Etyczni hakerzy: kim są, co robią i dlaczego noszą białe kapelusze?

Młoda osoba, najpewniej mężczyzna w ciemnym pokoju. Jedyną widoczną rzeczą jest jej sylwetka, ledwo oświetlona przez światło pochodzące z monitora. Osoba ta pisze niesamowicie szybko na klawiaturze, a wraz z każdym naciśnięciem klawisza na ciemnoszarym ekranie pojawiają się kolejne linijki kodu pisanego zieloną czcionką w odcieniu seledynowym. W pewnym momencie osoba przestaje pisać, na kompuetrze wyświetla się komunikat. Postać w ciemnej bluzie oznajmia, że ​​"włamała się do komputera głównego".

Taki mniej-więcej obraz ma wiele osób, które słyszą słowo "haker". Dzięki serialom telewizyjnym, produkcjom hollywoodzkim oraz mediom haker budzi negatywne skojarzenia z kimś nikczemnym, o złych zamiarach, który próbuje złamać zabezpieczenia - niczym włamywacz łamiący szyfr w sejfie. Hakerzy wydają się być tajemniczymi, lecz potężnymi jednostkami, wykorzystującymi swoją wiedzę z dziedziny szeroko pojętej informatyki do włamywania się do systemów komputerowych i kradzieży informacji. Chociaż taka percepcja niekoniecznie jest oderwana od rzeczywistości, nie jest też całkowicie trafna. Wiele osób spoza branży bezpieczeństwa nie zdaje sobie sprawy, że haker hakerowi nierówny oraz że świat komputerów i bezpieczeństwa danych jest w rzeczywistości bezpieczniejszy dzięki hakerom.

Hakerzy zazwyczaj występują w jednej z trzech form: złowrogie czarne kapelusze (ang. black hats), etyczne białe kapelusze (ang. white hats) oraz trudne do zdefiniowania szare kapelusze (ang. grey hats). Terminologia pochodzi ze starych spaghetti westernów, w których "złym kolesiem" jest zazwyczaj ten, który nosi czarny kapelusz, a "dobrym kolesiem" ten z białym kapeluszem na głowie. Dwie główne rzeczy, które różnicują te trzy grupy, to ich intencje i to, czy otrzymali pozwolenie na wykonanie określonych zadań.

Hakerzy w czarnych kapeluszach - zwani także po prostu czarnymi kapeluszami to typ hakera, który najbliższy jest stereotypowej definicji słowa "haker". Hakerzy w czarnych kapeluszach naruszają bezpieczeństwo danego systemu komputerowego w celu osiągnięcia korzyści osobistych (takich jak kradzież danych kart płatniczych lub zbieranie danych osobowych w celu sprzedaży złodziejom tożsamości) lub w celu czystej złośliwości (np. tworzenie botnetu i wykorzystywanie tego botnetu do przeprowadzania ataków DDOS na serwisy internetowe)

Czarny kolor kapelusza zawdzięczają zarówno intencjom swych działań jak i samym faktem, że ich działania prowadzone są bez zgody administratora lub właściciela danej sieci.

W opozycji do nieprzyjaznych czarnych kapeluszy stoją białe kapelusze - zwane także etycznymi hakerami. Etyczni hakerzy to eksperci w nie tylko łamaniu zabezpieczeń systemów i poszczególnych jednostek, ale także gromadzenia danych powstałych na skutek przeprowadzonych działań. Etyczni hakerzy wykorzystują swoje umiejętności i wiedzę, by wspomóc różne firmy, organizacje i instytucje w zabezpieczaniu struktur sieciowych.

Hakerzy w białych kapeluszach są zatrudniani wszędzie tam, gdzie istnieje potrzeba zabezpieczenia danych i systemów - począwszy od niewielkich firm, a skończywszy na instytucjach rządowych. Dana jednostka (np. firma) upoważnia etycznego hakera do próby włamania się do ich systemów. Biały kapelusz wykorzystuje swoje umiejętności i wiedzę z zakresu systemów bezpieczeństwa, aby złamać zabezpieczenia, tak jak zrobiłby to haker w czarnym kapeluszu. Jednak, zamiast wykorzystywać swój dostęp do kradzieży poufnych danych, szantażu, niszczenia cyfrowego mienia lub "wandalizmu", haker w białym kapeluszu informuje o tym, w jaki sposób uzyskał dostęp, co pozwala danej jednostce poprawić swoje zabezpieczenia. Jest to znane jako "testy penetracyjne" i jest to jeden z przykładów czynności wykonywanych przez hakerów w białych kapeluszach.

W bardzo dużym uproszczeniu działalność etycznych hakerów można porównać do sytuacji, w której celowo prosi się eksperta, aby włamał się. do budynku. Ekspert włamie się, jednocześnie szczegółowo dokumentując to, w jaki sposób tego dokonał, następnie przekaże zdobytą wiedzę zleceniodawcy. Zleceniodawca w oparciu o uzyskane przez eksperta informacje wzmocni zabezpieczenia budynku.

Istnieją również hakerzy, o których mówi się szare kapelusze. Każdy, kto nie opuścił lekcji plastyki z teorii koloru, wie, że szarość to połączenie bieli i czerni. Zależnie od tego, w jakich proporcjach zmieszamy czerń i biel, kolor szary jest jaśniejszy lub ciemniejszy. Nie inaczej jest z hakerami w szarych kapeluszach, bowiem w szeregu stoją oni gdzieś pomiędzy etycznymi hakerami a ich złowrogimi przeciwieństwami.

Szare kapelusze z jednej strony robią coś nielegalnego - łamią systemy zabezpieczeń i włamują się do sieci bez zgody ich administratorów. Z drugiej strony jednak intencje szarych hakerów, a co za tym idzie, efekty ich "roboty" trudno obiektywnie ocenić jako szkodliwe lub złe. De facto, każdy przypadek powinien być oceniany indywidualnie.

Jednym z najbardziej znanych przykładów szarych kapeluszy jest Aaron Swartz, amerykański programista, który zyskał uznanie za stworzenie RSS, języka formatowania Markdown. Ponadto Swartz był jednym z twórców Reddita, współtworzył licencję Creative Commons oraz czynnie działał na rzecz wolnego dostępu do wiedzy.

25 września 2010 roku Aaron Swartz włamał się do sieci Instytutu Technologii Massachusetts (Massachusetts Institute of Technology, MIT). Swartz dokonał tego poprzez podłączenie swojego laptopa do przełącznika sieciowego znajdującego się w węźle dystrybucji oprogramowania (ang. wiring closet) - który akurat tamtego dnia był niestrzeżony. Podłączony w ten sposób Swartz pobrał setki artykułów naukowych z cyfrowej biblioteki JSTOR, za dostęp do których normalnie trzeba byłoby zapłacić.

Działanie Aarona Swartza z jednej strony było nieetyczne, bowiem uzyskał on nieautoryzowany dostęp do zasobów biblioteki JSTOR i bez zgody uczelni pobrał materiały, które chronione są prawem. Z drugiej strony główną linią obrony w procesie Aarona Swartza był jego zamiar szerzenia wolnego i nieograniczonego dostępu do wiedzy, który ma odzwierciedlenie tak w jego dotychczasowej działalności jak i manifeście napisanym w 2008 roku.

Innym przykładem szarego kapelusza jest Adrian Lamo, któremu sławę przyniosły nie tylko liczne włamania do systemów komputerowych takich instytucji i firm jak Yahoo!, AOL Time Warner, MCI WorldCom, Microsoft, National Security Agency czy The New York Times. Lamo - choć potencjalnie mógł zarobić tysiące dolarów na szantażu lub pełnoetatowej pracy jako etyczny haker - zabezpieczenia łamał bez zezwolenia, lecz informacje o lukach w zabezpieczeniach bezpłatnie przekazywał instytucjom, do których się włamywał. Jeżeli jego zgłoszenie było ignorowane, Lamo nagłaśniał sprawę w mediach.

Rolą białych kapeluszy jest łamanie zabezpieczeń w taki sposób, jak zrobiłyby to czarne kapelusze. Aczkolwiek etyczni hakerzy nie mogą w pełni odtwarzać działań swoich nieprzyjaznych odpowiedników - gdyż w atak w pełnym tego słowa znaczeniu oznaczałby również uszkodzenie struktur i utratę danych. Niektóre ataki - ze względu na ograniczenia techniczne (np. atak typu DDoS) są niemożliwe do przeprowadzenia dla etycznych hakerów. Jednakże sama perspektywa black hata - potencjalne cele, metody i narzędzia - jest nieocenionym źródłem wiedzy dla każdej firmy i instytucji.

Sam fach hakera - czarnego kapelusza to również igranie z ogniem. Z jednej strony dochodowy dzięki różnego rodzaju szantażom, w których stawką są dane tak osób prywatnych jak i całych firm. Z drugiej szeroko pojęty hacking jest ścigany przez prawo. W tym prawo polskie: w myśl art. 267 par. 1 i 2 k.k. odpowiedzialności karnej w postaci grzywny, kary ograniczenia wolności albo kary pozbawienia wolności do lat dwóch podlega ten, kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając informatyczne zabezpieczenie. Tej samej karze podlega ten, kto bez uprawnienia uzyskuje dostęp (do całości lub części) systemu informatycznego. Natomiast art. 268 par. 1, 2 i 3 klasyfikują przestępstwo nieuprawnionego zniszczenia, uszkodzenia, usunięcia lub zmiany istotnej informacji (grzywna, ograniczenie wolności, pozbawienie wolności do 2 lat) także na informatycznym nośniku danych (pozbawienie wolności do 3 lat).

Z tych też powodów szeregi etycznych hakerów są pełne osób, które zdecydowały wybielić swój kapelusz - z ciemnej strony (a bardzo często i z szarej strefy) przeszli do białych kapeluszy, stając się etycznymi hakerami i nierzadko ekspertami do spraw cyberbezpieczeństwa. Najbardziej ikoniczną postacią wśród hakerów, którzy przeszli na jasną stronę mocy jest Kevin Mitnick. Urodzony w 1963 roku Mitnick po raz pierwszy uzyskał nieautoryzowany dostęp do sieci komputerowej w 1979 roku, w wieku 16 lat, kiedy znajomy dał mu numer telefonu do systemu komputerowego Ark, którego Digital Equipment Corporation (DEC, dzisiaj część koncernu Hewlett Packard) używało do tworzenia systemu operacyjnego RSTS/E.

Mitnick włamał się do sieci komputerowej DEC i skopiował oprogramowanie firmy, za co został pociągnięty do odpowiedzialności karnej i skazany w 1988 roku. Został skazany na 12 miesięcy więzienia, a następnie na trzy lata zwolnienia warunkowego. Pod koniec zwolnienia warunkowego Mitnick włamał się do komputerów poczty głosowej Pacific Bell. Po wydaniu nakazu aresztowania Mitnick uciekł, stając się zbiegiem na dwa i pół roku.

Według amerykańskiego Departamentu Sprawiedliwości Mitnick podczas dwu i półrocznego okresu bycia zbiegiem uzyskał nieautoryzowany dostęp do dziesiątek sieci komputerowych, używał sklonowanych telefonów komórkowych, aby ukryć swoją lokalizację, tworzył nielegalne kopie oprogramowania i danych największych amerykańskich firm telekomunikacyjnych i komputerowych. Mitnick przechwytywał również i kradł hasła, modyfikował sieci komputerowe oraz włamywał się i czytał prywatną korespondencję elektroniczną. W 2000 roku Mitnick wyszedł na zwolnienie warunkowe, podczas którego rozpoczął karierę w branży cyberbezpieczeństwa, otwierając firmę Mitnick Security Consulting.

Jednym z wyzwań, przed jakim stoi branża cyberbezpieczeństwa jest sama nauka fachu etycznego hakowania, gdyż jest ona mieczem obosiecznym. Białe i czarne kapelusze przy pracy używają tych samych metod i narzędzi. Tak więc osoba, która ukończyła odpowiedni kierunek studiów lub uzyskała odpowiedni certyfikat, posiada wiedzę, która pozwala jej tak stać na straży cyberbezpieczeństwa jak i na łamanie wszelakich zabezpieczeń w imieniu własnych wartości i celów. Według badania przeprowadzonego w 2018 roku przez Malwarebytes i Osterman Research, 22 proc. z ponad 200 ankietowanych ekspertów cyberbezpieczeństwa otrzymało oferty współpracy w roli czarnych kapeluszy. 8 proc. ankietowanych rozważało przyjęcie ofert.

Samo stanowisko etycznego hakera sprawia, że białe kapelusze mają niemalże nieograniczony dostęp do poufnych danych. Etyczni hakerzy - mniej lub bardziej przypadkowo - odkrywają tajemnice firmy i sprawują wielką pieczę nad sieciami komputerowymi, aplikacjami i systemami. Sposób, w jaki dana osoba korzysta z nadanych jej uprawnień i przywilejów, sprowadza się do jej własnego barometru etycznego, dlatego organizacje muszą starannie dobierać ekspertów ds. bezpieczeństwa, którzy nie tylko mają niezwykle rozległą wiedzę, doświadczenie, ale i są godni zaufania.