ROZHOVOR: Únik tajných dokumentov USA nie je výnimočný, zlyhal ľudský faktor, hovorí etický hacker
Mnohí si pod pojmom hacker predstavia človeka, ktorý nelegálne preniká do informačných systémov za vidinou finančného zisku. Martin Orem, ktorý je spoluzakladateľom firmy Binary House, je však penetračným testerom - etickým hackerom. Čo je náplňou jeho práce a aké pravidla musí nasledovať? Pýtali sme sa tiež, aké firmy zvyknú vyhľadávať jeho služby a čo si myslí o uniknutých amerických tajných dokumentoch.
Nedozviete sa z médií
Akými pravidlami sa musí riadiť etický hacker?
Etický hacker, známy aj ako white hat hacker, sa musí riadiť niekoľkými pravidlami, aby sa zabezpečilo, že jeho práca bude zákonná a etická. Musí dodržiavať všetky platné zákony a aplikovateľné bezpečnostné štandardy týkajúce sa kybernetickej bezpečnosti a ochrany súkromia. Minimalizovať svoj prístup k osobným údajom aj v prípade úspešného prieniku, čím nepriamo chráni súkromie jednotlivcov. Musí mať písomný súhlas od majiteľa testovaného systému alebo siete, ideálne vo forme zmluvy, aby sa uistil, že má oprávnenie na testovanie. Taktiež musí dodržiavať zmluvne určený rozsah testovania a zvyčajne používať len nedeštruktívne metódy testovania bezpečnosti (pokiaľ nejde o testovanie odopretia služby). Zabezpečiť, aby jeho činnosť neohrozila bezpečnosť a dôvernosť údajov a systémov, s ktorými pracuje. Mal by byť čestný a spravodlivý a používať svoje zručnosti na zlepšenie kybernetickej bezpečnosti. To znamená, že musí nahlásiť všetky zraniteľnosti, ktoré našiel a žiadnu z nich nesmie zneužiť vo svoj prospech.
Čo sa stane v prípade, ak etický hacker poruší tieto pravidlá?
Ak etický hacker poruší zmluvne ustanovené podmienky, môže to mať rôzne dôsledky v závislosti od závažnosti porušenia. Najčastejšie bývajú špecifikované dohody o mlčanlivosti, kde sú stanovené zmluvné pokuty vyplývajúce z porušenia. V prípade, že ide o závažnejšie porušenia, tak sa pristupuje k zrušeniu zmluvy a následne právnym krokom.
Má každá spoločnosť pre tento prípad vlastné postupy alebo existuje jeden všeobecný?
Existujú prípady, kde spoločnosť vyhackoval ich vlastný nespokojný zamestnanec a k časti svojich činov sa priznal, respektíve ich nahlásil svojmu zamestnávateľovi. Ak si dobre pamätám, tak sa snažil získať finančnú odmenu, nestretol sa však s pochopením zo strany vedenia spoločnosti, odmenu nedostal a nakoniec exfiltroval senzitívne dáta. O takýchto prípadoch nebudete počuť z médií, nakoľko by to ešte viac poškodilo PR danej spoločnosti a tak sa podobné prípady riešia interne.
Väčšie spoločnosti majú svoje vlastné právne oddelenia, ktoré sa venujú možným podvodom, pričom v prípade potreby sa môžu obrátiť na orgány činné v trestnom konaní (OČTK), alebo na poskytovateľov služieb v oblasti riešenia incidentov. Taktiež majú spoločnosti definované rôzne politiky a smernice, ktoré definujú konkrétne zodpovednosti a možné postupy riešenia incidentov.
Keďže sa sektor IT vyvíja veľmi rýchlo, krajiny alebo zoskupenia krajín sa snažia zapracovať problematiku IT bezpečnosti do svojej legislatívy. Jednotlivé krajiny si v rámci svojej jurisdikcie upravujú zákony po svojom. Aj my máme niekoľko zákonov, ktoré riešia počítačovú kriminalitu. Legislatíva však často len dobieha vývoj v IT po niekoľkých rokoch. Tak ako v mnohých prípadoch z fyzického sveta, kladie sa dôraz na úmysel a rôzne okolnosti daného prípadu. Známy je prípad Marcusa "MalwareTech" Hutchinsa, ktorý bol v mladosti zapletený do vývoja škodlivého softvéru malware, no neskôr sa z neho stal bezpečnostný výskumník, keď pomohol zastaviť šírenie WannaCry ransomware. FBI ho zatkla a bol obvinený z vývoju malware, sudca sa však rozhodol Hutchinsa prepustiť s odvôvodnením, že existuje príliš veľa pozitív na obvineného.
Stretli ste sa osobne alebo ste počuli, že sa takéto niečo stalo aj na Slovensku?
Ako som spomínal vyššie, väčšina podobných prípadov sa pravdepodobne rieši interne, najmä z dôvodu poškodenia PR spoločnosti. Netreba opomenúť, že spoločnosti si objednávajú služby ofenzívnej bezpečnosti od overených entít, kde existujú kontrolné mechanizmy, aby sa riziko takéhoto prípadu znížilo na minimum. Takže takéto prípady nie sú pomerne častým javom.
Na druhej strane by som rád spomenul verejne známy prípad nahlásenia zraniteľností v štátnych aplikáciách, kde by sa o etickosti dalo pomerne dlho polemizovať. V prípade, že nájdete zraniteľnosť a chcete jednoducho overiť či funguje, ideálne tak, aby ste nezneužili prístup k cudzím údajom, otestujete to na vlastnom či účte známeho, ktorý vám dal na vykonanie minimálne vyslovený súhlas. Vtedy ide o takzvaný "proof-of-concept", ktorý je dôkazom, že daná zraniteľnosť je zneužiteľná.
V spomenutom prípade boli kompromitované účty prominentných politikov, čo je podľa môjho názoru, ďaleko za hranicou dôkazu a išlo o priame zneužitie zraniteľnosti. Ostatné okolnosti, ktoré spomínal nahlasovateľ, vysvetľujúce prečo danú zraniteľnosť reálne zneužil, sú podľa môjho názoru už len výhovorky. Preto je potrebné v takýchto prípadoch postupovať obozretne, s ohľadom na všetky zúčastnené strany a postupovať pri nahlasovaní zraniteľností v zmysle odporúčaní pre danú spoločnosť alebo organizáciu. V prípade, že ide o štátne aplikácie alebo systémy - treba postupovať podľa toho, koho sa zraniteľnosť týka. Buď podľa "Návodu na oznamovanie zraniteľností" od SK-CERT alebo nahlásiť zraniteľnosť cez CSIRT.SK.