Тънка черна линия
За етиката, етичното и етичните хакери.
Етичен- термин, който често свързваме с философи, дълги словесни речи и който много хора, за съжаление, не припознават. Според Wikipedia дефиницята на "етика" е:
Етика (на гръцки: ἦθος, етос – нрав, обичай) или в някои случаи философия на морала е дял от философията, който се отнася до въпросите на морала и нравствеността. ... Западната традиция в етиката понякога се нарича морална философия. ... Етиката се занимава с изучаването и приложението на вече установените в различните народи и култури правила за начина на живот в човешкото общество. ... Всеки човек има свое разбиране за света и на тази основа се гради отношението му спрямо другите хора, а и спрямо себе си и заобикалящата го среда.
За мен последният ред от цитата е изключително важен. Наистина, всеки има различно разбиране за света, колкото и опити да се правят в определени области то да се уеднакви (например - действията на Cambridge Analytica, рекламите, които ежедневно ни заливат и др.). Следейки развитието на случаят с хакерската атака и изтеклите данни от НАП, както и последвалите обвинения и действия на органите на реда, отново се замислих за това, колко е тънка границата между действията на етичните и злонамерените хакерите. Важно е да отбележа, че не взимам страна по казуса с НАП - всеки е невинен до доказване на противното, както и всеки от нас носи отговорност за своите решения и действия.
Когато преди няколко години излезе книгата "Етично хакерство" се наложи да отговоря на два въпроса - "Има ли етични хакери?" и "Защо в заглавието липсва 'РО' - между 'Е' и 'тичното'?". Определено вторият въпрос заслужава сериозно да се обмисли, но извън кръга на шегата, първият е наистина важен. Обикновено отговарях с нещо от рода на "етичните хакери са специалисти в областта на киберсигурността, които провеждат анализите при ясни условия, напълно добронамерено, след изрично съгласие на възложителя и след разписани договорни отношения". Обяснението е достатъчно, но може да се замислим за неща като - какви инструменти използват, с какво техните методи са по-различни от тези на злонамерените лица, как може да се гарантира, че намерените уязвимости няма да бъдат използвани с користни цели и много други.
За да дадем отговор на горните въпроси нека първо да дефинираме основната цел на етичното хакерство, а именно да се открият проблеми в сигурността на дадена система, с цел те да бъдат отстранени, а защитата като цяло да бъде подобрена.
Търсенето на пропуски в сигурността до голяма степен е аналогично на това, което биха извършили злонамерените лица, но тук целта е коренно различна. Да, етичните хакери използват nmap, maltego, MSF, ZAP, nikto, sqlmap, the_harverster, wireshark, hping, scapy, bettercap, airckrack-ng, hostapd и още много инструменти, част от които създадени със злонамерена цел. Същите програми се намират и в арсенала на злонамерните хакери. Ако погледнем под по-различен ъгъл - нали едно и също оръжие може да се използва за защита и за атака, в зависимост от поставените цели и гледната точка.
Относно използваните методи, нещата стоят аналогично на инструментите - и етичните хакери и злонамерените лица често прибягват и прилагат едни и същи тактики и процедури. Например, от разузнаване и сканиране, през опит за достъп до ексфилтриране на данни и отказ на услуги.
Последният от горепосочените въпроси е " как може да се гарантира, че намерените уязвимости няма да бъдат използвани с користни цели". Именно той е най-основния в контекста на публикацията. Ако приемем, че един експерт по киберсигурност е извършил проверка на защитата на системи на трета страна, какво ще се случи с получените резултати. Разбира се, съгласно договора те следва да се предадат на възложителя и да не бъдат разпространявани. Тук идва и ключовия момент - винаги съществува риск част от намерените уязвимости или изтекли данни да не бъдат предоставени, а да се използват злонамерено. Това веднага поставя етичния хакер в категорията на злонамерените лица, а ако неговата вина се докаже по съдебен път - и в групата на киберпрестъпниците. Именно моралът на лицето ще окаже решаваща роля. Всеки етичен хакер би трябвало да е припознал кодекса на етичните хакери, но съществува и фактора, че всички сме хора, а изкушенията са много. Една важна задача на ръководителите на екипите, извършващи подобни анализи е да се гарантира, че служителите имат висок морал и няма да злоупотребят с данните, а това определено не е лесно.
Тъй като споменахме кодекса на етичния хакер, ето и обобщено, какво съдържа:
- Ще пазя личната и конфиденциална информация, която съм придобил по време на своята работа. Няма да събирам, продавам или разпространявам никакви лични данни и конфиденциални сведения.
- Ще пазя интелектуалната собственост на другите, като ще разчитам на своите усилия и иновации.
- Ще предоставям информацията само на посочените в договора лица.
- Извършваните от мен услуги ще са само в областта на моята експертиза, ще бъда честен и откровен за моите възможности, опит и познания. Ще бъда квалифициран за поетите от мен задачи.
- Няма да използвам инструменти или процеси, придобити по неетичен или незаконен начин.
- Няма да се включа в незаконни и неетични финансови практики, като подкупи, завишаване на цени и др.
- Ще използвам информацията и системите на възложителя, само и единствено съгласно условията на договора.
- Ще съобщя за конфликт на интереси.
- Ще осигуря качествено управление на проектите по които работя, ще има измерители на качеството и ще бъде дефиниран риска.
- Ще споделям опита си (не лични и конфиденциални данни) с други специалисти в областта на киберсигурността.
- Ще се държа етично и професионално и ще заслужа доверието в моите знания, умения и почтеност.
- Ще осигуря етично и професионално изпълнение на всички задачи, без да имам предразсъдъци.
- Няма да се свързвам със злонамерени лица и няма да извършвам злонамерени действия.
- Няма да компрометирам и няма да позволя да се компрометират системите на възложителя по време на професионалните ни отношения.
- Извършваните от мен pen-test анализи ще бъдат само след съгласието на възложителя и ще спазват изрично поставените ограничения и цели.
- Няма да бъда част от злонамерени хакерски групировки или операции.
- Няма да бъда член на злонамерени хакерски общности и няма да проповядвам техните цели и идеали.
- Ще предоставям вярна информация за моите сертификати и няма да използвам заблуждаващи данни за моите умения.
- Имам чисто съдебно минало.
Кодексът е изключително ясен и защитава интересите на възложителите, но в същото време гарантира и професионалното ниво на етичните хакери. Поема се едно задължение, което поставя етичното поведение и професионализма на преден план, а това е изключително важно при подобен тип анализи.
Личното ми мнение е, че съществуват няколко важни фактора, от гледна точка на възложителите, които трябва да се вземат в предвид, когато говорим за етичните хакери:
- Възрастта на етичните хакери - най-често те са млади хора, под 25 години, които носят в себе си онази страст към сигурността, компютърните системи и информационните технологии, която е присъща за този тип специалисити. На около 18-20 години (съдейки по себе си) човек е изградил своето мнение, представите си за света и вярва в различни ценности и идеали. Поглеждайки назад във времето виждам, че в професионален аспект понякога съм преследвал невъзможни цели, доверявал съм се повече от необходимото, не съм се поставял достатъчно на мястото на отсрещната страна и съм разчитал, че ще получа същото отношение, което давам. За съжаление опита (друг начин да кажем "с напредването на годините") показва, че много от нещата не са толкова идеални, колкото ни се иска. Това може да доведе до демотивиране и дори до мисли за отмъщение. Помислете, колко бивши служители започват да пишат негативни мнения за своя работодател или са готови да споделят конфиденциална информация за него? Това разочарование може да доведе до сериозни проблеми при етичните хакери. От друга страна един млад човек може лесно да бъде изкушен от финансови облаги, не че с напредване не възрастта не може, но поне по-възрастния ще се замисли, какви последици би имало. Разбира се тук повечето неща опират до характер и ценности, а те са различни за всеки един от нас.
- Поемането на риск и на отговорност - на по-млади години сме по-склонни да поемем риск и често не обмисляме какви последици би имало. Също така поемането на отговорност е нещо, което е по-присъщо на хората с повече жизнен опит. При pen-testing винаги съществува риск даден анализ да доведе до отказ на услуга или проблеми в работата на системи. Именно подценяването на опасността би довело до подобни грешки, но все пак, това е нещо, което се трупа с опита.
- Себедоказване - отново една черта на характера. Съществуват много примери, за хакери, споделили публично конфиденциална информация с цел да докажат своите умения и да изпъкнат.
Къде е тази тънка черна линия, разграничаваща етичния и злонамерения хакер? Тя е действията, предприети от експерта, тя не е размита и много точно показва, двете страни.
Привлекателна ли е "тъмната страна"? Трудно ли е да се прекрачи границата? Не, няма да намесваме Люк Скайлокър. За съжаление е лесно да се премине през линията, разделяща етичното и злонамереното действие и тук характера е ключовият фактор и всичко зависи от човека. Моралът е разграничаването на намерения, решения и действия между такива, които са добри и правилни и такива, които са лоши и грешни (според Wikipedia).
Оценяването на морала е трудна задача, поради редица причини, но има четири основни директни подхода. Първият е чрез специална анкета, вторият се базира на следене за определени индикатори в действията, третият е свързан с анонимна обратна връзка, а последният е наблюдение на поведението. Това са действия, които следва да бъдат извършени от мениджърите на етичните хакери и те биха гарантирали очакваното от клиента ниво на професионализъм.
От написаното до тук, може да кажем, че характера на етичните хакери е също толкова важен, колкото и техните знания и умения. Когато се сформира екип, отговарящ за pen-testing е изключително важно да се направи оценка на личностните качества на служителите, а това е задача, с която HR експертите могат да се справят. От друга страна, наблюдението ми показва, че в академичните институции и специализираните обучения, свързани с анализ на сигурността, не се набляга достатъчна (ако въобще тази тема е включена) на етиката.
И на краят - един казус за размисъл, относно етиката и киберсигурността:
Как бихте постъпили в следната ситуация. Имате интерес към киберсигурността и разглеждате инструменти, свързани с анализ на безжични мрежи и MITM. Успявате да научите паролата за безжичната мрежа на фирма, помещаваща се в съседна сграда. Стартирате класически подход за MITM и използвате инструменти от типа на sslstrip, което ви осигурява прихващане на мрежови трафик, в който виждате съобщения, свързани с комуникация, относно продажба на забранени наркотични субстанции и други незаконни стоки, а и успявате да получите достъп до файлов сървър.
Какви действия ще предприемете? Ще замълчите ли или ще се свържете със съответните органи? Ще има ли последствия за вас и ще спите ли спокойно, ако не предприемете нищо?
Ето къде се намесва морала и нашето разбиране за света.