању да реше проблем упадања у системе, правне установе су дошле до закључка да је најбоље претходно проверити опасност да се тако нешто деси, тако што ће ангажовати експерта из области рачунарства који ће то да уради за њих.

У току провере сигурности рачунарских система, етички хакери користе исте технике и методе као и потенцијални нападачи, али за разлику од њих не користе податке које приликом напада открију, већ процењују сигурност система и извештавају власника о откривеним пропустима. Етички хакери затим саветују власнике шта треба да промене да би систем био безбеднији.

Термин који се најчешће користи да опише етичког хакера јесте “white hat hacker” [1]. Овај термин води порекло из вестерн филмова где “добри момци” носе беле шешире, а “лоши момци” црне. Још неки од назива за етичке хакере су: “penetration tester”, “red teams” и “tiger teams”. [2]

Историја[уреди]

Прво деловање етичких хакера на испитивању сигурности компјутерских система, забележено је 1970. године. Влада Сједињених Америчких Држава упослила је групу компјутерских стручњака, тада названу “црвени тимови”, за хаковање сопствених компјутерских система.

Од тада па до данас, етичко хаковање постало је интегрални део индустрије информационих технологија. Данас је уобичајена пракса многих компанија, унајмљивање или формирање тимова етичких хакера.

Карактеристике етичких хакера[уреди]

Етички хакери пре свега треба да буду особе од поверења.

Искуство: важно је искуство хакера у раду са рачунарима и рачунарским мрежама, искуство у програмирању, као и познавање рада на различитим оперативним системима.

Стрпљивост: етички хакер треба да се понаша исто као и злонамерни хакер. Дешава се да хакери некада данима, па и месецима надгледају систем пре него што се одлуче да га нападну.

  • Некада се веровало да су најбољи етички хакери особе које су некада биле хакери. Иако су неки стручњаци износили агрументе да само хакери који су се бавили тим послом знају како да посао етичког хакера успешно обаве, правило о апсолутном поверењу елиминише такве кандидате.
  • Најбољи кандидати за етичке хакере јесу особе које имају успешно објављене научне радове у поменутим областима, које добро познају области сигурности, или особе које су програмирале познате сигурносне пакете са отвореним кодом.

Услови[уреди]

Када клијент жели да заштити систем, пре тога потребно је одговорити на нека кључна питања која су поставили Гарфинкел и Спафорд:

  • Шта покушавате да заштитите?
  • Од чега желите да се заштитите?
  • Колико сте времена, труда и новца спремни да потрошите како би добили одговарајућу заштиту?

Потребно је саставити план за идентификацију система који ће бити испитиван, начин испитивања, и сва могућа ограничења испитивања.

Такође, потребно је саставити уговор између клијента и етичког хакера. Тај уговор, познат под називом “карта за излазак из затвора” (енгл. Get out of jail free card) штити етичке хакере од кривичног гоњења, пошто су активности које они објављују при процени сигурности, нелегалне у већини земаља.

Уговор треба да садржи прецизан опис испитивања, у облику мрежних адреса или приступних бројева модема система које треба испитивати.

Прецизност је у овој фази изузетно важна, пошто мала грешка може да доведе до евалуације погрешног клијентовог система, или у најгорем случају евалуације система неке друге фирме. [3]

Испитивање могућности пробоја[уреди]

Фазе од којих је сачињен уобичајени хакерски напад на рачунарску мрежу су:

  • Извиђање
  • Пописивање
  • Добијање приступа
  • Проширивање овлашћења
  • Поткрадање
  • Прикривање трагова
  • Прављење задњих врата
  • Ускраћивање услуга

Испитивање могућности пробоја (engl. penetration testing) – јесте метод оцењивања и провере сигурности рачунарских мрежа симулацијом напада који би обавио злонамерни хакер. [4][5]

Обухвата активну анализу у погледу слабости, техничких недостатака и рањивости система.

Анализа се изводи из позиције потенцијалног нападача – особа која обавља испитивање себе смешта у позицију нападача и покушава да продре у мрежу и на тај начин открије рањивост.

Све што се открије током ове анализе, излаже се власницима система и заједно са њима долази до закључка колику би штету донело откривање пронађених информација, и које су најбоље мере заштите које треба преузети да се подаци сачувају.

Сертификати[уреди]

Ceh-eccouncil-authorized Training Center.JPG

Етички хакери могу бити и сертификовани, а професионална сертификација (C|EH) се може обавити уз помоћ организације EC-Council. Сертификат се добија након успешно положеног испита који организује EC-Council, а који се полаже после обуке у акредитованом центру за обуку (ATC - Accredited Training Center). Испит могу полагати и они који су самоуки. У оба случаја потребно је имати претходно двогодишње искуство у области компјутерске безбедности. [6]

Правне и етичке (моралне) норме[уреди]

Законска регулатива досегла је највиши ниво у Сједињеним Америчким Државама: Ово су само неки од закона који регулишу рад етичких хакера у Америци:

  • U.S. Code of Fair Information Practices (1973)
  • Computer Fraud and Abuse Act (CFAA, 1973)
  • Graham-Leach-Bliley Act (GLBA, 2000)
  • USA Patriot Act (2001)
  • Federal Information Security Management Act (FISMA, 2002)
  • Sarbanes-Oxley Act (SOX, 2003)

Познати етички хакери[уреди]

Неки од најпознатијих светских етичких хакера су:

  1. Стив Вознијак (енгл. Steve Wozniak) је амерички рачунарски инжењер и саоснивач компаније Епл заједно са Стивом Џобсом. Најпознатији је по дизајнирању и изради прототипова рачунара, практично без ичије помоћи.
  2. Тим Бернерс Ли (енгл. Tim Berners-Lee) је изумитељ World Wide Web-a и челник World Wide Web Consortium-a.
  3. Линус Торвалдс (енгл. Linus Torvalds) је познат по својој улози у развоју Линукса
  4. Ричард Столман (енгл. Richard Stallman) је амерички информатичар и политички активиста, познат као оснивач покрета за слободни софтвер.

Филмови[уреди]

Неки од најпознатијих филмова који говоре о хакерима и етичким хакерима налазе се на следећој листи:

Види још[уреди]

Референце[уреди]

  1. ^ ((en))„White hat“ Приступљено 16. Maj 2013.. 
  2. ^ ((en))Палмер, С.. „Етички хакери“ Приступљено 16. Maj 2013., ISBN 989-615-004-4. 
  3. ^ ((en))Фабиа, Анкит. „Водич до корпоративне сигурности“ Приступљено 16. Maj 2013., ISBN 989-615-004-4. 
  4. ^ ((en))Енгербретсон, Партик. „Основе хаковања, и пенетрациони тестови“ Приступљено 16. Maj 2013.. 
  5. ^ ((en))Хартлеј, Брус. „Вредности контролисања пенетрационих тестова“ Приступљено 16. Maj 2013. ISBN 978-1-59749-655-1.. 
  6. ^ ((en))Гравес, Кимберли. „Серсификовани етички хакери“ Приступљено 16. Maj 2013. ISBN 978-0-470-52520-3.. 

Литература[уреди]

  • Patrick Engebretson: “The basics of hacking: Ethical Hacking and Penetration testing Made Easy“
  • Dr. Bruce V. Hartley, CISSP: „Ethical hacking, The Value of Controlled Penetration Tests“
  • C.C. Palmer: „Ethical hacking“
  • Ankit Fadia: „Corporate security“
  • Ethical Hacking Student Guide, Internet Security Systems, Inc.
  • Himanen P.: „Hakerska etika i duh informacijskog doba“
  • Panian Ž. “Bogatstvo interneta”

Спољашње везе[уреди]