Ki is az az etikus hacker?

A hacker szó hallatán elsőre mindenkinek valamilyen negatív dolog jut eszébe. Gyakran társul hozzá a bűnöző kifejezés, azonban a szó mai jelentése olyan szakembereket jelöl, akik egy adott rendszerben hibákat kutatnak, fedeznek fel.  

Nemzetközi non-profit szervezetek is erőteljesen dolgoznak azon, hogy a hacker kifejezésnek pozitív csengése legyen. Sajnos az évek alatt számos negatív eseményeket társítottak a megnevezéshez.

A hacker típusok 

Fehér Kalapos Hacker 

Fehér kalapos hackernek (angolul: white hat hacker) nevezzük azt a kiemelt tudással rendelkező informatikai szakembert; aki tudását arra használja fel, hogy megbízás alapján vagy állandó jelleggel biztonsági hibákra világít rá. Ezáltal elkerülve és megelőzve a fekete kalapos hackerek betörési kísérleteit. A fehér kalapos hackerek csoportjába tartozik az úgynevezett etikus hacker, illetve a Penetration Tester. A fehér kalapos hacker vagy etikus hacker egy adott számítógép rendszer vagy számítógép-hálózat biztonsági tesztelését végzik hibakeresési céllal. A Penetration Testerek megpróbálják a „veszélyes hibákat” felderíteni és kiaknázni, ezáltal bizonyítva az adott hibában rejlő veszélyeket a rendszer üzemeltetőjének. (Forrás: Wikipedia) 

Manapság számos kiberbiztonsági tanúsítvány létezik ami a hackerek képzettségét tanúsítja, ezekről majd egy későbbi blogbejegyzésben írunk. 

Fekete Kalapos Hacker 

Fekete kalapos hackernek (angolul: black hat hacker) nevezzük azt; – valójában ő sorolható a crackerek csoportjába is mivel nagy az átfedés a motivációk tekintetében –; aki tudásával visszaélve, jogosulatlanul lép be számítógépes rendszerekbe illetve számítógép-hálózatokba, haszonszerzés vagy károkozás céljából. Az általa végzett tevékenység nagy általánosságban illegális. 

Motivációja sokrétű lehet: pénzszerzés az adott információ birtoklása által, avagy a puszta kíváncsiság: „Meg tudom-e csinálni?” „Okosabb vagyok-e, mint azok, akik a rendszerért felelősek?”. De ebben az esetben a kíváncsiságot nem kíséri önmérséklet: a fekete kalapos hacker nem kér engedélyt a tesztelésre; a sikeres behatolás végén nem értesíti az üzemeltetőket, hanem igyekszik kihasználni az illegálisan megszerzett információkat. A csoportjába tartoznak azok az ipari kémek, akik technológiai fejlesztések után kutatva törnek be hálózatokba. Gyakran hallani nagyobb multinacionális cégek vagy akár kormányszervek ellenében elkövetett „hackertámadásról”; és az sem ritka, hogy az elkövetést egy másik ország titkosszolgálatához vagy egy hozzá kapcsolódó csoporthoz kötik. Ilyen esetekben előállhat az a helyzet is, hogy az etikus és etikátlan közti határvonal elmosódik; mert ha az adott tevékenységgel egy potenciálisan háborús helyzet elkerülése a cél; akkor az más megvilágításba helyezi a történéseket. (Forrás: Wikipedia)

Szürke Kalapos Hacker 

Gyakorlatilag a fekete kalapos és a fehér kalapos hacker közti átmenet; aki ha biztonsági résre bukkan, akkor kihasználja azt, majd az esetek többségében értesíti a rendszer üzemeltetőit. A nagy különbséget az jelenti, hogy a fehér kalapos hackerrel ellentétben a megtámadott rendszer üzemeltetőjével nincs előre egyeztetett megbízás; így alapvetően illegális tevékenységnek minősül, tehát nem ajánlott magatartás. Vannak példák olyan esetekre, amikor a hibát jelentő hacker pénzjutalmat kért és kapott is, de mindenképpen rizikós vállalkozás. Sorolható az internetes trollokhoz is, akiknek egy része a szakértelmét felhasználva; pusztán szórakozásból okoz felfordulást például közösségi oldalak üzenőfalain, annak biztonsági hibáit kihasználva. (Forrás: Wikipedia) 

Az etikus hacker tízparancsolata 

Benned is felmerülhet ezek után a kérdés, hogyan lehet a legális hackelés keretein belül részt venni bug bounty programokban. Ehhez összegyűjtöttünk számotokra néhány pontot, ami segíthet ennek elérésében. 

Íme az etikus hacker tízparancsolata: 

1. Regisztrálj Hackerként platformunkon és válassz a publikus bug bounty programok közül. Regisztrációd során el kell fogadnod a tevékenységre vonatkozó szabályokat (Tesztelési szabályzat, Jogi nyilatkozat), ezek elolvasását ne mulaszd el.  

2. Szerződéses kapcsolatban állunk a programot indító szervezetekkel, így biztos lehetsz abban, hogy minden az ő tudtukkal és egyetértésükkel történik. Sőt, a tesztelési irányelveket ők saját maguk határozzák meg a programjukhoz; így biztos lehetsz benne, hogy az oldalunkon található összes aktív hibavadász programban való részvétel legális. 

3. Csak a cég / program által megengedett domaineket teszteld a megengedett módszerekkel! 

4. A talált sérülékenységeket soha ne használd fel személyes indíttatásból. Oldalunkon keresztül tudod kitölteni a bug riportot, amit mi megosztunk a céggel. Külön ne hozd nyílvánosságra a sérülékenységet! 

5. Dokumentáld, hogy pontosan mit és mikor teszel! Rögzítsd, hogyan jöttél rá a hibára (legjobb, ha videóra veszed, ha erre van mód vagy készíts képernyőfotókat). Fájlok csatolására is lehetőséged van a bug riport készítése közben, úgyhogy ezeket mind töltsd fel. 

6. Figyelj arra, hogy a tesztelés alatt használt programokat / eszközöket / scripteket megfelelően állítsd be – pl. Recaptcha tesztelésekor kerüld el az email bombázást több száz levéllel. Ez az ügyfél rendszereinek túlterhelését és esetleges leállását okozhatja; ezáltal az etikus hackerekbe vetett hit és bizalom is csorbulhat az ügyfelek részéről. 

7. Ne próbáld meg eltüntetni a nyomaid! Bár ügyfeleinkkel közvetlen kapcsolatba nem kerülsz, bizonyos programok esetén (mint a helyszíni vizsgálat) kiléted nem tudod elrejteni. Ha valaki esetleg keres a cégtől bátran hivatkozz arra, hogy rajtunk keresztül végzed a tesztelést. 

8. Óvakodj a személyes adatok megismerésétől, ezek után szándékosan ne kutakodj, és semmiképpen ne mentsd el! 

9. Teszteléskor a lehető legkisebb bizonyítást (Proof of Concept) használd a biztonsági rés érvényesítéséhez. Azokban az esetekben, amikor ez hatással lehet a rendszerekre vagy a felhasználókra, először kérj engedélyt. Esettől függetlenül, ne károsítsd vagy hagyd a rendszert egy sérülékenyebb állapotban, mint ahogy a hiba felderítése előtt volt. 

10. Minden olyan sérülékenység felderítése elkerülendő, ami a weboldal / webapplikáció elérhetőségét befolyásolja (DoS sérülékenységek) vagy irreális brute force-olással jár. 

Csatlakozz hackerként Magyarország és Közép- és Kelet-Európa legújabb bug bounty és VDP platformjához és tegyük az internetet biztonságosabbá együtt. 

Jelenleg futó publikus programjainkat itt megtekintheted.