Slovné spojenie etický hacking sa na prvý pohľad môže javiť ako oxymoron. V tomto blogu ti však vysvetlíme, čo je to etický hacking, na akých princípoch je postavený, ako sa líši od toho neetického hackingu a ako môže byť prínosný pre firmy.
Keď vznikol pojem „hacker“, opisoval softvérových inžinierov, ktorí vyvinuli kód pre sálové počítače. Teraz to znamená skúseného programátora, ktorý sa pokúša získať neoprávnený prístup k počítačovým systémom a sieťam využitím slabých miest v systéme. Hackeri píšu skripty, aby prenikli do systémov, prelomili heslá a ukradli údaje.
Aj keď sa hackovanie stalo pojmom, ktorý najčastejšie popisuje škodlivé a neetické aktivity, nemusí to tak byť. Hacker môže tieto zručnosti stále dobre využiť. V tomto článku sa pozrieme na etické hackovanie a ukážeme ti, ako môžeš začať svoju cestu stať sa etickým hackerom.
Čo vlastne robia etickí hacker?
Etický hacking je známy aj ako white hat hacking alebo penetračné testovanie. Môže to byť veľmi zaujímavá kariéra, pretože etickí hackeri trávia svoj pracovný deň učením sa, ako fungujú počítačové systémy, odhaľovaním ich zraniteľných miest a skúšaním vkradnúť sa do nich bez strachu zo zatknutia.
Na rozdiel od neetických hackerov, ktorí sú zvyčajne motivovaní finančným ziskom, etickí hackeri majú za cieľ pomôcť firmám (ale aj spoločnosti ako celku) udržiavať ich údaje v bezpečí. Firmy si najímajú etických hackerov, aby našli zraniteľné miesta vo svojich systémoch a aktualizovali chybný softvér, aby nikto iný nemohol použiť rovnakú techniku na opätovné preniknutie.
Ako etickému hackerovi sa ti buď podarí nabúrať do systému a potom ho opraviť, alebo sa pokúsiš nabúrať do systému a nepodarí sa ti to. Obidva výsledky znamenajú víťazstvo pre etického hackera a firmu, pretože firemná sieť a údaje sú v konečnom dôsledku bezpečné.
Povedzme si ešte aký je rozdiel medzi etickým hackerom a penetračným testerom. Zatiaľ čo termín etický hacking možno použiť na opísanie celkového procesu hodnotenia, vykonávania, testovania a dokumentovania založeného na množstve rôznych hackerských metodológií, penetračné testovanie je len jeden nástroj alebo proces v rámci etického hackingu.
Hľadajú zraniteľné miesta
Zraniteľnosť sú bugy alebo chyby v softvéri, ktoré možno využiť na získanie neoprávneného prístupu do siete alebo počítačového systému. Medzi najbežnejšie zraniteľnosti patria:
zastaraný softvér,
nesprávne nakonfigurované systémy,
nedostatočné šifrovanie údajov.
Niektoré zraniteľnosti sa dajú ľahko otestovať, pretože chyby už boli zdokumentované. V týchto prípadoch musí penetračný tester urobiť iba skenovanie systému, aby zistil, či v systéme existuje chyba a aktualizovať softvér.
Ďalšie zraniteľnosti však môžu byť neznáme a penetračný tester použije skripty a ďalšie nástroje, aby maximálne otestoval systém a zistil, či sa nejaké chyby objavia.
Ukazujú metódy používané hackermi
Etickí hackeri sa môžu vžiť aj do roly učiteľa. Mnoho firiem a zamestnancov vie len málo o hrozbách kybernetickej bezpečnosti a o tom, ako ich konanie môže zabrániť hrozbe alebo pomôcť hackerovi ukradnúť údaje.
Etickí hackeri organizujú kurzy o kybernetickej bezpečnosti a varujú zamestnancov pred novými hrozbami, keď ich objavia. Vzdelávanie je obzvlášť účinné proti phishingu a iným kybernetickým útokom typu sociálneho inžinierstva, ktoré vyžadujú, aby útočníkov cieľ (človek) podnikol kroky, aby bola jeho hackerská aktivita umožnená.
Keď sú zamestnanci informovaní o potenciálnej hrozbe, existuje väčšia šanca, že ju bude možné zastaviť skôr, ako infikuje systém.
Pomáhajú predchádzať kybernetickým útokom
Etickí hackeri tiež spolupracujú s ostatnými členmi bezpečnostného tímu na vytvorení bezpečnejšej infraštruktúry pre podnik.
Etickí hackeri vedia, aké druhy hrozieb existujú, a môžu tímu pomôcť pri výbere nástrojov a vytváraní bezpečnostných politík, ktoré môžu zabrániť hrozbám, o ktorých možno ešte ani nevedia. Môžu tiež pomôcť s nastavením systémov na zálohovanie a obnovu, ktoré možno použiť v najhoršom prípade.
Kľúčové princípy etického hackingu
Hranica medzi black hat (alebo neetickým) hackingom a white hat (alebo etickým) hackingom sa môže zdať nejasná. Koniec koncov, existuje aj gray hat hacking, ktoré sa nachádza niekde medzi týmito dvoma.
Ako etický hacker by si mal dodržiavať niekoľko zásad:
Dodržiavaj zákon: hackovanie je etické iba vtedy, ak máš povolenie na vykonanie hodnotenia bezpečnosti systému, ktorý hackuješ.
Poznaj rozsah projektu: správaj sa len v intenciách zmluvy, ktorú máš so spoločnosťou. Zisti presne, čo máš testovať a testuj iba tieto systémy.
Nahlás všetky slabé miesta: nahlás všetky slabé miesta, ktoré nájdeš a navrhni spôsoby, ako ich opraviť.
Rešpektuj akékoľvek citlivé údaje: penetračný tester často testuje systémy, ktoré uchovávajú citlivé údaje a bude musieť podpísať zmluvu o mlčanlivosti (NDA).
Prečo je etický hacking dôležitý?
Zámerným zistením zneužití a slabín v počítačových sieťach organizácie je v podstate možné opraviť ich skôr, ako ich zneužije neetický hacker. Etickí hackeri teda pomáhajú organizáciám identifikovať a eliminovať hrozby zlepšovaním celkovej bezpečnosti IT v organizácii.
Samozrejme, nie sú to len údaje, ktoré sú v stávke, pokiaľ ide o počítačovú kriminalitu. V správe Centra pre strategické a medzinárodné štúdie a spoločnosti McAfee v oblasti bezpečnostného softvéru z roku 2020 sa zistilo, že straty z počítačovej kriminality dosiahli v roku 2020 približne 945 miliárd USD. Len pre porovnanie, v roku 2018 to bolo zhruba 522 miliárd USD, takže nárast je znepokojúci. Tieto rastúce náklady sa pripisujú lepšiemu vykazovaniu, ako aj efektívnejším technikám hackerov.
Okrem straty údajov a peňazí môže počítačová kriminalita poškodiť verejnú bezpečnosť, poškodiť ekonomiky a podkopať národnú bezpečnosť. Je zrejmé, že je nevyhnutné chrániť organizácie a ich údaje a etické hackovanie môže v tejto ochrane zohrávať kľúčovú úlohu.
Druhy etického hackingu
Existuje niekoľko etických hackerských metód a základných oblastí, ktoré môže profesionál použiť. Nižšie uvádzame niektoré z najbežnejších typov etického hackovania:
Hackovanie webových aplikácií. Webové aplikácie sú zdieľané cez sieť (ako je internet alebo intranet) a niekedy sú založené na prehliadači. Aj keď sú pohodlné, môžu byť zraniteľné voči útokom skriptov a etickí hackeri takéto slabiny testujú.
Hackovanie webového servera. Webové servery prevádzkujú operačné systémy a aplikácie, ktoré hostujú webové stránky a pripájajú sa k back-end databázam. V každom bode tohto procesu existujú potenciálne slabé miesta, ktoré musia etickí hackeri otestovať, identifikovať a odporučiť opravy.
Hackovanie WIFI bezdrôtovej siete. Všetci poznáme bezdrôtové siete – skupinu počítačov, ktoré sú bezdrôtovo pripojené k centrálnemu prístupovému bodu. S touto vymoženosťou však prichádza množstvo potenciálnych bezpečnostných nedostatkov, ktoré musia white-hat hackeri hľadať.
Hackovanie systému. Prístup k zabezpečenej sieti je jedna vec, ale hackovanie systému sa zameriava na získanie prístupu k jednotlivým počítačom v sieti. Etickí hackeri sa presne o to pokúsia a zároveň navrhnú vhodné protiopatrenia.
Sociálne inžinierstvo. Zatiaľ čo ostatné metódy sa zameriavajú na prístup k informáciám prostredníctvom počítačov, systémov a sietí, sociálne inžinierstvo sa zameriava na jednotlivcov, ľudí. Často to znamená manipuláciu ľudí, aby odovzdali citlivé údaje alebo poskytli prístup bez toho, aby mali podozrenie na zlý úmysel.
Aké pracovné pozície môže obsadiť etický hacker?
Firmy všetkých veľkostí a odvetví sa obávajú bezpečnosti svojej siete. Pokiaľ stále dochádza k narušeniam bezpečnosti a firmy budú mať stále citlivé údaje, etickí hackeri budú žiadaní, takže trh práce pre nich vyzerá dobre aj v budúcnosti.
Niektoré väčšie podniky majú medzi zamestnancami etických hackerov, ktorí celý deň vykonávajú bezpečnostné testy a penetračné testy. V iných spoločnostiach môže byť etické hackovanie iba súčasťou práce, zatiaľ čo väčšinu času trávite konfiguráciou sietí a nastavovaním nových systémov. Niektoré z najpopulárnejších pozícií etických hackerov zahŕňajú:
Penetračný tester
Security Analyst
Etický hacker
Bezpečnostný konzultant
Bezpečnostný inžinier
Bezpečnostný architekt
Analytik informačnej bezpečnosti
Manažér informačnej bezpečnosti
Záver
Ak ťa kariéra v tomto odvetví zatiaľ láka, možno ťa tiež zaujíma, ako sa naučiť etický hacking. Väčšina etických hackerov, penetračných testerov a white-hat hackerov sa pustí do etického hackingu, pretože ich zaujíma, ako funguje internet a informačná bezpečnosť. Jedna vec, ktorú musí etický hacker vedieť, je kybernetická bezpečnosť.
Keďže etický hacker sa zaoberá aj softvérovými zraniteľnosťami a možno bude musieť písať skripty, ktoré mu pomôžu s touto úlohou, budeš sa musieť naučiť aj nejaký programovací jazyk (pravdepodobne to bude viac jazykov). Pre etických hackerov sú odporúčané jazyky ako Python, C, C++ alebo JavaScript.
Práca s terminálom, scriptovanie v Bashi sú tiež silne odporúčané, rovnako tak nástroje na testovanie zraniteľnosti ako Metasploit a OpenVAS. Mnoho užitočných nástrojov a postupov etického hackingu sa naučíš v našom online kurze Úvod do etického hackingu.
Najdôležitejšou požiadavkou je však zvedavosť. Takže buď zvedavý a veľa šťastia pri etickom hackovaní!
🥇 Sme jednotka v online vzdelávaní na Slovensku. Na našom webe nájdeš viac ako 300 rôznych videokurzov z oblastí ako programovanie, tvorba hier, testovanie softwaru, grafika, UX dizajn, online marketing, MS Office a pod. Vyber si kurz, ktorý ťa posunie vpred ⏩
